Comodo geeft cybercriminelen geldig certificaat
Cybercriminelen zijn erin geslaagd om onder naam van een legitiem bedrijf een certificaat aan te vragen dat gebruikt werd voor het signeren van malware. De malware werd ontdekt door het Finse F-Secure. De virusbestrijder nam contact op met het bedrijf in wiens naam het certificaat was uitgegeven. In eerste instantie ging het anti-virusbedrijf ervan uit dat cybercriminelen het 'code signing' certificaat hadden gestolen. Het bedrijf in kwestie deed echter niets met software en kon dus ook niet signeren.
Het certificaat was in naam van een echte werknemer aangevraagd, waarbij Comodo zowel telefonisch als via e-mail de persoon in kwestie had geverifieerd. De criminelen hadden toegang tot de e-mail van de werknemer en de telefonische verificatie kwam bij de verkeerde persoon terecht of er was een misverstand, aldus Jarno Niemelä. Tijdens het onderzoek werd duidelijk dat ook Certificate Authority (CA) Thawte de medewerker had gebeld, alleen dat na het telefoongesprek het certificeringsproces werd gestopt. "Het lijkt erop dat de virusschrijvers meerdere CA's hebben geprobeerd totdat alles lukte."
Vertrouwen
Niemelä maakt zich vanwege het incident ernstig zorgen over de betrouwbaarheid van het signeren van software in het algemeen. "Als aanvallers toegang tot de e-mail van een bedrijf hebben, is het lastig voor een CA om te verifiëren of het om een legitiem verzoek gaat." De Fin verwacht dat er in de toekomst meer van dit soort incidenten zullen plaatsvinden.
CA's hebben wel maatregelen getroffen om misbruik te voorkomen. "Maar deze systemen worden beheerd door mensen, en zijn dus feilbaar. We moeten het feit accepteren dat met het huidige systeem, certificaten geen 100% bewijs zijn voor de herkomst van een bestand."
Als het aan Niemelä ligt, zouden bedrijven bij slechts één CA hun certificaten moeten regelen. In dat geval wordt het lastiger voor aanvallers om bestaande relaties te omzeilen of misleiden. "Het huidige model waarbij elke CA een certificaat in elke naam kan uitgeven zal nooit veilig zijn, aangezien er teveel manieren voor scams en social engineering zijn."
Ik dacht dat je altijd met je paspoort naar een kantoor van Thawte moest reizen voor de betere certificaten.
Heeft Comodo op deze manier meerdere certificaten uitgegeven? Vooral omdat dit natuurlijk bij criminelen bekend kan raken dat het bij hen makkelijk is? Ik wist niet eens dat ze code signing certificaten uitgaven. Misschien ook handig om de eigen software te ondertekenen. Maar wat is dat dan nog waard? Ze kunnen dus alles ondertekenen wat ze willen als ze hun eigen CA zijn :-/
Hier is ook een mooie discussie; http://forums.comodo.com/general-discussion-off-topic-anything-and-everything/comodo-continues-to-issue-certificates-to-known-malware-t39564.0.html
Lijkt me onlogisch. Waarom software signeren?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
