Hallo Bitwiper, een CA wordt gehacked en er wordt Google Internet verkeer verlegd. Rara, wie zou daar belang bij hebben?

Het is een misvatting te denken dat landen uitsluitend "eigen" hackers in dienst hebben. Dat wil men doorgaans helemaal niet. Hoe verder van de overheid, hoe beter het te ontkennen valt. Totdat je natuurlijk verkeer gaat onderscheppen, dan is ontkennen geen optie meer.

Ik zal dan wel weer een complot theorie fanaat zijn maar wie zegt dat andere landen Iran niet in een negatief daglicht willen zetten. Als Iran dan zulke kwaadwillende ideeën heeft op het gebied van ICT waarom pakken ze dan een certificeerder uit Nederland. Je weet toch dat deze bedrijven gecontroleerd worden? Mogelijk is dit een opgezette faal van USA of Israël?

Mensen geloven alles tegenwoordig =) Ik ben zo achterdochtig als het maar kan(Ook niet altijd goed ik weet het)

Ik heb eerlijk gezegd ook nog geen enkel bewijs van betrokkenheid van de Iraanse overheid gezien. Het is verkeerd wat er allemaal is gebeurd binnen DigiNotar en ik begrijp ook dat er vermoedens zijn van betrokkenheid van een overheid, maar harde feiten...


Dit soort aannames zorgen alleen maar voor ongefundeerde geruchten.

Dit geheel is aan het rollen gebracht door iemand uit Iran:
http://www.google.co.uk/support/forum/p/gmail/thread?tid=2da6158b094b225a&hl=en

Iedereen hierboven die zich druk maakt over harde feiten mag zich afvragen of er geen belangrijkere zaken in het leven zijn dan het zoeken naar complottheoriën. Zoek eens wat op over Occam's razor.

Inderdaad, het GMail verkeer van meerdere (alle?) gebruikers uit Iran werd onderschept, deze gebruikers hadden ook verschillende ISP's. Ik kan niemand anders dan de Iraanse overheid bedenken die zo'n grote MITM aanval uit kan voeren.

Maargoed, dit is natuurlijk niet het bewijs waar je naar op zoek bent. Zal me ook niks verbazen als er nooit bewijs gevonden word om iemand hier verantwoordelijk voor te houden.

Als het hackers zijn hadden ze wel financiele doelwitten gehad. Nu zijn er alleen bogs zoals Google, Yahoo, Wordpress. Dus alleen sites waar (politieke) informatie op staat. Een hack wilt geld zien en had dus de banken etc wel aangevallen.

Maar je hebt wel gelijk que bewijs. Ik heb ook nog geen bewijs gezien en ik vermoed dat het bewijs er nooit gaat komen.
Dus juridisch heeft de regering van Iran niets gedaan.

"Tot ik daar bewijs voor zie, hou ik het op Lulzsec/Anonymous-achtige types of ordinaire cybercriminelen voor beide feiten."

Heb je daar bewijs voor dan, aangezien je dat ook aan anderen vraagt ? Welk motief zou er dan zijn geweest ? En waarom werden de certificaten gebruikt door Iraanse providers ? Wat dat betreft is het iig duidelijk dat de certificaten gebruikt werden in Iran, al is er geen hard bewijs dat de overheid erachter zit. Je vraagt anderen om niet te speculeren, maar zelf speculeer je net zo goed.

"SVP alleen reageren als je bewijzen hebt dat de Iraanse overheid hierachter zit."

Dus indien iemand bewijzen zou hebben dat de Iraanse overheid er niet achter zou zitten, dan moeten ze niet reageren ? Ik kan je logica niet geheel volgen.

Komt een beetje trollerig over om nu opeens 100% zekerheid te gaan eisen over de vermoedens die mensen uitspreken op basis van de nu beschikbare details.

Er is ook geen direct bewijs dat de VS en Israel stuxnet hebben gemaakt en ingezet om Iraanse centrifuges te saboteren, toch is dat veruit de meest aannemelijke verklaring wbt de verschijning van stuxnet.

Voorlopig is Iran verdachte nummer 1, om redenen die je overal uiteengezet ziet worden op de internets. Dan kan je wel bijdehand meer en beter bewijs gaan vragen, maar wie heeft er nou zin in om een trol te voeden die altijd blijft terugkomen dat het nog steeds geen absolute zekerheid is.

Tip: Absolute waarheid is een fata morgana, niets wat mensen willen weten zal ooit 100% zeker zijn, en iedereen die toch absolute waarheid claimt is een oplichter en/of is in dienst van een godsdienst. Leer er mee leven zou ik zeggen.

Elke overheid heeft er natuurlijk belang bij om gmail te onderscheppen, de ene heeft backdoors er in zitten en de ander doet het op deze manier...

Mijn punt is: bovenin http://www.security.nl/artikel/38288/1/Google%3A_Iran_luistert_Gmail-gebruikers_af.html Google stelt in http://googleonlinesecurity.blogspot.com/2011/08/update-on-attempted-man-in-middle.html echter nergens dat de Iraanse overheid hierachter zit: Vergelijkbare uitingen, die op sensatie en niet op feiten lijken te berusten, zie ik van Brenno de Winter op nu.nl en webwereld.nl.

Bij de Comodo aanvallen ging het ook om een "hacker", en die heeft, voor zover mij bekend, toen certificaten buitgemaakt van addons.mozilla.org, global trustee, login.live.com, login.skype.com, login.yahoo.com, mail.google.com en www.google.com (zie "Untrusted Publishers" in MSIE certificates of http://www.security.nl/artikel/36733/Comodo-hacker_zet_GlobalTrust_database_online.html).
Heus niet alle "hackers" hebben financiële motieven, integendeel vermoed ik.

Inderdaad (in m'n bijdrage van afgelopen maandagavond verwees ik hier ook naar, zie http://www.security.nl/artikel/38285/1/Iran_Google_MITM_Diginotar_cert%3F.html).

In die thread zie ik ondermeer: Het intermitterende gedrag lijkt op een DNS aanval te wijzen, en dat wordt versterkt doordat laatstgenoemde andere resultaten krijgt door een andere DNS server te kiezen. Helaas zie ik in die thread geen bevestiging van een DNS aanval; geen van de genoemde IP-adressen voor de bekende endpoints is vals:

74.125.39.105 is van Google
209.85.149.190 is van Youtube
209.85.149.18 is van Google
65.55.175.254 is van Microsoft
69.147.125.65 is van Yahoo
69.63.181.12 is van Facebook
63.245.209.106 is van Mozilla
209.85.128.0 - 209.85.255.255 is van Google
74.125.0.0 - 74.125.255.255 is van Google

Als het niet om een DNS aanval (of manipulatie) gaat zijn er denk ik de volgende mogelijkheden:
- Op het moment van "de aanval" wordt er anders gerouteerd, eventueel alleen voor poort 443 (maar dit kan lastig te detecteren zijn; de output van traceroute-achtige tools kan worden gemanipuleerd, zie bijv. rotorouter)
- de aanval vindt plaats middels layer 2 devices "onderweg".

Als de Iraanse overheid de aanvallen uit zou voeren, vraag ik me af waarom ze dit zo amateuristisch aanpakken - inclusief het stelen van certificaten, die kunnen ze vast wel kopen bij www.etisalat.ae, die club neemt het niet zo nauw (zie http://www.eff.org/deeplinks/2010/08/open-letter-verizon en http://www.security.nl/artikel/30409/Blackberry-gebruikers_dumpen_provider_na_spyware-schandaal.html).
Bijv. Libië had ook geen problemen om aan professioneler spul te komen (zie http://www.heise.de/security/meldung/Libysche-Internetueberwachung-mit-auslaendischer-Hilfe-1333681.html).

Kortom, de posts in de Google thread zijn bij mijn weten het enige "bewijs" dat de overheid van Iran erachter zit. N.b. ik zeg niet dat het niet zo is, ik zie alleen nergens aanwijzingen laat staan bewijs. Weet iemand meer?

Ben zelf in Iran geboren en de helft van mijn leven daar gewoond, door politiek vluchtelingen ouders naar NL gekomen. Kan vrijwel niks goeds over Iraanse overheid zeggen, maar als er iets slechts over gezegd wordt geloof ik het ook niet gelijk.
Wat ik wel vaak zie is hoe de media hier aangestuurd wordt (bewust of onbewust).

