De beveiligingsexperts van Fox-IT hebben een eindrapport van zo’n honderd pagina’s gepubliceerd dat bijna leest als een detective. Het gaat over de resultaten van het onderzoek naar de inbraak bij de Nederlandse certificeringsinstelling DigiNotar. Het lukte een geraffineerde hacker afgelopen jaar om via internet binnen te dringen in de infrastructuur van DigiNotar en allerlei SSL-certificaten aan te maken voor domeinen van naam, zoals google.com, microsoft.com en skype.com.
Dat de hacker dit niet alleen voor de lol deed, werd duidelijk toen een door hem gegenereerd Google-certificaat uitgebreid misbruikt werd om Iraanse internetgebruikers te bespioneren. In het bericht lees je onder andere dat de aanvaller zijn hackingtools in de publiek toegankelijke map http://www.diginotar.nl/beurs op de DigiNotar-webserver opsloeg en die vanaf verschillende systemen in het netwerk van de certificeringsinstelling benaderde.
Het lukte de dader om alle acht de CA-servers in zijn macht te krijgen, hoewel deze niet via internet toegankelijk zijn. Daarvoor wurmde hij zich stap voor stap door verschillende netwerksegmenten. Fox-IT gaat ervan uit dat het dezelfde hacker betreft die eerder bij een Comodo-reseller wist in te breken. Aanwijzing daarvoor is onder andere een op de server achtergelaten tekst waarin de hacker zijn actie opeist.
De aanvaller heeft wel proxy’s gebruikt om zijn identiteit te verhullen, maar volgens het rapport heeft hij ook een keer per ongeluk zonder proxy verbinding gemaakt met het DigiNotar-netwerk. Veel wijst erop dat hij uit Iran komt. Fox-IT heeft de IP-adressen die vermoedelijk direct naar de aanvaller leiden uit het rapport gehaald om lopende onderzoeken niet in gevaar te brengen. De indringer is namelijk nog steeds op vrije voeten. Voor DigiNotar leverde het voorval wel consequenties op, het bedrijf werd vlak na de nachtmerrie namelijk failliet verklaard.
Minister Spies heeft het rapport naar de Tweede Kamer gestuurd, maar liet in een begeleidende brief weten dat er geen nieuwe inzichten of conclusies in staan ten opzichte van het interimrapport van begin september.
