Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

D-Link blundert met vrijgeven privésleutels van certificaten

D-Link had per ongeluk privésleutels voor certificaten waarmee software ondertekend wordt vrijgegeven. De sleutels waren te destilleren uit opensource-firmwarepakketten van de fabrikant. Criminelen hadden de certificaten daarmee kunnen misbruiken.

Malwareschrijvers kunnen de certificaten gebruiken om hun schadelijke code te signeren, waarmee het er voor bijvoorbeeld Windows als legitieme software uitziet. Het certificaat is de garantie dat de programma's ook daadwerkelijk afkomstig zijn van het desbetreffende bedrijf.

De blunder is ontdekt door bartvbl, die de redactie op het probleem wees. Hij had de DCS-5020L-beveiligingscamera van D-Link aangeschaft en wilde de firmware downloaden. D-Link maakt de broncode van veel firmware opensource onder een gpl-licentie beschikbaar. "Het bleek na wat door de bestanden te kijken dat er private keys in zaten om code mee te signeren", meldt bartvbl, "Sterker nog, in wat batchfiles stonden de commando's en passphrases die er voor nodig waren."

De user wist te verifiëren dat de sleutel gebruikt kon worden om met een certificaat een bestand dat niet van D-Link was te ondertekenen. Begin september verliepen de certificaten, waardoor de truc nu niet meer werkt. Ook na het verstrekken van de verloopdatum blijft software die ondertekend is als valide gezien worden. Pas na het intrekken van de certificaten en het schrappen van de Certificate Trust List krijgt Windows bij een certificaatcheck de melding dat ze niet valide zijn. Dat intrekken is inmiddels gebeurd.

Beveiligingsbedrijf Fox-IT bevestigt desgevraagd de bevindingen van de user. Yonathan Klijnsma, onderzoeker bij het bedrijf: "Het codesigning-certificaat zit inderdaad in een van de firmwarepakketen, firmwareversie 1.00b03, waarvan de source 27 februari dit jaar was vrijgegeven. Dit certificaat was dus uitgegeven voor het verliep, een grote fout." Hij vond zelfs nog vier andere certificaten in dezelfde map.

D-Link heeft inmiddels nieuwe versies van de firmware uitgebracht, waar de certificaten niet meer inzitten. Het bedrijf laat in een verklaring weten regelmatig de firmware bij te werken om 'aan de laatste veiligheids- en kwaliteitsstandaarden' te voldoen. Het bedrijf benadrukt dat er geen sprake was van opzet. "D-Link voorkomt te allen tijde het ontwikkelen van producteigenschappen die met opzet ongeoorloofde toegang tot het apparaat of netwerk bieden, waaronder bijvoorbeeld backdoors." Verder belooft het bedrijf aan Tweakers dat begin volgende week nieuwe firmware uitkomt waarin de beveiligingsproblemen verder zijn opgelost.

Door Olaf van Miltenburg

Nieuwscoördinator

17-09-2015 • 09:44

25 Linkedin Google+

Submitter: bartvbl

Reacties (25)

Wijzig sortering
De private key was geldig tot begin september. Daarna kan hij niet meer gebruikt worden om nieuwe code mee te signeren. De andere 3 certificaten waren al langer geleden verlopen.

Hij blijft wel als geldig gezien worden, omdat gesigneerde files nog steeds indirect een handtekening van de root CA bij zich dragen. Windows blijft dus het certificaat als geldig zien na de verloopdatum (net getest met de executable die ik had gesigneerd met het certificaat).
Het was geheel per toeval. Er zat een flyer bij de camera die ik in mei ergens heb gekocht die wees op het bestaan van de GPL broncode. Ik was benieuwd wat daar in te vinden zou zijn, en kwam na wat bladeren terecht in de folder met de genoemde certificaten.

Heb natuurlijk meteen D-Link ingelicht en de autoriteit die het certificaat had uitgegeven, maar nooit meer wat gehoord.

Ik heb ook een reeks installers gedownload voor willekeurige drivers van D-Link's site, en heb dit certificaat redelijk vaak aangetroffen (d.m.v het serienummer te verglijken).

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Smartphones

'14 '15 '16 '17 2018

Tweakers vormt samen met Tweakers Elect, Hardware Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True