Las enkele dagen geleden dat een namaak van Groene Plein in Tripoli gebouwd is zodat eigen nieuws gefabriceerd kan worden.
http://cyaegha-c.livejournal.com/460657.html
http://metrogael.blogspot.com/2011/08/from-makers-of-gaddafi-is-killing-his.html

Kan gemakkelijk zeggen dat als iets op Nu.nl te zien komt dan zal 99,99% van mensen dat zo aannemen. Wat naar mening heel verkeerd is. Als dit soort mediamisleiding (propaganda) was bedoeld om desbetreffende bevolking te bevrijden dan zou ik het lang niet zo erg vinden als het gebruikt werd om olievelden te winnen.

Bitwiper, je hebt de traceroutes zoals hier: https://blog.torproject.org/blog/diginotar-debacle-and-what-you-should-do-about-it gezien?

@Anoniem van gisteravond van 18:40 en 19:01: net zoals DigiNotar zich ongeloofwaardig heeft gemaakt, maken journalisten zich ongeloofwaardig als ze dingen schijven die niet op feiten gebaseerd zijn. Dat ondermijnt de rest van hun bijdrage en alles wat ze ooit geschreven hebben en/of zullen schrijven. Zelf ben ik geen journalist maar probeer me wel zoveel mogelijk op feiten en zomogelijk meerdere bronnen te baseren (overigens ben ik ook mens en dus niet foutloos).

@Martijno: dank, maar dat is afkomstig van de oorspronkelijke bron, zie http://www.google.co.uk/support/forum/p/gmail/thread?tid=2da6158b094b225a&hl=en. Zoals ik hierboven uitleg zegt een traceroute niet zo heel veel, en bij een SSL verbinding waarbij niets fout is en een legitiem certificaat gebruikt wordt, maakt de route niet uit. Het kopje dat in de torprojectblog ontbreekt luidt: en dat IP-adres is het resultaat van een DNS lookup van google.com. Ergo dit toont niet aan dat er interceptie plaatsvindt, integendeel (als de output niet gefaked wordt), je ziet dat de route Iran uitgaat.

@Bitwiper, zoals ik het begrijp (maar verbeter me gerust) staat de aanval los van DNS.

Bij SSL MitM wordt verkeer gewoon doorgerouteerd naar het echte endpoint google.com maar wordt tijdens het SSL protocol ingegrepen zodat met de client (de browser van de Iraanse gebruiker) een beveiligde verbinding met de MitM wordt opgezet (op basis van het fake Google certificaat), en vanuit de MitM (als client) een beveiligde verbinding met google.com. De MitM kan meelezen op het moment dat hij de payload uit de ene SSL tunnel in de andere stopt en omgekeerd.

De traceroute laat zien dat verkeer naar google.com een langere route aflegt dan naar vergelijkbare sites facebook.com, yahoo.com, etc. Blijkbaar kunnen ze bovenstaand truukje niet bij de ISP intern maar moest het verkeer omgeleid worden. Als de traceroute echt is, dan vind ik het redelijk overtuigend dat het fake-google certificaat binnen Iran gebruikt is. (Maar of ie echt is, weten we natuurlijk niet.)

Sorry voor de verlate responses, ik ben de afgelopen 2 dagen erg druk geweest (dat had niets met security te maken).
Probleem is dat we dat niet weten, de (vermoedelijke, naar eigen zeggen) Iraniërs (in http://www.google.co.uk/support/forum/p/gmail/thread?tid=2da6158b094b225a&hl=en) geven nergens duidelijk aan dat de getoonde traces gemaakt zijn ten tijde van een aanval (het gebeurt maar af en toe zeggen ze). Ik begrijp ook niet helemaal dat de TS uit die thread wel begrijpt hoe je een certificaat moet ontleden maar niet het besef heeft om op het moment dat zo'n aanval plaatsvindt netstat -an, nslookup google.com en/of tracert -d google.com in te tikken, en andersom, op het moment dat hij traceroutes uitvoert, niet aangeeft of Chrome op dat moment een certificate error aangeeft - dan hadden we nu mogelijk meer zekerheid gehad.

