GlobalSign staakt uitgifte ssl-certificaten en huurt Fox-IT in - update
GlobalSign heeft hangende een onderzoek naar een mogelijke inbraak op zijn netwerkinfrastructuur besloten om voorlopig geen ssl-certificaten meer te verstrekken. Ondertussen is Fox-IT ingehuurd om een technisch onderzoek te doen.
De hacker die dinsdag claimde de systemen van DigiNotar te zijn binnengedrongen en honderden valse certificaten te hebben aangemaakt, stelde in zijn betoog dat hij nog steeds toegang had tot vier andere certificaatproviders. Hierdoor zou de Iraanse hacker, die zich de alias ComodoHacker heeft aangemeten, nog steeds vervalste certificaten kunnen genereren.
Mede naar aanleiding van het opeisen van de DigiNotar-hack is GlobalSign, een van de grootste ssl-verstrekkers en expliciet genoemd door ComodoHacker, een intern onderzoek begonnen naar de mogelijkheid dat zijn netwerk is gekraakt. Bovendien heeft de ssl-verstrekker besloten om tijdens het onderzoek uit voorzorg geen ssl-certificaten meer te ondertekenen. Hoelang het onderzoek gaat duren, is nog niet duidelijk, maar het bedrijf belooft regelmatig updates te geven over de stand van zaken.
Inmiddels heeft ComodoHacker opnieuw van zich laten horen via twee postings op Pastebin. Hij stelt in zijn teksten onder andere dat Microsofts verklaring waarin het bedrijf stelt dat Windows Update ondanks de DigiNotar-hack nog steeds veilig is, niet klopt. Zo zegt hij het hele Windows Update-protocol via reverse engineering te hebben gekraakt. Ook stelt hij dat hij zelfgemaakte code via Windows Update kan verspreiden.
Tot nu toe is er echter geen bewijs gevonden dat deze claim klopt. Bovendien heeft Microsoft de certificaten van DigiNotar inmiddels geblokkeerd via een update. Op verzoek van de Nederlandse overheid, dat nog een groot aantal systemen moet voorzien van nieuwe certificaten, wordt de update in Nederland later uitgerold.
Update 15:50: GlobalSign laat op zijn site weten dat het Fox-IT heeft ingeschakeld, het bedrijf dat in opdracht van de overheid de situatie bij DigiNotar onderzocht en een vernietigend rapport publiceerde. Volgens GlobalSign zal Fox-IT helpen bij het onderzoek, mede omdat het Nederlandse beveiligingsbedrijf door de opgedane kennis in de DigiNotar-zaak veel informatie over de hacker zou hebben. Het inschakelen van Fox-IT wekt in combinatie met het stoppen van het verstrekken van ssl-certificaten de indruk dat GlobalSign sterke aanwijzingen heeft dat de hacker inderdaad toegang heeft gehad tot de systemen van de ssl-verstrekker.
Reacties (117)
Kijk tenminste een bedrijf die het wel snapt, de vraag is echter als ook zij daadwerkelijk gehacked zijn. Welke redenen daaraan ten grondslag liggen hopelijk niet "Pr0d@dm1n"
Opmerkelijk dat ze het staken van uitgifte van certificaten nodig vinden. Onderzoeken/audits zouden regelmatig moeten worden uitgevoerd en deze moeten de informatie opleveren die ze in een situatie als deze daadkracht bij moet zetten, om ferm en sluitende antwoorden te kunnen geven over de mogelijkheid dat ze al dan niet gehackt zijn. Dus hier zit een geurtje aan.
Enfin, desalniettemin lijkt me het een goed signaal om aan te geven dat je de situatie serieus neemt. En tegelijk een zorgwekkend signaal, maar ja, dat hebben we aan DigiNotar te danken.
Enfin, desalniettemin lijkt me het een goed signaal om aan te geven dat je de situatie serieus neemt. En tegelijk een zorgwekkend signaal, maar ja, dat hebben we aan DigiNotar te danken.
Ik ben het met je eens dat ze eigenlijk al zouden moeten weten of de zaak op orde is, ongeacht wat er in de markt gebeurt.
Wat wel zo is, is dat men de zaak serieus neemt en geen zin heeft om de 2e diginotar te worden. Enerzijds, denk ik, uit eigen belang, anderzijds omdat dit de betrouwbaarheid en goede naam van de gehele markt zwaar zou beďnvloeden.
Wellicht hebben zij wel de zaken op orde, maar nemen ze met de explicitie benoeming door deze hacker, het zekere voor het onzekere en stoppen ze de uitgifte tot een aanvullend onderzoek heeft uitgewezen dat ze echt veilig zitten.
Het heeft echter wel wat weg van een spagaat..
Wat wel zo is, is dat men de zaak serieus neemt en geen zin heeft om de 2e diginotar te worden. Enerzijds, denk ik, uit eigen belang, anderzijds omdat dit de betrouwbaarheid en goede naam van de gehele markt zwaar zou beďnvloeden.
Wellicht hebben zij wel de zaken op orde, maar nemen ze met de explicitie benoeming door deze hacker, het zekere voor het onzekere en stoppen ze de uitgifte tot een aanvullend onderzoek heeft uitgewezen dat ze echt veilig zitten.
Het heeft echter wel wat weg van een spagaat..
Al met al is het goed dat het allemaal naar buiten is gekomen, want anders had globalsign wrs net zo belachelijk slecht gereageerd als diginotar (in de doofpot gestopt).
Maare los daarvan
(edit: en ik bedoel dan vooral binnen de context van het artikel waar het word gepresenteerd als een reden waarom z'n claim niet zou kloppen)
Maare los daarvan
... ehm, en dat maakt uit omdat? Als hij toegang heeft tot nog 4 andereBovendien heeft Microsoft de certificaten van DigiNotar inmiddels geblokkeerd via een update.
(edit: en ik bedoel dan vooral binnen de context van het artikel waar het word gepresenteerd als een reden waarom z'n claim niet zou kloppen)[Reactie gewijzigd door David Mulder op woensdag 7 september 2011 12:47]
Zo opmerkelijk vind ik het niet hoor. Heel dat audit systeem is namelijk zo lek als een mandje.Opmerkelijk dat ze het staken van uitgifte van certificaten nodig vinden. Onderzoeken/audits zouden regelmatig moeten worden uitgevoerd en deze moeten de informatie opleveren die ze in een situatie als deze daadkracht bij moet zetten, om ferm en sluitende antwoorden te kunnen geven over de mogelijkheid dat ze al dan niet gehackt zijn. Dus hier zit een geurtje aan.
Er was pas een woordvoerder van een concurrent van DigiNotar op Radio 1 die toegaf dat een audit een hack niet kan voorkomen. DigiNotar was immers ook goedgekeurd en toch zijn ze gekraakt... Dat kan dus bij andere bedrijven die ssl-certificaten uitgeven ook gebeuren.
Edit: zo te zien is de OPTA nu eindelijk wakker: nieuws: OPTA roept DigiNotar-controleurs op het matje
[Reactie gewijzigd door tweaker2010 op woensdag 7 september 2011 16:13]
Met een verhaal als dit vraag ik me toch af wat zo'n audit dan precies inhoudt... en wat je dan in vredesnaam allemaal fout moet doen om NIET goedgekeurd te worden
De meeste audits zijn papieren tijgers: er wordt door een groepje accountants (zonder technische kennis) gecontroleerd of de gedocumenteerde procedures wel correct gevolgd worden en of die procedures/docs wel volledig en kwalitatief voldoende zijn (lees: zijn er docs voor disaster-recovery, wat te doen bij een hack, etc.).
Het zijn echter vrijwel nooit harde security-audits waarin daadwerkelijk technisch inhoudelijk gekeken wordt naar b.v. SQL injection, password policies, netwerk-infra, IDS, etc.
Vanuit een technisch perspectief stelt een gemiddelde audit dus niets voor; wat je moet doen om afgekeurd te worden is: structureel zeggen dat je A doet terwijl B gedocumenteerd is ....
Het zijn echter vrijwel nooit harde security-audits waarin daadwerkelijk technisch inhoudelijk gekeken wordt naar b.v. SQL injection, password policies, netwerk-infra, IDS, etc.
Vanuit een technisch perspectief stelt een gemiddelde audit dus niets voor; wat je moet doen om afgekeurd te worden is: structureel zeggen dat je A doet terwijl B gedocumenteerd is ....
In het geval van DigiNotar was contractueel vastgelegd dat hun private key NIET op de server mocht staan. Een audit had dit kunnen vinden, door simpelweg te kijken naar het proces van uitgave van een certificate.
Wie zegt dat ze op papier in het beschreven proces, wel alles neerzetten wat ze doen.
Het zou er in moeten staan, maarja, zo zal er vast ergens gestaan hebben dat er op elke machine een virusscanner moet staan....
Het zou er in moeten staan, maarja, zo zal er vast ergens gestaan hebben dat er op elke machine een virusscanner moet staan....
Daar is nu juist een audit voor.Wie zegt dat ze op papier in het beschreven proces, wel alles neerzetten wat ze doen.
Regel zegt: key niet opslaan.
Dagelijks beleid zegt: key extern opslaan, bewijs hiervan ondertekenen en bewaren.
Dagelijks beleid zegt: controleren of key niet lokaal staat, bewijs hiervan ondertekenen en bewaren.
Audit zegt: toon je bewijs.
Het ligt er kennelijk maar net aan wat de opdrachtgever van de audit verwacht. We hebben hier op het werk een aantal (security) audits gehad maar die gingen veel verder dan alleen naar processen kijken. Code en architectuur werd daadwerkelijk gereviewed en er kwam inhoudelijke feedback op. Deze audits werden gehouden in opdracht van een aantal klanten van ons.
Met alle respect, maar een groep Beverwijkse 'hackers' beweren hier dat ze 12 jaar geleden het bedrijfsnetwerk van Diginotar 'gehacked' hebben, terwijl ze gewoon van het onbeveiligde draadloze netwerk gebruikt hadden gemaakt. Erg sensationele berichtgeving. Iemand die zichzelf beschrijft als 'hacker van het eerste uur' en daarmee bedoelt dat ie gratis surft op een wifi netwerk kan ik niet serieus nemen.
Blijft natuurlijk dat het kwalijk is dat het open stond. Maar we hebben het over 12 jaar geleden hier. In 1999 had nog bijna niemand draadloos internet. Heck, wij waren in de regio IJsselstein een van de weinige met kabelinternet, omdat Caiway/Kabelfoon daar testte. Blijft een kwalijke zaak, maar in die tijd lag elke instantie en bedrijf bijna open (ken wel wat bedrijven en ziekenhuizen uit die tijd) en was een deel van internet heel erg hip met een 56k6 ISDN. Laten we dus alles even in proporties zien.
Blijft natuurlijk dat het kwalijk is dat het open stond. Maar we hebben het over 12 jaar geleden hier. In 1999 had nog bijna niemand draadloos internet. Heck, wij waren in de regio IJsselstein een van de weinige met kabelinternet, omdat Caiway/Kabelfoon daar testte. Blijft een kwalijke zaak, maar in die tijd lag elke instantie en bedrijf bijna open (ken wel wat bedrijven en ziekenhuizen uit die tijd) en was een deel van internet heel erg hip met een 56k6 ISDN. Laten we dus alles even in proporties zien.
ISDN was 64kb (per kanaal, stacken tot 128 kb was mogenlijk), niet 56k zoals jij beweert (56k6 bestond al helemaal niet).
http://www.dataloss.nl/docs/fga/56k6.html
http://www.dataloss.nl/docs/fga/56k6.html
[Reactie gewijzigd door MeNTaL_TO op donderdag 8 september 2011 09:06]
"Audit" verwijst niet naar één recept of één methodiek. Simpelweg zeggen dat "dat auditsysteem lek is" is veel te kort door de bocht.
Wellicht dat de audits van een centraal toezichtsoorgaan tekortschieten. Maar dat zegt bv. nog helemaal niets over interne audits die GlobalSign uitvoert/laat uitvoeren.
Wellicht dat de audits van een centraal toezichtsoorgaan tekortschieten. Maar dat zegt bv. nog helemaal niets over interne audits die GlobalSign uitvoert/laat uitvoeren.
[Reactie gewijzigd door Eagle Creek op woensdag 7 september 2011 13:13]
Ik dacht dat er geen centraal orgaan was, en dat gehackte / frauduleuze certificaatverstrekkers dus eigenlijk vrij spel hebben?
