image

Onderzoeker: rootcertificaten stilletjes aan Windows toegevoegd

zaterdag 27 juni 2015, 15:24 door Redactie, 12 reacties

Microsoft heeft stilletjes 18 nieuwe rootcertificaten aan Windows toegevoegd, zonder dat hier ergens melding van is gemaakt. Dat beweert een onderzoeker met het alias "Hexatomium". Rootcertificaten bepalen welke SSL-certificaten door het besturingssysteem worden vertrouwd.

Het is daarom belangrijk om te weten van welke organisaties en certificaatautoriteiten het rootcertificaat is toegevoegd. De onderzoeker meldt dat hij de nieuwe rootcertificaten via de RCC-auditingtool heeft ontdekt. Via het programma kunnen gebruikers controleren welke rootcertificaten er in de Windows root CA store aanwezig horen te zijn en welke er stilletjes zijn toegevoegd.

Behalve de SHA1-hash van de certificaten en naam van de bijbehorende certificaatautoriteit is er nog geen aanvullende informatie beschikbaar. Op Hacker News laat een gebruiker weten dat de certificaatautoriteit met de naam RXC-C2 eigenlijk Cisco is. Opmerkelijk genoeg stelt Cisco in de eigen documentatie over het Cisco RXC certificaatbeleid (pdf) dat certificaatautoriteiten altijd betekenisvolle namen moeten gebruiken. Veder staan in de lijst van toegevoegde rootcertificaten onder andere certificaten van de Zweedse, Tunesisch en Indiase overheid.

Reacties (12)
27-06-2015, 16:11 door FSF-Moses
Handig tooltje! Zou die pagina even in de gaten houden voor een handige GUI.
27-06-2015, 16:56 door mcb
Alleen niet handig dat die link wordt redirected naar https://www.wilderssecurity.com/threads/rcc-check-your-systems-trusted-root-certificate-store.373819/ en dat die site gebruik maak van een selfsigned certificate waardoor mijn browser steeds waarschuwingen geeft.
Nu is deze site niet zo bijzonder, maar onhandig is het wel.
27-06-2015, 22:07 door Anoniem
Door mcb: Alleen niet handig dat die link wordt redirected naar https://www.wilderssecurity.com/threads/rcc-check-your-systems-trusted-root-certificate-store.373819/ en dat die site gebruik maak van een selfsigned certificate waardoor mijn browser steeds waarschuwingen geeft.
Nu is deze site niet zo bijzonder, maar onhandig is het wel.

Zou die website niet een Trojaans paard kunnen zijn!!
27-06-2015, 22:30 door [Account Verwijderd] - Bijgewerkt: 27-06-2015, 22:52
[Verwijderd]
28-06-2015, 07:21 door [Account Verwijderd]
[Verwijderd]
28-06-2015, 11:10 door Anoniem
Op deze stiekeme wijze wordt het dan ook mogelijk om certificaten ongeldig te maken om het bezoek aan bepaalde kritische websites lastiger te maken of geheel te voorkomen. Ik snap niet waarom MS hier niet gewoon open in kan zijn, als ze niets te verbergen hebben kunnen het toch ook gewoon zeggen? Ik heb een hekel aan stiekem gedrag door producenten van software, uiteindelijk blijken ze allemaal iets te verbergen te hebben dat niet perse iets met onze veiligheid van doen heeft.
28-06-2015, 12:23 door Anoniem
Door pe0mot: Merkwaardig. Waar staan die 18 dan?
Ik kan ze niet vinden, en ga zeker geen software uit dubieuze bron gebruiken om het te controleren?

Je kunt ze standaard ook niet zien in Windows er worden maar een paar standaard meegeleverd, Windows heeft een library/API 'schannel' (spreekt uit als: s-channel want het staat voor Secure Channel) die wordt gebruikt door bepaalde Windows applicaties zoals IE om beveiligde verbindingen op te zetten.

De CA-lijst in Windows wordt voornamelijk gebruikt alleen door schannel applicaties.

De default instelling is dat schannel automatisch probeert nieuwe root-certificaten te downloaden als een applicatie een CA tegen komt die nog niet in de Windows lijst staat op jouw machine staat. Een CA-root-certificaat wordt dan automatisch gedownload van een Microsoft server. Natuurlijk alleen als Microsoft deze CA kent en 'veilig acht'.

Dit kan dus ook een speciale CA van de FBI, CIA of NSA of andere organisatie die jij mogelijk niet vertrouwd zijn met om het te verbergen de zelfde naam als een bestaande CA. Daar heb jij met de default instellingen helemaal geen invloed op.

Een andere manier om de CA-lijst op jouw machine bij te werken is via Windows update, Windows update wordt gebruikt om de 'root certificates' soms te updates (toevoegen en blacklisten: denk aan bijvoorbeeld DigiNotar).

Dus als er 17 of 18 nieuwe bij zijn gekomen dat maakt weinig uit als je de default instelling aan hebt staan en/of Windows updates want Microsoft heeft dus volledige controle over welke CAs zou machine vertrouwd.
28-06-2015, 12:38 door mcb
Door Anoniem 22:07:
Zou die website niet een Trojaans paard kunnen zijn!!
Volgens mij bedoelde je wat ander dan "trojaans paard" maar dat terzijde.

Het is een forum site over security onderwerpen.
Ik denk dat het risico wel te overzien is. (het helpt natuurlijk ook als je noscript in je browser hebt)
28-06-2015, 21:32 door Spiff has left the building
Door Anoniem, za.27-06, 22:07 uur:
Zou die website niet een Trojaans paard kunnen zijn!!
Wat bedoel je?
Wilders Security Forums, of de trax.x10.mx/apps.html download locatie voor de RCC applicatie, of de RCC applicatie zelf?
Wat Wilders Security Forums betreft, dat is een keurig security forum.
En wat betreft de https-pagina van Wilders Security Forums, als je browser daarmee een SSL foutmelding geeft, dan pak je simpelweg de http-pagina.
28-06-2015, 23:24 door Anoniem
Lieve mensen, leer nu eens af dat een "onbekend" https certificaat onbetrouwbaar is. Het is gewoon geparkeerd op een niet commerciële plaats m.a.w. meestal op de server zelf waar je naar toe gaat. Als je graag wil betalen om je publieke sleutel op een "vertrouwde" plek (lees bijvoorbeeld diginotar....) te parkeren krijg je geen melding. Dat is dan ook het enige verschil.... voor de encryptie die plaatsvindt maakt het geen bal uit. Je houdt het certificaat op je eigen server of je betaalt jaarlijks om het op een (voor je browser) bekende plaats onder te brengen.
Lees: https://nl.wikipedia.org/wiki/Secure_Sockets_Layer
29-06-2015, 10:48 door Anoniem
Door Anoniem: Lieve mensen, leer nu eens af dat een "onbekend" https certificaat onbetrouwbaar is. Het is gewoon geparkeerd op een niet commerciële plaats m.a.w. meestal op de server zelf waar je naar toe gaat. Als je graag wil betalen om je publieke sleutel op een "vertrouwde" plek (lees bijvoorbeeld diginotar....) te parkeren krijg je geen melding. Dat is dan ook het enige verschil.... voor de encryptie die plaatsvindt maakt het geen bal uit. Je houdt het certificaat op je eigen server of je betaalt jaarlijks om het op een (voor je browser) bekende plaats onder te brengen.
Lees: https://nl.wikipedia.org/wiki/Secure_Sockets_Layer

Klinkt goed, maar volgens mij werken we met betaalde certificates, omdat iemand anders dan controleert of het klopt. Een self-signed certificate is niet te controleren, wanneer ik een besmette kopie van een site maak, en gebruik net als het origineel een self-signed certificate, dan valt alle controle weg.

Voor de werking van de encryptie heeft het geen effect, dat klopt, maar voor de verificatie van de verzender wel! Natuurlijk vooropgesteld, dat de leverancier van het certificaat zijn boeltje op orde heeft en geen diginotar speelt.
30-06-2015, 22:32 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.