Nieuws

Tor geeft DigiNotar internet-doodstraf

donderdag 1 september 2011, 10:42 door Redactie, 12 reacties

Tor, de software om anoniem mee te surfen, heeft het Nederlandse DigiNotar een "internet-doodstraf" gegeven omdat het geen vertrouwen meer in de certificaten van het bedrijf heeft. Aanvallers wisten bij DigiNotar in te breken en frauduleuze certificaten te genereren. Naast *.google.com, is nu ook officieel bevestigd dat het Tor Project een doelwit was.

Erinn van het Tor Project nam contact op met DigiNotar en ontving interessante informatie, waaronder een lijst met de certificaten die de aanvallers voor *.torproject.org genereerden. In totaal zou het om twaalf certificaten gaan, waarvan elk een zogeheten wildcard voor torproject.org was. Hiermee geldt het certificaat voor alles dat voor .torproject.org komt.

Aanval
De aanval werd volgens DigiNotar op 19 juli opgemerkt. Uit de gegevens die Tor ontving, bleek dat de eerste zes certificaten op 18 juli waren uitgegeven en een tweede set certificaten op 20 juli. De eerste zes uitgegeven certificaten verliepen op 17 augustus 2011 en de tweede set op 19 augustus 2011. Volgens de informatie van DigiNotar zouden alle certificaten in kwestie zijn verlopen. Daarbij liet het bedrijf tegenover Erinn weten dat er geen bevestiging was dat de aanvaller of aanvallers de certificaten ook hebben ontvangen. Iets waar Erinn aan twijfelt. "Ik heb geen reden om te geloven dat het voor deze certificaten lastiger was om bij de aanvragende partij te komen dan voor het in het wild gebruikte Google certificaat."

Via deze frauduleuze certificaten zou een kwaadwillende partij een nepversie van de Tor-website kunnen opzetten. Gebruikers die naar https://torproject.org gaan, krijgen dan geen waarschuwing en denken dat ze op de echte website zitten. Vervolgens zou de aanvaller een versie met een backdoor kunnen aanbieden, zodat de identiteit en communicatie van de gebruiker toch zou zijn te achterhalen. Tor adviseert gebruikers dan ook om de digitale handtekening van gedownloade bestanden te controleren.

Waardeloos
DigiNotar wilde Tor geen kopie van de uitgegeven certificaten geven. "We weten niet zeker of ze wel kopieën hebben of dat ze geen kopieën willen openbaren die ze wel of niet hebben. Dit is zeer verontrustend omdat dit het CRL/OCSP terugtrekkingsproces zo goed als waardeloos maakt."

Het Tor Project gelooft niet dat de uitgegeven frauduleuze '*.torproject.org certificaten op het moment van schrijven zijn ingetrokken. "Het kan zijn dat ze certificaten niet intrekken als ze verlopen zijn. Er is geen bewijs dat het intrekken heeft plaatsgevonden op het moment dat deze certificaten geldig waren", aldus Erinn. Vanwege eerdere uitspraken denkt het Tor Project dat DigiNotar en moederbedrijf VASCO met "damage control" bezig zijn. Daarnaast moet het bedrijf openheid van zaken geven om welke certificaten het allemaal gaat en welke informatie het niet heeft.

Browser
Inmiddels werkt het Tor Project met twee browserleveranciers samen om ervoor te zorgen dat dit soort aanvallen niet meer in de toekomst kunnen plaatsvinden. De browser controleert in dit geval de uitgevende instantie van het certificaat. Komt die niet overeen met de echter uitgever die in de browser staat vermeld, dan krijgt de gebruiker een waarschuwing. Zowel Google als Mozilla zullen dit mogelijk in de browser gaan verwerken.

Daarbij is het Tor Project niet blij met het compromis dat Mozilla en de Nederlandse overheid sloten. "Wij maakten geen onderdeel van de discussie uit, en we begrijpen niet de redenen voor zo'n compromis. We willen een certificate authority die ons niet meteen inlichtte toen het dit probleem ontdekte niet blindelings geloven."

Versie
Vanwege het "DigiNotar" debacle heeft Tor een nieuwe versie van de anonimiseringssoftware uitgebracht, die niet meer Firefox 3.6 ondersteunt, aangezien deze niet meer was te patchen.

Daarnaast is de meegeleverde Firefox 6 iets aangepast speciaal voor DigiNotar. "We hebben DigiNotar proactief een "Internet-doodstraf" in de Tor Browser gegeven", merkt Erinn op. Het volledig verwijderen van DigiNotar uit de browser zou invloed op zo'n zevenhonderd certificaten hebben.

Ook Mozilla doelwit van DigiNotar-hackers

Chrome groeit ten koste van Firefox en IE

Reacties (12)

01-09-2011, 10:57 door PeterB

Ik heb zelf diginotar certificaten in mijn browser handmatig op " onbetrouwbaar" gezet en uitgeschakeld. Dat zouden meer mensen moeten doen, ellende is alleen dat hebt gros van de internet gebruikers geen flauw idee heeft waar die dingen zich bevinden.

