image

DigiNotar ondermijnt vertrouwen internet

maandag 5 september 2011, 15:30 door Redactie, 4 reacties

Op 29 augustus werd bekend dat aanvallers bij het Nederlandse bedrijf DigiNotar hadden ingebroken en verschillende frauduleuze certificaten hadden gegenereerd. Met één van deze certificaten werden vervolgens Iraanse Gmail-gebruikers afgeluisterd. Al snel werd duidelijk dat het om veel meer certificaten dan alleen het certificaat voor *.google.com ging, maar ook dat de PKI Overheid certificaten risico liepen. Diginotar geeft twee soorten certificaten uit, de Diginotar eigen merk certificaten en PKI Overheid certificaten, die voor DigiD.nl worden gebruikt.

SSL-certificaten vervullen twee functies. Ten eerste identificeren ze de website, zodat de gebruiker en browser weten dat ze ook echt op de website voor DigiD.nl of banksite zijn aanbeland. De tweede functie is het versleutelen van de verbinding tussen de gebruiker en de website. Daardoor kunnen inloggegevens op veilige wijze worden verstuurd, zodat de gebruiker weet dat zijn gegevens niet onderweg worden afgeluisterd.

SSL-certificaten zeggen dus niets over de veiligheid van de website zelf, maar gaan over de verbinding ernaar toe. Een website met SSL-certificaat kan nog steeds met cross-site scripting, SQL Injection of andere kwetsbaarheden te maken hebben. Om de frauduleus gegenereerde certificaten te kunnen gebruiken, moet een aanvaller controle over het verkeer van zijn slachtoffer hebben. Dit kan bijvoorbeeld bij een open draadloos netwerk of in een land waar de overheid de internetproviders opdraagt dit te doen.

Verbannen
Browserleveranciers besloten om eerst de eigen merk certificaten van DigiNotar te blokkeren, omdat er geen aanwijzingen zouden zijn dat de PKI Overheid certificaten ook gecompromitteerd waren. Na onderzoek bleek dit toch niet te kunnen worden uitgesloten, waarop het vertrouwen in DigiNotar door zowel de Nederlandse overheid als alle grote browserleveranciers voor beide certificaten werd opgezegd. Daardoor kunnen internetgebruikers bij het bezoeken van overheidswebsites tegen certificaat-waarschuwingen aanlopen.

Inmiddels blijkt dat er meer dan 500 frauduleuze certificaten zijn gegenereerd, voor allerlei populaire domeinen, zoals Skype, addons.mozilla.com, Tor Project en Microsoft.com. Ook de slechte communicatie van zowel DigiNotar als moederbedrijf VASCO, dat het Beverwijkse bedrijf begin dit jaar voor 10 miljoen euro kocht, houden de gemoederen bezig. De aanval vond rond 10 juli plaats en werd op 19 juli door DigiNotar opgemerkt. Toch werden betrokken bedrijven en browserleveranciers niet ingelicht en kwam de aanval pas 29 augustus aan het licht.

Vertrouwen
Pas na de ontdekking van een Iraanse internetgebruiker gaf het bedrijf toe dat het door een aanval was getroffen. Inmiddels is de overheid alle DigiNotar certificaten voor overheidssites aan het vervangen en is het bedrijf inmiddels ook uit de meeste browsers verbannen. Toch geeft het volgens vele experts aan dat één rotte appel het vertrouwen van het gehele SSL-systeem kan ondermijnen.

De ontwikkelingen rondom DigiNotar blijven in hoog tempo doorgaan. In dit dossier, zie gerelateerde artikelen rechts, zal Security.nl de laatste nieuwsfeiten, artikelen en aanvullende berichten vermelden.

Interessante links


Video

(ontbreekt er een link, video of PDF? Laat het ons weten via redactie@security.nl of laat een reactie achter)
Reacties (4)
05-09-2011, 23:17 door Bitwiper
Door de vele artikelen weet ik niet of het al ergens anders gemeld is, maar het rapport van Fox-It kan hier worden gedownload: http://www.rijksoverheid.nl/onderwerpen/cybercrime/documenten-en-publicaties/rapporten/2011/09/05/diginotar-public-report-version-1.html.

Edit 2011-09-06 11:32: de URL was gewijzigd, gecorrigeerd (oude was http://www.rijksoverheid.nl/onderwerpen/cybercrime/documenten-en-publicaties/rapporten/2011/09/05/fox-it-operation-black-tulip.html).
06-09-2011, 12:33 door Anoniem
Diginotar was in 2006 al gewaarschuwd dat er gaten zaten in de beveiliging.
Hun typische arrogante reactie was: "We voldoen aan de voorschriften!".

Zo lang er geen autoriteit is die Daadwerkelijk optreed als het misstanden gemeld worden, is het natuurlijk hopeloos.

En zo moeilijk is het niet om het goed te doen, moet alleen al die arrogante theoretische experts er uit donderen met hun papieren achtergrond.
07-09-2011, 10:02 door Anoniem
ik denk dat het wettelijjk verplicht stellen van het melden van een hack nu een sneltrein vaart gaat nemen; eindelijk.

Ik kots al jaren van de achterbakse doofpot cultuur.
Zo als ik het zelf heb meegemaakt toen ik ontdekte dat de database van Euronext eenvoudig toegankelijk en aanpasbaar was.
Ze bedreigen en intimideren je, laten je achtervolgen door particulieren recherce en nog meer zaken die het daglicht niet kunnen verdragen.

Ik hoop ook dat de overheid nu eindelijk de incompetentie van het gros van de IT-security bedrijven in ziet en daar mee projecten als het EPD minstens voor de eerst komende 20 jaar in de ijskast zetten.

En geef detandeloze tijger cbp ook eens een paar vlijmscherpe sabeltanden.
Dan hebben mensen die misstanden ontdekken tenmiste wat vuurkracht.


Greetingz,
Jacco
11-09-2011, 12:07 door Anoniem
Dat het vertrouwen in het certificaten systeem er niet meer is, is bijvoorbeeld ook te lezen in het paper dat op http://cryptome.org/ssl-mitm.pdf gedownload kan worden. Een Peer-to-Peer (P2P) security and authentication systeem heeft deze problemen niet in tegenstelling tot een trusted third party (TTP) certificaten systeem. Op de links http://bit.ly/fqxch en http://bit.ly/fqxwuala zijn korte presentaties te vinden van een operationeel systeem dat gebaseerd is P2P security en authentication en true quantum randomness. Dit systeem is sinds 2007 operationeel en zal tot minimaal 2030 operationeel blijven.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.