donderdag 8 december 2011

Weer certificatenleverancier overheid gehackt


De website van KPN-dochter Gemnet, leverancier van PKI Overheidscertificaten, blijkt te zijn gehacked. Een beheerpagina gaf toegang tot documenten en database. Het lek wordt gedicht.

De leverancier van overheidsbeveiligingscertificaten heeft woensdagavond, na melding door Webwereld, de website van Gemnet uit de lucht gehaald. Het bedrijf dicht het lek en is een actie gestart om alle bedrijfswebsites te screenen op fouten.

Meerdere fouten

Die stappen zijn gezet omdat bleek dat bij Gemnet informatie werd gelekt. Dat was mogelijk, doordat de database op de server werd beheerd via PHP MyAdmin. Het was via deze webtoegang tot de database mogelijk om zonder wachtwoord binnen te komen. Vervolgens bleek het via de database mogelijk om bestanden op de server aan te maken, waaronder uitvoerbare scripts.

Zo kon de aanvaller niet alleen informatie uit de database halen of toevoegen, maar was het mogelijk om voor een deel de besturing over de computer over te nemen. Op die manier kwamen alle documenten op de webserver beschikbaar. Ook was het beheerderswachtwoord te achterhalen, omdat dit niet heel erg sterk gekozen was (braTica4).

Niet openbare informatie

Tussen de documenten bleken stukken te staan die niet op de webserver thuis horen. Zo stonden er documenten met informatie over de technische inrichting van het vertrouwde netwerk tussen KPN en overheden of bedrijven. Het gaat daarbij onder andere over diverse diensten van het Ministerie van Veiligheid en Justitie, ICT onderdelen van het Ministerie van Binnenlandse Zaken, UWV, politie, Centric, Govunited, Bank Nederlandse Gemeenten en de Belastingdienst.

Ook wordt uit de stukken duidelijk dat voor bijvoorbeeld het toetsen van BKR-status weliswaar via een VPN wordt gewerkt, maar vanuit de overheidsorganisaties vervolgens vanaf werkplekken met onversleutelde verbindingen. Dat gebeurt niet alleen via de webbrowser, maar ook om met beheerderstools als telnet toegang te testen tot een firewall.

Het moet beter

KPN spreekt in een reactie van een 'mogelijke hack', omdat het bedrijf de zaak zelf nog niet helemaal heeft onderzocht. Toch erkent het bedrijf de gang van zaken.

"KPN is door internetjournalist Brenno de Winter woensdagmiddag 7 december attent gemaakt op de mogelijk hack op de website van Gemnet", schrijft het bedrijf. "Omdat KPN en Gemnet de veiligheid van zijn systemen van het allergrootste belang vindt, neemt KPN dit signaal heel serieus. Het toont aan dat op onderdelen de werkwijze verbeterd moet worden."

Webwereld werd getipt door een hacker. Voor hem is het belangrijk dat er snel wordt gehandeld, omdat hij 'een herhaling van Diginotar' wil voorkomen. Ook heeft hij aanwijzingen gevonden dat hij niet de eerste persoon is geweest die toegang heeft verkregen tot de systemen.

Meer beveiligingsperikelen

Het is niet de eerste keer dat er problemen spelen met een leverancier van PKI Overheidscertificaten. KPN meldde zelf op 4 november dat dochter Getronics jaren eerder was gehackt. Na tijdelijk met de uitgifte van certificaten te zijn gestopt, kon na onderzoek van KPMG weer worden verder gewerkt.

In reactie op het nieuws meldt GroenLinks zich. "Ik wil een reactie van het kabinet", zegt Arjan El Fassed. "Ik maak mij ernstig zorgen dat er problemen lijken te zijn bij een certificaat. Het zou heel ernstig zijn als opnieuw blijkt dat er problemen zijn bij een certificaatverstrekker."

Bron: webwereld

Geen opmerkingen:

Een reactie posten