Nieuws
image

Zwakke SSL-certificaten webwinkels gevaar voor consument

maandag 30 juni 2008, 14:12 door Redactie, 7 reacties

SSL-certificaten die tussen september 2006 en 13 mei 2008 op Debian-gebaseerde systemen (Ubuntu, Kubuntu, etc.) zijn gegenereerd, zijn zoals al langer bekend eenvoudig te kraken. Toch zijn er nog voldoende webwinkels die de kwetsbare certificaten gebruiken en daarmee hun bezoekers in gevaar brengen. Het Duitse Heise onderzocht duizenden server-certificaten en ontdekte dat één op de dertig een zwakke sleutel gebruikt. "Een alarmerend hoog aantal," aldus de onderzoekers. Het ging namelijk ook om certificaten van webwinkels waar mensen hun creditcardgegevens invoeren.

Browsers accepteren alleen certificaten die door een erkende Certification Authority (CA) zijn uitgegeven. Die zeggen dat ze certificaten met zwakke sleutels zullen intrekken en vervangen, maar dat blijkt dus niet het geval.

Het intrekken van een certificaat is echter niet voldoende. Veel browsers blijken standaard de server certificaten niet te controleren alsmede de Certification Revocation Lists (CRL) die ingetrokken certificaten identificeert. Idealiter zouden browsers via het Online Certificate Status Protocol (OCSP) geblokkeerde certificaten controleren. Firefox ondersteunt dit echter alleen in versie 3 en Internet Explorer 7 doet dit alleen op Windows Vista.

Het probleem wordt vergroot doordat sommige CA's OCSP niet ondersteunen. Slechts 30% van de door Heise gecontroleerde certificaten bevat OCSP URI's. Het is volgens de onderzoekers daarom aan de gebruikers dat ze de instellingen van hun browser goed zetten, anders kan een aanvaller ingetrokken certificaten nog steeds gebruiken voordat ze verlopen. Voor eigenaren van een certificaat hebben ze een tool beschikbaar gesteld die de sterkte van de sleutels controleert.

Reacties (7)
30-06-2008, 15:32 door Anoniem
Test SSL certificates

Test here whether your site's https key is insecure because
of an error in OpenSSL.

Host:
Port:

Other port:

The SSL key of http://www.abnbank.nl with the SHA1 fingerprint
B4 65 AD 57 78 BE 1D F2 53 D3 1B 36 74 A2 2A 73 BA A5 70 B1
is vulnerable. You should act as quickly as possible. Revoke
your certificate and get a new one, ensuring that you use a
new private key.

Please note the following concerning this result:

* As far as we can tell at present, all the keys on our
lists are genuinely weak keys, and therefore the test cannot
produce any false alarms.
* The list of vulnerable keys covers all common
platforms and configurations (32-/64-bit and
big-/little-endian systems; supported key lengths are 512,
1024, 2048 and 4096 bits).
* If you call up the page in your browser, an attacker
could divert the query and force a weak key on you. So
please use the SHA1 fingerprint to check that your browser
is actually using the key you tested here.


Testje gedaan voor de abnbank *vulnerable* !!!
30-06-2008, 15:32 door Bitwiper
Niet alleen webwinkels. Op [url=http://www.security.nl/article/18953/1/Microsoft_luidt_noodklok_over_SQL-injectie_aanvallen.html]deze Security.nl page[/url] wordt verwezen naar een blog over een tool genaamd [url=http://www.communities.hp.com/securitysoftware/blogs/spilabs/archive/2008/06/23/finding-sql-injection-with-scrawlr.aspx]HP Scrawlr[/url] waarmee SQL injections te testen zijn (de gratis variant ervan krijgt overigens niet veel lof van gebruikers).

Deze tool is gemaakt door SPI Dynamics, een recentelijk door HP overgenomen bedrijf ( www.spidynamics.com redirect naar een page bij HP.com met 'Application Security' als titel en kop).

Download van genoemde tool vindt plaats vanaf [url=https://download.spidynamics.com/products/scrawlr]https://download.spidynamics.com/products/scrawlr[/url], waarvan de Duitse Heise in [url=http://www.heise.de/security/Microsoft-warnt-vor-Angriffen-per-SQL-Injection--/news/meldung/109937]dit artikel[/url] aangeeft dat die site een kwetsbaar certificaat gebruikt.

In [url=http://www.heise.de/security/Schwache-Schluessel-auch-auf-Fritz-Boxen--/news/meldung/110052] deze Duitstalige Heise page[/url] staat dat sommige Frizt!Box routers van buggy certificaten zijn voorzien.
30-06-2008, 16:22 door Anoniem
kom genoeg instellingen tegen waar geen revocationlist wordt
gebruikt. die is gewoon standaard leeg.
30-06-2008, 16:43 door Anoniem
abnbank.nl heeft ook geen certificaat van abnbank.nl, maar van
redirect.comlaude.com. De bank heet ook al lang geen ABN Bank meer
geloof ik... Dus of dat testje wel zoveel zegt....
30-06-2008, 21:20 door Bitwiper
Door Anoniem
The SSL key of http://www.abnbank.nl with the SHA1 fingerprint
B4 65 AD 57 78 BE 1D F2 53 D3 1B 36 74 A2 2A 73 BA A5 70 B1 is vulnerable.
...
Testje gedaan voor de abnbank *vulnerable* !!!
Klopt, en ik praat het niet goed, maar www.abnbank.nl is niet hetzelfde als www.abnamro.nl en bovendien krijg ik meteen de melding dat de URL in m'n browser niet overeenkomt met het certificaat van redirect.comlaude.com.

Op www.comlaude.com valt te lezen:
Introducing Com Laude

We register, maintain and renew domain names around the world for leading corporations and the law firms that work with them.
Het brakke certificaat is dus niet van ABN Amro maar van redirect.comlaude.com - en inderdaad, redirect.comlaude.com ingevuld op [url=http://www.heise-online.co.uk/networks/tools]http://www.heise-online.co.uk/networks/tools[/url] geeft:
The SSL key of redirect.comlaude.com with the SHA1 fingerprint B4 65 AD 57 78 BE 1D F2 53 D3 1B 36 74 A2 2A 73 BA A5 70 B1 is [color=red]vulnerable[/color].

Als ik het certificaat accepteer word ik doorgestuurd naar http://www.asset.abnamro.com/portal/index.jsp, dus poort 80, waarna er een https verbinding met diezelfde site wordt opgezet, om me uiteindelijk door te sturen naar http://www.asset.abnamro.com:44380/nova/home/default.html welke geen antwoord geeft.

Overigens, www.asset.abnamro.com opgezocht op Heise geeft:
The key of www.asset.abnamro.com with the SHA1 fingerprint B7 DC DF 7C F2 DF C0 AC 0D F4 F2 0E 5D 41 1D 04 7E AB FB 48 is not in our list of weak keys.

(edit 22:03 enkele url's waren corrupt)
01-07-2008, 00:33 door Bitwiper
Overigens vind ik al die gekraakte websites een groter probleem dan wat brakke certificaten. Onderaan [url=http://www.security.nl/article/18953]deze page[/url] heb ik nog enkele gekraakte sites toegevoegd (Intratuin, Iglo, Kluwermanagement en de AHM Hotelgroep).
14-06-2010, 11:30 door Anoniem
Ik begrijp dit alles niet en weet ook niet hoe ik moet handelen als het verkeerd zit. Gisteren kreeg ik met een mail van de staatsloterij een melding mee dat een certificaat[?] was verlopen. Aan de termijn te oordelen was dat allang zo. Vervolgens kon ik niet meer naar mijn andere berichten in Postvak In. Daarna heb ik geprobeerd om het certificaat te vernieuwen waarbij redirect.comlaude.com gemeld werd. Ik ben bang dat er daardoor nu iets in mijn computer staat dat schadelijk is. Ik heb ook nog een "eigen" certificaat aangemaakt genaamd Console1 maar begrijp er eigenlijkm niets van. Voor zover mogelijk wil ik dit alles weer verwijderen maar krijg het niet voor elkaar. Weet iemand een oplossing?
Overigens heb ik na "systeemherstel" wel weer toegang tot mijn postvak gekregen en heb de gewraakte email van de staatloterij kunnen verwijderen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure