Nieuws
image

SSL-uitgever verstrekt certificaat aan malwaremaker

donderdag 21 februari 2013, 11:26 door Redactie, 4 reacties

De Amerikaanse Certificate Authority (CA) DigiCert heeft ten onrechte een certificaat aan malwaremakers verstrekt, die daarmee malware signeerden om internetgebruikers mee te infecteren. Gesigneerde bestanden genereren in Windows een minder opvallende waarschuwing en laten de gebruiker zien dat het bestand van een geverifieerde uitgever afkomstig is.

DigiCert gaf op 19 november van vorig jaar een certificaat voor het Franse bedrijf NS Autos uit. Volgens de Franse bedrijvenpagina Societe.com was er korte tijd in Frankrijk een bedrijf onder deze naam actief, maar ging het in 2011 failliet. Ruim voor het verstrekken van het certificaat door DigiCert.

Banking Trojan
Malwaremakers gebruikten het certificaat voor het signeren van allerlei malware. Het Slowaakse anti-virusbedrijf ESET vond in de database meer dan 70 met het certificaat gesigneerde bestanden. Het gaat onder andere om een banking Trojan die van een virtueel toetsenbord afkijkt om de pincode van het slachtoffer te bemachtigen.

Vervolgens moet het slachtoffer een via sms verkregen code invoeren. Deze code wordt door de criminelen gebruikt om een begunstigde aan de rekening van het slachtoffer toe te voegen. De gestolen gegevens worden vervolgens via FTP of naar een Gmail-adres gestuurd.

Ransomware
Een ander gesigneerd malware-exemplaar vergrendelt de computer. In tegenstelling tot veel andere ransomware die zich voordoet als een waarschuwing van een politiekorps, laat deze variant het slachtoffer geloven dat hij zijn computer bij Microsoft moet registreren. Hiervoor moet een bedrag van 4 dollar worden betaald.

Vervolgens wordt de gebruiker doorgestuurd naar een andere pagina om daar een product van 50 dollar aan te schaffen, dat wederom malware is.

"Hoewel het signeren van code bedoeld is om te laten zien dat het van de juiste partij afkomstig is en tijdens het downloaden niet is gemanipuleerd, kan het gebruikers een vals gevoel van veiligheid geven", zegt Stephen Cobb. Het ten onrechte verstrekte certificaat zou inmiddels zijn ingetrokken.

Reacties (4)
21-02-2013, 12:02 door Anoniem
Hiermee zou het doodvonnis van het gehele certificaten systeem getekend moeten zijn. Hoe vaak gebeuren dit soort zaken en hoe vaak verdwijnen zaken in de doofpot? Het gehele systeem is, mijns inziens, geheel onbetrouwbaar geworden omdat wij als gebruikers niet meer kunnen controleren of een certificaat nu valide is of niet.
Tijd voor iets anders dus .... maar wat?
21-02-2013, 12:06 door Anoniem
"CAs beschermen je tegen degenen van wie ze geen geld aannemen."

Bedenk ook even hoeveel van die CAs er zijn, herinner je dat het niet de eerste keer is, en het moet je duidelijk worden dat dit ook niet de laatste keer zal zijn. Het PKI model is op termijn gewoon niet houdbaar.
21-02-2013, 15:31 door Anoniem
Door Anoniem: Hiermee zou het doodvonnis van het gehele certificaten systeem getekend moeten zijn.
Wat mij betreft al een paar incidenten geleden. Maar er zit gewoon teveel geld in.

Meta-puntje: Laat het maar aan de vrije markt over, dan, uhm, blijven misstanden bestaan zolang ze maar genoeg poet opleveren?

Tijd voor iets anders dus .... maar wat?
Iets waar je niet afhankelijk bent van een (van de 650+) single points of failure ("enkelvoudige breekpunten"?). Het "dan zoek je toch een ander"-model werkt hier duidelijk niet. Wellicht is het voldoende om meerdere garantiegevers toe te staan, en daar een bruikbaar model op te bouwen.

Voorlopig echter wordt je als eindgebruiker gedwongen heel die collectie rootCAs in je browser te vertrouwen, en is het zelfs experts eigenlijk niet mogelijk daar behoorlijke keuzes te maken. Ziedaar een mooie ingang om een lange, pijnlijk gedetailleerde lijst te maken van de vele manieren waarop PKI faalt.

Te beginnen met de bedroevend slechte manier om zelfs maar een certificaat te bekijken. Ik bedoel, het openssl textdump formaat is tot daar aan toe --op de commandline is'ie bruikbaar als niet geweldig-- maar de individuele velden onder uitklapbare plusjes plakken in een popupje en dat dan als "gebruiksvriendelijke versie" presenteren, is best wel hemeltergend nixnuttig, eigenlijk. (Huiswerk: waarom is dat zo?)

Dus. Lijstje beginnen?
21-02-2013, 18:33 door Anoniem
Deze plugin gaan gebruiken?

https://www.security.nl/artikel/38047/1/Firefox-plugin_omzeilt_SSL_Certificate_Authorities.html

Convergence is dan ook ontwikkeld om CA's te vervangen. In plaats van een Certificate Authority, is er een 'notaris' die de authenticiteit van het SSL-certificaat controleert, tijdens de eerste keer dat de gebruiker de website bezoekt. De certificaten worden lokaal door de browser opgeslagen en bij volgende bezoeken gecontroleerd. Zolang de certificaten overeenkomen, is er geen noodzaak om de notaris te benaderen. Tijdens de DefCon hackerconferentie won Whisper Systems de award voor privacybeschermer.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure