De Iraanse hacker die het Nederlandse DigiNotar ongemerkt volledig heeft gepwnd, is simpelweg begonnen bij de voordeur. Op 17 juni 2011 viel hij de webservers van de certificaatverstrekker aan, weet securitybedrijf Fox-IT te reconstrueren. Die servers stonden in de externe DMZ (Demilitarized Zone) van DigiNotar.

Men neme lekke webservers

In augustus vorig jaar bleek al dat de webservers van het Nederlandse certificaatbedrijf al jarenlang openstonden voor hackers, die daar ook concreet gebruik van hadden gemaakt. In mei en juni 2009 waren verschillende webpagina's op DigiNotar.nl 'beklad' door zelfverklaarde Turkse en Iraanse hackers. Die defacements stonden eind augustus 2011 nog gewoon live.

De hacker die DigiNotar vorig jaar volledig overnam, maakte goed gebruik van die zwakke voordeur. De webservers zijn door hem ingezet als intermediair om bestanden uit te wisselen tussen de externe en interne systemen van DigiNotar. Daarvoor heeft hij eigen scripts op die computers gezet die dienst deden als rudimentaire bestandsmanagers.

Spoor uitgevogeld

Deze eerste stappen in de diepgaande hack komen naar voren uit de logbestanden die Fox-IT heeft hersteld en doorgenomen. Dat securitybedrijf heeft het spoor van de hacker uitgevogeld na uitgebreid forensisch onderzoek. Het eindrapport hierover bevat uitgebreide details over de werkwijze van de indringer. Dat rapport is op 13 augustus afgerond en wordt nu geopenbaard door de Nederlandse overheid.

Uit de herstelde weblogs blijkt dat de hacker tijdens zijn operatie twaalf interne systemen van DigiNotar heeft bereikt met zijn scripts. Daarnaast hebben eenentwintig verdachte externe systemen verbinding gehad met die actieve hacktools. Fox-IT heeft in totaal meer dan honderd unieke bestandsnamen gededuceerd die door deze scripts zijn uitgewisseld tussen externe computers en de interne systemen van DigiNotar.

“Interne systemen die deze scripts hebben aangeroepen, waren zeer waarschijnlijk gecompromitteerd", schrijft Fox-IT in het eindrapport. De verdachte externe systemen die in aanraking zijn geweest met de scripts waren dan door de indringer ingezet om binnen te komen.

Stap 2: de KA-omgeving

Vanuit de eenmaal overgenomen webservers in de externe DMZ ging de hacker vervolgens door naar computers op het kantoornetwerk. De totale it-omgeving van DigiNotar was opgedeeld in 24 verschillende netwerksegmenten. Daarbij had het bedrijf naast de externe DMZ ook een interne zone die voor beveiliging moest zorgen.

Een goede opzet is belangrijk, maar dat staat of valt met implementatie en bewaking. DigiNotar is gevallen. Lees verder op pagina 2.

In de praktijk bleek er veel te schorten aan DigiNotars beveiligde netwerkopzet. In de eindrapportage meldt Fox-IT dat de zones niet duidelijk bepaald waren en dat de scheiding ertussen niet goed gehandhaafd werd. “De firewall bevatte vele regels die uitzonderingen specificeerden voor netwerkverkeer tussen de diverse segmenten."

Basale beveiligingsfouten

DigiNotar nam de eigen beveiliging niet serieus en wat het aan security had, werd niet serieus uitgevoerd. Zo kwam een jaar geleden al naar buiten dat de fysiek afgescheiden certificaatservers, geplaatst in een kluis, verbonden waren met het reguliere bedrijfsnetwerk. Bovendien was dat netwerk één enkel Windows-domein, waardoor vanaf een gewone werkplek toegang mogelijk was tot de productiesystemen.

Verder ontbrak het aan basale beveiliging voor de systemen. Zo bleek er geen virusscanner aanwezig, en waren wachtwoorden niet ingewikkeld genoeg. Standaardtools als Cain and Able volstonden om wachtwoorden te kraken, niet alleen van gebruikers, maar ook van beheerders.

De vervolghack op het kantoornetwerk werd gepleegd tussen 17 en 29 juni vorig jaar. Daarna ging het snel. Het doordringen in het beveiligde netwerkdeel waar de certificaatservers draaien, was op 1 juli een feit.

RDP tunnelen

Fox-IT heeft gespecialiseerde tools teruggevonden op systemen in dat beveiligde netwerksegment. Met die tools maakte de hacker tunnels aan om vanaf internet bij DigiNotars afgeschermde servers te kunnen komen. Dit omvat ook de acht CA-systemen (Certificate Authority) die het bedrijf gebruikte om beveiligingscertificaten aan te maken. Die machines zijn in de regel niet direct verbonden met het openbare internet.