Om mensen op weg te helpen:

In Windows ga je zoeken in je browser instellingen

Op Mac ga je zoeken in je sleutelhanger (control panel)

01-09-2011, 11:01 door Anoniem

@PeterB

En *nixers hoef je niet te informeren, die snappen dat zelf wel. ;)

01-09-2011, 11:56 door Unit 10 Forensics

Of Diginotar nu wel of niet de certificatenintrekkingslijst (CRL) heeft bijgewerkt, surf in ieder geval even naar http://goo.gl/urqlc om de lijst in je browser te importeren. Veel vertrouwen geeft de lijst niet, de volgende update staat gepland voor 3 februari 2012....

EDIT: De juiste CRL blijkt onder Public CA 2025 te hangen, dus de laatste update is http://service.diginotar.nl/crl/public2025/latestCRL.crl

Dit geeft verrassende resultaten, zo massaal zijn er op 19 juli geen falsificaten ontdekt, ik zie er slechts 2 revoked op 19 juli 2011!

En nog erger, er zit gewoon een fout in het 'Public CA 2025' certificaat! Deze verwijst namelijk naar de eerste CRL 'Root CA' en naar de laatst genoemde 'Public 2025'. Ernstige implementatiefout!!!

01-09-2011, 12:16 door DarkViewOfTheWorld

Firefox : Tools -> Options -> Advanced -> Encryption tab -> View Certificates -> Dignotar in de lijst zoeken -> Delete or distrust op hun certificaat.

01-09-2011, 12:34 door Anoniem

Door Unit10: Of Diginotar nu wel of niet de certificatenintrekkingslijst (CRL) heeft bijgewerkt, surf in ieder geval even naar http://goo.gl/urqlc om de lijst in je browser te importeren. Veel vertrouwen geeft de lijst niet, de volgende update staat gepland voor 3 februari 2012....

http://goo.gl/urqlc => http://service.diginotar.nl/crl/root/latestCRL.crl

Liever long url's buiten twitter.

01-09-2011, 12:47 door [Account Verwijderd]

[Verwijderd]

01-09-2011, 12:47 door [Account Verwijderd]

[Verwijderd]

01-09-2011, 15:40 door Rene V

Diginotar komt niet in de lijst voor bij mijn FireFox. Wellicht heeft FF deze er zelf uit gehaald in de nieuwe versie 6.0.1 ^^

Overigens kunnen FF gebruikers die ook de addon Perspectives geïnstalleerd hebben hun certificaten bekijken door met rechtermuisknop op Perspectives ikoontje te klikken en dan te kiezen voor View Certificate Store

01-09-2011, 15:46 door Night

Ben het niet eens met de titel van het bericht: Diginotar geeft zichzelf de kogel door volstrekt onbetrouwbaar over te komen.

......Het was er maar één klein foutje...Wat zegt u ook tor certificaten? Nou misschien zijn het toch twee foutjes dan...
Wat er morgen nog komt? Nee maakt u zich geen zorgen: morgen komen er niet nog meer fouten aan het licht. U kunt ons op ons woord vertrouwen, dat kon u gisteren toen we toegaven één fout te hebben gemaakt en dat kunt u vandaag weer nu we toegeven dat het er toch twee waren.....

01-09-2011, 16:22 door SirDice

De aanval werd volgens DigiNotar op 19 juli opgemerkt. Uit de gegevens die Tor ontving, bleek dat de eerste zes certificaten op 18 juli waren uitgegeven en een tweede set certificaten op 20 juli.

Kloppen die data niet of hebben ze echt zitten suffen daar?

Als je een aanval ontdekt hoe kunnen ze dan alsnog de dag erna er met een aantal certificaten vandoor gaan?

01-09-2011, 18:08 door Unit 10 Forensics

Vervolg op mijn eerdere reactie:

De juiste CRL blijkt onder Public CA 2025 te hangen, dus de laatste update is http://service.diginotar.nl/crl/public2025/latestCRL.crl

Dit geeft verrassende resultaten, zo massaal zijn er op 19 juli geen falsificaten ontdekt, ik zie er slechts 2 revoked op 19 juli 2011!

En nog erger, er zit gewoon een fout in het 'Public CA 2025' certificaat! Deze verwijst namelijk naar de eerste CRL 'Root CA' en naar de laatst genoemde 'Public 2025'. Ernstige implementatiefout!!!

02-09-2011, 03:24 door Anoniem

Door René V: Diginotar komt niet in de lijst voor bij mijn FireFox. Wellicht heeft FF deze er zelf uit gehaald in de nieuwe versie 6.0.1 ^^

De enige wijziging in 6.0.1 (ten opzichte van 6.0) is het verwijderen van het DigiNotar certificaat:

What’s New in Firefox
The latest version of Firefox has the following changes:
- Revoked the root certificate for DigiNotar due to fraudulent SSL certificate issuance (see bug 682927 and the security advisory)

bron: http://www.mozilla.org/en-US/firefox/6.0.1/releasenotes/

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer