Saken om sertifikatskandalen ved nederlandske DigiNotar ruller videre. En person som kaller seg for Comodohacker, og som skal ha stått bak et lignende angrep mot en partner av sertifikatutstederen Comodo i mars, påtar seg ansvaret for angrepet mot DigiNotar i en melding gjengitt på Pastebin. Også i dette tilfellet ble det utstedt falske sertifikater til tjenester fra Skype, Google, Microsoft, Yahoo og Mozilla. Også i dette tilfellet gikk det spor i retning av Iran.
Comodohacker skriver blant annet at angrepet på DigiNotar er en hevn på Srebrenica-massakren hvor mer enn 8000 muslimer ble drept i 1995. Hackeren mener Nederlandske myndigheter har en del av ansvaret for denne massakren.
Hackeren skal også ha tilgang til ytterligere fire høyprofilerte sertifikatutstedere (CA - certificate authority) som han ikke vil navngi. Fra disse skal vedkommende kunne utstede nye, falske sertifikater.
Han skriver også at han sto bak et innbrudd hos sertifikatutstedere StartSSL i juni i år.
Comodohacker kommer med noen detaljer om hvordan innbruddet hos DigiNotar har foregått, men vil først senere komme med mer detaljerte opplysninger. Han truer samtidig med nye sertifikatforfalskninger i tiden som kommer.
Ifølge The H Security har Nederlandske myndigheter denne uken kommet med en foreløpig, engelskspråklig rapport om angrepet mot DigiNotar. Den er utarbeidet av sikkerhetsselskapet Fox-IT.
I rapporten går det fram at Fox-IT mistenker at det kan dreie seg om samme hacker eller hackergruppe som sto bak Comodo-innbruddet. Dette begrunnes med at signaturer, som med hensikt har blitt inkludert i visse skript, er de samme som ble funnet i forbindelse med etterforskningen av Commodo-angrepet.
Fox-IT mener at hackerne har vært aktive over en lengre periode.
– De brukte både kjente hackerverktøy og programvare og skript som er spesielt utviklet for denne oppgaven. Noen av programvaren gir et amatøraktiv inntrykk, mens noe skripts er veldig avanserte, heter det i den foreløpige rapporten.
Fox-IT skriver videre at det vellykkede hacket impliserer at dagens nettverksoppsette og prosedyrer hos DigiNotar ikke er tilstrekkelig sikre til å forhindre et slikt angrep.
– De mest kritiske serverne har ondsinnet programvare som normalt vil oppdages av antivirusprogramvare. Atskillelsen av kritiske komponenter fungerte ikke eller var ikke til stede. Det er sterke indikasjoner på at CA-serverne var tilgjengelige over nettverket fra administrasjons-LAN-et, skriver Fox-IT.
Derimot skal den fysiske sikkerheten til CA-serverne være svært god, der de er plassert i stormsikre omgivelser.
– Alle CA-serverne var medlemmer av det samme samme Windows-domenet, noe som gjorde det mulig å få tilgang til dem ved å bruke en ervervet brukernavn/passord-kombinasjon. Passordet var ikke spesielt sterkt og kunne enkelt finnes med «brute force». Programvaren som var installert på de offentlige webserverne var utdatert og ikke patchet. Det var ingen antivirusbeskyttelse til stede på serverne som har blitt gransket, heter det i rapporten.
Derimot skal et inntrengingsvern ha vært i drift. Ifølge Fox-IT er det foreløpig ikke klart hvorfor dette ikke blokkerte enkelte av de eksterne webserverangrepene. En sikker, sentral form for nettverkslogging fantes heller ikke.
Angrepet mot DigiNotar kalles nå av enkelte på «Operation Black Tulip».