Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

DigiNotar-hackers blijken 531 certificaten te hebben vervalst

Door , 133 reacties, submitter: Icingdeath Linkedin Google+

Bij de hack op de systemen van het Beverwijkse DigiNotar blijken in totaal meer dan 500 valse certificaten te zijn gegenereerd. Bijna een kwart van deze certificaten werd uitgegeven nadat DigiNotar de hack zelf medio juli had ontdekt.

Dit blijkt uit gegevens die Tor-ontwikkelaar Jacob Appelbaum van de Nederlandse overheid heeft ontvangen. Eerder vandaag heeft Appelbaum contact gehad met de Nederlandse overheid, waarna hij een lijst met maar liefst 531 certificaten heeft ontvangen die mogelijk zijn vervalst. Eerder werd nog uitgegaan van hooguit 250 stuks, nadat in de nieuwste Google Chrome-versie 247 certificaten van DigiNotar werden geblokkeerd.

In overleg met de Nederlandse overheid heeft de ontwikkelaar besloten de volledige lijst met getroffen certificaten te publiceren. "Het is geen mooie lijst en ik heb besloten dat ik deze ga vrijgeven. De mensen met wie ik heb gesproken van de Nederlandse overheid zijn het eens met deze actie."

Appelbaum heeft de lijst bekeken en komt tot de conclusie dat er enkele CA-roots waarschijnlijk nooit meer te vertrouwen zijn. Deze roots zijn DigiNotar Cyber CA, DigiNotar Extended Validation CA, DigiNotar Public CA 2025, DigiNotar Public CA - G2, Stichting TTP Infos CA en Koninklijke Notariele Beroepsorganisatie CA. Saillant detail is dat deze laatstgenoemde organisatie ooit verantwoordelijk was voor de oprichting van DigiNotar.

"De ergste certificaten zijn uitgegeven voor *.*.com en *.*.org, terwijl vervalste certificaten voor Windows Update en andere hosts in vergelijking minder schadelijk zijn", stelt Appelbaum. "De aanvallers hebben ook certificaten uitgegeven uit naam van andere CA's, zoals 'Verisign Root CA' en 'Thawte Root CA', al kunnen we niet bepalen of ze er in zijn geslaagd om onderliggende CA-certificaten uit te geven."

Uit een snelle inventarisatie van de lijst blijkt dat 124 certificaten zijn uitgegeven nadat DigiNotar medio juli de hack ontdekte. Dat kan er op duiden dat DigiNotar de gehackte systemen niet meteen heeft afgesloten, maar nog heeft door laten draaien nadat de aanval werd ontdekt. Een andere mogelijke verklaring is ernstiger: het zou kunnen zijn dat DigiNotar de systemen dacht te hebben gepatcht en deze weer online bracht, terwijl de hackers nog toegang hadden tot de server.

DigiNotar was één van de zes partijen die namens de Rijksoverheid ssl-certificaten mogen uitgeven, voor onder meer DigiD, de website van de Belastingdienst en de versleutelde communicatie tussen overheden en bedrijven. Tot aan vrijdag ging de overheid ervan uit dat het systeem waarmee DigiNotar ssl-certificaten die voor de overheid uitgeeft, niet zijn gekraakt. Toen bleek dat er mogelijk ook valse ssl-certificaten voor overheidsdiensten zijn gegenereerd, zegde minister Donner per direct het vertrouwen in het Beverwijkse ssl-bedrijf op.

Browsers zullen binnenkort foutmeldingen geven als websites een ssl-certificaat van DigiNotar gebruiken. De overheid adviseert niet door te gaan als de browser een foutmelding geeft. Dat advies is echter niet waterdicht: browsers geven nu nog geen foutmelding als het gebruikte certificaat van DigiNotar is. Bovendien werken sommige mensen met een browser die niet up-to-date is en dus helemaal geen melding zal geven.

Ondertussen zit de overheid niet stil en wordt er voor PKIOverheid CA gewerkt aan een overstap naar Getronics PinkRoccade voor DigiD. Deze overstap is technisch nog niet gereed, al meldt het certificaat al wel dat deze vanaf 4 september geldig is. Opvallend is dat het certificaat tot 1 januari 2012 geldig is. Het is niet bekend of het om een tijdelijke maatregel gaat.

Door de hack kon een server van kwaadwillenden zich voordoen als een andere, legitieme server. Mogelijk zijn de certificaten door de Iraanse overheid misbruikt om zijn inwoners te bespioneren, al kon Donner niet bevestigen of dat inderdaad zo is. Dat het bedrijf de hack anderhalve maand lang verzweeg en bovendien niet opmerkte dat er nog valse certificaten in omloop waren, maakte de kritiek nog heviger. Mogelijk is het bedrijf zelfs al sinds mei 2009 gehackt; er zijn bestanden op de DigiNotar-webservers ontdekt die daarop wijzen.

Lees meer

Moderatie-faq Wijzig weergave

Reacties (133)

Reactiefilter:-11330130+185+27+30Ongemodereerd14
"Appelbaum heeft de lijst bekeken en komt tot de conclusie dat er enkele CA-roots waarschijnlijk nooit meer te vertrouwen zijn. Deze roots zijn DigiNotar Cyber CA, DigiNotar Extended Validation CA, DigiNotar Public CA 2025, DigiNotar Public CA - G2, Stichting TTP Infos CA en Koninklijke Notariele Beroepsorganisatie CA."

Ik denk dat geen enkel certificaat die de naam 'DigiNotar' draait nog te vertrouwen is. Juist in de wereld van beveiliging van cruciaal belang voor het bestaansrecht van de betreffende onderneming.

DigiNotar heeft niet alleen haar eigen bestaansrecht ondermijnd, maar ook die van de gehele CA-markt. Voor zover ik het nieuws de afgelopen jaren heb gevolgd, heeft er nog nooit een dergelijk 'schandaal' voorgedaan met betrekking tot deze certificaten. De 'onomstotelijke betrouwbaarheid' van de branche is ondermijnd. Wellicht niet terecht, maar er zal nooit meer op dezelfde manier naar CA-organisaties gekeken worden.

Het doet me enigszins denken aan hogeschool InHolland. Ook al heb je precies hetzelfde gedaan als een student van een andere hogeschool, de naam zal altijd een negatieve lading hebben, waardoor je een 'streepje achter' hebt op de rest. Zo zie ik de situatie ook in met betrekking tot de CA-branche.
Er is een eerder geval geweest van een CA die gehackt is, de low cost certificate provider Comodo. Die hebben het echter gelijk gemeld en zijn daarom niet in de ban gedaan.
( http://www.f-secure.com/weblog/archives/00002128.html)

Dus voorlopig staat de branche nog wel overeind ook al verwacht ik dat we in de toekomst naar browser pinning gaan op een beperkt aantal CA´s, dus een oligopolie ipv open concurrentie. Dat laatste leidt tot prijsdumping en dat is moeilijk te verenigen met een goede beveiling.

Dat het DigiNotar niet opviel dat Google nooit klant was is vreemd. Dat ze na de hack geen kas zagen om zelfs maar hun eigen output te bekijken is een mirakel. Elke stageaire had op Maandagochtend toch even de uitgegeven certifcaten voor:
skype
facebook
yahoo
wordpress
twitter
login.livemail
mi6
cia

etc kunnen bekijken (zie de net gepubliceerde lijst van Appelbaum). Je hoeft geen veiligheidsexpert te zijn om je af te vragen waarom die plots allemaal klant geworden zijn en dat hun certificaat ook nog eens net na de hack afliep.

Als de Iraanse overheid de DNS servers omgeleid had naar eigen adressen met deze certificaten hadden ze dus als man in the middle als eerste bericht van ieder kritisch bericht aan de bovenstaande clubs. Er zijn daar no doubt doden gevallen om hier een paar centen te besparen.

Failliet gaan zal niet, want de nieuwe eigenaar heeft diepe zakken, maar strafvervolging wegens ernstige nalatigheid de dood, danwel mishandeling ten gevolge hebbend lijkt me gepast tegen de voormalige directie. Dit ast een civiele procedure tegen de eigenaar.

