» »

Še en nizozemski CA napaden

Še en nizozemski CA napaden

SecurityWeek - Po septembrskem fiasku nizozemskega centralnega overitelja certifikatov (CA) DigiNotar, ki so ga napadli hekerji in izkoristili za izdajo lažnih certifikatov, zaradi česar je bil po odkritju izločen z vseh seznamov zaupanja vrednih CA-jev, kar je podjetje prignalo v stečaj, ima težave še en nizozemski CA. To pot so hekerji napadli Gemnet, a naj bi bila škoda omejena javni del strani in nekaj javno nedostopnih podatkovnih baz, ki pa niso imele povezave z oddelkom za izdajo certifikatov.

Kot lahko preberemo v nizozemskih časnikih, so napadalci zlorabili pomanjkljive nastavitve nameščenega PHPMyAdmina na strežnikih, ki je omogočal dostop brez vnosa gesla. Tudi izbrano administratorsko geslo je bilo tako enostavno (braTica4), da so ga hekerji zlomili in pridobili administratorski dostop do strežnika. Odtujeni so bili vsi javno dostopni podatki in tudi nekaj podatkov, ki ne bi smeli biti javni. Mednje sodijo načrti o tehničnem dizajnu omrežja med KPN (lastnik Gemneta) in nizozemskimi vladnimi službami oziroma ministrstvi. Med drugim je iz teh vidno, da so ministrstva, davčni urad in druge službe komunicirali prek VPN-jev, ki povezave niso šifrirali. Uradna spletna stran Gemneta je zaradi preiskave in odpravljanja škode nedostopna.

KPN je v uradni izjavi zatrdil, da vdor ni prizadel dela podjetja, ki izdaja certifikate, zato ni nobene nevarnosti za uporabnike. Gemnet namreč izdaja tudi certifikate za vladne službe. Več bo znanega po koncu uradne preiskave.

11 komentarjev

digitalcek ::

Tele novice pa so postale že čisto podobne "kriminalnim" stranem v slovenskih časopisih.
Zabodel soseda, oropal poštarja, vdrl v skladišče, napadel nič hudega slutečega mimoidočega.

Mogoče gledamo na spletni kriminal preveč na izi, nekateri "napadalci" zagotovo uživajo pri nekaterih bralcih celo simpatije.

Žalostno, bedno. Kriminal povsod (kjer se da kaj ukrasti). Če ne krademo drugim avtorska dela, pa jim malce nagajamo, tako ali drugače. Samo, da dogaja...

Mipe ::

Si pa res depresivno naravnan, da samo take vesti bereš.

digitalcek ::

Ne berem samo take. Samo take mi predlagajo za brat.. Pogosto...

matjazp ::

"Med drugim je iz teh vidno, da so ministrstva, davčni urad in druge službe komunicirali prek VPN-jev, ki povezave niso šifrirali."

Hm, ja na kakšen način so pa vzpostavljali VPN povezavo? VPN je običajno kriptiran z 3DES ali AES enkripcijo, če tega nimaš, nima nobenega smisla, da imaš VPN...

Torej, kaj niso šifrirali? VPN povezave ali dodatno samih podatkov znotraj VPN tunela?

kronik ::

VPN je najlažje skonfigurirat brez enkripcije. Morda večina sploh ne uporablja enkripcije.

amigo_no1 ::

VPN-ji brez enkripcije v državnih službah ? A so jim osnovnošolci to montirali ? LOL

poweroff ::

Kakšno budalo moraš biti, da VPN konfiguriraš brez šifrianja?
sudo poweroff

ingo ::

digitalcek je izjavil:

Tele novice pa so postale že čisto podobne "kriminalnim" stranem v slovenskih časopisih.
Zabodel soseda, oropal poštarja, vdrl v skladišče, napadel nič hudega slutečega mimoidočega.

Mogoče gledamo na spletni kriminal preveč na izi, nekateri "napadalci" zagotovo uživajo pri nekaterih bralcih celo simpatije.

Žalostno, bedno. Kriminal povsod (kjer se da kaj ukrasti). Če ne krademo drugim avtorska dela, pa jim malce nagajamo, tako ali drugače. Samo, da dogaja...


Kaksen populizem!!!!! Enaciti mularijo, ki si iz neta vlece mp3-je in filme z organiziranim kriminalom, ki nacrtno vdira na spletna mesta z namenom financnega okoriscanja - krajo materialnega denarja!!!!
Kot da bi enacil fotgrafiranje tujega avtomobila z krajo le tega!!!!

metalc ::

@matjazp: VPN ni nek konkreten izdelek (ali si morda kakšnega imel v mislih?), pač pa neka generična zamisel, da več lokalnih mrež med seboj povežeš kar prek javnega interneta (ceneje od najetih linij, vendar ti ISP ne more jamčiti 24/7 povezljivosti in zagotovljene end to end pasovne širine), pri čemer že po naslovnem prostoru dobiš občutek, kot da bi vse mašine bile na isti mreži (od tu "navidezno") in da ne more kar vsak zunanji dostopati do vseh tako omreženih mašin ("zasebno"). Obstaja nebroj implementacij, ki to izvedejo na različnih nivojih omrežne družine protokolov, od npr. odprtostandardnih OpenVPN, IPSec, SSH... do raznih proprietary rešitev (npr. PPtP od MS...). Ta definicija VPN sama po sebi ne zapoveduje enkripcije in pri omenjenih rešitvah imaš možnost, da sam izbereš šifrirne algoritme (nikakor ne samo AES in 3DES, poleg tega je nujno imeti še ostale družine enkripcije za HMAC, obojestransko avtentikacijo, izmenjavo ključev...), celo izklopiš jih lahko, je pa vsekakor res, da moraš za slednje biti prvorazredno budalo.

antonija ::

Žalostno, bedno. Kriminal povsod (kjer se da kaj ukrasti).
Ja, avtorji prekleti, samo kradejo, delali pa nebi! You said it digitalcek!
Statistically 3 out of 4 involved usually enjoy gang-bang experience.

enadvatri ::

digitalcek je izjavil:

Tele novice pa so postale že čisto podobne "kriminalnim" stranem v slovenskih časopisih.
Zabodel soseda, oropal poštarja, vdrl v skladišče, napadel nič hudega slutečega mimoidočega.

Mogoče gledamo na spletni kriminal preveč na izi, nekateri "napadalci" zagotovo uživajo pri nekaterih bralcih celo simpatije.

Žalostno, bedno. Kriminal povsod (kjer se da kaj ukrasti). Če ne krademo drugim avtorska dela, pa jim malce nagajamo, tako ali drugače. Samo, da dogaja...


Novodobna črna kronika.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Država: Kakšna zasebnost in varnost na internetih, samo plačajte že davke!!! (strani: 1 2 3 4 5 )

Oddelek: Novice / NWO
20185284 (59479) MrStein
»

Juniper odkril podtaknjena stranska vrata v svojih napravah (strani: 1 2 )

Oddelek: Novice / NWO
6729910 (25454) AC_DC
»

Znane podrobnosti v vdoru v DigiNotar

Oddelek: Novice / Varnost
95848 (5275) krho
»

Digitalna potrdila od NLB, itd...

Oddelek: Loža
122388 (2011) Apple

Več podobnih tem