Nee, er is dan sprake van 2 separate SSL verbindingen (zoals je hieronder aangeeft). Exact, er is sprake van 2 separate SSL verbindingen, zie ook mijn bijdrage met "plaatje" van 27-03-2010, 00:31 in http://www.security.nl/artikel/32871/1/SSL_niet_bestand_tegen_afluisteren_overheid.html.

Op jouw derde punt ga ik zometeen hieronder in.

De output van de tracert naar google.com is absoluut opvallend, maar of dat bewiis is, is inderdaad de vraag. Mijn analyse (ik heb er met vet+onderstreept: verwijzingen in opgenomen):Constateringen (nummers verwijzen naar de opmerkingen hierboven) in de volgende bijdrage.

(1) alibo stelt op 30 augustus dat het certificaat revoked is en Iraniers veilig op hun Google account kunnen inloggen. Dat was op dat moment onjuist. De meeste webbrowsers checken niet op revocation, en als ze dat wel doen, zal een goed opgezette MitM aanval ervoor zorgen dat ze die revocation info niet kunnen opvragen. En als dat laatste niet lukt is de default van de meeste webbrowsers om dan het certificaat maar voor veilig te accepteren. Een uitzondering hierop vormt Chrome indien het om een Google certificaat gaat (dat hardcoded wordt gechecked). De vraag is wat alibo bedoelt met "can safety login to their google account": dat ze nu gegarandeerd een waarschuwing krijgen, of, als ze geen waarschuwing krijgen, het nu veilig is?

(2) Dat het traag was lijkt niet in Iran te worden veroorzaakt. In de eerste trace zie je pas echt hoge getallen en packet loss buiten Iran. Voor wat die 10.10.53.33 waard is, die antwoordt (via die mogelijke omleidingsroute!) steeds in 88ms. Een conclusie dat het trage internet door het afluisteren werd veroorzaakt is denk ik onjuist.

(3) Dit ziet er inderdaad raar uit. Maar wat bewijst het? Als ik vanaf mijn xs4all aansluiting een tracert doe naar google.com zie ik onderweg:
en als ik dat naar bing.com doe zie ik in stap 6 een non-xs4all router:
Betekent dit dat xs4all mij afluistert als ik naar google ga?

(4) Idem, is 10.10.53.33 (notabene een RFC1918 adres) in plaats van 10.10.53.69 of 10.10.53.61 als (eenna- ?) laatste hop voordat Iran verlaten wordt, een bewijs dat er wordt afgeluisterd?

Die "omleiding" is inderdaad vreemd. Maar als je een beetje professioneel bent (wat ik toch echt wel van de Iraanse overheid en haar netwerkspecialisten verwacht, veel Iraniërs zijn goed opgeleid) dan zet je niet zo'n amateuristische aanval op. Het is bijv. redelijk eenvoudig om routers niet in een traceroute te laten terugkomen, zie bijv. http://www.juniper.net/techpubs/en_US/junos9.5/information-products/topic-collections/config-guide-mpls-applications/mpls-disabling-normal-ttl-decrementing.html.

Kortom, vreemde zaken, maar wat mij betreft absoluut geen overtuigend bewijs. Het kan nog steeds om DNS attacks gaan, zie m'n bijdrage van afgelopen donderdag 01:07.

is de waarheid zoals je verteld wordt?
of moet je zelf zoeken?
http://www.youtube.com/watch?v=R-r04SQ97_Q
ook dit is slechts een deel van de realiteit.
maar, waarom zien wij dit nooit op het boze oog, de tv?
slaap mensje slaap.

Het gaat hier om ''Iraanse Hackers'' (Defacers soms)

Hoeft niet veel met Iraanse overheid te maken hebben.
Denk maar aan de aanvallen door turkse-hackers.

In het 2e comment onder http://isc.sans.org/diary/DigiNotar+audit+-+intermediate+report+available/11512 geef ik aan waarom ik denk dat de "blips" in http://www.youtube.com/watch?v=_eIbNWUyJWQ (bron: Fox-It rapport) buiten Iran veroorzaakt worden door DNS attacks, en dus dat het zeer onwaarschijnlijk is dat de Iraanse overheid achter deze spoofed certificate aanvallen op Iraniërs zit c.q. zat.

begrijp goed vrienden.
gezocht wordt er.
wie wordt aangewezen als aanleiding.
van woIII.
doorzie het spel, geef ze geen kans.
het is genoeg geweest.
zeg NEEN!!!

