DigiNotar-Attacke 01.11.2012, 10:59 Uhr

Riesen-Coup für Hacker

Ein Jahr nach der verheerenden Attacke auf die holländische Zertifizierungstselle DigiNotar, wird das ganze Ausmass des Angriffs bekannt. Scheinbar konnten sich die Hacker weitreichende Adminrechte verschaffen.
6308.jpg
Ein Jahr nach dem Angriff auf die niederländische «Certificate Authority» (CA) DigiNotar, hat die Sicherheits-Firma Fox-IT dargelegt, wie die Attacke abgelaufen ist. Fox-IT wurde dabei von DigiNotar selbst beauftragt, den Fall zu untersuchen. Zusammengefasst gesagt, seien Defizite bei der Netzwerk-Segmentierung und falsch konfigurierte Firewalls für das Ausmass der Attacke verantwortlich. «Das DigiNotar-Netz war in 24 verschiedene interne Netzwerk-Segmente unterteilt», schreibt Fox-IT in seinem Untersuchungsschlussbericht, der vom niederländischen Innenministerium verffentlicht wurde. «Die interne und externe «Demilitarisierte Zone» (DMZ) teilte die meisten Segmente des internen Netzes vom Internet. Die Zonen waren aber nicht genau definiert und wurden nicht strikte durchgesetzt. Zudem enthielt die Firewall diverse Regeln, die Ausnahmen für den Netzwerkverkehr zwischen den verschiedenen Segmenten zuliess.» Der DigiNotar-Angriff erfolgte im Juli 2011 und hatte zur Folge, dass die Hacker über die Infrastruktur der Holländer hunderte von falschen digitalen SSL-Zertifikate ausstellen konnten, und zwar für wichtige Webseiten wie Google.com. Nachdem die Attacke bekannt wurde,liessen die Hersteller von Browsern und Betriebssystemendie DigiNotar-Zertifikate nicht mehr zu. Die CA musste darauf Insolvenz anmelden. Lesen Sie auf der nächsten Seite: So hackten die Angreifer die Systeme Die Hacker griffen die DigiNotar-Infrastruktur ursprünglich von zwei Webservern aus an. Diese hosteten öffentliche Webseiten, die von einer veralteten und daher löchrigen Version des Content-Management-Systems DotNetNuke betrieben wurden. Die Webserver befanden sich dabei in der externen DMZ. Die Einbrecher nutzen dann die bestehenden Firewall-Regeln, um Server in anderen Netzwerk-Segmenten zu erreichen und zu verseuchen. In einem der Segmente befand sich das System, mit dem DigiNotar seine Zertifikate ausstellte. So dann verwendeten die Hacker spezielle Tools, um sogenannte Tunnels zu errichten. Mit diesen konnte den Systemen vorgegaukelt werden, die Anfragen für Zertifikate kämen aus dem Internet. Tatsächlich forderten die Hacker diese aber intern an. Aber auch die Verschleierung des Angriffs war ziemlich ausgefeilt. So wurden auch die Logfiles geändert, so dass DigiNotar lange nicht herausfinden konnte, welche Systeme jetzt überhaupt Ziel der Attacke geworden seien.
Artikel drucken
Jens Stark
Das könnte Sie auch interessieren
«Groundhog Beta»
1. Platz für «Swissloop Tunneling» an «Not-a-Boring Competition 2024»
 
vor 7 Stunden
Datenverfügbarkeit in der Produktion
Where EDGE Computing meets 5G
 
vor 2 Tagen
Innovation
490 Millionen Franken für die Schweizer Innovationsförderung
 
vor 3 Tagen
Digitalisierung in Schweizer Unternehmen
Der Nutzen steht im Vordergrund
 
vor 3 Tagen