Abonneer je gratis op Techzine!

DigiNotar, het Beverwijkse bedrijf dat beveiligingscertificaten uit geeft, onder meer voor de Nederlandse overheid is zeer laks geweest met de beveiliging van haar ICT-omgevingen. Wat ertoe heeft geleid dat het misbruiken van de systemen van DigiNotar kinderlijk eenvoudig was.

Dit is de conclusie die kan worden getrokken uit het onderzoek van Fox IT, zij deden onderzoek naar de beveiliging van DigiNotar naar aanleiding van de hacks bij het bedrijf.

Vorige week werd duidelijk dat er problemen waren met certificaten van DigiNotar, nadat een Iraniër aan de bel had getrokken op een Google Forum. Govcert een overheidsinstantie die verantwoordelijk is voor de ICT-veiligheid in Nederland kreeg dit bericht door van hun Duitse collega’s waarnaar er actie werd ondernomen.

Uit het onderzoek van Fox IT komt duidelijk naar voren dat DigiNotar al in juni op de hoogte was dat hun systeem was gehackt, maar het bedrijf stelde pas een maand later een onderzoek in. Eind juli was duidelijk dat er nepcertificaten waren aangemaakt in de systemen van DigiNotar en dat veel van dit internetverkeer afkomstig was uit Iran. DigiNotar deed hier pas afgelopen maandag aangifte van.

Fox IT laat in het rapport zien dat het zeer slecht is gesteld met de beveiliging van DigiNotar. Zo blijkt dat de omgeving van de werkplekken op kantoor direct was gekoppeld aan de technische omgeving waarin certificaten kunnen worden aangemaakt. Als een DigiNotar-werknemer inlogt op zijn werkstation is deze ook meteen ingelogd in de technische omgeving. Iets wat volgens de regels niet is toegestaan maar sowieso niet verstandig is.

Ook heeft Fox IT aanwijzingen gevonden dat het bedrijfsnetwerk direct was verbonden met het netwerk dat de overheidscertificaten uitgeeft, iets dat niet zou mogen en ook technisch onmogelijk zou moeten zijn, omdat deze systemen in een afgesloten kluis staan.

Helaas is dat nog niet anders, ook hele simpele beveiligingen zoals antivirus-bescherming voor werkstations, detectiemogelijkheden om hackers te detecteren, een goed wachtwoordbeleid, het bijhouden van bewerkingen in logboeken waren allemaal onvoldoende geregeld.

Waarbij het wachtwoordbeleid toch wel het meest schokkend blijkt te zijn, deze waren zo slecht gekozen dat deze zeer eenvoudig geautomatiseerd gekraakt kunnen worden. Daarmee is het voor een hacker helemaal kinderspel om binnen te komen en gezien alle systemen aan elkaar waren geknoopt had deze ook meteen volledige toegang tot alle systemen.

Inmiddels heeft ook een voormalige werknemer van DigiNotar zich gemeld bij RTL Nieuws. Deze werknemer meldt dat het bedrijf ook kopieën van sleutels bewaarde in een losse database. Iets wat ook niet bepaald handig is gezien zowel medewerkers als hackers hiermee zeer eenvoudig misbruik kunnen maken van verbindingen.

Als je alles bij elkaar op telt dan is de beveiliging gewoon slecht geregeld en alles is op zo’n manier ingericht dat het voornamelijk gemak biedt maar geen optimale veiligheid. Dit rapport zal dan ook weinig goeds betekenen voor de reputatie van DigiNotar. Het bedrijf heeft nog geen officiële verklaring gepubliceerd over het rapport van Fox IT.