DigiNotar MITM-attacks

Door Little Penguin op dinsdag 6 september 2011 08:38 - Reacties (7)
Categorie: Security, Views: 4.816

Ik zal maar beginnen met een link naar een blog-item van Gervase Markham "Watch It And Weep".

Naar mijn mening blijkt hieruit overduidelijk dat er misbruik gemaakt is van de uitgegeven certificaten onder de DigiNotar ROOT CA.

Verder nog een klein stukje 'opinie': "Uit de berichtgeving blijkt dat DigiNotar onder andere de beveiliging, en dan op anti-virus-gebied, niet op orde had. Wat me echter ook niet zou verbazen, en wat ik eigenlijk tussen de regels al doorgelezen heb, dat is dat men qua scheiding van de kritische systemen met de normale gebruikerssystemen en met de systemen die aan het internet hangen gewoon geen enkele stap ondernomen heeft.", dat was een idee dat ik gisteren had - nu 1 dag later is er meer bekend:

Het lijkt er sterk op dat gemak meer leidend geweest is dan veiligheid:
4.4 Current network infrastructure at DigiNotar
The successful hack implies that the current network setup and / or procedures at DigiNotar are not
sufficiently secure to prevent this kind of attack.

The most critical servers contain malicious software that can normally be detected by anti-virus software. The separation of critical components was not functioning or was not in place. We have strong indications that the CA-servers, although physically very securely placed in a tempest proof environment, were accessible over the network from the management LAN.

The network has been severely breached. All CA servers were members of one Windows domain, which made it possible to access them all using one obtained user/password combination. The password was not very strong and could easily be brute-forced.
Bron: http://www.rijksoverheid....tion-black-tulip-v1-0.pdf

Naar mijn mening had dit nooit zo ingericht mogen zijn, de servers hadden slechts toegankelijk mogen zijn via een significant aantal menselijke handelingen en zeker geen onderdeel mogen zijn van het eenzelfde MS-Windows-domein.

Nog een stukje opinie: Dit rapport is op de front-page verstopt onder 'Overheid dwingt bij Microsoft vertraagde Windows Update', eigenlijk zou dit meer duidelijk voor het voetlicht gebracht moeten zijn/mogen worden.

Volgende: iPad reader 01-'10 iPad reader

Reacties


Door Tweakers user CodeCaster, dinsdag 6 september 2011 09:45

en zeker geen onderdeel mogen zijn van het MS-Windows-domein.
Troll?

Ze hadden wel lid mogen zijn van een Active Directory-domein, maar wellicht een ánder domein, en zeker niet één login voor alle servers. Maar dat bedoel je ook, neem ik aan.

[Reactie gewijzigd op dinsdag 6 september 2011 09:47]


Door Tweakers user fub, dinsdag 6 september 2011 10:22

Het probleem van gescheiden infrastructuren is dat je op een gegeven moment toch iets van de ene op de andere moet hebben. En dat wordt dan even met een USB-stick (oid) gedaan -- en dan loop je alsnog de kans op besmetting. Ik kan niet meer tellen hoe vaak ik met een systeembeheerder van een klant iets heb gevogeld op een machine in hun productie-domein, gewoon om de spullen op hun plek te krijgen.
De uranium-centrifuges van Iran staan ook niet aan het internet gekoppeld, maar toch zijn ze besmet geraakt met Stuxnet -- precies om die reden.

De enige oplossing lijkt mij een soortement van 'autoclaaf' te zijn: je kan wel spul van de ene naar de andere omgeving krijgen, maar dat wordt eerst 'ontsmet' met alles wat beschikbaar is. Anders dan gaan je eigen medewerkers toch om de beveiliging heen, om gewoonweg hun werk te kunnen doen.

Door Tweakers user Little Penguin, dinsdag 6 september 2011 11:19

@CodeCaster: Aangepast - zeker niet bedoeld om op die manier te trollen. :)

@fub: Een firewall en alleen toegang via een gecontroleerde methode doet daarentegen weer wel wonderen. Verder hoeft er eigenlijk alleen bepaalde informatie naar zo'n server te kunnnen...

Door Tweakers user i-chat, dinsdag 6 september 2011 15:07

CodeCaster schreef op dinsdag 06 september 2011 @ 09:45:
[...]

Troll?

Ze hadden wel lid mogen zijn van een Active Directory-domein, maar wellicht een ánder domein, en zeker niet één login voor alle servers. Maar dat bedoel je ook, neem ik aan.
ik denk dat hij bedoeld het windows domein dat ook door gebruikers en webservers gebruikt wordt... sterker nog de root ca zou niet eens in het zelfde forrest moeten zitten... en geen enkele trust zou mogen gelden... ook geen enkelwegs-trust van rootca naar userdomein.

die dingen horen strikt gescheiden te zijn.. in compleet apparte netwerken...

Door BSDLover, dinsdag 6 september 2011 22:12

Begrijp ik nu goed dat deze root CA omgeving op een windows omgeving draait? Is het niet verstandig dit soort uiterst kritische toepassingen in bijv een OpenBSD omgeving te draaien?

Voor het overzetten van bestanden maken wij gebruik van een specifiek user account die alleen met SSH en vanaf een zeer beperkte IP reeks te benaderen is. Deze user draait in een jail. Root access is alleen mogelijk fysiek bij de server.

Door Ahmad, woensdag 7 augustus 2013 03:19

It was not long before some one kcenkod at the house-door and called, open the door, dear children, your mother is here, and has brought something back with her for each of you. But the little kids knew that it was the wolf, by the rough voice. We will not open the door, cried they, you are not our mother. She has a soft, pleasant voice, but your voice is rough, you are the wolf. Then the wolf went away to a shopkeeper and bought himself a great lump of chalk, ate this and made his voice soft with it. The he came back, kcenkod at the door of the house, and called, open the door, dear children, your mother is here and has brought something back with her for each of you.

Door Noor, maandag 2 september 2013 16:30

It was not long before some one knoekcd at the house-door and called, open the door, dear children, your mother is here, and has brought something back with her for each of you. But the little kids knew that it was the wolf, by the rough voice. We will not open the door, cried they, you are not our mother. She has a soft, pleasant voice, but your voice is rough, you are the wolf. Then the wolf went away to a shopkeeper and bought himself a great lump of chalk, ate this and made his voice soft with it. The he came back, knoekcd at the door of the house, and called, open the door, dear children, your mother is here and has brought something back with her for each of you. http://ywszgmp.com edllkcy [link=http://cdmogdddadj.com]cdmogdddadj[/link]

Reageren is niet meer mogelijk