Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

D-Link blundert met vrijgeven privésleutels van certificaten

D-Link had per ongeluk privésleutels voor certificaten waarmee software ondertekend wordt vrijgegeven. De sleutels waren te destilleren uit opensource-firmwarepakketten van de fabrikant. Criminelen hadden de certificaten daarmee kunnen misbruiken.

Malwareschrijvers kunnen de certificaten gebruiken om hun schadelijke code te signeren, waarmee het er voor bijvoorbeeld Windows als legitieme software uitziet. Het certificaat is de garantie dat de programma's ook daadwerkelijk afkomstig zijn van het desbetreffende bedrijf.

De blunder is ontdekt door bartvbl, die de redactie op het probleem wees. Hij had de DCS-5020L-beveiligingscamera van D-Link aangeschaft en wilde de firmware downloaden. D-Link maakt de broncode van veel firmware opensource onder een gpl-licentie beschikbaar. "Het bleek na wat door de bestanden te kijken dat er private keys in zaten om code mee te signeren", meldt bartvbl, "Sterker nog, in wat batchfiles stonden de commando's en passphrases die er voor nodig waren."

De user wist te verifiëren dat de sleutel gebruikt kon worden om met een certificaat een bestand dat niet van D-Link was te ondertekenen. Begin september verliepen de certificaten, waardoor de truc nu niet meer werkt. Ook na het verstrekken van de verloopdatum blijft software die ondertekend is als valide gezien worden. Pas na het intrekken van de certificaten en het schrappen van de Certificate Trust List krijgt Windows bij een certificaatcheck de melding dat ze niet valide zijn. Dat intrekken is inmiddels gebeurd.

Beveiligingsbedrijf Fox-IT bevestigt desgevraagd de bevindingen van de user. Yonathan Klijnsma, onderzoeker bij het bedrijf: "Het codesigning-certificaat zit inderdaad in een van de firmwarepakketen, firmwareversie 1.00b03, waarvan de source 27 februari dit jaar was vrijgegeven. Dit certificaat was dus uitgegeven voor het verliep, een grote fout." Hij vond zelfs nog vier andere certificaten in dezelfde map.

D-Link heeft inmiddels nieuwe versies van de firmware uitgebracht, waar de certificaten niet meer inzitten. Het bedrijf laat in een verklaring weten regelmatig de firmware bij te werken om 'aan de laatste veiligheids- en kwaliteitsstandaarden' te voldoen. Het bedrijf benadrukt dat er geen sprake was van opzet. "D-Link voorkomt te allen tijde het ontwikkelen van producteigenschappen die met opzet ongeoorloofde toegang tot het apparaat of netwerk bieden, waaronder bijvoorbeeld backdoors." Verder belooft het bedrijf aan Tweakers dat begin volgende week nieuwe firmware uitkomt waarin de beveiligingsproblemen verder zijn opgelost.

Door Olaf van Miltenburg

Nieuwscoördinator

17-09-2015 • 09:44

25 Linkedin Google+

Submitter: bartvbl

Reacties (25)

Wijzig sortering

Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Apple

'14 '15 '16 '17 2018

Tweakers vormt samen met Tweakers Elect, Hardware Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True