image

Trustwave geeft man-in-the-middle certifcaat uit

woensdag 8 februari 2012, 13:26 door Redactie, 6 reacties

Certificate Authority Trustwave heeft een certificaat aan een bedrijf uitgegeven waarmee het voor elke willekeurige server geldige certificaten kon aanmaken. Hiermee kon het bedrijf versleuteld verkeer van het personeel afluisteren, als die bijvoorbeeld Google en Hotmail gebruikten. Het certificaat in kwestie is inmiddels ingetrokken en Trustwave zegt dit soort certificaten niet meer in de toekomst te zullen uitgeven.

Volgens de certificaatuitgever werd het certificaat in een data loss prevention (DLP) systeem gebruikt, dat het lekken van vertrouwelijke bedrijfsgegevens moet voorkomen. Het DLP systeem plaatste zichzelf tussen het personeel en opgevraagde diensten en kon via het valse certificaat het versleutelde verkeer ontsleutelen.

Het bedrijf dat de valse certificaten genereerde bewaarde die, samen met de geheime CA sleutel, in een hardware security module (HSM). "Dit betekent dat zodra de vertrouwde, ondergeschikte root in het apparaat was geplaatst, kon het er niet meer worden uitgehaald", aldus Trustwave.

Reacties (6)
08-02-2012, 13:45 door Nimrod
Levensgevaarlijk zo'n wildcard... Ik hoop dat Microsoft Trustwave uit de vertrouwde CA's dondert
08-02-2012, 13:48 door Anoniem
Komt Trustwave hier vrijwillig mee naar buiten? Of hadden oplettende werknemers door dat thuis het certificaat van hotmail anders was dan op hun werk? Bijvoorbeeld omdat ze voorzichtig waren bij het lekken? Kan toch nog een heel verhaal aan vast zitten op deze manier.

Heeft Google Chrome ook niet haar eigen certificaten hardcoded in de browser tegenwoordig? Of komt dat eraan? Wel goed eigenlijk dan als dit zo is. Maakt het toch weer moeilijker af te luisteren.
08-02-2012, 15:58 door Anoniem
Lijkt mij een geval als bij DigiNotar: door alle browserleveranciers en OS leveranciers onmiddelijk alle certificaten van Trustwave laten revoken...

Leren de andere CA's ook meteen dat je netjes moet zijn/blijven.
08-02-2012, 15:59 door Anoniem
Wat omslachtig. Dit kan ook gewoon met SSL interceptie gedaan worden waarbij de corporate computers voorzien worden van de CA van het bedrijf in de trusted store. Bluecoat proxies doen dit bijvoorbeeld al vrij lang.
08-02-2012, 17:06 door Nimrod
@anoniem Ja totdat ze FireFox installeren en in een keer merken dat die zijn eigen trusted store heeft. Dan krijg je ook het grootste gezeik dat er is
09-02-2012, 16:27 door Anoniem
met dit cert kun je niet alleen binnen een bedrijf alles doen, maar ook daarbuiten. Een soort digitaal WMD. Trustwave is hiermee erger dan Diginotar en dient net zo failliet te gaan - de essentie van PKI is nu toch wel het raam uit.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.