Abo
  • Services:
Anzeige
Fox-IT findet grobe Sicherheitsmängel bei Diginotar.
Fox-IT findet grobe Sicherheitsmängel bei Diginotar. (Bild: Diginotar)

Zertifikate

Grobe Sicherheitsmängel bei Diginotar

Fox-IT findet grobe Sicherheitsmängel bei Diginotar.
Fox-IT findet grobe Sicherheitsmängel bei Diginotar. (Bild: Diginotar)

Der Einbruch in die Server des niederländischen Zertifikatsanbieters Diginotar hat weitreichendere Folgen als bisher bekannt, meldet die niederländische Regierung. Und ein erstes Zwischengutachten belegt grobe Fehler von Diginotar.

Die niederländische Regierung informiert über das Ausmaß des Einbruchs in die Server von Diginotar, das Tor-Projekt hat nun die ihm zur Verfügung gestellten Informationen veröffentlicht. Demnach haben sich die Angreifer 531 Zertifikate ausgestellt, darunter auch solche für die Websites des US-Geheimdienstes CIA, die von Skype und Wordpress, Facebook, Microsoft, Mozilla, Yahoo und dem Tor-Projekt.

Anzeige

Zwar wurde auch das Zertifikat für Microsofts Website windowsupdate.com gefälscht, über die Microsoft Updates für Windows verteilt, Microsoft weist aber darauf hin, dass die Updates nochmals mit einem zweiten Zertifikat signiert sind, über das Microsoft selbst die Kontrolle hat, so dass es nicht möglich ist, Windows-Nutzern gefälschte Zertifikate unterzuschieben.

Auch die weitreichenden Zertifikate für *.*.com und *.*.org wurden ausgestellt. Diese sollten aber von keinem Browser akzeptiert werden. Auch Zertifikate auf den Namen anderer Zertifikatsanbieter haben sich die Angreifer ausgestellt, darunter "Verisign Root CA" und "Thawte Root CA".

Veraltete Software und unsicheres Netzwerksetup

Diginotar hat derweil einen von Fox-IT erstellten Bericht zu dem Einbruch veröffentlicht. Demnach liegt die Vermutung nahe, dass es den Angreifern vor allem darum ging, Nutzer im Iran auszuforschen.

Zudem kommt Fox-IT zu dem Schluss, dass das Netzwerksetup von Diginotar nicht sicher genug ist, um solche Angriffe abzuwehren: Auf den kritischsten Servern wurde Malware gefunden, die eigentlich von einer Antivirussoftware hätte entdeckt werden können. Doch eine Antivirussoftware wurde auf den Systemen nicht verwendet. Die Trennung dieser kritischen Systeme im Netzwerk habe nicht funktioniert oder nicht existiert, folgert Fox-IT.

Die CA-Server seien zwar physisch gut gesichert, aber über das lokale Verwaltungsnetzwerk zugänglich gewesen, in das eingebrochen wurde. Da alle CA-Server zudem Mitglieder der gleichen Windows-Domäne gewesen seien, hätten die Angreifer mit einer Usernamen-Passwort-Kombination auf alle CA-Server von Diginotar zugreifen können. Das Passwort selbst sei nicht sonderlich sicher und leicht per Brute-Force-Angriff auszuhebeln gewesen.

Die auf den öffentlichen Webservern installierte Software sei veraltet gewesen und auch aktuelle Sicherheitsupdates seien nicht eingespielt worden, heißt es in dem Bericht von Fox-IT, den Diginotar veröffentlicht hat.

Zwar habe es ein Intrusion Prevention System auf den Servern gegeben, es habe aber nicht angeschlagen. Warum, sei noch unklar.


eye home zur Startseite
Caprico 06. Sep 2011

Das Ding heißt "Diginotar" und nicht "Diginator", wie im erstem Absatz geschrieben. Edit...


Free Mac Software Blog / 11. Sep 2011

Apple Sicherheitsupdate 2011-005 macht Safari sicherer



Anzeige

Stellenmarkt
  1. SICK AG, Waldkirch bei Freiburg im Breisgau
  2. IKOR Management- und Systemberatung GmbH, deutschlandweit
  3. ROHDE & SCHWARZ GmbH & Co. KG, München
  4. Drägerwerk AG & Co. KGaA, Lübeck


Anzeige
Top-Angebote
  1. 37,99€
  2. Gutscheincode PLUSBAY (maximaler Rabatt 50€, nur Paypal-Zahlung)
  3. 299,00€

Folgen Sie uns
       


  1. Luminar

    Lightroom-Konkurrenz bringt sich in Stellung

  2. Kleinrechner

    Tim Cook verspricht Update für Mac Mini

  3. Elektrorennwagen

    VW will elektrisch auf den Pikes Peak

  4. Messung

    Über 23.000 Funklöcher in Brandenburg

  5. Star Wars Battlefront 2 Angespielt

    Sternenkrieger-Kampagne rund um den Todesstern

  6. Nach Wahlniederlage

    Netzpolitiker Klingbeil soll SPD-Generalsekrektär werden

  7. Adasky

    Autonome Autos sollen im Infrarot-Bereich sehen

  8. Münsterland

    Deutsche Glasfaser baut weiter in Nordrhein-Westfalen aus

  9. Infineon

    BSI zertifiziert unsichere Verschlüsselung

  10. R-PHY- und R-MACPHY

    Kabelnetzbetreiber müssen sich nicht mehr festlegen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Krack-Angriff: Kein Grund zur Panik
Krack-Angriff
Kein Grund zur Panik
  1. Neue WLAN-Treiber Intel muss WLAN und AMT-Management gegen Krack patchen
  2. Ubiquiti Amplifi und Unifi Erster Consumer-WLAN-Router wird gegen Krack gepatcht
  3. Krack WPA2 ist kaputt, aber nicht gebrochen

Flettner-Rotoren: Wie Schiffe mit Stahlsegeln Treibstoff sparen
Flettner-Rotoren
Wie Schiffe mit Stahlsegeln Treibstoff sparen
  1. Hyperflight China plant superschnellen Vactrain
  2. Sea Bubbles Tragflächen-Elektroboote kommen nach Paris
  3. Honolulu Strafe für Handynutzung auf der Straße

Cybercrime: Neun Jahre Jagd auf Bayrob
Cybercrime
Neun Jahre Jagd auf Bayrob
  1. Antivirus Symantec will keine Code-Reviews durch Regierungen mehr
  2. Verschlüsselung Google schmeißt Symantec aus Chrome raus
  3. Übernahme Digicert kauft Zertifikatssparte von Symantec

  1. Re: Hausaufgaben

    Der Held vom... | 07:51

  2. Alte Hardware

    Philago | 07:48

  3. Re: Darum wird sich Linux nie so richtig durchsetzen

    david_rieger | 07:42

  4. Hilfe ohne Cookies sind wir geliefert.... Rumheul

    jones1024 | 07:41

  5. Re: Regierung kann die Betreiber nicht zwingen

    robinx999 | 07:26


  1. 07:28

  2. 07:13

  3. 18:37

  4. 18:18

  5. 18:03

  6. 17:50

  7. 17:35

  8. 17:20


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel