Anzeige
Fox-IT findet grobe Sicherheitsmängel bei Diginotar.
Fox-IT findet grobe Sicherheitsmängel bei Diginotar. (Bild: Diginotar)

Zertifikate

Grobe Sicherheitsmängel bei Diginotar

Der Einbruch in die Server des niederländischen Zertifikatsanbieters Diginotar hat weitreichendere Folgen als bisher bekannt, meldet die niederländische Regierung. Und ein erstes Zwischengutachten belegt grobe Fehler von Diginotar.

Anzeige

Die niederländische Regierung informiert über das Ausmaß des Einbruchs in die Server von Diginotar, das Tor-Projekt hat nun die ihm zur Verfügung gestellten Informationen veröffentlicht. Demnach haben sich die Angreifer 531 Zertifikate ausgestellt, darunter auch solche für die Websites des US-Geheimdienstes CIA, die von Skype und Wordpress, Facebook, Microsoft, Mozilla, Yahoo und dem Tor-Projekt.

Zwar wurde auch das Zertifikat für Microsofts Website windowsupdate.com gefälscht, über die Microsoft Updates für Windows verteilt, Microsoft weist aber darauf hin, dass die Updates nochmals mit einem zweiten Zertifikat signiert sind, über das Microsoft selbst die Kontrolle hat, so dass es nicht möglich ist, Windows-Nutzern gefälschte Zertifikate unterzuschieben.

Auch die weitreichenden Zertifikate für *.*.com und *.*.org wurden ausgestellt. Diese sollten aber von keinem Browser akzeptiert werden. Auch Zertifikate auf den Namen anderer Zertifikatsanbieter haben sich die Angreifer ausgestellt, darunter "Verisign Root CA" und "Thawte Root CA".

Veraltete Software und unsicheres Netzwerksetup

Diginotar hat derweil einen von Fox-IT erstellten Bericht zu dem Einbruch veröffentlicht. Demnach liegt die Vermutung nahe, dass es den Angreifern vor allem darum ging, Nutzer im Iran auszuforschen.

Zudem kommt Fox-IT zu dem Schluss, dass das Netzwerksetup von Diginotar nicht sicher genug ist, um solche Angriffe abzuwehren: Auf den kritischsten Servern wurde Malware gefunden, die eigentlich von einer Antivirussoftware hätte entdeckt werden können. Doch eine Antivirussoftware wurde auf den Systemen nicht verwendet. Die Trennung dieser kritischen Systeme im Netzwerk habe nicht funktioniert oder nicht existiert, folgert Fox-IT.

Die CA-Server seien zwar physisch gut gesichert, aber über das lokale Verwaltungsnetzwerk zugänglich gewesen, in das eingebrochen wurde. Da alle CA-Server zudem Mitglieder der gleichen Windows-Domäne gewesen seien, hätten die Angreifer mit einer Usernamen-Passwort-Kombination auf alle CA-Server von Diginotar zugreifen können. Das Passwort selbst sei nicht sonderlich sicher und leicht per Brute-Force-Angriff auszuhebeln gewesen.

Die auf den öffentlichen Webservern installierte Software sei veraltet gewesen und auch aktuelle Sicherheitsupdates seien nicht eingespielt worden, heißt es in dem Bericht von Fox-IT, den Diginotar veröffentlicht hat.

Zwar habe es ein Intrusion Prevention System auf den Servern gegeben, es habe aber nicht angeschlagen. Warum, sei noch unklar.


eye home zur Startseite
Caprico 06. Sep 2011

Das Ding heißt "Diginotar" und nicht "Diginator", wie im erstem Absatz geschrieben. Edit...

Kommentieren


Free Mac Software Blog / 11. Sep 2011

Apple Sicherheitsupdate 2011-005 macht Safari sicherer



Anzeige

  1. Softwareentwickler (m/w)
    Dr. Noll GmbH, Bad Kreuznach
  2. Software-Entwickler (m/w) für Embedded-Systeme
    Diehl Metering GmbH, Nürnberg
  3. Senior Consultant WWS (m/w)
    ADVARIS Informationssysteme GmbH, Bruchsal
  4. Softwareentwickler (m/w) C++
    CST - Computer Simulation Technology AG, Darmstadt

Detailsuche



Anzeige
Blu-ray-Angebote
  1. Game of Thrones [dt./OV] Staffel 6
    (jeden Dienstag ist eine neue Folge verfügbar)
  2. TIPP: Der Hobbit: Die Schlacht der fünf Heere [3D Blu-ray]
    9,99€
  3. 3 Blu-rays für 18 EUR
    (u. a. Rache für Jesse James, Runaway, The Wanderers)

Weitere Angebote


Folgen Sie uns
       


  1. Internetwirtschaft

    Das ist so was von 2006

  2. NVM Express und U.2

    Supermicro gibt SATA- und SAS-SSDs bald auf

  3. 100 MBit/s

    Telekom bringt 10.000 Haushalten in Großstadt Vectoring

  4. Zum Weltnichtrauchertag

    BSI warnt vor Malware in E-Zigaretten

  5. Analoges Radio

    UKW-Sendeanlage bei laufendem Betrieb umgezogen

  6. Kernel

    Linux 4.7-rc1 unterstützt AMDs Polaris

  7. Fehler in Blogsystem

    200.000 Zugangsdaten von SZ-Magazin kopiert

  8. Aufräumen von Prozessen beim Logout

    Systemd-Neuerung sorgt für Nutzerkontroversen

  9. Overwatch im Test

    Superhelden ohne Sammelsucht

  10. Mobilfunk

    Wirtschaftssenatorin will 5G-Testbed in Berlin durchsetzen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Doom im Test: Die beste blöde Ballerorgie
Doom im Test
Die beste blöde Ballerorgie
  1. Doom im Technik-Test Im Nightmare-Mode erzittert die Grafikkarte
  2. id Software Doom wird Vulkan unterstützen
  3. Id Software PC-Spieler müssen 45 GByte von Steam laden

Darknet: Die gefährlichen Anonymitätstipps der Drogenhändler
Darknet
Die gefährlichen Anonymitätstipps der Drogenhändler
  1. Privatsphäre 1 Million Menschen nutzen Facebook über Tor
  2. Security Tor-Nutzer über Mausrad identifizieren

Privacy-Boxen im Test: Trügerische Privatheit
Privacy-Boxen im Test
Trügerische Privatheit
  1. IT-Sicherheit SWIFT-Hack vermutlich größer als bislang angenommen
  2. Hack von Rüstungskonzern Schweizer Cert gibt Security-Tipps für Unternehmen
  3. APT28 Hackergruppe soll CDU angegriffen haben

  1. Re: Einfach nicht wählen.

    plutoniumsulfat | 30.05. 23:59

  2. Re: Damit erhöht sich die digitale Kluft...

    plutoniumsulfat | 30.05. 23:59

  3. Re: Was ich im Artikel viel lieber gelesen hätte

    Eheran | 30.05. 23:58

  4. Analog abschalten ist dumm

    HelpbotDeluxe | 30.05. 23:58

  5. Re: Golem ist Lobby gesteuert ?

    Renegard | 30.05. 23:57


  1. 18:53

  2. 18:47

  3. 18:38

  4. 17:41

  5. 16:36

  6. 16:29

  7. 15:57

  8. 15:15


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel