DigiNotar-hackers blijken 531 certificaten te hebben vervalst
Bij de hack op de systemen van het Beverwijkse DigiNotar blijken in totaal meer dan 500 valse certificaten te zijn gegenereerd. Bijna een kwart van deze certificaten werd uitgegeven nadat DigiNotar de hack zelf medio juli had ontdekt.
Dit blijkt uit gegevens die Tor-ontwikkelaar Jacob Appelbaum van de Nederlandse overheid heeft ontvangen. Eerder vandaag heeft Appelbaum contact gehad met de Nederlandse overheid, waarna hij een lijst met maar liefst 531 certificaten heeft ontvangen die mogelijk zijn vervalst. Eerder werd nog uitgegaan van hooguit 250 stuks, nadat in de nieuwste Google Chrome-versie 247 certificaten van DigiNotar werden geblokkeerd.
In overleg met de Nederlandse overheid heeft de ontwikkelaar besloten de volledige lijst met getroffen certificaten te publiceren. "Het is geen mooie lijst en ik heb besloten dat ik deze ga vrijgeven. De mensen met wie ik heb gesproken van de Nederlandse overheid zijn het eens met deze actie."
Appelbaum heeft de lijst bekeken en komt tot de conclusie dat er enkele CA-roots waarschijnlijk nooit meer te vertrouwen zijn. Deze roots zijn DigiNotar Cyber CA, DigiNotar Extended Validation CA, DigiNotar Public CA 2025, DigiNotar Public CA - G2, Stichting TTP Infos CA en Koninklijke Notariele Beroepsorganisatie CA. Saillant detail is dat deze laatstgenoemde organisatie ooit verantwoordelijk was voor de oprichting van DigiNotar.
"De ergste certificaten zijn uitgegeven voor *.*.com en *.*.org, terwijl vervalste certificaten voor Windows Update en andere hosts in vergelijking minder schadelijk zijn", stelt Appelbaum. "De aanvallers hebben ook certificaten uitgegeven uit naam van andere CA's, zoals 'Verisign Root CA' en 'Thawte Root CA', al kunnen we niet bepalen of ze er in zijn geslaagd om onderliggende CA-certificaten uit te geven."
Uit een snelle inventarisatie van de lijst blijkt dat 124 certificaten zijn uitgegeven nadat DigiNotar medio juli de hack ontdekte. Dat kan er op duiden dat DigiNotar de gehackte systemen niet meteen heeft afgesloten, maar nog heeft door laten draaien nadat de aanval werd ontdekt. Een andere mogelijke verklaring is ernstiger: het zou kunnen zijn dat DigiNotar de systemen dacht te hebben gepatcht en deze weer online bracht, terwijl de hackers nog toegang hadden tot de server.
DigiNotar was één van de zes partijen die namens de Rijksoverheid ssl-certificaten mogen uitgeven, voor onder meer DigiD, de website van de Belastingdienst en de versleutelde communicatie tussen overheden en bedrijven. Tot aan vrijdag ging de overheid ervan uit dat het systeem waarmee DigiNotar ssl-certificaten die voor de overheid uitgeeft, niet zijn gekraakt. Toen bleek dat er mogelijk ook valse ssl-certificaten voor overheidsdiensten zijn gegenereerd, zegde minister Donner per direct het vertrouwen in het Beverwijkse ssl-bedrijf op.
Browsers zullen binnenkort foutmeldingen geven als websites een ssl-certificaat van DigiNotar gebruiken. De overheid adviseert niet door te gaan als de browser een foutmelding geeft. Dat advies is echter niet waterdicht: browsers geven nu nog geen foutmelding als het gebruikte certificaat van DigiNotar is. Bovendien werken sommige mensen met een browser die niet up-to-date is en dus helemaal geen melding zal geven.
Ondertussen zit de overheid niet stil en wordt er voor PKIOverheid CA gewerkt aan een overstap naar Getronics PinkRoccade voor DigiD. Deze overstap is technisch nog niet gereed, al meldt het certificaat al wel dat deze vanaf 4 september geldig is. Opvallend is dat het certificaat tot 1 januari 2012 geldig is. Het is niet bekend of het om een tijdelijke maatregel gaat.
Door de hack kon een server van kwaadwillenden zich voordoen als een andere, legitieme server. Mogelijk zijn de certificaten door de Iraanse overheid misbruikt om zijn inwoners te bespioneren, al kon Donner niet bevestigen of dat inderdaad zo is. Dat het bedrijf de hack anderhalve maand lang verzweeg en bovendien niet opmerkte dat er nog valse certificaten in omloop waren, maakte de kritiek nog heviger. Mogelijk is het bedrijf zelfs al sinds mei 2009 gehackt; er zijn bestanden op de DigiNotar-webservers ontdekt die daarop wijzen.
Reacties (133)
"Appelbaum heeft de lijst bekeken en komt tot de conclusie dat er enkele CA-roots waarschijnlijk nooit meer te vertrouwen zijn. Deze roots zijn DigiNotar Cyber CA, DigiNotar Extended Validation CA, DigiNotar Public CA 2025, DigiNotar Public CA - G2, Stichting TTP Infos CA en Koninklijke Notariele Beroepsorganisatie CA."
Ik denk dat geen enkel certificaat die de naam 'DigiNotar' draait nog te vertrouwen is. Juist in de wereld van beveiliging van cruciaal belang voor het bestaansrecht van de betreffende onderneming.
DigiNotar heeft niet alleen haar eigen bestaansrecht ondermijnd, maar ook die van de gehele CA-markt. Voor zover ik het nieuws de afgelopen jaren heb gevolgd, heeft er nog nooit een dergelijk 'schandaal' voorgedaan met betrekking tot deze certificaten. De 'onomstotelijke betrouwbaarheid' van de branche is ondermijnd. Wellicht niet terecht, maar er zal nooit meer op dezelfde manier naar CA-organisaties gekeken worden.
Het doet me enigszins denken aan hogeschool InHolland. Ook al heb je precies hetzelfde gedaan als een student van een andere hogeschool, de naam zal altijd een negatieve lading hebben, waardoor je een 'streepje achter' hebt op de rest. Zo zie ik de situatie ook in met betrekking tot de CA-branche.
Ik denk dat geen enkel certificaat die de naam 'DigiNotar' draait nog te vertrouwen is. Juist in de wereld van beveiliging van cruciaal belang voor het bestaansrecht van de betreffende onderneming.
DigiNotar heeft niet alleen haar eigen bestaansrecht ondermijnd, maar ook die van de gehele CA-markt. Voor zover ik het nieuws de afgelopen jaren heb gevolgd, heeft er nog nooit een dergelijk 'schandaal' voorgedaan met betrekking tot deze certificaten. De 'onomstotelijke betrouwbaarheid' van de branche is ondermijnd. Wellicht niet terecht, maar er zal nooit meer op dezelfde manier naar CA-organisaties gekeken worden.
Het doet me enigszins denken aan hogeschool InHolland. Ook al heb je precies hetzelfde gedaan als een student van een andere hogeschool, de naam zal altijd een negatieve lading hebben, waardoor je een 'streepje achter' hebt op de rest. Zo zie ik de situatie ook in met betrekking tot de CA-branche.
Er is een eerder geval geweest van een CA die gehackt is, de low cost certificate provider Comodo. Die hebben het echter gelijk gemeld en zijn daarom niet in de ban gedaan.
( http://www.f-secure.com/weblog/archives/00002128.html)
Dus voorlopig staat de branche nog wel overeind ook al verwacht ik dat we in de toekomst naar browser pinning gaan op een beperkt aantal CA´s, dus een oligopolie ipv open concurrentie. Dat laatste leidt tot prijsdumping en dat is moeilijk te verenigen met een goede beveiling.
Dat het DigiNotar niet opviel dat Google nooit klant was is vreemd. Dat ze na de hack geen kas zagen om zelfs maar hun eigen output te bekijken is een mirakel. Elke stageaire had op Maandagochtend toch even de uitgegeven certifcaten voor:
skype
facebook
yahoo
wordpress
twitter
login.livemail
mi6
cia
etc kunnen bekijken (zie de net gepubliceerde lijst van Appelbaum). Je hoeft geen veiligheidsexpert te zijn om je af te vragen waarom die plots allemaal klant geworden zijn en dat hun certificaat ook nog eens net na de hack afliep.
Als de Iraanse overheid de DNS servers omgeleid had naar eigen adressen met deze certificaten hadden ze dus als man in the middle als eerste bericht van ieder kritisch bericht aan de bovenstaande clubs. Er zijn daar no doubt doden gevallen om hier een paar centen te besparen.
Failliet gaan zal niet, want de nieuwe eigenaar heeft diepe zakken, maar strafvervolging wegens ernstige nalatigheid de dood, danwel mishandeling ten gevolge hebbend lijkt me gepast tegen de voormalige directie. Dit ast een civiele procedure tegen de eigenaar.
Overigens is dit nog lang niet opgelost door te revoken. Het internet cafe waar je als dissident binnenwipt, het bedrijf waar je werkt hebben beiden waarschijnlijk nog oude un upgedate browsers en Safari schijnt niet te weten hoe revocation moet. Dat laatste weet ik niet zeker, maar het wordt alom bericht.
(edit bron voor mijn laatste claim http://revoke.info/revoke...sl-certificates-properly/)
(edit2: zojuist word bekend dat van een aantal bekende sites de DNS adressen gewijzigd zijn door vermoedelijk Turkse hackers. Heeft niet direct met DigiNotar te maken, maar de combi vervalste certificaten en DNS hacks is explosief. Zie http://nakedsecurity.soph...legraph-register-ups-etc/)
( http://www.f-secure.com/weblog/archives/00002128.html)
Dus voorlopig staat de branche nog wel overeind ook al verwacht ik dat we in de toekomst naar browser pinning gaan op een beperkt aantal CA´s, dus een oligopolie ipv open concurrentie. Dat laatste leidt tot prijsdumping en dat is moeilijk te verenigen met een goede beveiling.
Dat het DigiNotar niet opviel dat Google nooit klant was is vreemd. Dat ze na de hack geen kas zagen om zelfs maar hun eigen output te bekijken is een mirakel. Elke stageaire had op Maandagochtend toch even de uitgegeven certifcaten voor:
skype
yahoo
wordpress
login.livemail
mi6
cia
etc kunnen bekijken (zie de net gepubliceerde lijst van Appelbaum). Je hoeft geen veiligheidsexpert te zijn om je af te vragen waarom die plots allemaal klant geworden zijn en dat hun certificaat ook nog eens net na de hack afliep.
Als de Iraanse overheid de DNS servers omgeleid had naar eigen adressen met deze certificaten hadden ze dus als man in the middle als eerste bericht van ieder kritisch bericht aan de bovenstaande clubs. Er zijn daar no doubt doden gevallen om hier een paar centen te besparen.
Failliet gaan zal niet, want de nieuwe eigenaar heeft diepe zakken, maar strafvervolging wegens ernstige nalatigheid de dood, danwel mishandeling ten gevolge hebbend lijkt me gepast tegen de voormalige directie. Dit ast een civiele procedure tegen de eigenaar.
Overigens is dit nog lang niet opgelost door te revoken. Het internet cafe waar je als dissident binnenwipt, het bedrijf waar je werkt hebben beiden waarschijnlijk nog oude un upgedate browsers en Safari schijnt niet te weten hoe revocation moet. Dat laatste weet ik niet zeker, maar het wordt alom bericht.
(edit bron voor mijn laatste claim http://revoke.info/revoke...sl-certificates-properly/)
(edit2: zojuist word bekend dat van een aantal bekende sites de DNS adressen gewijzigd zijn door vermoedelijk Turkse hackers. Heeft niet direct met DigiNotar te maken, maar de combi vervalste certificaten en DNS hacks is explosief. Zie http://nakedsecurity.soph...legraph-register-ups-etc/)
[Reactie gewijzigd door max3D op maandag 5 september 2011 00:56]
Dat is wel erg drastisch, let wel dat DigiNotar in feite wel de juiste procedure gevolgd heeft. Nadat ze de hack opgemerkt hebben is de overheid bericht en heeft het een onafhankelijke audit laten uitvoeren. Je kan ook wel stellen dat PWC hier de bal flink heeft laten vallen, dat die niet meer vuur aan hun schenen gelegd wordt in de media valt mij erg op. Als betaalde auditor mag je toch verwachten dat na een dergelijk voorval ingeschakeld te worden ze secuurder te werk gaan.
Audit kijkt alleen of de procedures goed zijn. Als je gehacked bent is een audit van je procedures totaal niet voldoende.
Waar staat trouwens dat ze de overheid toen hebben ingelicht? Ik heb dat niet gezien.
Waar staat trouwens dat ze de overheid toen hebben ingelicht? Ik heb dat niet gezien.
Als het goed is kijkt een audit naar de procedures en naar de inhoud. Als m'n vriendin een audit kreeg op de afdeling waar ze leiding gaf, werd er ook naar de procedures gekeken, en naar de inhoud van bepaalde dossiers. (steekproef, random aantal dossiers werden gedefineerd, en opgevraagd, waarvan dan zowel het digitale exemplaar als de papieren versie werden ingezien)Audit kijkt alleen of de procedures goed zijn. Als je gehacked bent is een audit van je procedures totaal niet voldoende.
[Reactie gewijzigd door arjankoole op maandag 5 september 2011 09:03]
enNadat ze de hack opgemerkt hebben is de overheid bericht en heeft het een onafhankelijke audit laten uitvoeren.
De tweede quote komt van Nu.nlOnduidelijk is waarom Diginotar, een onderdeel van beveiligingsbedrijf Vasco Data Security, niet eerder heeft aangegeven dat zij honderden certificaten ongeldig hebben moeten verklaren. De eerste hacks blijken namelijk al op 19 juli ontdekt te zijn. Ook de gedupeerde bedrijven zijn door de organisatie niet geïnformeerd totdat het nieuws naar buiten kwam via een Iraanse dissident.
Ook deed het bedrijf geen aangifte van de inbraak, maar belde het deze week met het Openbaar Ministerie dat daarop direct een onderzoek gelastte. Het bedrijf doet naar verluidt maandag aangifte. Diverse advocaten wijzen erop dat het niet melden strafbaar kan zijn als blijkt dat als gevolg van de hack mensen iets overkomt.
Het verhaal is eigenlijk deze week pas naar buiten gekomen. Bijna twee maanden na de hack. Lijkt mij niet meer in de categorie 'in feite de juiste procedure gevolgd'.
[Reactie gewijzigd door Jester-NL op maandag 5 september 2011 07:41]
Dat hangt natuurlijk af wat de vraag aan PWC was... als PWC alleen gevraagd is om de processen te beoordelen is het niet gek dat ze geen beveilingslek hebben gevonden.
Voor een dissident is het per definitie niet voldoende om te vertrouwen op de echtheid van certificaten. Een dissident zou eigenlijk een lijstje legitieme fingerprints van certificaten moeten hebben om die te controleren. Dat biedt de meeste zekerheid, zeker in het geval van internetcafé's.
Als een internetcafé of bedrijf op last van de overheid een aantal root- of intermediate-certificaten in de certificate-store van hun computers installeert dan ga je alsnog nat. De desbetreffende overheid kan dan alsnog klakkeloos alle certificaten genereren die ze maar willen, al dan niet met de gegevens uit de legitieme certificaten. De diverse velden uit een certificaat zijn kinderlijk eenvoudig in te vullen met de gegevens uit een legitiem certificaat. Alleen de fingerprints e.d. zijn in principe niet na te maken...
Als een internetcafé of bedrijf op last van de overheid een aantal root- of intermediate-certificaten in de certificate-store van hun computers installeert dan ga je alsnog nat. De desbetreffende overheid kan dan alsnog klakkeloos alle certificaten genereren die ze maar willen, al dan niet met de gegevens uit de legitieme certificaten. De diverse velden uit een certificaat zijn kinderlijk eenvoudig in te vullen met de gegevens uit een legitiem certificaat. Alleen de fingerprints e.d. zijn in principe niet na te maken...
Echter verwacht je dan dat elke dissident/terrorist/protester volledig op de hoogte is van digitale veiligheid... Volgens mij is dat een beetje te optimistisch, zeker als je kijkt naar de stand van techniek in betreffende landen.
Je snapt blijkbaar niet hoe certificaten werken.etc kunnen bekijken (zie de net gepubliceerde lijst van Appelbaum). Je hoeft geen veiligheidsexpert te zijn om je af te vragen waarom die plots allemaal klant geworden zijn en dat hun certificaat ook nog eens net na de hack afliep.
Een certificaat dat uitgegeven wordt krijgt (direct of indirect) een digitale handtekening van een root CA. maw het volstaat om de private key van het root CA te hebben om eender welk certificaat te tekenen.
In mensentaal: een willekeurig CA heeft een referentie naar het root CA, maar het root CA heeft geen enkele verwijzing naar alle CA's die het heeft goedgekeurd.
