×

Laat je stem gelden!

Dit jaar organiseren we voor de elfde keer de Tweakers Awards! Wat vind jij de beste tech- en elektronicaproducten van het afgelopen jaar? Laat je stem gelden en ontvang 50 ippies. Je maakt bovendien kans op een Philips Hue Starter Pack, JBL Charge 3, Call of Duty: WWII of twee vrijkaarten voor de uitreiking op donderdag 1 februari!

Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

DigiNotar-hackers blijken 531 certificaten te hebben vervalst

Bij de hack op de systemen van het Beverwijkse DigiNotar blijken in totaal meer dan 500 valse certificaten te zijn gegenereerd. Bijna een kwart van deze certificaten werd uitgegeven nadat DigiNotar de hack zelf medio juli had ontdekt.

Dit blijkt uit gegevens die Tor-ontwikkelaar Jacob Appelbaum van de Nederlandse overheid heeft ontvangen. Eerder vandaag heeft Appelbaum contact gehad met de Nederlandse overheid, waarna hij een lijst met maar liefst 531 certificaten heeft ontvangen die mogelijk zijn vervalst. Eerder werd nog uitgegaan van hooguit 250 stuks, nadat in de nieuwste Google Chrome-versie 247 certificaten van DigiNotar werden geblokkeerd.

In overleg met de Nederlandse overheid heeft de ontwikkelaar besloten de volledige lijst met getroffen certificaten te publiceren. "Het is geen mooie lijst en ik heb besloten dat ik deze ga vrijgeven. De mensen met wie ik heb gesproken van de Nederlandse overheid zijn het eens met deze actie."

Appelbaum heeft de lijst bekeken en komt tot de conclusie dat er enkele CA-roots waarschijnlijk nooit meer te vertrouwen zijn. Deze roots zijn DigiNotar Cyber CA, DigiNotar Extended Validation CA, DigiNotar Public CA 2025, DigiNotar Public CA - G2, Stichting TTP Infos CA en Koninklijke Notariele Beroepsorganisatie CA. Saillant detail is dat deze laatstgenoemde organisatie ooit verantwoordelijk was voor de oprichting van DigiNotar.

"De ergste certificaten zijn uitgegeven voor *.*.com en *.*.org, terwijl vervalste certificaten voor Windows Update en andere hosts in vergelijking minder schadelijk zijn", stelt Appelbaum. "De aanvallers hebben ook certificaten uitgegeven uit naam van andere CA's, zoals 'Verisign Root CA' en 'Thawte Root CA', al kunnen we niet bepalen of ze er in zijn geslaagd om onderliggende CA-certificaten uit te geven."

Uit een snelle inventarisatie van de lijst blijkt dat 124 certificaten zijn uitgegeven nadat DigiNotar medio juli de hack ontdekte. Dat kan er op duiden dat DigiNotar de gehackte systemen niet meteen heeft afgesloten, maar nog heeft door laten draaien nadat de aanval werd ontdekt. Een andere mogelijke verklaring is ernstiger: het zou kunnen zijn dat DigiNotar de systemen dacht te hebben gepatcht en deze weer online bracht, terwijl de hackers nog toegang hadden tot de server.

DigiNotar was één van de zes partijen die namens de Rijksoverheid ssl-certificaten mogen uitgeven, voor onder meer DigiD, de website van de Belastingdienst en de versleutelde communicatie tussen overheden en bedrijven. Tot aan vrijdag ging de overheid ervan uit dat het systeem waarmee DigiNotar ssl-certificaten die voor de overheid uitgeeft, niet zijn gekraakt. Toen bleek dat er mogelijk ook valse ssl-certificaten voor overheidsdiensten zijn gegenereerd, zegde minister Donner per direct het vertrouwen in het Beverwijkse ssl-bedrijf op.

Browsers zullen binnenkort foutmeldingen geven als websites een ssl-certificaat van DigiNotar gebruiken. De overheid adviseert niet door te gaan als de browser een foutmelding geeft. Dat advies is echter niet waterdicht: browsers geven nu nog geen foutmelding als het gebruikte certificaat van DigiNotar is. Bovendien werken sommige mensen met een browser die niet up-to-date is en dus helemaal geen melding zal geven.

Ondertussen zit de overheid niet stil en wordt er voor PKIOverheid CA gewerkt aan een overstap naar Getronics PinkRoccade voor DigiD. Deze overstap is technisch nog niet gereed, al meldt het certificaat al wel dat deze vanaf 4 september geldig is. Opvallend is dat het certificaat tot 1 januari 2012 geldig is. Het is niet bekend of het om een tijdelijke maatregel gaat.

Door de hack kon een server van kwaadwillenden zich voordoen als een andere, legitieme server. Mogelijk zijn de certificaten door de Iraanse overheid misbruikt om zijn inwoners te bespioneren, al kon Donner niet bevestigen of dat inderdaad zo is. Dat het bedrijf de hack anderhalve maand lang verzweeg en bovendien niet opmerkte dat er nog valse certificaten in omloop waren, maakte de kritiek nog heviger. Mogelijk is het bedrijf zelfs al sinds mei 2009 gehackt; er zijn bestanden op de DigiNotar-webservers ontdekt die daarop wijzen.

Door

133 Linkedin Google+

Submitter: Icingdeath

Lees meer

Reacties (133)

Wijzig sortering
Voor het eerst dat ik nu (ook) de mensentaal versie snap.

Dit betekent dan dat dus ook dat 'tussen certificaten', waarvan de private key gestolen is, niet te vertrouwen zijn, ook al is het root certificaat nog wel te vertrouwen (bijv. van VeriSign). Alleen een private key van een bovenliggend certificaat is voldoende(?).
Dat hangt natuurlijk af wat de vraag aan PWC was... als PWC alleen gevraagd is om de processen te beoordelen is het niet gek dat ze geen beveilingslek hebben gevonden.
Het is dan ook op vertrouwen gebaseerd. En ik vertrouw anderen heus wel, tot het tegendeel is bewezen.
Gezien meerdere commerciële Root CA's (inclusief de grootste op de markt) al meerdere malen bewezen hebben niet erg betrouwbaar te zijn, kan je dan maar beter niet al te veel vertrouwen hebben in de meeste SSL-certificaten...
Net zo onomstokelijk als de WOMD die Irak zou hebben, bedoel je?

Het was natuurlijk te verwachten dat Iran zich niet onbetuigd zou laten, zeker niet nadat ze zelf slachtoffer zijn geworden van een trojan die er op gericht was om hun nucleaire programma te ondermijnen. Wie kaatst kan de bal verwachten, toch?

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S9 Google Pixel 2 Far Cry 5 Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*