Tientallen valse SSL-certificaten op internet ontdekt
Onderzoekers hebben op internet tientallen valse SSL-certificaten ontdekt die voor man-in-the-middle-aanvallen op internetgebruikers kunnen worden ingezet. SSL-certificaten laten gebruikers de identiteit van een website controleren en versleutelen het verkeer tussen website en bezoekers.
De valse SSL-certificaten zijn voor allerlei websites aangetroffen, zoals Facebook, Google, mailservers, iTunes, YouTube en verschillende banken. Een aanvaller die met de valse SSL-certificaten tussen één van deze websites en het slachtoffer gaat zitten zal bij veruit de meeste browsers een certificaatwaarschuwing veroorzaken, zodat de gebruiker kan weten dat er iets mis is en hij mogelijk wordt aangevallen.
Dat is echter een ander verhaal bij mobiele gebruikers, zo waarschuwen onderzoekers van internetbedrijf Netcraft die de certificaten ontdekten. Uit eerder verschenen onderzoek blijkt dat 40% van de onderzochte mobiel bankieren apps niet het SSL-certificaat controleert. In dit geval kan een aanvaller zich wel tussen de gebruiker en de bank plaatsen zonder dat dit wordt opgemerkt. Het zijn dan ook vooral deze apps die een aantrekkelijk doelwit voor man-in-the-middle-aanvallen zijn, stelt Paul Mutton van Netcraft.
aanmaken? Lijkt me niks bijzonders dat zo iets wordt aangetroffen.
Interessant wordt het pas als je een vals certificaat aantreft wat geen waarschuwing veroorzaakt.
Maar ook dat is nog niks bijzonders want er zijn zoveel uitgevers van vertrouwde certificaten dat er altijd wel een tussen
zal zitten waar je er een kunt "ritselen", zeker als je doel maar nobel genoeg is.
Applicaties die geen foutcodes checken.... tja. Nitwits heb je overal.
Daarnaast is het nog maar weer eens een illustratie dat het huidige koop-je-vertrouwen-model gewoon fundamenteel onredbaar kapotstukdefect is.
Als je het heel netjes doet, controleer je de publieke sleutel van het certificaat handmatig, met de verse die de website zelf opgeeft. Al heb ik bij banken nog nooit een separate vermelding van de publieke sleutel gezien. Maar van een banking app zou je toch verwachten dat de publieke sleutel hardcoded in de app zelf zit. Dan kan hij maar met één specifiek certificaat werken en de rest is direct ongeldig, ook al zijn zij door een andere root authory gewaarborgd.
Nadeel is dat dat de app direct ongeldig is als het certificaat vernieuwd wordt, maar dat kun je ook nog wel iets aan doen door twee certificaten te accepteren met verschillende vervaltijd.
Mocht er dan een ander certificaat opduiken, geeft EMET een waarschuwing.
Werkt echter alleen met Microsoft Explorer voor zover ik weet.
Mocht er dan een ander certificaat opduiken, geeft EMET een waarschuwing.
Werkt echter alleen met Microsoft Explorer voor zover ik weet.
Ik gebruik hier zo'n extensie "certificate patrol".
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