Eens de private key buitgemaakt is, heeft de uitgever van het root CA helemaal geen enkele controlemogelijkheid meer over wat er met het certificaat gebeurt. De enige actie die kan (en moet) genomen worden is het root CA revoken/terugroepen en opnieuw beginnen.
Voor het eerst dat ik nu (ook) de mensentaal versie snap.
Dit betekent dan dat dus ook dat 'tussen certificaten', waarvan de private key gestolen is, niet te vertrouwen zijn, ook al is het root certificaat nog wel te vertrouwen (bijv. van VeriSign). Alleen een private key van een bovenliggend certificaat is voldoende(?).
Dit betekent dan dat dus ook dat 'tussen certificaten', waarvan de private key gestolen is, niet te vertrouwen zijn, ook al is het root certificaat nog wel te vertrouwen (bijv. van VeriSign). Alleen een private key van een bovenliggend certificaat is voldoende(?).
Ik ben geen jurist, maar ik denk niet dat je ze daarvoor veroordeeld krijgt zonder een concreet slachtoffer aan te wijzen. Hoewel het absoluut mogelijk is dat er inderdaad doden zijn gevallen, dat ga je niet kunnen bewijzen (niet zonder de medewerking van Iran, die ze natuurlijk niet gaan geven). Ik vrees dat de "beste" aanklacht waar je ze op veroordeelt zou kunnen krijgen "grove nalatigheid (zonder aantoonbare, niet-financiële schade)" is.Failliet gaan zal niet, want de nieuwe eigenaar heeft diepe zakken, maar strafvervolging wegens ernstige nalatigheid de dood, danwel mishandeling ten gevolge hebbend lijkt me gepast tegen de voormalige directie.
Ik denk eerder dat gewoonweg GEEN enkel CA certificaat van wie dan ook nog betrouwbaar is, want wie geeft ons garantie dat de andere providers ook niet gehackt zijn (geweest).
Het is dan ook op vertrouwen gebaseerd. En ik vertrouw anderen heus wel, tot het tegendeel is bewezen.Ik denk eerder dat gewoonweg GEEN enkel CA certificaat van wie dan ook nog betrouwbaar is, want wie geeft ons garantie dat de andere providers ook niet gehackt zijn (geweest).
De root certificaten van diginotar echter, staan bij mij inmiddels handmatig op 'never trust' in de key chain.
Gezien meerdere commerciële Root CA's (inclusief de grootste op de markt) al meerdere malen bewezen hebben niet erg betrouwbaar te zijn, kan je dan maar beter niet al te veel vertrouwen hebben in de meeste SSL-certificaten...Het is dan ook op vertrouwen gebaseerd. En ik vertrouw anderen heus wel, tot het tegendeel is bewezen.
de vergelijking( en de concklusie) mbt hogeschool inholland vindt ik wat raar.
en zeker onterecht. uiteindelijk is elke afgestudeerde een individu,en geen enkele afgestudeerde is zomaar üitwisselbaar"met een andere, qua prestaties, kennis of kwaliteit.
dat je een bepaalde hogeschool hebt doorlopen zegt dus feitelijk niets.
ik mag tenminste hopen dat bedrijven iemand niet uitsluitend als een "papiertje" zien, wanneer ze iemand aannemen. waar zijn anders al die uitvoerige procedures voor met solliciteren. dan zou alleen het CV belangrijk zijn.
en zeker onterecht. uiteindelijk is elke afgestudeerde een individu,en geen enkele afgestudeerde is zomaar üitwisselbaar"met een andere, qua prestaties, kennis of kwaliteit.
dat je een bepaalde hogeschool hebt doorlopen zegt dus feitelijk niets.
ik mag tenminste hopen dat bedrijven iemand niet uitsluitend als een "papiertje" zien, wanneer ze iemand aannemen. waar zijn anders al die uitvoerige procedures voor met solliciteren. dan zou alleen het CV belangrijk zijn.
Goed, ik ben noob op dit gebied. Maar is de Iraanse overheid nu de belangrijkste verdachte? Wij hier allemaal zorgen maken over OVchip, slimme meter, rekeningrijden, terwijl buitenlandse overheden gewoon even het systeem hacken.
Ja dat vind ik ook zo vreemd, iedereen wijst met de vingers richting Iran. Maar niemand die ze er ook echt hard van beschuldigd en een internationale sancties op zet. 
Het mag internationaal blijkbaar allemaal!
We zullen nog druk hiermee bij de gemeente worden...
Het mag internationaal blijkbaar allemaal!We zullen nog druk hiermee bij de gemeente worden...
Waarschijnlijk kunnen ze wel zien waarvoor de meeste vervalste certificaten gebruikt zijn. En dat was waarschijnlijk om het Iraanse volk in de gaten te houden. En als je dat ziet kom je snel tot de conclusie dat Iran de dader is. Maar dat is geen bewijst en de regels die hier gelden betekenen niets in Iran.
We moeten eens stoppen met het wijzen naar partijen zonder dat we bewijzen hebben. Iran is momenteel nog 'maar een verdachte'. Laten we er niet meteen de dader van maken zonder die bewijzen.
En ja ik heb de pastebin gezien maar dit zegt natuurlijk niks. Iedere halve gare kan plaatsen op pastebin wat die wilt.
Of is er ander bewijs waar ik nog niks van af weet?
En ja ik heb de pastebin gezien maar dit zegt natuurlijk niks. Iedere halve gare kan plaatsen op pastebin wat die wilt.
Of is er ander bewijs waar ik nog niks van af weet?
Of we moeten wel meteen Iran als dader zien, het is immers modern het principe 'schuldig totdat het tegendeel is bewezen' te gebruiken in plaats van het wettelijke 'onschuldig totdat het tegendeel is bewezen'.
Zover ik weet is de bal gaan rollen doordat iemand in Iran opmerkte dat er iets raars wat met het certificaat dat gebruikt werd.
Daarmee is dus gelijk gezegd dat de overheid (of in ieder geval de provider waar de datalijn liep) de boel belazerde met een nep certificaat.
Daarmee is dus gelijk gezegd dat de overheid (of in ieder geval de provider waar de datalijn liep) de boel belazerde met een nep certificaat.
Uit de link naar de lijst...Of particular note is this certificate:
CN=*.RamzShekaneBozorg.com,SN=PK000229200006593,OU=Sare Toro Ham Mishkanam,L=Tehran,O=Hameye Ramzaro Mishkanam,C=IR
The text here appears to be be an entry like any other but it is infact a calling card from a Farsi speaker. RamzShekaneBozorg.com is not a valid domain as of this writing.
Thanks to an anonymous Farsi speaker, I now understand that the above certificate is actually a comment to anyone who bothers to read between the lines:
"RamzShekaneBozorg" is "great cracker"
"Hameyeh Ramzaro Mishkanam" translates to "I will crack all encryption"
"Sare Toro Ham Mishkanam" translates to "i hate/break your head"
Nee, het mag internationaal absoluut niet. Maar je moet onomstotelijk bewijs hebben, zeg maar gerust: bewijs dat een rechtzaak zonder meer overleefd.Maar niemand die ze er ook echt hard van beschuldigd en een internationale sancties op zet. Het mag internationaal blijkbaar allemaal!
Wijzen naar Iran is al 'zwaar' in diplomatieke kringen, op dit moment verder gaan dan dat is dom, want dat kost je op latere momenten veel als je het niet kunt hard maken.
Net zo onomstokelijk als de WOMD die Irak zou hebben, bedoel je?
Het was natuurlijk te verwachten dat Iran zich niet onbetuigd zou laten, zeker niet nadat ze zelf slachtoffer zijn geworden van een trojan die er op gericht was om hun nucleaire programma te ondermijnen. Wie kaatst kan de bal verwachten, toch?
Het was natuurlijk te verwachten dat Iran zich niet onbetuigd zou laten, zeker niet nadat ze zelf slachtoffer zijn geworden van een trojan die er op gericht was om hun nucleaire programma te ondermijnen. Wie kaatst kan de bal verwachten, toch?
Deze hackactie is natuurlijk geen reactie op de trojan.
Deze hack is puur een spionageactiviteit op de eigen burgers om eventuele opstanden a la Egypte en Libie op voorhand de kop in te drukken. De democratie in Iran is niets meer dan een lege huls.
Deze hack is puur een spionageactiviteit op de eigen burgers om eventuele opstanden a la Egypte en Libie op voorhand de kop in te drukken. De democratie in Iran is niets meer dan een lege huls.
Ik heb nog nergens toonaangevend bewijs gezien dat de Iraanse regering hier achter zit. Voor hetzelfde geld ..... Ik zeg maar niks als anti-amerika zijnde O.o
[Reactie gewijzigd door Vigilans op maandag 5 september 2011 21:15]
Beter is om gewoon de aanwezige beschikbare data voor zich te laten spreken en die zegt op dit moment vrij weinig, behalve dat er fraudulente certificaten uitgegeven zijn names een of meerdere personen c.q. groepen. Iran is een verdachte omdat ze in het verleden via Comodo al eerder certificaten buit gemaakt hebben.
Een vooringenomen mening zoals je jezelf "anti-Amerikaans" noemt helpt sowieso niet.
Een vooringenomen mening zoals je jezelf "anti-Amerikaans" noemt helpt sowieso niet.
Ahmadinejad wil hier natuurlijk wel gratis met de trein! En zorgen dat het rekeningrijden niet werkt want hij wil natuurlijk ook olie blijven verkopen.
De Google bugreport is anders behoorlijk duidelijk. Verkeer van gebruikers van een Iraanse ISP werd omgeleid en een Diginotar certificaat werd gebruikt om te voorkomen dat klanten het omleiden van verkeer zouden opmerken.
En andere instanties zoals de CIA of FSB zouden hier niets mee te maken 'kunnen' hebben ?
De politieke wereld is nooit betrouwbaar geweest, als het om "zwartmaken" van anderen gaat
Ik ben geen doemdenker, of aluhoedje-vouwer maar wie garandeert ons dat de CIA geen server geplaatst heeft bij betreffende Iraanse ISP.
Of erger, Diginotar is in handen van de Russische geheime diensten, en Comodo was destijds 'maar' een oefening.
Laat onderzoeken uitwijzen wat en waarom het gebeurt is, wat mij kwalijk lijkt is dat pas anderhalve maand NA ontdekking de grootte aan het licht komt, en fout op fout naar buiten komt
De politieke wereld is nooit betrouwbaar geweest, als het om "zwartmaken" van anderen gaat
Ik ben geen doemdenker, of aluhoedje-vouwer maar wie garandeert ons dat de CIA geen server geplaatst heeft bij betreffende Iraanse ISP.
Of erger, Diginotar is in handen van de Russische geheime diensten, en Comodo was destijds 'maar' een oefening.
Laat onderzoeken uitwijzen wat en waarom het gebeurt is, wat mij kwalijk lijkt is dat pas anderhalve maand NA ontdekking de grootte aan het licht komt, en fout op fout naar buiten komt
Ongelooflijk, dat je als CA gewoon denkt met een doofpot te kunnen wegkomen, terwijl je daarmee beveilinging én mensen in gevaar kan brengen.
Dat is het nadeel van werk uitbesteden aan commerciële bedrijven, die denken zo nu en dan nog wel eens alleen maar aan hun geld i.p.v. aan hun klanten.
En de overheid heeft nog nooit iets in de doofpot gestopt? Bouwfraudes, Brand in het Katshuis, Vuurwerkramp in Enschede en natuurlijk de Bijlmerramp hebben allemaal te doen gehad van overheden die hun eigen positie probeerden te beschermen en die maar al te graag mensen probeerden voor te liegen.
Ik vindt commerciële bedrijven betrouwbaarder. Als een overheid een fout begaat, dan hebben ze veel wettelijke middelen en bureaucratie om zich zelf te beschermen. En als ze worden betrapt, dan worden ze de burgemeester van een middelgrote woonplaats en doen ze wat commissie werk.
Commerciële bedrijven die worden gepakt lopen veel meer risico. DigiNotar is praktisch verwoest.Deze mensen hebben het vertrouwen geschaad en zijn tekort geschoten toen er mogelijke risico's bestonden. Zij zullen nooit meer dit werk kunnen verrichten en zullen daar voor altijd de gevolgen voor moeten dragen.
Dan verkies ik toch het vrije model, waarbij er tenminste zwaardere consequenties zijn. De pakkans zal geen verschil maken, maar op deze manier zal de markt in het vervolg wel meer transparantie en veiligheid afdwingen.
Ik vindt commerciële bedrijven betrouwbaarder. Als een overheid een fout begaat, dan hebben ze veel wettelijke middelen en bureaucratie om zich zelf te beschermen. En als ze worden betrapt, dan worden ze de burgemeester van een middelgrote woonplaats en doen ze wat commissie werk.
Commerciële bedrijven die worden gepakt lopen veel meer risico. DigiNotar is praktisch verwoest.Deze mensen hebben het vertrouwen geschaad en zijn tekort geschoten toen er mogelijke risico's bestonden. Zij zullen nooit meer dit werk kunnen verrichten en zullen daar voor altijd de gevolgen voor moeten dragen.
Dan verkies ik toch het vrije model, waarbij er tenminste zwaardere consequenties zijn. De pakkans zal geen verschil maken, maar op deze manier zal de markt in het vervolg wel meer transparantie en veiligheid afdwingen.
bouwfraude: bedrijven die dingen vekeerd deden en de overheid (of eigenlijk onze volksvertegenwoordigers) onderzocht dat, gezien de boetes e.d niet echt doofpot.
idem voor de vuurwerkramp: typisch voorbeeld van een nalatig bedrijf en een overheid welke beperkt is wat betreft controles, als se fireworks verplaatst zou zijn dan zou je ws ook hebben geklaagd over een overheid die in de "vrijheid" van de ondernemer had ingerepen neem ik aan?
Maw, valt wel mee met de overheid, zeker gezien hoe commerciele partijen het vaak verneuken (doofpotjes komen ook veel vaker voor in het bedrijfsleven)
idem voor de vuurwerkramp: typisch voorbeeld van een nalatig bedrijf en een overheid welke beperkt is wat betreft controles, als se fireworks verplaatst zou zijn dan zou je ws ook hebben geklaagd over een overheid die in de "vrijheid" van de ondernemer had ingerepen neem ik aan?
Maw, valt wel mee met de overheid, zeker gezien hoe commerciele partijen het vaak verneuken (doofpotjes komen ook veel vaker voor in het bedrijfsleven)
Ha-ha...Commerciële bedrijven die worden gepakt lopen veel meer risico. DigiNotar is praktisch verwoest.Deze mensen hebben het vertrouwen geschaad en zijn tekort geschoten toen er mogelijke risico's bestonden. Zij zullen nooit meer dit werk kunnen verrichten en zullen daar voor altijd de gevolgen voor moeten dragen.
Laat ik dit even vergelijken met de kreditcrisis, de mensen die die veroorzaakten zijn nog steeds in dienst of zijn met eervol ontslag gegaan samen met miljoenen aan gouden handrukken. Sterker nog, 'veroorzakers' zijn minister en adviseurs onder Bush geweest en zelfs Obama heeft nog adviseurs die bij grote Amerikaanse banken werkten in de periode 2000-2008. Bron? Inside Job, een documentaire over de kreditcrisis bekroond met een Oscar.
De kans dat individuele werknemers hun carriere aan de wilgen kunnen hangen acht ik op nul.
"terwijl vervalste certificaten voor Windows Update en andere hosts in vergelijking minder schadelijk zijn"
Welja, een miljard potentiele doelwitten. Helemaal niet schadelijk, toch?
Welja, een miljard potentiele doelwitten. Helemaal niet schadelijk, toch?
De windows updates packages zijn zelf nog eens door Microsoft digitaal ondertekend.
Dit is niet met een SSL certificaat te spoofen.
Dit is niet met een SSL certificaat te spoofen.
Ware het niet dat certificaten ook gebruikt kunnen worden om software pakketten digitaal te tekenen. als ze toegang hadden tot de CA, kunnen ze ook software certificaten genereren.De windows updates packages zijn zelf nog eens door Microsoft digitaal ondertekend.
Dit is niet met een SSL certificaat te spoofen.
Ik neem aan dat updates van Microsoft ondertekend moeten zijn door Microsofts certificaten, en niet door Diginotars certificaten?Ware het niet dat certificaten ook gebruikt kunnen worden om software pakketten digitaal te tekenen.
Iedereen kan softwarecertificaten genereren, dat wil nog niet zeggen dat ze geaccepteerd wordenals ze toegang hadden tot de CA, kunnen ze ook software certificaten genereren.
Windows Update Certificaten zouden alleen werken waar de overheden de controle tot het internet in handen hebben, zoals in Iran. En dan nog alleen onder zeer uitgekiende omstandigheden. Er is NOG geen bewijs dat het daadwerkelijk gelukt is een Windows Update vals te verspreiden. Ook is de digitale handtekening van Microsoft zelf niet gecompromitteerd. {/afkloppen}
http://webwereld.nl/nieuw...mijnt-windows-update.html
http://webwereld.nl/nieuw...mijnt-windows-update.html
Zo ver ik altijd Windows update heb begrepen vertrouwt het alleen certificaten die ondertekent zijn met een Microsoft CA. Dus https://windowsupdate.microsoft.com/ zou geen foutmelding geven, maar de 'window update' software juist weer wel.
Dat hangt er vanaf. Als het certificaat op 'explorer.exe' is uitgegeven door Microsoft CA, die uitgegeven is door de (gehackte) DigiNotar CA, dan kan het nog steeds. Dat is afhankelijk van hoe Microsoft het geïmplementeerd heeft. Als Microsoft tevens verreist (en dat verwacht ik wel) dat Microsoft CA de absolute ROOT CA is (dus niet uitgegeven door iemand anders) dan kan 't. Tevens zullen ze 't vast hebben gepint op een key fingerprint.Zo ver ik altijd Windows update heb begrepen vertrouwt het alleen certificaten die ondertekent zijn met een Microsoft CA. Dus https://windowsupdate.microsoft.com/ zou geen foutmelding geven, maar de 'window update' software juist weer wel.
Als ik (met firefox) naar windows update site ga... krijg ik een "niet vertrouwde verbinding" melding.
Dat klopt dus niet helemaal. (SSL-Cert is wel van Microsoft trouwens)
Dat klopt dus niet helemaal. (SSL-Cert is wel van Microsoft trouwens)
Met *.*.com en *.*.org kan SSL-verkeer naar alle .com en .org domeinen onderschept worden, inclusief windowsupdate.microsoft.com. Met die wildcard certificaten kan dus hetzelfde als met de windowsupdate certificaten, en meer. Dus ja, die zijn per definitie schadelijker."terwijl vervalste certificaten voor Windows Update en andere hosts in vergelijking minder schadelijk zijn"
Welja, een miljard potentiele doelwitten. Helemaal niet schadelijk, toch?
In het artikel staat "in vergelijking minder schadelijk", wat een prima verwoording is. Jij bent degene die daar "niet schadelijk" van maakt.Helemaal niet schadelijk, toch?
*.*.com en *.*.org... heavy
Eigenlijk apart dat zo'n soort certificaat geaccepteerd wordt in de client?
*.domain.tld is eigenlijk al dubieus, maar *.*.tld is erger.
Zou *.*.* ook werken?
'One cert to rule them all'...
*.domain.tld is eigenlijk al dubieus, maar *.*.tld is erger.
Zou *.*.* ook werken?
'One cert to rule them all'...
Als ik denk aan de Stuxnet-worm die gebruik maakte van 4 (?) 0-day exploits, dan maak ik me eerlijkgezegd niet teveel illusies wat de veiligheid betreft van SSL-certificaten. Ik wil zeggen: als een overheid erin slaagt een worm te schrijven die alle bestaande veiligheidsprogramma's kan omzeilen, dan kan zo'n overheid evenzeer binnenbreken bij verschillende certificaatuitgevende bedrijven, en z'n inwoners of inwoners uit andere landen afluisteren. Vrij interessant voor geheime diensten dus, en wellicht hoef je er niet aan te twijfelen dat zij dit nu al vrij actief aan het doen zijn.
SSL zal je wel nog beschermen tegen de common internet thief natuurlijk.
SSL zal je wel nog beschermen tegen de common internet thief natuurlijk.
[Reactie gewijzigd door TheBlackbird op zondag 4 september 2011 23:37]
Cyberwar is een nieuwe legetieme rede in de VS om een oorlog te beginnen, als Iran hierachter zit en als ze meerdere landen zoals de VS hebben gehackt. Dan is het game over voor Iran. Ze zitten nu ook nauwlettend naar hun nucliare ontwikkeling te kijken.
Ik vrees dat je gelijk hebt. Dit is echt Reden om eens Iran te grazen te nemen!
Wat bedoel je dan precies met 'te grazen nemen' ?
Lol. Ik neem aan dat dit sarcasme is.
Volgens mij begon Israel toch echt als eerste met Stuxnet, een virus om specifiek het Iraanse kernprogramma te saboteren.
http://nl.wikipedia.org/wiki/Stuxnet
http://nl.wikipedia.org/wiki/Stuxnet
Natuurlijk, dus die aanval was niet op de US gericht en daarnaast; Denk je nou echt dat de US ooit Israel zal laten vallen???
Irak was ook ooit een bondgenoot van de VS, dus ja dat kan zo maar gebeuren.
game over voor iran? geloof je dat nu zelf... Overigens geef ik Iran groot gelijk als ze met nucleaire wapens bezig zijn, zolang landen als de VS, Frankrijk en Israel(zogenaamd in het geheim) zelf nog wapens fabriceren hebben die IMHO totaal geen zeggenschap over andere landen, zeker een land als de VS niet, die hebben namelijk aangetoond dat zij onnodig nucleaire bommen op een land gooien en daarmee onnodig onschuldige burgerslachtoffers maken.
dat ik het niet fijn vindt dat iran er mee bezig zou zijn is een ander verhaal.
dat ik het niet fijn vindt dat iran er mee bezig zou zijn is een ander verhaal.
ja precies, laten we een dictatuur geleid door godsdienstwaanzinnige massavernietigingswapens gunnen omdat een aluhoedje aanneemt dat andere landen in het geheim nog kernwapens fabriceren...
hoe minder van dat soort wapens hoe beter..
hoe minder van dat soort wapens hoe beter..
Euhh, heb je het nu over de VS? Dan klopt jouw bewering wel alleen vergeet je er de term machtswellustelingen bij te vermelden dan klopt ie helemaal.
Die beschrijving van landen geleid door godsdienstwaanzinnigen klinkt alsof het ook eenvoudigweg op de VS kan slaan. Wellicht valt dat met de huidige president mee, maar als je ziet wat er geweest is en wat zich nu warmloopt...
Ik vraag me echt af met welk recht landen die zelf kernwapens te over hebben andere landen willen verbieden om die ook te bouwen. Niet dat ik het een prettig idee zou vinden als Iran kernwapens tot haar beschikking krijgt, maar datzelfde geldt voor Israel.
Ik vraag me echt af met welk recht landen die zelf kernwapens te over hebben andere landen willen verbieden om die ook te bouwen. Niet dat ik het een prettig idee zou vinden als Iran kernwapens tot haar beschikking krijgt, maar datzelfde geldt voor Israel.
Grappig dat jij de VS beschuldigd van het onnodig burgerslachtoffers maken met bommen. Je vergeet blijkbaar dat Nederland ook gewoon mee deed met het bombarderen van Duitse steden. Dus wat dat betreft heb je net zoveel reden om Nederland te beschuldigen als de VS. Ja natuurlijk is de schaalgrootte verschillend, maar het principe is hetzelfde.
Amerika heeft altijd een 2.5 regel gehad, dat betekend dat het militaire apperaat 2 oorlogen (major regional conflicts) en nog een bosbrandje ergens moet kunnen uitvechten. Amerika heeft die capaciteit echter nooit echt gehad. (algemeen bekend). Je maakt mij niet wijs dat ze naast Afghanistan en Irak, ook nog eens Iran zouden kunnen aanpakken.Dan is het game over voor Iran.
Dat nucleaire verhaal is - vind ik - tamelijk opgeblazen. Ja, Iran verrijkt Uranium, maar dat Uranium is hetzelfde als wat wij in Petten gebruiken. Dat is weliswaar verrijkt, maar nog lang geen weapon-grade uranium. Ik geloof dat ze - en dat blijkt ook uit allerlei rapporten en evaluaties - tot 9% gaan in Iran. Voor wapens heb je minimaal 90% nodig. (U-235, wat je in de natuur vind is maar 0,9% U-235).Ze zitten nu ook nauwlettend naar hun nucliare ontwikkeling te kijken.
[Reactie gewijzigd door arjankoole op maandag 5 september 2011 09:43]
De DigiNotar website is verre van up-to-date over de gang van zaken. Niet eens een verklaring. Dus nog steeds geen openheid van zaken. In principe is de webshop zelfs gewoon open.
De ironie: Als je op dit moment bij Diginotar een SSL certificaat wil aanvragen, dan wordt je naar een beveiligde verbinding op diginotar.nl geleid - en die geeft je browser dus als untrusted.
Ik denk niet dat er met deze aanhoudende opstelling veel mensen medeleiden zullen hebben als dit ze de kop kost. Er vanuit gaande dat ze niet nog wat mooie claims krijgen. De fout ingaan kan overal gebeuren, wat écht telt is hoe je ermee omgaat. Bizar dat ze zelfs nú die les nog niet geleerd hebben.
De ironie: Als je op dit moment bij Diginotar een SSL certificaat wil aanvragen, dan wordt je naar een beveiligde verbinding op diginotar.nl geleid - en die geeft je browser dus als untrusted.
Ik denk niet dat er met deze aanhoudende opstelling veel mensen medeleiden zullen hebben als dit ze de kop kost. Er vanuit gaande dat ze niet nog wat mooie claims krijgen. De fout ingaan kan overal gebeuren, wat écht telt is hoe je ermee omgaat. Bizar dat ze zelfs nú die les nog niet geleerd hebben.
tja, het is toch wel afgelopen nu met diginotar, dus waarom zouden ze nog moeite steken in een verklaring geven.
"De aanvallers hebben ook certificaten uitgegeven uit naam van andere CA's, zoals 'Verisign Root CA' en 'Thawte Root CA'"
Kan iemand uitleggen hoe dit mogelijk is? Je hebt dan toch de private signing key van Verisign/Thawte nodig?
Kan iemand uitleggen hoe dit mogelijk is? Je hebt dan toch de private signing key van Verisign/Thawte nodig?
Dat vraag ik mij idd ook af.
Het lijkt mij niet mogelijk om je certs te signen onder een andere autoriteit dan jijzelf.
Hier berust het hele vertrouwensprincipe op.
Toevoeging:
Ah, wat ik op kan maken uit die gepubliceerde lijst is de dignotar CA gebruikt om nagemaakte CA's van andere autoriteiten te signen. Een stukkie verder omlaag in de chain, dus.
Het lijkt mij niet mogelijk om je certs te signen onder een andere autoriteit dan jijzelf.
Hier berust het hele vertrouwensprincipe op.
Toevoeging:
Ah, wat ik op kan maken uit die gepubliceerde lijst is de dignotar CA gebruikt om nagemaakte CA's van andere autoriteiten te signen. Een stukkie verder omlaag in de chain, dus.
[Reactie gewijzigd door jon.kiji op zondag 4 september 2011 23:53]
Ze hebben simpelweg certificaten uitgegeven met als naam 'Verisign Root CA'. Deze linkten dus nog altijd naar de Diginotar CA, en zijn technisch gezien niets anders dan de certificaten die gemaakt zijn voor (bijv.) google.com.
De root van Verisign en Thawte zijn dus niet 'beschadigd'
De root van Verisign en Thawte zijn dus niet 'beschadigd'
Het certificaat van Digid lijkt al vervangen te zijn door die van Getronics. Getronics PinkRoccade PKIOverheid CA
Op dit item kan niet meer gereageerd worden.
Populair: Asus Samsung Websites en communities Mobiele telefoons Laptops Sony Games Microsoft Consoles Microsoft Xbox One
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