Ik denk dat de audits door een willekeurig extern bureau gedaan worden in kader van ISO certificering ofzo.
Ik denk dat de audits door een willekeurig extern bureau gedaan worden in kader van ISO certificering ofzo.
En die ISO-certificeren stellen wel degelijk wat voor.
En met centraal orgaan bedoel ik (in ieder geval voor de NL CA's) de Nederlandse overheid of diens vertegenwoordiger.
Dat bedoel ik dus met mijn bericht te zeggen: je kunt niet simpel stellen "dat auditsysteem is lek".
En met centraal orgaan bedoel ik (in ieder geval voor de NL CA's) de Nederlandse overheid of diens vertegenwoordiger.
Dat bedoel ik dus met mijn bericht te zeggen: je kunt niet simpel stellen "dat auditsysteem is lek".
Het lijkt mij juist logisch dat GlobalSign zo heeft gehandeld. Diginotar heeft op dit punt juist verzaakt. GlobalSign weet dit en wilt het vertouwen van haar klanten niet op het spel zetten. Helemaal niet als deze hacker de naam GlobalSign expliciet heeft genoemd.
Het vertrouwen van haar klanten is immers een van de belangrijkste pijlers waar het bedrijf op rust.
Het vertrouwen van haar klanten is immers een van de belangrijkste pijlers waar het bedrijf op rust.
Vertrouwen is denk ik ook de reden is dat ze Fox-IT gebeld hebben. Het artikel suggereert dat er dan wel wat aan de hand zal zijn, maar juist als er niets aan de hand is hebben ze Fox-IT vreselijk hard nodig. Als GlobalSign nu zelf een persbericht uit brengt waar ze in melden dat er niets aan de hand is neemt niemand dat serieus, ze zullen dat moeten bewijzen.
Het antwoord over de mogelijkheid of ze al dan niet gehackt zijn zal echter waarschijnlijk niet exact 0% zijn geweest.
Kijk tenminste een bedrijf die het wel snapt
Dikke onzin, want dat doen ze puur omdat ze nu bij naam genoemd zijn op pastebin, ze hebben dus zelf niet eens ontdekt dat ze gehacked waren..
En hiermee komt dus een groter probleem naar boven, hoeveel CA's zijn er in werkelijkheid wel niet gehacked nu..
Dikke onzin, want dat doen ze puur omdat ze nu bij naam genoemd zijn op pastebin, ze hebben dus zelf niet eens ontdekt dat ze gehacked waren..
En hiermee komt dus een groter probleem naar boven, hoeveel CA's zijn er in werkelijkheid wel niet gehacked nu..
Jaar 2011 is wel het jaar van het kraken / hacken van bedrijven en systemen zeg.
Ik voorspel dat dit in 2012 ook zal zijn en in 2015 nog meer. Veel bedrijven snappen de risico's niet of steken hun kop in het zand IMHO.
Het is alleszins een topjaar voor diegene die pleiten voor strengere regels, het opgeven van anonimiteit op het internet, etc.
Ik geloof niet zo in conspiracy verhalen maar soms vraag ik mij toch af of al die zaken geen ander doel voor ogen hebben dan puur wat hacken. Het komt toch bepaalde mensen enorm goed uit.
Ik geloof niet zo in conspiracy verhalen maar soms vraag ik mij toch af of al die zaken geen ander doel voor ogen hebben dan puur wat hacken. Het komt toch bepaalde mensen enorm goed uit.
[Reactie gewijzigd door simplicidad op woensdag 7 september 2011 12:16]
Gehackt werd er al jaren. Het gaat meer om de impact van de hacks van afgelopen tijd. Grote bedrijven en grote gevolgen.
Precies, tegenwoordig wordt iedere hack in de showroom geplaatst, groot of klein.
Ik denk niet dat er echt veel meer hacks (% gezien dan) zijn dan vroeger, maar worden wel breeder uitgemeten dan vroeger. Misschien stimuleert dat ook wel...
Ik denk niet dat er echt veel meer hacks (% gezien dan) zijn dan vroeger, maar worden wel breeder uitgemeten dan vroeger. Misschien stimuleert dat ook wel...
Het begint wel erg uit te hand te lopen met al die hackers de laatste tijd. Ik begin me serieus af te vragen of het nog wel veilig is om internet te bankieren. Wie weet hoor je over een paar weken dat de bank sites zijn gekraakt...
Het is te hopen dat door dit soort nieuwsberichten bedrijven waarvoor online veiligheid belangrijk is gealarmeerd worden en nog eens extra goed gaan kijken of alles wel goed zit met hun veiligheid.
Het probleem is niet de crackers, maar de laksheid / onwetendheid van veel bedrijven op het gebied van online veiligheid. (Hoewel ik absoluut tegen cracken ben!).
Het probleem is niet de crackers, maar de laksheid / onwetendheid van veel bedrijven op het gebied van online veiligheid. (Hoewel ik absoluut tegen cracken ben!).
Ik zie het niet zo zwart-wit. Het probleem met deze (en de voorgaande andere) hackers is dat ze zich veel stoerder voor doen dan ze in werkelijkheid zijn. Ik bedoel, kijk naar Diginotar. Als je ziet wat daar allemaal mis was (open WiFi, geen virusscanners, foute bedrijfsmentaliteit enz) dan is het een wonder dat ze nog niet veel eerder zijn gekraakt. Vervolgens komt er één of andere 'hacker' met compensatiedrang toevallig voorbij, wandelt letterlijk binnen en gaat vervolgens stoer lopen doen op Pastebin. Als je vervolgens goed leest wat hij allemaal schrijft, herken je direct iemand die veel roept en weinig kan. Als hij zegt een volledig protocol te hebben gereverse engineerd, dan lees ik dat hij ergens een letter in een copy-paste snippet heeft aangepast en er vervolgens achter kwam dat het werkte. Eureka. De overige zaken die hij roept zijn waarschijnlijk complete leugens.
Anyway, doordat dit groot in het nieuws komt voelen gewone mensen zich niet meer veilig, zelfs niet bij bedrijven die het doorgaans gewoon goed op order hebben (banken met name). Er wordt in de media namelijk niet bij verteld wat voor een enorme *** het bij Diginotar waren, maar ze laten lijken dat het hele SSL systeem gecorrumpeerd is. Nee, SSL valt of staat bij vertrouwen en dat is hier geschaadt. Verder is er technisch niks aan de hand.
@kitafe: klopt, maar stel dat jij een enorme über-hacker bent en serieus met het grootste gemak grote CA's binnenwandelt, wat doe je dan?
a) Je gaat stoer lopen doen op Pastebin en verteld min-of-meer/ongeveer/precies hoe je het hebt gedaan, of
b) Je houdt je koest en biedt je diensten aan - tegen een enorme vergoeding - bij een grote buitenlandse regering.
Ik zou het wel weten. Wat we hier hebben is een incompetente 'hacker' die niets meer kan dan mensen die niet met de materie bekend zijn bang maken. Zij die er wel in thuis zijn are not impressed zogezegd, maar worden er wel in meegetrokken omdat hun klanten nu en-masse in paniek zijn (heb zelf ook al een klant aan de lijn gehad met de vraag of hun SSL cert wel veilig was).
Anyway, doordat dit groot in het nieuws komt voelen gewone mensen zich niet meer veilig, zelfs niet bij bedrijven die het doorgaans gewoon goed op order hebben (banken met name). Er wordt in de media namelijk niet bij verteld wat voor een enorme *** het bij Diginotar waren, maar ze laten lijken dat het hele SSL systeem gecorrumpeerd is. Nee, SSL valt of staat bij vertrouwen en dat is hier geschaadt. Verder is er technisch niks aan de hand.
@kitafe: klopt, maar stel dat jij een enorme über-hacker bent en serieus met het grootste gemak grote CA's binnenwandelt, wat doe je dan?
a) Je gaat stoer lopen doen op Pastebin en verteld min-of-meer/ongeveer/precies hoe je het hebt gedaan, of
b) Je houdt je koest en biedt je diensten aan - tegen een enorme vergoeding - bij een grote buitenlandse regering.
Ik zou het wel weten. Wat we hier hebben is een incompetente 'hacker' die niets meer kan dan mensen die niet met de materie bekend zijn bang maken. Zij die er wel in thuis zijn are not impressed zogezegd, maar worden er wel in meegetrokken omdat hun klanten nu en-masse in paniek zijn (heb zelf ook al een klant aan de lijn gehad met de vraag of hun SSL cert wel veilig was).
[Reactie gewijzigd door Rick2910 op woensdag 7 september 2011 13:11]
probleem is alleen dat je het niet zeker weet
Technisch is er niets aan de hand. wat wel naar buiten komt nu is dat het hele systeem van certificaten niet lekker werkt. Er zijn wereldwijd 1000-en Certificate Authorities. Als er CA's zijn in China, Turkije en Iran, die gewoon certificaten mogen uitdelen, dan klopt het systeem niet.Nee, SSL valt of staat bij vertrouwen en dat is hier geschaadt. Verder is er technisch niks aan de hand.
Software die wordt uitgedeeld door dmv een certificaat uit China, zie je het voor je. We hebben massaal de afgelopen jaren onze gebruikers geleerd dat ze een website pas mogen vertrouwen als er een slotje tevoorschijn komt, daarna hebben we ze geleerd dat dat slotje hoort bij een certificaat. Dat certificaat werd gecontroleerd in de browsers de afgelopen jaren en nu blijkt opeens dat je als leek moet gaan kijken waar dat certificaat vandaan komt (en zelfs DAT is nog niet genoeg - want dat kan OOK niet waar zijn). Kortom, waar blijf je dan met je trusted sites?
[offtopic]
No way dat ik met de Iraanse / Noord-Koreaanse overheid zaken zal doen, om wat voor reden dan ook.b) Je houdt je koest en biedt je diensten aan - tegen een enorme vergoeding - bij een grote buitenlandse regering.
[Reactie gewijzigd door tes_shavon op woensdag 7 september 2011 13:20]
Mee eens, het is ook zeker niet de eerste keer dat dit gebeurt. Daarbij is er met veel SSL certificaten ook nog eens het een en ander mis, wat je als novice gebruiker niet eens ziet. Het probleem zit hem dan vooral in de Intermediate Authorities (en niet de Root Authorities die iedereen kent).
Edit: Interessante reactie op Security.nl:
Iedereen heeft zijn prijs.No way dat ik met de Iraanse / Noord-Koreaanse overheid zaken zal doen
Edit: Interessante reactie op Security.nl:
Dit is niet 1 persoon geweest maar een afdeling van de Iraanse overheid.
Door een mythe te lanceren dat er een 21 jarige hacker achter zit houd men het bestaan van zo'n afdeling geheim.
Denk niet dat 1 hacker interesse heeft in aftappen van duizenden gmail en facebook accounts accounts
[Reactie gewijzigd door Rick2910 op woensdag 7 september 2011 15:49]
Die reactie zit idd wel wat in eigenlijk. Zoals je in het Fox-IT onderzoek kan lezen zijn sommige delen van de hack heel professioneel terwijl andere juist erg amateuristisch zijn. Dat soort incosistentie verwacht je eerder van een team/afdeling waar zowel beginners en experts aanwezig zijn. Wel is er uitermate veel zorg besteed aan het wissen van sporen, wat in zo'n geval natuurlijk erg belangrijk zou zijn. Ook is het niet opsporen van die hacker in iran erg verdacht. En de "ongemerkte aanpassingen" in het iraanse dns systeem voor google. Het hele irannet verhaal en het feit dat de certificaten voor grote internationale internet organisaties is die waarschijnlijk ook in iran veel gebruikt worden is allemaal wel erg verdacht. Ook kan je als 1 persoon zoveel certificaten en de gegevens uit hun misbruik niet zomaar even verwerken en afhandelen zonder heel serieuze hardware.
Als er CA's zijn in China, Turkije en Iran, die gewoon certificaten mogen uitdelen, dan klopt het systeem niet.
Zoals "TÜRKTRUST Elektronik Sertifika Hizmet Sağlayıcısı" bedoel je? Al 6 jaar in Firefox en MSIE. En expliciet distrusted door mijzelf.
Zoals "TÜRKTRUST Elektronik Sertifika Hizmet Sağlayıcısı" bedoel je? Al 6 jaar in Firefox en MSIE. En expliciet distrusted door mijzelf.
