DigiNotar-ellende door verwaarlozing website
De hacker die vorig jaar inbrak in het systeem van DigiNotar kon zijn gang gaan doordat beheerders de websitesoftware al drie jaar niet hadden bijgewerkt.
De hacker die vorig jaar inbrak in het systeem van DigiNotar kon zijn gang gaan doordat beheerders de websitesoftware al drie jaar niet hadden bijgewerkt.
Vroeg onderzoek
Dat blijkt uit een onderzoek dat het bedrijf ITsec uitvoerde in opdracht van DigiNotar, nog voordat de digitale inbraak bij het bedrijf bekend werd. De informatie is via een procedure naar boven gehaald door journalist Brenno de Winter (NU.nl).
Drie jaar geen update
De hacker wist zich toegang te verschaffen tot de website van DigiNotar doordat het bedrijf simpelweg zijn contentmanagementsysteem (CMS) DotNetNuke niet had bijgewerkt met de gebruikelijke beveiligingsupdates. Bij de inbraak gebruikte DigiNotar versie 4.8.2.0 van het systeem, daterend uit maart 2008. Terwijl de leverancier in mei 2008 waarschuwde voor een ernstig beveiligingslek in de software, liet DigiNotar een update achterwege. Dat gebeurde nadien met dertig van die updates, totdat het bedrijf drie jaar later werd gehackt. De hacker misbruikte het lek uit mei 2008. Niet dat hij daarmee meteen greep had op de aanmaak van beveiligingscertificaten, maar via wat tussenstappen lukte hem dat uiteindelijk wel.
Trage reactie
De hacker deed zijn werk tussen 17 juni en 22 juli van 2011. Pas op 29 augustus, ruim een maand later, voelde DigiNotar zich gedwongen de inbraak wereldkundig te maken. Toen moest de conclusie worden getrokken dat de door het bedrijf uitgegevens digitale beveiligingscertificaten niet meer te vertrouwen waren, met alle bekende gevoglen van dien. Onder andere DigiD was daardoor in veel gevallen tijdelijk niet te gebruiken.
Meer controle
In een reactie die minister Plasterk van BZK vorige week gaf op een recent onderzoek naar de DigiNotar-affaire meldt hij onder andere dat de aanbeveling van de Onderzoeksraad voor de Veiligheid (OVV) om te zorgen voor 'werkelijk toezicht op en handhaving door OPTA en Logius van de feitelijke naleving van de vigerende regelgeving' inmiddels navolging heeft gekregen. Zo maakt toezichthouder OPTA bijvoorbeeld momenteel voor alle certificatiedienstverleners - dus de collega's/opvolgers van DigiNotar - een risicoanalyse. Die dienstverleners krijgen ook ten minste eens per jaar een bezoek van OPTA.
Plaats als eerste een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.