Overigens is dit nog lang niet opgelost door te revoken. Het internet cafe waar je als dissident binnenwipt, het bedrijf waar je werkt hebben beiden waarschijnlijk nog oude un upgedate browsers en Safari schijnt niet te weten hoe revocation moet. Dat laatste weet ik niet zeker, maar het wordt alom bericht.

(edit bron voor mijn laatste claim http://revoke.info/revoke...sl-certificates-properly/)

(edit2: zojuist word bekend dat van een aantal bekende sites de DNS adressen gewijzigd zijn door vermoedelijk Turkse hackers. Heeft niet direct met DigiNotar te maken, maar de combi vervalste certificaten en DNS hacks is explosief. Zie http://nakedsecurity.soph...legraph-register-ups-etc/)

[Reactie gewijzigd door max3D op 5 september 2011 00:56]

etc kunnen bekijken (zie de net gepubliceerde lijst van Appelbaum). Je hoeft geen veiligheidsexpert te zijn om je af te vragen waarom die plots allemaal klant geworden zijn en dat hun certificaat ook nog eens net na de hack afliep.
Je snapt blijkbaar niet hoe certificaten werken.

Een certificaat dat uitgegeven wordt krijgt (direct of indirect) een digitale handtekening van een root CA. maw het volstaat om de private key van het root CA te hebben om eender welk certificaat te tekenen.

In mensentaal: een willekeurig CA heeft een referentie naar het root CA, maar het root CA heeft geen enkele verwijzing naar alle CA's die het heeft goedgekeurd.
Eens de private key buitgemaakt is, heeft de uitgever van het root CA helemaal geen enkele controlemogelijkheid meer over wat er met het certificaat gebeurt. De enige actie die kan (en moet) genomen worden is het root CA revoken/terugroepen en opnieuw beginnen.
Getoonde certiticaat DigiD is SHA-1 certificaat

Mogen niet langer geldig zijn dan tot eind 2011 volgens PKIOverheid en certificerings richtlijnen.

Verdouderde systemen/browsers kunnen nog niet goed met veiliger opvolger SHA2 omgaan.
De DigiNotar website is verre van up-to-date over de gang van zaken. Niet eens een verklaring. Dus nog steeds geen openheid van zaken. In principe is de webshop zelfs gewoon open.

De ironie: Als je op dit moment bij Diginotar een SSL certificaat wil aanvragen, dan wordt je naar een beveiligde verbinding op diginotar.nl geleid - en die geeft je browser dus als untrusted.

Ik denk niet dat er met deze aanhoudende opstelling veel mensen medeleiden zullen hebben als dit ze de kop kost. Er vanuit gaande dat ze niet nog wat mooie claims krijgen. De fout ingaan kan overal gebeuren, wat écht telt is hoe je ermee omgaat. Bizar dat ze zelfs nú die les nog niet geleerd hebben.
Wie gaat er mee aandelen kopen? Schijnen niet zoveel waard meer te zijn... :P
En wat wil je in hemelsnaam met die aandelen? ze zullen niet meer waard worden. Bovendien is Diginotar eigendom van het Amerikaanse Vasco ( wat me een security risico voor de overheid lijkt, gezien de patriot act).
Of particular note is this certificate:
CN=*.RamzShekaneBozorg.com,SN=PK000229200006593,OU=Sare Toro Ham Mishkanam,L=Tehran,O=Hameye Ramzaro Mishkanam,C=IR

The text here appears to be be an entry like any other but it is infact a calling card from a Farsi speaker. RamzShekaneBozorg.com is not a valid domain as of this writing.

Thanks to an anonymous Farsi speaker, I now understand that the above certificate is actually a comment to anyone who bothers to read between the lines:
"RamzShekaneBozorg" is "great cracker"
"Hameyeh Ramzaro Mishkanam" translates to "I will crack all encryption"
"Sare Toro Ham Mishkanam" translates to "i hate/break your head"
Uit de link naar de lijst...

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Samsung Galaxy S8+ LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True

*