Je noemt er nu één die jijzelf wel vertrouwd. Maar als ik een google-certificaat krijg voorgeschoteld uitgegeven door bovenstaande partij, dan krab ik 6 keer achter mijn oren en zal waarschijnlijk de boel annuleren.
En daar zit nu net het probleem. Hoe WEET je dat het google-certificaat van TurkTrust komt? Dan moet je het openen en lezen. En dat doet nou net (praktisch) niemand.
En daar zit nu net het probleem. Hoe WEET je dat het google-certificaat van TurkTrust komt? Dan moet je het openen en lezen. En dat doet nou net (praktisch) niemand.
Dan weet je dat het van Equifax is, en dan?
Is dat nu goed of slecht?
Hoe weet je of Equifax echt de uitgever hoort te zijn?
Is dat nu goed of slecht?
Hoe weet je of Equifax echt de uitgever hoort te zijn?
[Reactie gewijzigd door SWINX op woensdag 7 september 2011 18:41]
Jouw betoog bevestigt juist de stelling van jj71 dat de hackers niet het probleem zijn maar dat het juist de laksheid/onwetendheid van bedrijven is die ons zorgen doen baren.
Als iemand, zoals jij het stelt, op de gok en met wat proberen eenvoudig binnen kan komen dan is er met de beveiliging bij die bedrijven toch echt iets goed mis.
In de media is trouwens duidelijk naar voren gekomen dat het een puinhoop is bij DigiNotar. Dat de 'gewone' mensen dan de rest ook minder vertrouwen is niet zo gek want wie zegt er dat er niet meer aan de hand is bij andere bedrijven. Dat je er niets over hoort wil niet zeggen dat het allemaal koek en ei is. Niet ten onrechte ook nu de hacker heeft aangegeven bij andere certificeerders te zijn binnen gedrongen.
Als iemand, zoals jij het stelt, op de gok en met wat proberen eenvoudig binnen kan komen dan is er met de beveiliging bij die bedrijven toch echt iets goed mis.
In de media is trouwens duidelijk naar voren gekomen dat het een puinhoop is bij DigiNotar. Dat de 'gewone' mensen dan de rest ook minder vertrouwen is niet zo gek want wie zegt er dat er niet meer aan de hand is bij andere bedrijven. Dat je er niets over hoort wil niet zeggen dat het allemaal koek en ei is. Niet ten onrechte ook nu de hacker heeft aangegeven bij andere certificeerders te zijn binnen gedrongen.
O absoluut. Ik kan me een aantal jaren terug nog herinneren dat een andere grote CA ten prooi was gevallen aan een fake aanvraag per e-mail voor een certificaat, waarbij de hacker controle had over de mailserver van het betreffende bedrijf. Toen werd de CA verweten dat ze niet fysiek op controle waren geweest bij het genoemde bedrijf. Nu heeft een hacker niet eens meer een tussenpersoon nodig, maar genereert hij zijn certs zelf.want wie zegt er dat er niet meer aan de hand is bij andere bedrijven.
Er zullen dus zeker nog meer rogue CA's gevonden worden, zeker nu men er naar gaat zoeken. Maar ook een legitieme CA ksn ten prooi vallen, bijvoorbeeld via een mol binnen het bedrijf. Als de belangen maar hoog genoeg zijn - en de vergoeding ook - dan is alles mogelijk.
Ehm... de problemen bij comodo en diginotar (en in het verleden verisign en redhat) geven wel aan dat de hele 'chain-of-trust' structuur die momenteel wordt gehanteerd voor SSL-certificaten niet echt betrouwbaar is.
En het is natuurlijk ook van de zotte... Mijn browser-fabrikant vertrouwd ~ 100 CA's, en door mijn vertrouwen in mijn browser-fabrikant vertrouw ik impliciet de vele miljoenen partijen die een paar honderd euries hebben neergeteld voor een handtekening onder hun certificaatje.
En het is natuurlijk ook van de zotte... Mijn browser-fabrikant vertrouwd ~ 100 CA's, en door mijn vertrouwen in mijn browser-fabrikant vertrouw ik impliciet de vele miljoenen partijen die een paar honderd euries hebben neergeteld voor een handtekening onder hun certificaatje.
Probleem is wel dat Mozilla en andere browserbakkers impliciet het vertrouwen in de chain of trust waarop SSL is gebaseerd hebben opgezegd door allerlei sub certificaten te gaan blokkeren. Als zij dus niet meer in de filosofie achter SSL geloven zou je kunnen zeggen dat zij in feite elk SSL certificaat als verdacht zouden moeten beschouwen tenzij ze vertrouwen hebben in elke schakel in de keten. Dat maakt SSL echter totaal onwerkbaar.
De "fix" van Mozilla en anderen is dus in feite het einde van het SSL systeem. Natuurlijk zal men het als "uitzondering" bestempelen maar een gebrek aan vertrouwen in 1 keten van vertrouwen maakt het ongeloofwaardig dat men alle andere ketens wel zomaar kan vertrouwen. Er is nu gewoon aangetoond dat een Chain of Trust kan falen. En zonder een (blind) vertrouwen in de Chain of trust heeft een SSL certificaat geen enkele waarde. Tijd voor wat anders .
De "fix" van Mozilla en anderen is dus in feite het einde van het SSL systeem. Natuurlijk zal men het als "uitzondering" bestempelen maar een gebrek aan vertrouwen in 1 keten van vertrouwen maakt het ongeloofwaardig dat men alle andere ketens wel zomaar kan vertrouwen. Er is nu gewoon aangetoond dat een Chain of Trust kan falen. En zonder een (blind) vertrouwen in de Chain of trust heeft een SSL certificaat geen enkele waarde. Tijd voor wat anders .
Of deze persoon is een geloofsgekkie die in naam van religie het waard vindt om de wereld precies te laten weten hoe de vork in de steel zit.
Als geloofsgekkie heb je namelijk een hoger doen dan geldelijk gewin.
Als geloofsgekkie heb je namelijk een hoger doen dan geldelijk gewin.
Diginotar is een Vasco Compagny.... kijk eens op de achterkant van je random reader.....
Komen deze je bekend voor?
Komen deze je bekend voor?
[Reactie gewijzigd door Rudi Vader op donderdag 8 september 2011 13:42]
Kijk, en dit is hoe je dit soort dingen oppakt. Daar hadden Diginotar en onze overheid nog iets van kunnen leren.
Hoewel het natuurlijk wel een tikkeltje vervelend wordt dat er blijkbaar toch op grotere schaal dingen mis kunnen zijn in een industrie die 100% om vertrouwen draait...
Hoewel het natuurlijk wel een tikkeltje vervelend wordt dat er blijkbaar toch op grotere schaal dingen mis kunnen zijn in een industrie die 100% om vertrouwen draait...
Ik denk dat de zin 'Diginotar en onze overheid' niet helemaal klopt, toen de overheid eindelijk te horen kreeg van de hack hebben ze snel gehandeld voor een overheid vind ik.
Diginotar verdient het om gewoon opgeheven te worden.
Diginotar verdient het om gewoon opgeheven te worden.
En... wellicht dat Globalsign aan de bel trekt vanwege Diginotar. We weten ook niet hoe het anders zou zijn geweest.
Wat wel duidelijk is, is dat wanneer zij niets zouden melden en het mis blijkt te zijn, ze in navolging van Diginotar de boel zouden kunnen inpakken.
Wat wel duidelijk is, is dat wanneer zij niets zouden melden en het mis blijkt te zijn, ze in navolging van Diginotar de boel zouden kunnen inpakken.
Compleet niet mee eens. De overheid heeft zich juist een enorme lakse houding aangemeten door te vertrouwen op de woorden van DigiNotar zelf, die riepen in het begin nog dat ze best te vertrouwen waren, en de overheid vond dat prima. Imho hadden ze toen al (en dat heb ik destijds ook geroepen) het zekere voor het onzekere moeten nemen en alvast nieuwe certificaten aan moeten vragen (sterker nog, eigenlijk moeten ze sowieso een setje backup certificaten van een andere root CA hebben liggen, maar daar gaat het nu even niet over). Pas toen ze werden geďnformeerd van het resultaat van het onderzoek van FoxIT begrepen ze dat het stront aan de knikker was.toen de overheid eindelijk te horen kreeg van de hack hebben ze snel gehandeld voor een overheid vind ik.
[Reactie gewijzigd door .oisyn op woensdag 7 september 2011 12:38]
Woord van het jaar 2011: gehackt
Net of dat nieuw is: in Nederland is "woensdag - gehackt-dag" al jaren een begrip. 
Ik wil +1 optellen bij de moderatie van bovenstaand bericht voor humor maar dat gaat al een tijdje niet meer 
[on-topic]
De humor is anders namelijk ver te zoeken bij dit digidrama. De claims v/d Comodo hacker worden gelukkig serieus genomen door GlobalSign. Andere certificaten instanties zouden dat ook moeten doen. De hacker heeft al 2 cert. bedrijven gehackt dus waarom niet nog meer??
[/on-topic]
Het topje van de ijsberg wordt steeds groter
Edit: De Comodo hacker gebruikt de woorden: Janam Fadaye Rahbar blijkt uit de fingerprint v/h Fox-It rapport. Als je de letters omdraait (van rechts naar links) rabhar eyadaf manaj en googled dan krijg je alleen een aantal Iraans-talige hits wat toch weer een link naar Iran legt.
[on-topic]
De humor is anders namelijk ver te zoeken bij dit digidrama. De claims v/d Comodo hacker worden gelukkig serieus genomen door GlobalSign. Andere certificaten instanties zouden dat ook moeten doen. De hacker heeft al 2 cert. bedrijven gehackt dus waarom niet nog meer??
[/on-topic]
Het topje van de ijsberg wordt steeds groter
Edit: De Comodo hacker gebruikt de woorden: Janam Fadaye Rahbar blijkt uit de fingerprint v/h Fox-It rapport. Als je de letters omdraait (van rechts naar links) rabhar eyadaf manaj en googled dan krijg je alleen een aantal Iraans-talige hits wat toch weer een link naar Iran legt.
[Reactie gewijzigd door Bitpusher3 op woensdag 7 september 2011 15:32]
Dat je de spreuk (oudste verwijziging wat ik kon vinden) “I will sacrifice my soul for my leader” omgedraaid ook op Google vindt, is niet zo gek. Farsi wordt namelijk van rechts naar links geschreven.[/offtopic reactie op je edit]
Slager: Waar kan ik u mee helpen?
Klant: Heeft u nog gehackt?
Klant: Heeft u nog gehackt?
Woensdag gehacktdag
En dat is drie...
SSL certificaten dienen niet voor veiligheid maar voor confidentialiteit en integriteit van een communicatie sessie.
Als iemand in je verkeer stroom kan komen, heb je een heel ander probleem.
In de discussie laatste tijd doet men alsof SSL certificaten iets veiliger zullen maken, terwijl dat niet het geval is.
SSL certificaten dienen niet voor veiligheid maar voor confidentialiteit en integriteit van een communicatie sessie.
Als iemand in je verkeer stroom kan komen, heb je een heel ander probleem.
In de discussie laatste tijd doet men alsof SSL certificaten iets veiliger zullen maken, terwijl dat niet het geval is.
Voor die confidentialiteit en integriteit van de sessie is het wel handig dat je ook zekerheid hebt dat je zaken doet met de partij waarmee je bedoelt zaken te doen.
Als bescherming van de sessie het hele verhaal was, waren self-signed certificaten prima. SSL is ook niet gehackt, niemand kan zomaar inbreken op de SSL datastroom tussen de client en de server. Het hele probleem is dat iemand anders nu kan doen of ie (de server van) de Belastingdienst is, of Google. Door deze man-in-the-middle attacks hoef je de encryptie helemaal niet te kraken, de client vertrouwt jou namelijk.
De veiligheid zit (of zou moeten zitten) in het feit dat de Certificate Authorities vertrouwd kunnen worden én dat zij bij uitgifte van een certificaat de identiteit van de aanvrager controleren. Op basis daarvan kun jij als gebruiker er dan op vertrouwen dat als het certificaat zegt: "ik ben van Google.com", je inderdaad met Google communiceert en niet met de Iraanse overheid.
Dus jazeker maken SSL certificaten iets veiliger. Het systeem is echter niet waterdicht, net als overigens alle andere systemen die ook nog bruikbaar moeten zijn.
Als bescherming van de sessie het hele verhaal was, waren self-signed certificaten prima. SSL is ook niet gehackt, niemand kan zomaar inbreken op de SSL datastroom tussen de client en de server. Het hele probleem is dat iemand anders nu kan doen of ie (de server van) de Belastingdienst is, of Google. Door deze man-in-the-middle attacks hoef je de encryptie helemaal niet te kraken, de client vertrouwt jou namelijk.
De veiligheid zit (of zou moeten zitten) in het feit dat de Certificate Authorities vertrouwd kunnen worden én dat zij bij uitgifte van een certificaat de identiteit van de aanvrager controleren. Op basis daarvan kun jij als gebruiker er dan op vertrouwen dat als het certificaat zegt: "ik ben van Google.com", je inderdaad met Google communiceert en niet met de Iraanse overheid.
Dus jazeker maken SSL certificaten iets veiliger. Het systeem is echter niet waterdicht, net als overigens alle andere systemen die ook nog bruikbaar moeten zijn.
[Reactie gewijzigd door Herko_ter_Horst op woensdag 7 september 2011 12:29]
Kan me vergissen maar SSL wordt toch ook gebruikt voor de encryptie van de data?
Even gecheked en ja ssl zorgt ook voor de encryptie en zorgt wel degelijk voor de veiligheid van de data.
Even gecheked en ja ssl zorgt ook voor de encryptie en zorgt wel degelijk voor de veiligheid van de data.
[Reactie gewijzigd door kitafe op woensdag 7 september 2011 13:11]
De keys van een certificaat worden n.m.w. alleen gebruikt voor het uitwisselen van de daadwerkelijke sleutels die gebruikt worden voor het encrypten van de data die over de lijn gaat.
ben toch nog even gaan verder zoeken en kwam op dit
Encryption Protects Data During Transmission
Web servers and Web browsers rely on the Secure Sockets Layer (SSL) protocol to create a uniquely encrypted channel for private communications over the public Internet. Each SSL Certificate consists of a public key and a private key. The public key is used to encrypt information and the private key is used to decipher it. When a Web browser points to a secured domain, a level of encryption is established based on the type of SSL Certificate as well as the client Web browser, operating system and host server’s capabilities. That is why SSL Certificates feature a range of encryption levels such as "up to 256-bit".
bron: http://www.verisign.com/s...security-works/index.html
Encryption Protects Data During Transmission
Web servers and Web browsers rely on the Secure Sockets Layer (SSL) protocol to create a uniquely encrypted channel for private communications over the public Internet. Each SSL Certificate consists of a public key and a private key. The public key is used to encrypt information and the private key is used to decipher it. When a Web browser points to a secured domain, a level of encryption is established based on the type of SSL Certificate as well as the client Web browser, operating system and host server’s capabilities. That is why SSL Certificates feature a range of encryption levels such as "up to 256-bit".
bron: http://www.verisign.com/s...security-works/index.html
SSL is niet gehacked, er zijn onechte certificaten gegenereerd. Je kan prima een versleutelde sessie opzetten met twee self-signed certificaten, je hebt dan alleen de sessiedata beschermd tegen meekijken, maar je kan er niet aan de hand van het certificaat op vertrouwen dat computer die aan de andere kant van de lijn zit jouw thuisserver is of een Iranier. Als die Iranier jouw verkeer wilt afluisteren moet hij zich dus ergens tussen jouw laptop en de thuisserver nestelen.
Wat er mis ging in Iran was dat er certificaten bij Google websites opdoken die door Diginotar waren uitgegeven. Ik gok dat men daar de DNS servers van een ISP heeft weten aan te passen waardoor gmail.com verwees naar een Iraanse server. Die server meldde trots meldde dat Diginotar verzekert dat de server waar men mee te maken had gmail.com was en niet een andere nep-server. Dit was wel het geval, en dat is precies het gevaar van deze CA-hacks.
Wat er mis ging in Iran was dat er certificaten bij Google websites opdoken die door Diginotar waren uitgegeven. Ik gok dat men daar de DNS servers van een ISP heeft weten aan te passen waardoor gmail.com verwees naar een Iraanse server. Die server meldde trots meldde dat Diginotar verzekert dat de server waar men mee te maken had gmail.com was en niet een andere nep-server. Dit was wel het geval, en dat is precies het gevaar van deze CA-hacks.
niet dat iets te maken heeft met de reactie waarop je reageerd, maar het is on toppic
Is het probleem volgens mij ook dat deze onechte certificaten door bedrijven zijn gebruikt, met de gedachte dat het echte zijn. En als de hacker in bezit is van deze certificaten, kan hij de encrypted data die verstuurd word via deze ceritficaten gewoon lezen. hij hoeft alleen de data ergens af te tappen. en dat hoeft volgens mij niet zo moeilijk te zijn.
Is het probleem volgens mij ook dat deze onechte certificaten door bedrijven zijn gebruikt, met de gedachte dat het echte zijn. En als de hacker in bezit is van deze certificaten, kan hij de encrypted data die verstuurd word via deze ceritficaten gewoon lezen. hij hoeft alleen de data ergens af te tappen. en dat hoeft volgens mij niet zo moeilijk te zijn.
Met self-signed certificaten kan je juist 100% zeker zijn dat je op je thuisserver zit—op voorwaarde dat je het certificaat eerst even vergelijkt met een kopie die je meeneemt (of toch op z'n minst de fingerprint vergelijkt). Dat is immers ook hoe key authentication bij SSH werkt...
Probleem bij veel sites is natuurlijk dat je vooraf geen key hebt om mee te vergelijken...
In geval van de overheid zou dat overigens relatief simpel op te lossen zijn: vermeld de nodig info om de key te controleren op zo veel mogelijk overheidsdocumenten & -folders. De kans is klein dat Iran (of wie dan ook) er in slaagt al deze documenten te vervalsen...
Probleem bij veel sites is natuurlijk dat je vooraf geen key hebt om mee te vergelijken...
In geval van de overheid zou dat overigens relatief simpel op te lossen zijn: vermeld de nodig info om de key te controleren op zo veel mogelijk overheidsdocumenten & -folders. De kans is klein dat Iran (of wie dan ook) er in slaagt al deze documenten te vervalsen...
Het lijkt erop dat de update niet volledig tegengehouden wordt @ Windows Update. Ik kreeg vandaag wel degelijk een update aangeboden, deze is echter niet standaard geselecteerd.
Juist het wel/niet geselecteerd zijn van die update is dat automatisch uitrollen wat bedoelt wordt.
Ja, ik heb hem zelf ook bewust aangezet en door gevoerd en dat stuk is ook al in eerdere postings vermeld maar het standaard selecteren + doorvoeren is niet voor nederland aangezet door MicroSoft.
Ja, ik heb hem zelf ook bewust aangezet en door gevoerd en dat stuk is ook al in eerdere postings vermeld maar het standaard selecteren + doorvoeren is niet voor nederland aangezet door MicroSoft.
Dat was ook de afspraak met de NL overheid: de update wordt wel uitgerold, maar niet automatisch geďnstalleerd. Zo wil de overheid voorkomen dat systemen nu per direct uitvallen op basis van niet-verifieerbare certificaten.
Ik begin zo langzamerhand wel een beetje te twijfelen aan die ComodoHacker. Zijn verhalen worden steeds groter en groter, maar er is nog geen bewijs gevonden dat hij het daadwerkelijk heeft gedaan.
Hij geeft een wachtwoord van een domain admin, maar er is geen bevestiging dat het klopt. Hij roept over Windows Update dat hij eigen code kan verspreiden, etc. Maar wederom geen bewijs.
Laat eerst maar eens zien....
Hij geeft een wachtwoord van een domain admin, maar er is geen bevestiging dat het klopt. Hij roept over Windows Update dat hij eigen code kan verspreiden, etc. Maar wederom geen bewijs.
Laat eerst maar eens zien....
Bekijk de PSN hack... In eerste instanatie was ook niet duidelijk wat er juist aan de hand was. Niemand had gedacht dat de omvang zo groot was. Uiteindelijk heeft het hele netwerk een hele tijd uitgelegen voor onderzoek en aanpassingen. Zoveel persoonsgegevens buitgemaakt etc... Dat had op voorhand ook niemand verwacht.
Is er al iemand die de calc.exe gerund heeft? ik waag me er nog niet aan...
Nog niet gestart, maar dat is ook niet nodig dus ben ik het niet van plan
Volgens virustotal is calc.exe virusvrij http://www.virustotal.com...bbec042165e374-1315393030, maar dan nog is het nergens voor nodig om de exe uit te voeren
Wel al het certificaat bekeken. Mijn PC vertrouwd het alleszinds al niet.
http://tinypic.com/r/10qmc2a/7
Ik heb de beveiligingsupdate (KB2607712) nog niet geďnstalleerd.
Edit: Na de beveiligingsupdate zag het certificaat er als volgt uit:
http://tinypic.com/r/fviusg/7
Nu zie je dat het certificaat ingetrokken is.
Volgens virustotal is calc.exe virusvrij http://www.virustotal.com...bbec042165e374-1315393030, maar dan nog is het nergens voor nodig om de exe uit te voeren
Wel al het certificaat bekeken. Mijn PC vertrouwd het alleszinds al niet.
http://tinypic.com/r/10qmc2a/7
Ik heb de beveiligingsupdate (KB2607712) nog niet geďnstalleerd.
Edit: Na de beveiligingsupdate zag het certificaat er als volgt uit:
http://tinypic.com/r/fviusg/7
Nu zie je dat het certificaat ingetrokken is.
[Reactie gewijzigd door flux_w42 op woensdag 7 september 2011 13:25]
calc.exe is in ieder geval inderdaad getekend met het ontvreemde google.com certificaat. Dat had ie niet anders kunnen doen dan met de private key van dat certificaat. Dus het is of de hacker, of hij heeft het bestand ook maar gekopieerd en praat met een grote mond. Toch geef ik hem redelijk de kans dat ie ingebroken heeft.
Alleen dat wil nog niet zeggen dat al zijn andere claims geloofwaardig zijn.
Alleen dat wil nog niet zeggen dat al zijn andere claims geloofwaardig zijn.
Al een paar honderd keer. Op mijn netwerkmachine. (Ik gebruik een anti-screensaver proggie dat calc opstart, berekeningetje doet en weer sluit.)
De Diginotar affaire is al goed voor tienduizenden certificaten die opnieuw moeten worden gemaakt/geplaatst, hoeveel zouden er nu bij komen?
De Diginotar affaire is al goed voor tienduizenden certificaten die opnieuw moeten worden gemaakt/geplaatst, hoeveel zouden er nu bij komen?
Het is wel iemand van meerdere markten...
hacken sites en reverse engineering van MS updates zijn totaal verschillende dingen.
hacken sites en reverse engineering van MS updates zijn totaal verschillende dingen.
Dat zegt ie ja, als ik het zo lees is het een groot mediag*l persoon. Onderstaande is dan ook typerend voor hem
You see? I'm so smart, sharp, dangerous, powerful, etc. huh?
Daarom denk ik dat zijn beweringen ook ongegrond zijn. Hij geniet momenteel van de aandacht en sensatie. Persoonlijk weet ik bijna zeker dat dat ook zijn ondergang zal zijn. Een echte hacker/cracker laat niet van zich horen, maar laat betreffende bedrijven/overheden in het duister tasten.
Hij zal heus wel wat op zijn geweten hebben, no doubt, maar het is imo niet meer dan een persoon die van dit soort roem geniet en dus zijn roem heffende houdt door nieuwe beweringen te plaatsen.
Maar goed, stel hij heeft gelijk, dan kan cyberspace zijn vingers nat gaan maken. Want dan houdt dit niet meer op en zullen we als privacybeschermers er veel profijt van hebben, van de angst die regeert bij overheden. Op deze manier komt er geen enkele dna/vingerafdruk/hondenpoep database
Hij zal heus wel wat op zijn geweten hebben, no doubt, maar het is imo niet meer dan een persoon die van dit soort roem geniet en dus zijn roem heffende houdt door nieuwe beweringen te plaatsen.
Maar goed, stel hij heeft gelijk, dan kan cyberspace zijn vingers nat gaan maken. Want dan houdt dit niet meer op en zullen we als privacybeschermers er veel profijt van hebben, van de angst die regeert bij overheden. Op deze manier komt er geen enkele dna/vingerafdruk/hondenpoep database
Op dit item kan niet meer gereageerd worden.
Populair: Asus Samsung Websites en communities Mobiele telefoons Laptops Sony Games Microsoft Consoles Microsoft Xbox One
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
