image

Iraanse student hackte DigiNotar

dinsdag 6 september 2011, 08:26 door Redactie, 29 reacties

Een 21-jarige Iraanse student die eerder SSL-uitgever Comodo hackte, zit ook achter de aanval op het Nederlandse DigiNotar. Zondag werd dit idee al geopperd, dat nu bevestigd lijkt te zijn. Eind maart liet de Comodo-hacker in een interview weten dat hij software engineering studeert en voornamelijk in cryptografie is geïnteresseerd.

Via de website Pastebin.com eiste hij verantwoordelijkheid voor de aanval op. Lange tijd bleef het Pastebin.com account van de Comodo-hacker stil, tot gisterenavond. Toen eiste de aanvaller opnieuw de verantwoordelijkheid op voor het kraken van een Certificate Authority.

"Ik heb iedereen verteld dat ik het nog een keer kan doen. Ik heb in alle interviews verteld dat ik nog steeds toegang tot Comodo resellers heb, ik heb ik iedereen verteld dat ik toegang tot de meeste Certificate Authorities heb, zien jullie deze woorden nu?" Zelf bestempelt de hacker zijn werk als de meest geraffineerde hack van het jaar.

Iraanse overheid
Als bewijs dat hij werkelijk DigiNotar infiltreerde, meldt hij het domein administrator wachtwoord van het CA-netwerk, namelijk Pr0d@dm1n. "DigiNotar zou kunnen bevestigen of dit juist is of niet", zegt Mikko Hypponenen van het Finse F-Secure. Verder meldt de aanvaller dat hij nog steeds toegang tot vier grote Certificate Autorities heeft.

Eerder liet de Comodo-hacker al weten dat hij geen politieke motieven heeft of aan de Iraanse overheid gelieerd is. Wel zou hij zich aan de oppositie in het land storen en er alles aan doet om hen te ontmaskeren.

Update 9:50 - Srebrenica
In de verklaring van de hacker, laat hij weten dat de genocide in Srebrenica een reden was om het Nederlandse bedrijf te hacken. "Toen de Nederlandse overheid 8000 Moslims voor dertig Nederlandse soldaten ruilde en Servische beesten op dezelfde dag 8000 mannen vermoordden, zal de Nederlandse overheid hiervoor moeten boeten. Er is niet veranderd, er is alleen zestien jaar verstreken."

De aanvaller zal later de technische details van de hack onthullen. Verder is hij ook voor interviews bereikbaar via ichsun@ymail.com.

Reacties (29)
06-09-2011, 08:44 door WhizzMan
Ik had eigenlijk "fred" of "james007" verwacht, maar dit komt aardig in de buurt....
06-09-2011, 08:48 door anoniem lafbekje
Hij zegt certificaten te kunnen genereren van "four other "high-profile" CAs".
06-09-2011, 09:22 door Anoniem
Dat gelooft natuurlijk geen hond: "Eerder liet de Comodo-hacker al weten dat hij geen politieke motieven heeft of aan de Iraanse overheid gelieerd is. Wel zou hij zich aan de oppositie in het land storen en er alles aan doet om hen te ontmaskeren".

Meneer de hacker moet ook eten. Wie betaald dan het brood en geeft hem een veilig onderkomen?
Iran komt hier niet mee weg. We komen de olie halen. Is een kwestie van tijd en we kunnen alleen zaken doen met een duurzame democratie. Is die er nu niet dan zorgen we daarvoor...
06-09-2011, 09:28 door Preddie
Weinig nieuws, we weten inmiddels dat voor iedereen hack die bekend wordt er miminaal 100 ergens anders vooraf zijn gegaan waar je nooit meer wat over hoort.

Daarom is het maar beter ook systemen als die van de overheid bijv. niet te vertrouwen en zoveel mogelijk via wegen te werken waar je zo weinig mogelijk aanvallers tegen kunt komen .... en dan nog ben je weg naar het systeem toe veilig door gekomen en blijkt het systeem zelf gecompromitteerd te zijn en wanneer dat bekend wordt houd 99% zijn mond uit angst voor imago schade..... blijf kritisch, blijf vragen !

Even een vraag je voor de andere leden, was het niet zo dat er een melding plicht voor data lekken was ingesteld of was dit nog niet gebeurt?
06-09-2011, 09:38 door Anoniem
Die Iraanse hacker geeft hoog op van zijn "Xuda" crypto skills.

Wie weet wat daar mee wordt bedoeld? Is het een CUDA applicatie om keys te kraken?
06-09-2011, 09:41 door Jacob Boersma
Door Predjuh: Even een vraag je voor de andere leden, was het niet zo dat er een melding plicht voor data lekken was ingesteld of was dit nog niet gebeurt?

Meldplicht datalekken was aangekondigd in regeerakkoord en wordt nu om begrijpelijke redenen versneld ingevoerd, maar bestond nog niet.
06-09-2011, 10:02 door Preddie
Door Anoniem: Die Iraanse hacker geeft hoog op van zijn "Xuda" crypto skills.

Wie weet wat daar mee wordt bedoeld? Is het een CUDA applicatie om keys te kraken?

CUDA is een applicatie waarmee je versleutelingen kan kraken met gebruik/behulp van je GPU op je videokaart. Het kraken van keys met je videokaart (afhankelijk van wat voor kaart) gaat tot met minimaal 128 keer snellers als met een single cpu !
06-09-2011, 10:08 door Anoniem
Door Anoniem: Die Iraanse hacker geeft hoog op van zijn "Xuda" crypto skills.

Wie weet wat daar mee wordt bedoeld? Is het een CUDA applicatie om keys te kraken?

XUDA staat voor XCert Universal Database API. XCert is een bedrijf dat in 2001 is overgenomen door RSA (http://www.rsa.com/press_release.aspx?id=869). Op http://deletionpedia.dbatley.com/w/index.php?title=Xuda_(deleted_19_Mar_2008_at_10:17) staat:

XUDA (Xcert Universal Database API) is a library that is used and integrated in many PKI products of different vendors like the KEON CA of RSA LABS.
XUDA is an API that enables programmers to develop PKI applications. XUDA is best seen as a toolkit or library of programs that isolates applications from the complexities of PKI. It encapsulates secure database access and strong authentication via public key certificates, and employs SSL-LDAP to query remote databases using certificates presented during an SSL transaction. XUDA was built to use the cryptography of other vendors. This allows to provide customers with the cryptography of their choice, including all PKCS#11 compliant smart cards and hardware tokens.
XCert is a privately held company that developed and delivered digital certificate-based products for securing e-business transactions. In February 2001 the company was acquired by RSA Labs.


XUDA is ongerelateerd aan CUDA (Compute Unified Device Architecture - http://en.wikipedia.org/wiki/CUDA) :)
06-09-2011, 10:17 door jefdom
Door Predjuh: Weinig nieuws, we weten inmiddels dat voor iedereen hack die bekend wordt er miminaal 100 ergens anders vooraf zijn gegaan waar je nooit meer wat over hoort.

Daarom is het maar beter ook systemen als die van de overheid bijv. niet te vertrouwen en zoveel mogelijk via wegen te werken waar je zo weinig mogelijk aanvallers tegen kunt komen .... en dan nog ben je weg naar het systeem toe veilig door gekomen en blijkt het systeem zelf gecompromitteerd te zijn en wanneer dat bekend wordt houd 99% zijn mond uit angst voor imago schade..... blijf kritisch, blijf vragen !

Even een vraag je voor de andere leden, was het niet zo dat er een melding plicht voor data lekken was ingesteld of was dit nog niet gebeurt?
ik dacht dat dit voor de meeste angelsachse landen gold,behalve italie groetjes jefdom(meldingsplicht)
06-09-2011, 10:20 door Anoniem
Gezochte verklaring zeg
Hoe meer er Iran geschreeuwt wordt, hoe minder ik het geloof

Van al mijn rare entrys uit mijn firewall en snort
Heb ik het afgelopen jaar maar 2 richtingen gevonden waar de rare dingen vandaan kwamen,
en dat is de USA en hooguit China

Met de rare entrys uit China was iets raars vond ik

Als ik het bewuste IP uit China bekeek met Arin of Apnic, kwam het uit China
Deed ik een tracerroute met alle hops, zag ik de eerste 15 hops naar de USA gaan
En dan alleen het laatste hopje uit China?

Jaaaaaaja
06-09-2011, 10:30 door Anoniem
De vraag was niet wat CUDA is, maar wat Xuda is.
06-09-2011, 10:34 door martijno
Die Iraanse hacker geeft hoog op van zijn "Xuda" crypto skills.
Wie weet wat daar mee wordt bedoeld?
Xcert Universal Database API (volgens Google). Bedrijf die dat maakte is blijkbaar overgenomen door RSA Security.
06-09-2011, 11:37 door musiman
Pr0d@dm1n

Tssssss...

IEDERE security engineer weet dat je NOOIT common lettersubstitutions moet gebruiken in je wachtwoorden. Programma's als LophtCrack kunnen hier standaard al rekening mee houden. Gewoon een zwak wachtwoord.
Dat een CA dit als wachtwoord DURFT te gebruiken... Als IT trainer heb ik jaren geleden een cursist gehad die de hoofdbeheerder was van een internationale investeringsbank. Hij vertelde dat ze twee admins hadden, waarvan er 1 een random wachtwoord van 127 karakters had en in de kluis lag; deze werd om de zoveel tijd vernieuwd. En de andere account welke dagelijks gebruikt werd had een random wachtwoord dat wat korter was maar ook zeer regelmatig vernieuwd werd. En dit was "alleen maar een bank" en nog geeneens een Certificate Authority.

Zwakke wachtwoorden, geen virusscanner op de cruciale machines, een IDS die niet reageerde, 1 groot Active Directory Domain waar zelfs de CA's lid van waren :'(
Deze beheerders hebben duidelijk niet in 1 van mijn trainingen gezeten, want ik vertel altijd dat je voor dit soort omgevingen beter de Microsoft CA als Stand Alone moet installeren en de netwerkkabel uit de hoogste root CA moet trekken. Maak het een echte offline CA. De Intermediates kun je wel online laten zijn, maar ook niet in AD opgenomen. Zorg ervoor dat deze hardened zijn en zorg ervoor dat je met log monitoring tools als Novell Sentinel Log monitoring software de boel centraal in de gaten houdt. Ja, ik weet dat dit een 5 cijfers kostende applicatie is (de goedkoopste), maar kijk eens hoeveel het nu kost...
Hier een linkje naar deze app: http://www.novell.com/products/sentinel/
06-09-2011, 11:41 door Anoniem
PrUT@dm1n zal die bedoelen!!!
06-09-2011, 11:54 door Anoniem
Door Anoniem: Die Iraanse hacker geeft hoog op van zijn "Xuda" crypto skills.

Wie weet wat daar mee wordt bedoeld? Is het een CUDA applicatie om keys te kraken?
Zie lijn 23 van zijn Paste:
Have you ever heard of XUDA programming language which RSA Certificate manager uses it? NO! I heard of it in RSA Certificate Manager and I learned programming in it in same night, it is so unusual like greater than sign in all programming languages is "<" but in XUDA it is "{"

0101
06-09-2011, 11:57 door Anoniem
Nogmaals: Welke auditors hebben zeggenschap of een CA wel CA-waardig is en hoe komt het dat die auditors een organisatie als diginotar of comodo of welke andere dan ook wel veilig en betrouwbaar genoeg is. Ik krijg meer en meer en meer de indruk dat die auditors net zo onkundig en onwillend over veiligheid zijn als de personen die goedkeuring krijgen om CA te spelen. Ze hebben werkelijk geen flauw benul wat voor risico's (lees gevaar voor mensenlevens, marteling, gevangenschap, onderdrukking etc) het met zich meebrengt als die CA's niet te vertrouwen zijn!!! Het is in de vrije wereld makkelijk praten over gevaar dat je bsn op straat komt te liggen of je wat geld kan kwijtraken. Het is tijd om wakker te worden en het hele CA systeem schoon te vegen en uit te kloppen en opnieuw op te bouwen met echt vertrouwen en openheid.
06-09-2011, 12:16 door Anoniem
Dus deze meneer moet de aandacht afleiden van de iraanse overheid die daadwekelijk achter deze cyberoorlogsverklaring zitten
06-09-2011, 13:03 door [Account Verwijderd]
[Verwijderd]
06-09-2011, 13:30 door Anoniem
@musiman

Het ligt eerder voor de hand dat dit wachtwoord is opgevangen met een keylogger dan dat het gekraakt is. Het is op zich een goed wachtwoord, het is dan ook geen pure lettersubstitutie. Alleen de lengte is te kort, 9 karakters is niet voldoende.
06-09-2011, 13:31 door U4iA
Dus als straf voor het feit dat Nederland in een oorlog die niet de zijne was niet heeft kunnen voorkomen dat 8.000 moslims werden gedood gaat deze broeder zijn mede Iraniërs afluisteren in opdracht van een totalitaire regering die nog veel meer onschuldige moslims martelt en dood...per jaar? Nee, klinkt heel logisch!
06-09-2011, 13:51 door iamhere
Deze zogenaamde student verklaart heel conveniently niet hoe zijn illegaal verkregen certificaten opduiken in een transmissie tussen een persoon in Iran en google servers. Het lijkt me een schaamteloze plug van de Iraanse veiligheidsdiensten om publiek alle betrokkenheid te kunnen ontkennen.

En dan de er bij gezochte reden. De val van Srebenica, konden ze niet een betere reden bedenken? Het is duidelijk van de uitgiftedatum van het Google certificaat dat de hack al voor die 'belangrijke' datum was begonnen en voltooid. En de hack was ook helemaal niet op Nederlandse sites gericht. Wij zijn gewoon collateral damage van het Iraanse staatsbelang. In de eerste zin van 'zijn' verklaring eindigt 'hij' al met 'us', dat zegt genoeg.

En voor de rest hebben ze hem instructies gegeven om zoveel mogelijk op te scheppen en te overdrijven om aan het beeld van een 'lonely superhacker' te beantwoorden dat misschien sommige mensen eerder willen accepteren dan een overheid die cyberoorlog bedrijft.
06-09-2011, 13:56 door benn
De VNG adviseert de gemeenten nadrukkelijk om het zekere voor het onzekere te nemen en automatische updates van Microsoft uit te zetten.
en
Microsoft vertraagt update op verzoek overheid (trusted cert list only?)

Tja, risicoafweging.. Op deze manier weet de hacking community dat er voorlopig geen MS-patches geinstalleerd zullen worden (en trusted root certificates en untrusted certificates in de certificate store)... dus meer tijd en bereik voor exploits
06-09-2011, 14:26 door iamhere
Dit is een beetje wat het millennium probleem was geweest zonder voorbereiding.
06-09-2011, 17:37 door Anoniem
Door Anoniem: Gezochte verklaring zeg
Hoe meer er Iran geschreeuwt wordt, hoe minder ik het geloof

Van al mijn rare entrys uit mijn firewall en snort

Het is wel vreemd dat de certificaten gebruikt lijken te zijn in Iran en een enkele TOR exitnode die normaal gesproken ook vanuit Iran wordt gebruikt.

[/quote]Als ik het bewuste IP uit China bekeek met Arin of Apnic, kwam het uit China
Deed ik een tracerroute met alle hops, zag ik de eerste 15 hops naar de USA gaan
En dan alleen het laatste hopje uit China?

Jaaaaaaja[/quote]
Pak een legitiem Chinees IP adres en vergelijk daarvan de hops. Misschien dat jouw provider alleen maar verkeer uitwisselt met Europe en Amerika. Dan gaat al het Aziatische, en dus Chinese, verkeer via Amerika.

Peter
06-09-2011, 18:24 door wim-bart
Door Anoniem: Gezochte verklaring zeg
Hoe meer er Iran geschreeuwt wordt, hoe minder ik het geloof

Van al mijn rare entrys uit mijn firewall en snort
Heb ik het afgelopen jaar maar 2 richtingen gevonden waar de rare dingen vandaan kwamen,
en dat is de USA en hooguit China

Met de rare entrys uit China was iets raars vond ik

Als ik het bewuste IP uit China bekeek met Arin of Apnic, kwam het uit China
Deed ik een tracerroute met alle hops, zag ik de eerste 15 hops naar de USA gaan
En dan alleen het laatste hopje uit China?

Jaaaaaaja

Dat is het leuke van TOR en equivalenten. Aanvallen komen overal vandaan, voornamelijk USA en China (In China wordt TOR veelvuldig gebruikt). Hierdoor komen de aanvallen van systemen welke niet de echte aanval uitvoeren :)
06-09-2011, 18:43 door Anoniem
Iran probeert nu alles te ontkennen met hun mooie Comodo-kid en een lul-verhaal over Srebrenica.
Daar trappen we dus niet in. Alle voorbereidingen voor een Lente aldaar zijn in volle gang. NL kan alvast met de aanstaande machthebbers afspraken maken over olie. Is een kwestie van tijd: een paar maanden om precies te zijn.
06-09-2011, 19:53 door [Account Verwijderd]
[Verwijderd]
06-09-2011, 23:50 door Anoniem
Assumption is the mother of all fuckups :-)
07-09-2011, 09:14 door Ferdinand
De gesignde calc.exe al gezien? Ziet er behoorlijk echt uit...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.