Włamanie do holenderskiego centrum certyfikacji Diginotar to szczególnie pouczająca lekcja dla wszystkich administratorów bezpieczeństwa. Kluczowe szczegóły włamania zostały bowiem ujawnione we wstępnym raporcie powłamaniowym stworznym przez firmę Fox-IT.

* Diginotar to publiczne centrum certyfikacji z udziałem holenderskiego skarbu państwa, wydające wiele rodzajów certyfikatów, w tym certyfikaty kwalifikowane

* Do włamania doszło co najmniej 6 czerwca, firma odnotowała ten fakt dopiero pod koniec lipca (!)

* W tym czasie włamywacze spenetrowali chyba wszystkie możliwe serwery w sieci Diginotar i wystawili 531 fałszywych certyfikatów - w tym także dla *.google.com

* W tym momencie większość przeglądarek zablokowała certyfikat główny Diginotar (root), co w praktyce powoduje, że firma przestała być publicznym centrum certyfikacji

* Wszystkie serwery były członkami tej samej domeny AD, dzięki czemu złamanie hasła administratora dało włamywaczom dostęp do nich wszystkich

* Hasło administratora było "niezbyt mocne" i łatwe do złamania przy pomocy klasycznych narzędzi (w raporcie wspomniane Cain & Abel)

* "The software installed on the public web servers was outdated and not patched"

* "No antivirus protection was present on the investigated servers"

* "An intrusion prevention system is operational. It is not clear at the moment why it didn.t block some of the outside web server attacks. No secure central network logging is in place"

Panie i panowie administratorzy, czas na rachunek sumienia zwany mądrze gap analysis. Czyli które z tych rzeczy, które nawaliły w Diginotar dzieją się także u nas?