Ook Mozilla doelwit van DigiNotar-hackers
De aanvallers die bij het Nederlandse DigiNotar wisten in te breken, hadden het naast Google en het Tor Project, ook op Mozilla voorzien, zo heeft de open source-ontwikkelaar laten weten. "DigiNotar waarschuwde ons in juli dat ze frauduleuze certificaten voor addons.mozilla.org hadden uitgegeven en ze binnen een aantal dagen na het uitgeven hadden ingetrokken", aldus een verklaring van Mozilla topman Johnathan Nightingale.
Via de certificaten zou een aanvaller een nepsite kunnen opzetten, zonder dat bezoekers in dit geval gewaarschuwd werden, of het verkeer van bezoekers afluisteren. "Wegens het uitblijven van een volledig overzicht van de ten onrechte uitgegeven certificaten door DigiNotar, besloot het Mozilla team om DigiNotar uit ons rootprogramma te verwijderen en onze gebruikers te beschermen", gaat Nightingale verder.
Aanval
DigiNotar liet eerder weten dat het de aanval op 19 juli ontdekte, maar de aanval begon volgens Chester Wisniewski van anti-virusbedrijf Sophos op 10 juli. Ook heeft hij geen hoge pet op van de audit die het Nederlandse bedrijf na de aanval liet uitvoeren. "Het missen van het uitgegeven certificaat voor Google roept vragen op over de kwaliteit en diepgang van de uitgevoerde audit."
Wisniewski stelt verder dat het bedrijf het vertrouwen van de internetgemeenschap heeft geschonden. "Dat DigiNotar een incident zo lang geheim heeft kunnen houden, demonstreert dat ons vertrouwen in certificate authorities misplaatst is." Certificate authorities geven onder andere SSL-certificaten uit waarmee browsers de identiteit van een website bepalen en het verkeer van bezoekers versleutelen.
Inmiddels is ook bekend geworden dat Mac OS X door een programmeerfout problemen heeft om de frauduleuze certificaten in te trekken.
Een aanvaller die de certificaten heeft kan zich voordoen als *.torproject.org.
Maar de DNS server die verantwoordelijk is voor het torproject.org domein verwijst mij toch altijd nog naar het juiste IP adres? Ja, er is dus een man-in-the-middle aanval nodig, maar dat moet toch op een heel hoog niveau gebeuren om zoveel mogelijk gebruikers af te kunnen luisteren? Hebben de aanvallers Internet routers weten te hacken? Anders is de impact toch erg klein en het risico ook?
Door welk bedrijf is deze audit uitgevoerd dan? Volgens de verklaring van Diginotar heeft Fox-it deze audit uitgevoerd, aangezien zij nogmaals gevraagd zijn.
Zie voor de verklaring: http://diginotar.nl/Actueel/tabid/264/articleType/ArticleView/articleId/327/Default.aspx
>> This server is vulnerable to MITM attacks because it supports renegotiation.
Daarna is Fox-IT gevraagd een (echte? ;) ) audit uit te voeren.
Dit geeft verrassende resultaten, zo massaal zijn er op 19 juli geen falsificaten ontdekt. Ik zie slechts 2 revoked op 19 juli 2011 en 1 op 20 juli 2011.
Erger nog: er zit een fout in het 'Public CA 2025' certificaat! Deze verwijst namelijk naar de eerste CRL 'Root CA' en naar de laatst genoemde 'Public 2025'. Ernstige implementatiefout!!!
Het waren mensen in Iran die tijdens het browsen constateerden dat er iets niet in de haak was. De Iraanse overheid wordt er daarom van verdacht achter de aanval te zitten. Die hebben inderdaad toegang tot de internetinfrastructuur in hun land. Naast valse google- en mozillacertificaten zijn ook certificaten voor TOR vervalst, wat prima in het straatje past van een repressieve staat die met lastige dissidenten af te rekenen heeft.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
