Nieuws
image

247 certificaten bij DigiNotar-hack aangemaakt

woensdag 31 augustus 2011, 09:23 door Redactie, 8 reacties

De aanvallers die bij het Nederlandse DigiNotar wisten in te breken, hebben maar liefst 247 frauduleuze certificaten aangemaakt. Dat blijkt uit een analyse van de nieuwe Chrome versie, waar 247 door het bedrijf uitgegeven SSL-certificaten zijn verwijderd. Dat ontdekte Mikko Hypponen van het Finse anti-virusbedrijf F-Secure. DigiNotar liet eerder al weten dat er ondanks een externe audit tenminste één SSL-certificaat, die voor *.google.com, toch niet was ingetrokken. De aanval op het bedrijf werd op 19 juli ontdekt. Vervolgens dacht DigiNotar alle certificaten te hebben ingetrokken, wat toch niet zo bleek te zijn. Het bedrijf sluit dan ook niet uit dat er meer frauduleuze SSL-certificaten tegen internetgebruikers zijn ingezet.

Hiermee is het mogelijk voor een aanvaller om het versleutelde verkeer naar een HTTPS-website te onderscheppen, zonder dat de meeste browsers hier alarm voor slaan. In het geval van het aftappen van Gmail doet Google Chrome dit wel, omdat de browser in het geval van Gmail ook naar de uitgevende instantie kijkt. Slechts een aantal certificate authorities mogen voor Google domeinen certificaten uitgeven en DigiNotar behoort daar niet toe. Vandaar dat Iraanse Gmail-gebruikers een waarschuwing te zien kregen.

DigiNotar heeft inmiddels een extern beveiligingsbedrijf gevraagd om nogmaals haar systemen te onderzoeken om zo voor de toekomst alle risico’s zoveel als maar mogelijk uit te sluiten. De conclusies van dit onderzoek zal het bedrijf naar eigen zeggen zo spoedig mogelijk openbaar maken.

Reacties (8)
31-08-2011, 10:53 door Bitwiper
Sorry maar dit zegt helemaal niets. Ik zie geen reden waarom Google zou weten welke valse certificaten er allemaal zijn aangemaakt, anders dan dat ze zich baseren op informatie van DigiNotar.

Het zou mij niet verbazen als Google zich baseert op de CRL van DigiNotar, en daar mogelijk alle sinds begin juli uitgegeven certificaten uit heeft gevist. Bijv. in http://pastebin.com/KN0ZCQdR is te vinden welke certificaten DigiNotar sinds 19 juli heeft ingetrokken.

Dat zegt echter niks, want DigiNotar weet kennelijk niet precies hoeveel (en vooral welke) certificaten illegaal zijn aangemaakt. En zolang een of meer van die illegale certificaten nog nooit zijn ingezet en als zodanig herkend blijft het koffiedik kijken, en is de enige remedie het niet vertrouwen van welk door DigiNotar ondertekend certificaat dan ook.
31-08-2011, 11:21 door Anoniem
Hoe zit het eigenlijk met het verstrekken van certificaten door Google aan opsporings- of inlichtingendiensten in Nederland of in de Verenigde Staten ? Kunnen diensten hier een MiTM attack uitvoeren met behulp van een Google certificaat ?
31-08-2011, 11:29 door Anoniem
Zojuist een update van FF gekregen:

What’s New in Firefox 3.6.21

Firefox 3.6.21 fixes the following issues found in previous versions of Firefox 3.6:

* Revoked the root certificate for DigiNotar due to fraudulent SSL certificate issuance (see bug 682927 and the security advisory)
31-08-2011, 11:32 door Anoniem
Het is verontrustend dat een organisatie (die deels de naam notaris claimt) niet kan nagaan, wanneer, wat is aangemaakt. Het zegt in elk geval voldoende over de betrouwbaarheidheid van hun PKI. Wel humor is dat het moederbedrijf (Vasco) op hun website met het Google logo pronkt.
31-08-2011, 12:56 door WhizzMan
Er is niet eens bekend of er alleen frauduleuze certificaten door het bedrijf uitgedeeld zijn, of dat de private keys van DigiNotar gestolen zijn. In dat geval kan de hacker zelf zo veel certificaten aanmaken als hij zelf wil, zonder dat DigiNotar daar enige controle of inzicht over heeft.

De enige echte oplossing hier is toch helaas om preventief alle certificaten ooit door DigiNotar uitgegeven ongeldig te verklaren, inclusief hun eigen Cert-Auth certificaten. Als dat later te veel blijkt, is dat misschien "zonde", maar de enige manier om de keten van vertrouwen nog enige waarde te laten houden, is alles wat je niet 100% zeker weten vertrouwt, impliciet te wantrouwen. Wat nu gedaan wordt door DigiNotar zelf, is een halve maatregel.

De opmerking dat de certificaten van de Nederlandse overheid veilig zouden zijn, omdat ze door een ander systeem gegenereerd zijn, vind ik ook prematuur. Er is nog niet bekend hoe ver hackers zijn doorgedrongen tot de systemen en of het andere systeem gecompromitteerd is. Ik zou, als ik bij de overheid verantwoordlijk was voor de certificaten, onmiddelijk bij een andere auth voor alles nieuwe aanvragen en de huidige certificaten revoken en verwijderen.
31-08-2011, 13:32 door martijno
...of dat de private keys van DigiNotar gestolen zijn. In dat geval kan de hacker zelf zo veel certificaten aanmaken als hij zelf wil, zonder dat DigiNotar daar enige controle of inzicht over heeft.
Ik hoop dat we er toch wel vanuit mogen gaan dat die onderteken-privésleutel veilig in een HSM zat. (Ben benieuwd naar rapport van Fox-IT!)
31-08-2011, 15:53 door Anoniem
en nu ook Microsoft ...
http://www.microsoft.com/technet/security/advisory/2607712.mspx

Microsoft Security Advisory (2607712)
Fraudulent Digital Certificates Could Allow Spoofing

... As a precautionary measure, Microsoft has removed the DigiNotar root certificate from the Microsoft Certificate Trust List.
31-08-2011, 22:48 door Anoniem
Hmmm 247 frauduleuze certificaten of moet ik 24x7 frauduleuze certificaten lezen? ; )
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure