"SSL-diefstal bracht Iraanse activisten in levensgevaar"
Certificaatuitgever Comodo heeft de levens van Iraanse dissidenten in gevaar gebracht door de diefstal van negen SSL-certificaten niet op tijd te melden. Dat zegt beveiligingsonderzoeker Jacob Appelbaum, die de diefstal van de certificaten zelf ontdekte. Een dag later kwam Comodo met een verklaring dat er een account voor het aanvragen van certificaten was gehackt. De aanvaller zou vervolgens certificaten in naam van Microsoft, Skype, Google, Mozilla en Yahoo hebben aangevraagd. Via de SSL-certificaten zou een overheid of provider verkeer dat via HTTPS loopt kunnen afluisteren. Van één certificaat, die van Yahoo, is zeker dat het op internet is gebruikt.
Comodo wachtte acht dagen om de aanval te rapporteren. "Door dit voor acht dagen stil te houden, hebben Comodo en anderen levens in gevaar gebracht", aldus Appelbaum, die doelt op Iraanse activisten die mogelijk zijn afgeluisterd. "Tijdens die tijd waren ze geheel weerloos. Gebruikers hadden deze informatie eerder moeten krijgen." Volgens de onderzoeker zouden Iraanse autoriteiten activisten tijdens ondervragingen met online bewijs confronteren. "Ze laten degenen die gearresteerd zijn regelmatig gegevens over hun internetverkeer zien."
Iran
De oprichter en directeur van Comodo ontkent dat iemand door de aanval gevaar zou hebben gelopen. Het bedrijf legt de schuld bij de Iraanse overheid. Eén van de gestolen Yahoo-certificaten zou door een Iraanse internetprovider zijn gebruikt. Comodo wachtte naar eigen zeggen acht dagen om de aanval te onderzoeken, de certificaten in te trekken en verschillende browserleveranciers zoals Google, Mozilla en Microsoft te waarschuwen, zodat ze updates konden uitgeven om de valse certificaten te blokkeren.
De valse Yahoo website zou offline zijn gehaald nadat Comodo het certificaat introk. Of de overige acht gestolen certificaten ooit zijn ontvangen door de aanvaller, laat staan gebruikt, is onbekend. Gisteren liet de Amerikaanse beveiligingsonderzoeker Robert Graham nog weten dat hij niet denkt dat Iran achter de aanval zit.
De enigen die er misbruik van kunnen maken zijn degenen die de geheime sleutel bij het publieke certificaat in hun bezit hebben. Samen met de update van Microsoft is het net of het hier een exploit betreft die nog even geheim moet worden gehouden om verder misbruik te voorkomen.
De enigen die er misbruik van kunnen maken zijn degenen die de geheime sleutel bij het publieke certificaat in hun bezit hebben. Samen met de update van Microsoft is het net of het hier een exploit betreft die nog even geheim moet worden gehouden om verder misbruik te voorkomen.
Het enige wat ik me nog kan voorstellen, is dat men de mensen wil oppakken die de valse certificaten hebben aangemaakt. Maar als dat niet gebeurt, is het verder onzin om het pas later te publiceren.
Grappig die Appelbaum. Wie zijn billen brand moet op de blaren zitten. Maar net als Job Cohen gaat meneer Appelbaum waarschijnlijk thee met de boefjes drinken...
zegt beveiligingsonderzoeker Jacob Appelbaum, die de diefstal van de certificaten zelf ontdekte.
Hij kon hooguit de conclusie trekken dat er wat vreemds aan de hand was.
Voor wat betreft het stil houden, dat had alleen zin zolang er nog een onderzoek liep/loopt naar de dader(s) daarna had het gelijk publiek gemoeten, echter zoals ook in de Mozilla bug post valt te lezen heeft ook Microsoft gevraagd om een gezamenlijke openbaring dus dit komt niet helemaal alleen van Comodo voor zover ik heb kunnen nagaan.
Appelbaum doelt op Iraanse activisten die strijden tegen hun eigen (corrupte en evil) regering. Het valse certificaat is waarschijnlijk gebruikt voor een MITM-attack tussen Iraanse internetgebruikers en Yahoo (en mogelijk andere providers). Zo kon de Iraanse overheid dissidenten afluisteren en confronteren met e-mailverkeer. Als Comodo niet acht dagen had gewacht maar gelijk naar buiten had gebracht dat er valse certificaten in omloop zijn hadden die dissidenten zich wel twee keer bedacht voordat ze inlogden op hun webmail, maar nu kon Iran dus ruim een week lang mailverkeer afluisteren.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
