Wat is er precies vals aan het certificaat?

Ok dat is dus geen certificaat in de zin dat het niet gecertificeerd is.
Maar wat als iemand gewoon een certificaat aanvraagt op naam van een of andere fake organisatie waarvan de naam er wel geloofwaardig uit ziet?
Is dat dan een vals certificaat?

Want dat is tenslotte het enige wat een certificaat doet. Een stukje vertrouwen koppelen aan een naam.
Wat voor vertrouwen?

Intrigerend hè, die duidelijk afwijkende certificaten?

Zelf geloof ik dat het niets te maken heeft met het slachtoffer.
Ik vermoed dat het te maken heeft met time-stamping (versie-auteur-etc) en het kunnen identificeren van de besmettingsbron en de effectiviteit daarvan. Veel verschillende Reventon-versies (Citadel) bijvoorbeeld hebben namelijk dezelfde uKash accounts e.d. en het moet voor de malware-schrijver natuurlijk wel duidelijk zijn welke malware-klant via welke malware-muilezels geld "verdienen".

Ik moet wel zeggen dat ik nog te weinig samples heb om dit met harde feiten te kunnen onderschrijven eerlijk gezegd.

Stof tot nadenken: Wanneer heb je als crimineel iets aan dit self-signed certificate? In een veilige omgeving gaan er toeters en bellen af als het certificaat niet klopt. Wanneer niet.

Helemaal mee eens, ik doe dat zelf ook vaak genoeg, (wetgeving gaat sowieso boven een UAC is mijn excuus, en dat van jou? :p) maar certificaten kijk ik toch wel helemaal door.


Daar tegenover, hoe veel méér moeite was het geweest om iets als "InterPol CA" te typen i.p.v. (volgens mij dus niet) willekeurige cijfers? Dan hadden ook wij nog een keer of 2 geknipperd met de ogen waarschijnlijk...

Ik kan wel met zekerheid zeggen dat ik 2 samples heb met verschillend genummerde certificaten, maar waar de payload EXACT (tot op de byte) hetzelfde is. Het blijft een aanname natuurlijk...

Een self-signed certificaat is niet vals. Het is gewoon een certificaat, en het certificeert zichzelf.

Als je een certificaat koopt bij verisign, dan krijg je een certificaat dat is gesigneerd door hun superspeciale "root" certificaat. Maar waarmee denk je dat het verisign certificaat gesigneerd is? Precies, zichzelf. Dat werkt zo bij alle "aanbieders" van certificaten. Denk daar maar eens over na.

Eigenlijk het enige verschil wat je als gebruiker ziet aan een "self-signed" certificaat is dat er niet een ander certificaat dat al in de grote collectie (~600 organisaties) certificaten die je al in je browser zitten voor dat nieuwe certificaat instaat. Dat moet belletjes laten rinkelen.

Maar wie let daar nou op? Heb je wel eens gekeken naar hoe zo'n "laat maar zien dan"-venstertje eruitziet? Zit vol met onbegrijpelijke bagger en om alle informatie te kunnen zien moet je nog een enorme hoop klikken ook. Dan is de infodump die je direct uit openssl kan trekken gewoon een stuk overzichtelijker. Maar er zijn maar weinig browsergebruikers die dat kunnen, of zelfs maar weten dat het kan, dus zitten ze met onoverzichtelijke rommel waar ze "op moeten letten" maar waarvan ze geen idee hebben wat ze op zou moeten vallen.

Dat gaat niet werken dus. En dus klikken ze maar door alle waarschuwingen heen, want wat moet je anders? Geen wonder dat het dan nog steeds misgaat ook al hebben alle "experts" onmiddelijk door dat het niet kosher is. Dan hadden ze maar hun software beter moeten schrijven.

dankzij het politie virus koop ik tegenwoordig weer de tuk en seventeen ? kost wel berg geld maar ook de playboy en penthousse zijn weer aanwezig dus politie virus bedankt ..