Dat blijkt uit het onderzoeksrapport (pdf) van Fox IT naar de inbraak bij Diginotar, dat Webwereld en NU.nl via een overheidsbron hebben ingezien. Zo blijken alles systemen van Diginotar binnen één enkel Windows domein te hebben gefunctioneerd. Daardoor was mogelijk om vanaf de werkplek toegang te krijgen tot de administratie van certificaten. Inloggen op de werkplek was dan ook voldoende om daadwerkelijke toegang tot de systemen te krijgen. Bij beveiliging geldt dat als een absolute doodzonde. Bovendien wist Diginotar eind juli al dat er misbruik werd gemaakt van de certificaten.

Geen gescheiden omgeving

Ook voor het uitgeven van overheidscertificaten werden regels met voeten getreden. Zo opereren de computers voor PKI Overheid in een kluis en mogen nooit verbonden worden met het netwerk van Diginotar. Maar ook daar troffen de onderzoekers van Fox IT sporen dat er wel degelijk een verbinding met het Windows domein was geweest.

Bovendien heeft het ontbroken aan basale beveiliging voor de systemen. Zo bleken basale zaken als een virusscanner niet aanwezig. Wachtwoorden bleken niet ingewikkeld genoeg, waardoor het mogelijk was dat ze met de standaard programmatuur Cain and Able werden gekraakt. Daarbij ging het niet alleen om gebruikerswachtwoorden, maar ook om de toegang voor beheerders.

Uit de sporen is dan ook gebleken dat er daadwerkelijk beheerderstoegang is verkregen en dat de Iraanse hackers volledige toegang hadden tot alle systemen. Daarom was het ook niet meer vol te houden dat de overheidsomgeving niet gecompromitteerd zou zijn.

Slechte detectie

Een ander probleem is dat het ontbrak aan een logboek op een centrale locatie, iets wat voor dit soort cruciale zaken gebruikelijk is. Wel was er geïnvesteerd in een intrusion prevention systeem, voor het detecteren van inbraken. Maar dat heeft onvoldoende gefunctioneerd.

Ook administratief ging het nodige verkeerd. Dat blijkt uit het feit dat tussen de overheidscertificaten twee series van certificaten zitten waarvan niet duidelijk is wie ze heeft aangevraagd en waarvoor ze worden gebruikt.

Gepruts

De hackers hebben ook scripts achtergelaten waardoor ze zelf de administratie voor certificaten konden doen. Dat blijken soms mooie scripts te zijn, maar er zitten ook scripts tussen die kunnen worden gezien als gepruts. In ieder geval hadden zij vrij spel om naar hartenlust certificaten aan te maken.

RTL Nieuws meldt dat een oud-medewerker van Diginotar heeft gezien dat er complete certificaten in een losse database werden bewaard. Dat werd gedaan om snel fouten te kunnen herstellen en dat was dus gericht op gemak. Maar de gevolgen kunnen volgens de medewerker zijn dat verkeer ook daadwerkelijk ontcijferd wordt.

Onder de pet houden

Inmiddels is duidelijk dat er ook daadwerkelijk misbruik heeft plaatsgevonden en dat in Iran gebruik is gemaakt van het domein van Google. Volgens de onderzoekers wist Diginotar ook al op 28 juli dat er daadwerkelijk verkeer kwam uit Iran en dat Google werd misbruikt. Maar zelfs toen greep het bedrijf niet in.

Trend Micro heeft ondertussen ontdekt dat er 40 Iraanse netwerken werden afgeluisterd.

Het bedrijf Fox IT heeft dat misbruik in de volgende video weergegeven. Het bedrijf beschuldigt niet de Iraanse regering van de hack, maar wijst er wel op dat de hack is gericht op het afluisteren van het Iraanse volk.]:

.

Boodschap

De hacker heeft voor de ontdekker een boodschap achtergelaten op het systeem van DigiNotar:

I know you are shocked of my skills, how i got access to your network to your internal network from outside how I got full control on your domain controller how I got logged in into this computer HoW I LEARNED XUDA PROGRAMMING HOW I got this IDEA to write such XUDA code How I was sure it's going to work? How i bypassed your expensive firewall, routers, NetHSM, unbreakable hardware keys How I did all xUDA programming without 1 line of resource, got this idea, owned your network accesses your domain controlled, got all your passwords, signed my certificates and received them shortly THERE IS NO ANY HARDWARE OR SOFTWARE IN THIS WORLD EXISTS WHICH COULD STOP MY HEAVY ATTACKS MY BRAIN OR MY SKILLS OR MY WILL OR MY EXPERTISE That's all ok! EVerything I do is out of imagination of people in world I know you'll see this message when it is too late, sorry for that I know it's not something you or any one in this world have thought about But everything is not what you see in material world, when God wants something to happen.

Windows update uitgesteld

Alle certificaten van Diginotar moeten worden uitgefaseerd, maar dat blijkt lang niet altijd snel te kunnen gaan. Zo bleek vandaag dat de RDW nog een hele tijd vast zit aan Diginotar.

Uit de brief van Donner aan de Kamer die vanavond wordt verstuurd blijkt verder dat de update van Windows die Microsoft in de planning heeft staan, waardoor de certificaten van Diginotar niet meer zullen werken, op verzoek van de overheid wordt vertraagd.

"Een van de directe gevolgen is dat de geplande softwareupdate van Microsoft voor Nederland op expliciet verzoek van de Nederlandse overheid beheerst wordt ingevoerd. Dat geeft organisaties en bedrijven meer tijd om certificaten te vervangen", staat in de brief te lezen. De geplande softwareupdate zal op een ander moment worden uitgevoerd.

Lees alle berichtgeving van Webwereld over DigiNotar op de dossierpagina.