Via de aangemaakte tunnels heeft de inbreker toen Windows-beheertool Remote Desktop gebruikt om de gehackte systemen te bedienen, compleet met de normale grafische interface daarvoor. Het aanmaken van valse, maar wel valide, certificaten kon beginnen. En daar is de sluipinbreker direct mee begonnen. De eerste pogingen om een eigen certificaat aan te maken werden op 2 juli uitgevoerd, weet Fox-IT nu te melden.

Privésleutels buitmaken

Om frauduleuze certificaten aan te maken, is het echter niet voldoende om een CA-server in handen te hebben. Voor de aanmaak is ook een bijbehorende privésleutel nodig van een zogeheten netHSM (aan het netwerk verbonden hardware security module). Dat apparaat helpt bij het gebruik van sterke encryptie en activeert privésleutels alleen bij gebruik van fysieke smartcards.

Cruciale zaken als smartcards en privésleutels hou je natuurlijk nauwlettend in de gaten. Zou je denken. [i]Lees verder op pagina 3.[/i]

DigiNotar kon Fox-IT geen inzicht geven in wanneer er smartcards zijn gebruikt voor privésleutels gedurende de periode van de hack. In de logs van enkele CA-servers zijn wel aanwijzingen gevonden dat er in die tijd certificaatintreklijsten (CRL's) automatisch zijn aangemaakt. Daarvoor zijn ook actieve privésleutels van de netHSM nodig. De hacker heeft dus gelegenheid gehad die ontbrekende factor buit te maken.

Hij boekte zijn ultieme succes acht dagen na zijn eerste pogingen certificaten aan te maken. Het eerste valse certificaat dat is uitgegeven door DigiNotars systemen stamt van 10 juli. Dit is gedaan op één van de acht certificaatservers van het bedrijf, wat niet het systeem was dat dienst deed voor het aanmaken en verstrekken van overheidscertificaten. De Nederlandse overheid vertrouwde voor de beveiliging van de eigen systemen en communicatie op certificaten van DigiNotar.

Zeker 513 valse certificaten

De inbreker nam echter geen genoegen met zijn eerste CA-server en het daarmee aangemaakte valide certificaat. Het onderzoek door Fox-IT wijst uit dat alle CA-servers zijn gecompromitteerd door de hacker, inclusief de Qualified-CA server voor overheidszaken. In totaal zijn er zeker 513 valse certificaten aangemaakt, met 140 unieke distinguished names en 53 unieke common names. Die namen bevatten informatie over bijvoorbeeld wie (organisatie) een certificaat aanvraagt, voor welk doel (website).

Fox-IT merkt in zijn eindrapport op dat deze lijst niet compleet is. De genoemde aantallen zijn namelijk wat er met enige mate van zekerheid is gededuceerd en geïdentificeerd. De inbreker heeft namelijk ook de logsystemen van de gekraakte certificaatservers gehackt. Dat was dankzij de slordige opstelling door DigiNotar niet zo heel moeilijk. Zowel de logging-service als de daardoor aangemaakte logbestanden bevonden zich namelijk op de reeds gecompromiteerde CA-servers. De hacker had daar volledige beheerrechten, ook voor de databases die hij vervolgens heeft gemanipuleerd.

In 20 dagen geklaard

Wat er aan ongeautoriseerde toegang is waargenomen, hoeft dus helemaal niet alles te zijn wat er ongeautoriseerd is gedaan. Fox-IT heeft voor zijn forensisch onderzoek de logs doorgenomen van DigiNotars webservers, firewalls, certificaatservers en ook de images van systemen geanalyseerd. Het securitybedrijf heeft 265 systemen onderzocht en daarvan 400 images gemaakt die forensisch betrouwbaar zijn. In totaal vormde dit een databerg van 7 terabyte, in gecomprimeerde toestand.

In die berg heeft Fox-IT ook de laatste sporen gevonden van de hacker, die ook achter de inbraak zat bij certificaatbedrijf Comodo. Op 22 juli vond het laatste netwerkverkeer plaats vanuit DigiNotars volledig gehackte netwerk naar een ip-adres dat is gebruikt door de inbreker. Twee dagen later was hij nog actief in de externe DMZ van het slapende DigiNotar, aldus het onderzoek door Fox-IT. Ruim een maand later schrok de wereld wakker.

Lees alle berichtgeving van Webwereld over de DigiNotar-crisis op de dossierpagina.