NEEN!!!. zo goed?

volgens mij heb je niks aan een gestolen certificaat, als je dat niet combineert met een aangepaste DNS.
Een certificaat dat zegt dat mijn 95.123.123.123 server google.com is, doet niets als mensen deze server niet bezoeken.

Maar zodra ik jouw browser, middels een aangepaste DNS naar mijn server lok, dan krijg jij een mooi werkend certificaat, en ik al jouw zoekopdrachten.

Hiervoor kan ik lokaal jouw pc aanpassen (hostfile of zo), maar dan hoef ik niet zo moeilijke te doen, ik heb je pc dan toch al onder controle.
Ook kan ik je ISP, of diens DNS aanpassen, en dan heb ik dus enkel een vals certificaat, en een DNS-aanpassing nodig.

Wat we zien is dat vanaf meer dan 40 ISP's verkeer komt, dat een indicatie is van de schaal van de aanval.
Ik denk niet dat een hacker 500 relay-servers voor al die domeinen inzet (met bijbehorende bandbreedte), en 40 ISP's hackt, dan diginotar hackt, en al het verkeer van heel Iran gaat verzamelen (op heel veel storage) en dat vervolgens analyseert. en ook alleen naar focust op oppositie-gerelateerde sites.

Is dat bewijs dat het de Iraanse overheid is? Nee. Maar ze kunnen het, het gebeurt, en ze hebben er het meeste baat bij.
Dat is wel een twin-tower-redenatie (was het de overheid of niet), maar gelukkig gaat het hier om internet, de bewijzen komen nog wel, maar het is de vraag of mensen dit bewijs wel snappen.

Als iets er uit ziet als vis;
Ruikt als vis;
Aanvoelt als vis;
Smaakt als vis;

Wat denk je dan voor je te hebben?

Het is geen "bewijs", maar denk eens in senario's in combinatie met motieven?

"Wanneer er verschillende hypotheses zijn die een verschijnsel in gelijke mate kunnen verklaren, wordt vanuit dit principe aangeraden om die hypothese te kiezen welke de minste aannames bevat en de minste entiteiten veronderstelt. Dit is de gangbare wijze waarop Ockhams scheermes wordt toegepast." (bron: wikipedia)

Welk dader-profiel heb je dan?

S-q.

Alles goed en wel, maar om succesvol te zijn in deze heb je drie ingrediënten nodig:

1. Een certificaat
2. Een website die als man-in-the middle fungeert
3. Een DNS server die het verkeer omleid naar de website uit 2

De veiligheid van Nederlandse sites is voor zover ik heb begrepen niet in het geding geweest omdat ik nog geen berichten heb gezien over gekaapte DNS servers in NL en omgeving.
Voorlopig hebben we gezien dat in de buurt van Iran mensen omgeleid zijn naar de website uit 2, dus ingrediënt 3 was ook aanwezig.
De conclusie is dus dat van 40 Iraanse netwerken de DNS servers zijn omgeleid, maar uit Iran van officiële zijde geen klachten gehoord. De kans is dus erg groot dat de machthebbers aldaar op de hoogte waren van het probleem, wellicht het zelf niet gedaan hebben, maar een @anonymous look-a-like pubertje zijn president een plezier wilde doen.

OK.
ik ben niet hier om slecht goed te praten.
wel probeer ik de onderliggende oorzaak te begrijpen.
hiervoor moet je naar een hoger niveau van abstractie.
de prikkel die lijdt tot de wil van controle is de angst voor de angst van het onbekende.
bezie iran, geisoleerd door, vanuit hun oogpunt, krachten van het kwaad.
bezie amerika, bezie nederland, bezie ...
allemaal bezeten door de angst voor de angst.
nu, wie wil er vanaf?
wie durft als eerste deze angst af te werpen door het uitsteken van de hand?
hoe was het ook alweer, die ouwe wijsheid; LOVE thy enemy!!!
de tijd voor theedrinken is aangebroken, shai uit india, nah nah uit marokko, heerlijk dadeltje erbij uit Bam.