Chester Wisniewski, a Sophos Canada vezető biztonsági tanácsadója, a Sophos NakedSecurity blogból
A webwereld nevű holland hírportál jelentése szerint egy újabb holland biztonsági céget, a Gemnetet hackelték meg, habár nem tűnik úgy, hogy ez érintette a tanúsítvány kibocsátási folyamatot.
A Gemnet biztonsági tanácsadást és hitelesítési technológiákat biztosít majdnem az összes holland kormányzati szervnek, köztük a Biztonsági és Igazságügyi Minisztériumnak, a Holland Önkormányzatok Bankjának és a rendőrségnek.
Úgy tűnik, hogy a hackelés akkor indult, amikot valaki felfedezett egy jelszó nélküli, bárki számára elérhető phpMyAdmin felületet. A phpMyAdmin egy az SQL adatbázisok menedzseléséhez szükséges webes felület, amelynek nem lenne szabad az internet felé nyitottnak lennie, akár kell hozzá jelszó, akár nem.
Az adatbázisok manipulálásával a támadó állítólag irányítást szerzett a rendszer és a benne található összes dokumentum felett. Az anyacég KPN szerint csak olyan dokumentumok tárolódtak a szerveren, amelyek amúgy is elérhetőek voltak bárki számára.
A webwereld szerint a hacker saját bevallása alapján hozzáfért nem-publikus dokumentumokhoz is, amely felvázolja a KPN, a kormányzati szervek és az ügyfelek közötti biztonságos kommunikációs hálózatokat és eljárásokat.
A Gemnet CSP, amely a KPN tanúsítványkiadó részlege, szintén felfüggesztette a weboldali hozzáférést. Míg a KPN szerint a Gemnet CSP-t nem érte támadás, úgy tűnik, hogy megelőző intézkedéseket tesznek az eset kivizsgálása közben is.
A jelentések szerint a támadó képes volt megszerezni a szerver adminisztratív feladataihoz szükséges jelszót (braTica4) is. Emiatt függeszthette fel a KPN a Gemnet CSP tanúsítvány aláírói műveleteit, amíg a nyomozás tart.
A holland tanúsítványkiszolgáló elleni támadáshoz hasonlóan a DigiNotar esetében is a támadó azt állította, hogy még a hozzáférés megszerzése előtt korábbi hackelésre utaló jeleket talált.
A mai napig bezárólag úgy tűnik, hogy 2011 az adatsértések éve lesz. A szervezetek jól láthatóan sem tanultak a más, saját szektorukban található cégeket érintő hírekből és esetekből, eklatáns példák: RSA, Sony, DigiNotar és a többiek.
Ha a támadó által a webwerelddel megosztott információk igazak, akkor még a legalapvetőbb behatolási tesztek is felfedezték volna a legfőbb problémákat azok bevezetésekor.
Kritikus fontosságú, hogy a publikus internet szolgáltatásokkal rendelkező szervezetek rendszeresen auditálják az elérhető szolgáltatásaikat, rendszeresen változtassák a kritikus rendszerekhez szükséges jelszavaikat és megadott időközönként folyamatosan teszteljék webes alkalmazásaikat az SQL és egyéb sérülékenységek után.
További információ angol nyelven