image

Egyptisch bedrijf: malafide Google-certificaten waren foutje

donderdag 26 maart 2015, 15:26 door Redactie, 7 reacties

Het Egyptische bedrijf dat malafide SSL-certificaten voor verschillende websites van Google had gegenereerd noemt het een foutje dat Google uiteindelijk achter de certificaten kwam en alarm sloeg. Het was namelijk niet de bedoeling dat de certificaten werden ontdekt. Deze week waarschuwde Google internetgebruikers voor malafide Google-certificaten die door het Egyptische MCS Holding waren aangemaakt. Via de certificaten zou een aanvaller Man-in-the-Middle- en phishingaanvallen op internetgebruikers kunnen uitvoeren, om zo wachtwoorden en de inhoud van versleuteld verkeer te onderscheppen.

MCS Holding is een Egyptisch beveiligingsbedrijf dat zakelijke netwerkoplossingen levert. Het was echter een zogeheten "intermediate" certificaatautoriteit (CA) geworden, die aan de Chinese certificaatautoriteit CNNIC was gekoppeld. SSL-certificaten die van een intermediate certificaatautoriteit afkomstig zijn hebben de volledige autoriteit van de CA waaronder ze vallen. Met name Mozilla had grote kritiek op CNNIC dat het MCS Holding toestemming had gegeven om als intermediate CA SSL-certificaten te genereren.

Het Egyptische bedrijf stelt in een verklaring dat het een overeenkomst met CNNIC had gesloten om voor een periode van twee weken als intermediate CA te kunnen optreden. Dit zou nodig zijn voor het testen van een nieuw uit te rollen clouddienst. De test vond in een beveiligd laboratorium plaats waarbij de privésleutel van het CA-certifcaat, voor het genereren van SSL-certificaten, in een firewall was opgeslagen.

De firewall was echter ingesteld om automatisch certificaten te genereren voor websites die op internet werden bezocht. Tijdens een onbewaakt moment in het weekend zou één van de IT-ingenieurs hebben besloten om met Google Chrome te internetten. Chrome beschikt over certificaat pinning, waarmee websites kunnen aangeven door welke CA hun SSL-certificaat is uitgegeven. De browser zal vervolgens deze certificaten op een whitelist plaatsen.

Wordt voor de website een SSL-certificaat gebruikt dat door een andere CA is uitgegeven, dan slaat de browser alarm. Nadat MCS Holding door CNNIC was ingelicht werd het certificaat direct uit de firewall verwijderd en werden alle betrokken partijen gewaarschuwd. Volgens het Egyptische bedrijf gaat het om een menselijke fout die onbedoeld plaatsvond. "We hebben geen aanwijzingen op misbruik en we adviseren dan ook niet dat mensen hun wachtwoord gaan wijzigen of andere actie ondernemen", aldus een woordvoerder van het bedrijf.

Maatregelen

Inmiddels heeft Google het intermediate certificaat van MCS Holding ingetrokken en heeft ook Microsoft een update onder Windowsgebruikers uitgebracht. Uit de omschrijving van de softwaregigant blijkt dat er certificaten voor de domeinen *.google.com, *.google.com.eg, *.g.doubleclick.net, *.gstatic.com, www.google.com, www.gmail.com en *.googleapis.com waren aangemaakt. Firefox komt volgende week met een update om het certificaat in te trekken.

Op de mailinglist van Mozilla-ontwikkelaars is na het incident een verhitte discussie losgebarsten of CNNIC ook niet schuldig is, omdat het allerlei regels zou hebben overtreden. Daarbij willen sommigen dat CNNIC uit de root store van Firefox wordt verwijderd. Mocht Mozilla dit doen dan kan dit zeer grote gevolgen voor met name Chinese Firefoxgebruikers hebben, die daardoor HTTPS-sites met SSL-certificaten van CNNIC en daaronder hangende intermediate CA's niet meer kunnen bezoeken. De Chinese CA heeft Mozilla dan ook gevraagd om CNNIC niet uit de root store te verwijderen.

Reacties (7)
26-03-2015, 15:41 door buttonius
Staat er nu echt dat het foutje is dat Google er achterkwam (en niet het feit dat ze een vals certificaat hadden gemaakt)?

Verderop lijkt te staan dat hun firewall was ingesteld om voor elke bezochte web site een vals certificaat aan te maken. Waar waren deze gasten mee bezig?
26-03-2015, 15:50 door Anoniem
Door buttonius: Staat er nu echt dat het foutje is dat Google er achterkwam (en niet het feit dat ze een vals certificaat hadden gemaakt)?

Verderop lijkt te staan dat hun firewall was ingesteld om voor elke bezochte web site een vals certificaat aan te maken. Waar waren deze gasten mee bezig?

dit is een feature van een firewall, die daarmee alle https verkeer tussen de client in het netwerk en de server op het internet doorsnuffelbaar maakt, en bijvoorbeeld gmailtjes met de woorden "classified files" of sollicitatie eruitfiltert en rapporteert.
vervelend voor een medewerker, maar wel erg prettig voor een firewall-eigenaar.
Lijkt me ook niks mis mee, mist aangekondigd in een personeelshandboek en tijdens een sollicitatieprocedure.
Prive-surfen doe je maar niet met een company-device of via een company netwerk.
26-03-2015, 17:15 door Anoniem
Het Egyptische bedrijf stelt in een verklaring dat het een overeenkomst met CNNIC had gesloten om voor een periode van twee weken als intermediate CA te kunnen optreden. Dit zou nodig zijn voor het testen van een nieuw uit te rollen clouddienst. De test vond in een beveiligd laboratorium plaats waarbij de privésleutel van het CA-certifcaat, voor het genereren van SSL-certificaten, in een firewall was opgeslagen.
Huh? Hoezo nodig? Als je in een beveiligd laboratorium werkt en de kennis hebt om als intermediate CA op te treden dan heb je ook de kennis en de mogelijkheden om in dat lab een eigen root CA op te zetten voor testdoeleinden en de certificaten daarvan in alle daar geïnstalleerde browsers te configureren. Je kunt dit soort tests doen zonder dat daar buiten het lab iets voor geregeld moet worden, met certificaten die buiten het lab dan ook nooit of te nimmer voor geldig kunnen worden versleten.

En dat horen zowel MCS als CNNIC verdomd goed te weten.
26-03-2015, 19:16 door Anoniem
Het gebruikelijke liedje weer. Een CA kan zomaar een subCA uitgeven en er is "niks aan de hand".
En de uitgevende CA kan niet worden verwijderd wegens "te veel impact".

Vreemd dat men dit systeem vertrouwt...
26-03-2015, 23:44 door Anoniem
@ 19:16 Anoniem,

Inderdaad, vreemd!
27-03-2015, 09:53 door Anoniem
Door Anoniem: Het gebruikelijke liedje weer. Een CA kan zomaar een subCA uitgeven en er is "niks aan de hand".
En de uitgevende CA kan niet worden verwijderd wegens "te veel impact".

Vreemd dat men dit systeem vertrouwt...

jij leent een OS van Bill gates, of krijgt er een van Linus, waarmee je DUS hen vertrouwd om je PC ervaring een goede te laten zijn. ZIJ vertrouwen een stel ROOT-CA's, en JIJ daarmee ook. Vertrouw je er een paar niet, dan gooi je die er maar lekker zelf uit.
En als je door een CA te verwijderen ineens je favvy website stuk maakt, dan is dat een keuze die je hebt.
Als je PC's maar stom vind, dan ga je lekker fietsen buiten, en een ambacht leren. ;-)
of je vind een beter systeem uit.

Het is een systeem dat gebaseerd is op vertrouwen, en dat wordt inderdaad geschaad door overheden en bedrijven, maar dit is wat het is, en wat we hebben.
Dus als je klaar bent met gelijk hebben, wat ga je er dan aan doen?
27-03-2015, 14:28 door ph-cofi - Bijgewerkt: 27-03-2015, 14:29
Het is een systeem dat gebaseerd is op vertrouwen, en dat wordt inderdaad geschaad door overheden en bedrijven, maar dit is wat het is, en wat we hebben.
Dus als je klaar bent met gelijk hebben, wat ga je er dan aan doen?

"Certificaten voor dummies" lezen? (heeft betrekking op ph-cofi, die geen denigrerende taal richting andere bezoekers zal gebruiken)
Met een heel erg kale certificatenlijst beginnen en kijken of je alle gebruikelijke sites kunt bezoeken? Vervolgens vraag ik me af of software updates al die andere certificaten weer terugbrengt? Of kan ik van een firewall een certificatenbewaker maken voor het hele interne netwerk?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.