GlobalSign staakt uitgifte ssl-certificaten en huurt Fox-IT in - update

GlobalSign heeft hangende een onderzoek naar een mogelijke inbraak op zijn netwerkinfrastructuur besloten om voorlopig geen ssl-certificaten meer te verstrekken. Ondertussen is Fox-IT ingehuurd om een technisch onderzoek te doen.

De hacker die dinsdag claimde de systemen van DigiNotar te zijn binnengedrongen en honderden valse certificaten te hebben aangemaakt, stelde in zijn betoog dat hij nog steeds toegang had tot vier andere certificaatproviders. Hierdoor zou de Iraanse hacker, die zich de alias ComodoHacker heeft aangemeten, nog steeds vervalste certificaten kunnen genereren.

Mede naar aanleiding van het opeisen van de DigiNotar-hack is GlobalSign, een van de grootste ssl-verstrekkers en expliciet genoemd door ComodoHacker, een intern onderzoek begonnen naar de mogelijkheid dat zijn netwerk is gekraakt. Bovendien heeft de ssl-verstrekker besloten om tijdens het onderzoek uit voorzorg geen ssl-certificaten meer te ondertekenen. Hoelang het onderzoek gaat duren, is nog niet duidelijk, maar het bedrijf belooft regelmatig updates te geven over de stand van zaken.

Inmiddels heeft ComodoHacker opnieuw van zich laten horen via twee postings op Pastebin. Hij stelt in zijn teksten onder andere dat Microsofts verklaring waarin het bedrijf stelt dat Windows Update ondanks de DigiNotar-hack nog steeds veilig is, niet klopt. Zo zegt hij het hele Windows Update-protocol via reverse engineering te hebben gekraakt. Ook stelt hij dat hij zelfgemaakte code via Windows Update kan verspreiden.

Tot nu toe is er echter geen bewijs gevonden dat deze claim klopt. Bovendien heeft Microsoft de certificaten van DigiNotar inmiddels geblokkeerd via een update. Op verzoek van de Nederlandse overheid, dat nog een groot aantal systemen moet voorzien van nieuwe certificaten, wordt de update in Nederland later uitgerold.

Update 15:50: GlobalSign laat op zijn site weten dat het Fox-IT heeft ingeschakeld, het bedrijf dat in opdracht van de overheid de situatie bij DigiNotar onderzocht en een vernietigend rapport publiceerde. Volgens GlobalSign zal Fox-IT helpen bij het onderzoek, mede omdat het Nederlandse beveiligingsbedrijf door de opgedane kennis in de DigiNotar-zaak veel informatie over de hacker zou hebben. Het inschakelen van Fox-IT wekt in combinatie met het stoppen van het verstrekken van ssl-certificaten de indruk dat GlobalSign sterke aanwijzingen heeft dat de hacker inderdaad toegang heeft gehad tot de systemen van de ssl-verstrekker.

Door Dimitri Reijerman

Redacteur

Feedback • 07-09-2011 12:03117

07-09-2011 • 12:03

117 Linkedin

Lees meer

Probleem bij GlobalSign leidt tot certificaatwaarschuwingen - update Nieuws van 13 oktober 2016
D-Link blundert met vrijgeven privésleutels van certificaten Nieuws van 17 september 2015
GlobalSign gaat ipv6 ondersteunen Nieuws van 13 maart 2013
Regels voor verstrekken ssl-certificaten zijn aangescherpt Nieuws van 1 juli 2012
Onderzoeksraad: ict-beveiliging overheid moet flink beter Nieuws van 28 juni 2012
Rijksauditdienst: overheid heeft geleerd van Diginotar-affaire Nieuws van 16 maart 2012
Vasco ziet winst flink afnemen door DigiNotar-faillissement Nieuws van 27 oktober 2011
Minister vindt afhankelijkheid van securitybedrijven onwenselijk Nieuws van 21 oktober 2011
Roep om standaard voor securitybedrijven die voor overheid werken Nieuws van 19 oktober 2011
Gehackte ssl-autoriteit DigiNotar is failliet verklaard Nieuws van 20 september 2011
Ministerie onderzoekt stelsel ssl-certificaten Nieuws van 13 september 2011
Smartphones en tablets blijven kwetsbaar voor valse ssl-certificaten Nieuws van 11 september 2011
Apple brengt DigiNotar-patch voor OS X uit Nieuws van 10 september 2011
GlobalSign: geïsoleerde webserver gekraakt Nieuws van 10 september 2011
DigiNotar-hacker daagt Fox-IT uit Nieuws van 9 september 2011
Mozilla eist maatregelen certificaatuitgevers na DigiNotar-debacle Nieuws van 9 september 2011
GlobalSign wil vanaf maandag weer certificaten uitgeven Nieuws van 9 september 2011
Ssl-hacker claimt privésleutel GlobalSign in handen te hebben Nieuws van 8 september 2011
Politiek wil debat over ict-veiligheid bij overheid na DigiNotar-hack Nieuws van 7 september 2011
Hacker Comodo claimt DigiNotar-inbraak Nieuws van 6 september 2011
Overheid dwingt vertraagde Windows Update af bij Microsoft Nieuws van 5 september 2011
Hackers maakten certificaten aan voor sites geheime diensten Nieuws van 4 september 2011
Overheid: mogelijk DigiD-inloggegevens gestolen door hack Nieuws van 3 september 2011
Browsers gaan foutmeldingen geven bij alle ssl-certificaten DigiNotar Nieuws van 3 september 2011
DigiNotar gaf mogelijk nog valse ssl-certificaten uit na ontdekking hack Nieuws van 1 september 2011
Overheid vertrouwt blunderende ssl-autoriteit Nieuws van 31 augustus 2011
Firefox vertrouwt DigiD toch na verzoek Nederlandse overheid - update Nieuws van 31 augustus 2011
Hackers genereerden zelf vervalst Google-certificaat - update Nieuws van 30 augustus 2011
Firefox vertrouwt certificaat DigiD niet meer Nieuws van 30 augustus 2011
Meer producten en artikelen
Politiek en recht Privacy Internet Beveiliging Hackers

Reacties (117)

-Moderatie-faq
117
110
76
6
0
20
Wijzig sortering
Timo002
7 september 2011 12:24
Nu heeft de Nederlandse overheid wel bij Microsoft aan de deur geklopt voor die update, maar hoe zit dat bij andere besturingssystemen dan? Die hebben gewoon pech gehad? OF hoe zit het met smartphones / tablets?

Ik begrijp het niet helemaal.
Herko_ter_Horst
@Timo0027 september 2011 12:39
Het gaat om de systemen van de overheid intern, blijkbaar draaien die vooral op Windows. Wat de overheid wil voorkomen, is dat er in de geautomatiseerde gegevensuitwisseling tussen die systemen nu direct problemen optreden door de ingetrokken certificaten. Het gaat dus vooral over servers en de controlesystemen daarvan, niet over eindgebruikers en hun gadgets.

Het is dus geen kwestie van "pech gehad": de overheid raadt burgers en organisaties af contact te leggen met systemen zonder vertrouwd certificaat. Deze maatregel is bedoeld om te voorkomen dat systemen simpelweg plat gaan.
Grvy
@Herko_ter_Horst7 september 2011 13:50
Daarvoor heb je toch WSUS in een bedrijfsomgeving?
Herko_ter_Horst
@Grvy7 september 2011 14:24
Vast, maar het kan best zijn dat WSUS nu ingesteld staat om root-certificate updates altijd uit te voeren. Om al die policies te gaan opzoeken en updaten in de tijd zal wel een probleem zijn.
tes_shavon
@Grvy7 september 2011 14:28
WSUS is bedoeld om updates uit te rollen. Op het moment dat deze update direct wordt uitgevoerd, hebben al deze systemen direct door dat DigiNotar geen geldige certificaten heeft uitgedeeld.

Dan kan het voorkomen dat de Frontend-exchange server niet meer wil babbelen met de backend-exchange server. Of de website van de webshop vertrouwt de database-server niet meer. Beide voorbeelden omdat de partij waar je tegenaan babbelt geen geldig certificaat meer heeft.

In een bedrijfsvoering lijkt me dat erg vervelend.
rulus
@Timo0027 september 2011 12:28
Die moeten zelf maatregelen nemen. Status in Ubuntu is bijvoorbeeld hier te volgen.
sygys
7 september 2011 12:06
Het begint wel erg uit te hand te lopen met al die hackers de laatste tijd. Ik begin me serieus af te vragen of het nog wel veilig is om internet te bankieren. Wie weet hoor je over een paar weken dat de bank sites zijn gekraakt...
TDeK
@sygys7 september 2011 12:35
Ik zie het niet zo zwart-wit. Het probleem met deze (en de voorgaande andere) hackers is dat ze zich veel stoerder voor doen dan ze in werkelijkheid zijn. Ik bedoel, kijk naar Diginotar. Als je ziet wat daar allemaal mis was (open WiFi, geen virusscanners, foute bedrijfsmentaliteit enz) dan is het een wonder dat ze nog niet veel eerder zijn gekraakt. Vervolgens komt er één of andere 'hacker' met compensatiedrang toevallig voorbij, wandelt letterlijk binnen en gaat vervolgens stoer lopen doen op Pastebin. Als je vervolgens goed leest wat hij allemaal schrijft, herken je direct iemand die veel roept en weinig kan. Als hij zegt een volledig protocol te hebben gereverse engineerd, dan lees ik dat hij ergens een letter in een copy-paste snippet heeft aangepast en er vervolgens achter kwam dat het werkte. Eureka. De overige zaken die hij roept zijn waarschijnlijk complete leugens.
Anyway, doordat dit groot in het nieuws komt voelen gewone mensen zich niet meer veilig, zelfs niet bij bedrijven die het doorgaans gewoon goed op order hebben (banken met name). Er wordt in de media namelijk niet bij verteld wat voor een enorme *** het bij Diginotar waren, maar ze laten lijken dat het hele SSL systeem gecorrumpeerd is. Nee, SSL valt of staat bij vertrouwen en dat is hier geschaadt. Verder is er technisch niks aan de hand.
@kitafe: klopt, maar stel dat jij een enorme über-hacker bent en serieus met het grootste gemak grote CA's binnenwandelt, wat doe je dan?
a) Je gaat stoer lopen doen op Pastebin en verteld min-of-meer/ongeveer/precies hoe je het hebt gedaan, of
b) Je houdt je koest en biedt je diensten aan - tegen een enorme vergoeding - bij een grote buitenlandse regering.
Ik zou het wel weten. Wat we hier hebben is een incompetente 'hacker' die niets meer kan dan mensen die niet met de materie bekend zijn bang maken. Zij die er wel in thuis zijn are not impressed zogezegd, maar worden er wel in meegetrokken omdat hun klanten nu en-masse in paniek zijn (heb zelf ook al een klant aan de lijn gehad met de vraag of hun SSL cert wel veilig was).

[Reactie gewijzigd door TDeK op 7 september 2011 13:11]

tes_shavon
@TDeK7 september 2011 13:18
Nee, SSL valt of staat bij vertrouwen en dat is hier geschaadt. Verder is er technisch niks aan de hand.
Technisch is er niets aan de hand. wat wel naar buiten komt nu is dat het hele systeem van certificaten niet lekker werkt. Er zijn wereldwijd 1000-en Certificate Authorities. Als er CA's zijn in China, Turkije en Iran, die gewoon certificaten mogen uitdelen, dan klopt het systeem niet.

Software die wordt uitgedeeld door dmv een certificaat uit China, zie je het voor je. We hebben massaal de afgelopen jaren onze gebruikers geleerd dat ze een website pas mogen vertrouwen als er een slotje tevoorschijn komt, daarna hebben we ze geleerd dat dat slotje hoort bij een certificaat. Dat certificaat werd gecontroleerd in de browsers de afgelopen jaren en nu blijkt opeens dat je als leek moet gaan kijken waar dat certificaat vandaan komt (en zelfs DAT is nog niet genoeg - want dat kan OOK niet waar zijn). Kortom, waar blijf je dan met je trusted sites?


[offtopic]
b) Je houdt je koest en biedt je diensten aan - tegen een enorme vergoeding - bij een grote buitenlandse regering.
No way dat ik met de Iraanse / Noord-Koreaanse overheid zaken zal doen, om wat voor reden dan ook.

[Reactie gewijzigd door tes_shavon op 7 september 2011 13:20]

TDeK
@tes_shavon7 september 2011 13:50
Mee eens, het is ook zeker niet de eerste keer dat dit gebeurt. Daarbij is er met veel SSL certificaten ook nog eens het een en ander mis, wat je als novice gebruiker niet eens ziet. Het probleem zit hem dan vooral in de Intermediate Authorities (en niet de Root Authorities die iedereen kent).
No way dat ik met de Iraanse / Noord-Koreaanse overheid zaken zal doen
Iedereen heeft zijn prijs.
Edit: Interessante reactie op Security.nl:
Dit is niet 1 persoon geweest maar een afdeling van de Iraanse overheid.
Door een mythe te lanceren dat er een 21 jarige hacker achter zit houd men het bestaan van zo'n afdeling geheim.
Denk niet dat 1 hacker interesse heeft in aftappen van duizenden gmail en facebook accounts accounts

[Reactie gewijzigd door TDeK op 7 september 2011 15:49]

Vastloper
@TDeK8 september 2011 08:50
Die reactie zit idd wel wat in eigenlijk. Zoals je in het Fox-IT onderzoek kan lezen zijn sommige delen van de hack heel professioneel terwijl andere juist erg amateuristisch zijn. Dat soort incosistentie verwacht je eerder van een team/afdeling waar zowel beginners en experts aanwezig zijn. Wel is er uitermate veel zorg besteed aan het wissen van sporen, wat in zo'n geval natuurlijk erg belangrijk zou zijn. Ook is het niet opsporen van die hacker in iran erg verdacht. En de "ongemerkte aanpassingen" in het iraanse dns systeem voor google. Het hele irannet verhaal en het feit dat de certificaten voor grote internationale internet organisaties is die waarschijnlijk ook in iran veel gebruikt worden is allemaal wel erg verdacht. Ook kan je als 1 persoon zoveel certificaten en de gegevens uit hun misbruik niet zomaar even verwerken en afhandelen zonder heel serieuze hardware.
Anoniem: 146814
@tes_shavon7 september 2011 14:35
Als er CA's zijn in China, Turkije en Iran, die gewoon certificaten mogen uitdelen, dan klopt het systeem niet.
Zoals "TÜRKTRUST Elektronik Sertifika Hizmet Sağlayıcısı" bedoel je? Al 6 jaar in Firefox en MSIE. En expliciet distrusted door mijzelf.
tes_shavon
@Anoniem: 1468147 september 2011 15:17
Je noemt er nu één die jijzelf wel vertrouwd. Maar als ik een google-certificaat krijg voorgeschoteld uitgegeven door bovenstaande partij, dan krab ik 6 keer achter mijn oren en zal waarschijnlijk de boel annuleren.

En daar zit nu net het probleem. Hoe WEET je dat het google-certificaat van TurkTrust komt? Dan moet je het openen en lezen. En dat doet nou net (praktisch) niemand.
SWINX
@tes_shavon7 september 2011 18:40
Dan weet je dat het van Equifax is, en dan?
Is dat nu goed of slecht?
Hoe weet je of Equifax echt de uitgever hoort te zijn?

[Reactie gewijzigd door SWINX op 7 september 2011 18:41]

Anoniem: 91169
@TDeK7 september 2011 13:19
Jouw betoog bevestigt juist de stelling van jj71 dat de hackers niet het probleem zijn maar dat het juist de laksheid/onwetendheid van bedrijven is die ons zorgen doen baren.
Als iemand, zoals jij het stelt, op de gok en met wat proberen eenvoudig binnen kan komen dan is er met de beveiliging bij die bedrijven toch echt iets goed mis.

In de media is trouwens duidelijk naar voren gekomen dat het een puinhoop is bij DigiNotar. Dat de 'gewone' mensen dan de rest ook minder vertrouwen is niet zo gek want wie zegt er dat er niet meer aan de hand is bij andere bedrijven. Dat je er niets over hoort wil niet zeggen dat het allemaal koek en ei is. Niet ten onrechte ook nu de hacker heeft aangegeven bij andere certificeerders te zijn binnen gedrongen.
TDeK
@Anoniem: 911697 september 2011 13:45
want wie zegt er dat er niet meer aan de hand is bij andere bedrijven.
O absoluut. Ik kan me een aantal jaren terug nog herinneren dat een andere grote CA ten prooi was gevallen aan een fake aanvraag per e-mail voor een certificaat, waarbij de hacker controle had over de mailserver van het betreffende bedrijf. Toen werd de CA verweten dat ze niet fysiek op controle waren geweest bij het genoemde bedrijf. Nu heeft een hacker niet eens meer een tussenpersoon nodig, maar genereert hij zijn certs zelf.
Er zullen dus zeker nog meer rogue CA's gevonden worden, zeker nu men er naar gaat zoeken. Maar ook een legitieme CA ksn ten prooi vallen, bijvoorbeeld via een mol binnen het bedrijf. Als de belangen maar hoog genoeg zijn - en de vergoeding ook - dan is alles mogelijk.
findftp
@TDeK7 september 2011 13:26
Of deze persoon is een geloofsgekkie die in naam van religie het waard vindt om de wereld precies te laten weten hoe de vork in de steel zit.
Als geloofsgekkie heb je namelijk een hoger doen dan geldelijk gewin.
kitafe
@TDeK7 september 2011 12:59
probleem is alleen dat je het niet zeker weet
psyBSD
@TDeK7 september 2011 13:23
Ehm... de problemen bij comodo en diginotar (en in het verleden verisign en redhat) geven wel aan dat de hele 'chain-of-trust' structuur die momenteel wordt gehanteerd voor SSL-certificaten niet echt betrouwbaar is.

En het is natuurlijk ook van de zotte... Mijn browser-fabrikant vertrouwd ~ 100 CA's, en door mijn vertrouwen in mijn browser-fabrikant vertrouw ik impliciet de vele miljoenen partijen die een paar honderd euries hebben neergeteld voor een handtekening onder hun certificaatje.
humbug
@TDeK7 september 2011 13:25
Probleem is wel dat Mozilla en andere browserbakkers impliciet het vertrouwen in de chain of trust waarop SSL is gebaseerd hebben opgezegd door allerlei sub certificaten te gaan blokkeren. Als zij dus niet meer in de filosofie achter SSL geloven zou je kunnen zeggen dat zij in feite elk SSL certificaat als verdacht zouden moeten beschouwen tenzij ze vertrouwen hebben in elke schakel in de keten. Dat maakt SSL echter totaal onwerkbaar.

De "fix" van Mozilla en anderen is dus in feite het einde van het SSL systeem. Natuurlijk zal men het als "uitzondering" bestempelen maar een gebrek aan vertrouwen in 1 keten van vertrouwen maakt het ongeloofwaardig dat men alle andere ketens wel zomaar kan vertrouwen. Er is nu gewoon aangetoond dat een Chain of Trust kan falen. En zonder een (blind) vertrouwen in de Chain of trust heeft een SSL certificaat geen enkele waarde. Tijd voor wat anders .
jj71
@sygys7 september 2011 12:19
Het is te hopen dat door dit soort nieuwsberichten bedrijven waarvoor online veiligheid belangrijk is gealarmeerd worden en nog eens extra goed gaan kijken of alles wel goed zit met hun veiligheid.

Het probleem is niet de crackers, maar de laksheid / onwetendheid van veel bedrijven op het gebied van online veiligheid. (Hoewel ik absoluut tegen cracken ben!).
Rudi Vader
@sygys8 september 2011 13:38
Diginotar is een Vasco Compagny.... kijk eens op de achterkant van je random reader.....

Komen deze je bekend voor?

[Reactie gewijzigd door Rudi Vader op 8 september 2011 13:42]

totaalgeenhard
7 september 2011 12:10
En dat is drie...

SSL certificaten dienen niet voor veiligheid maar voor confidentialiteit en integriteit van een communicatie sessie.

Als iemand in je verkeer stroom kan komen, heb je een heel ander probleem.

In de discussie laatste tijd doet men alsof SSL certificaten iets veiliger zullen maken, terwijl dat niet het geval is.
Herko_ter_Horst
@totaalgeenhard7 september 2011 12:18
Voor die confidentialiteit en integriteit van de sessie is het wel handig dat je ook zekerheid hebt dat je zaken doet met de partij waarmee je bedoelt zaken te doen.

Als bescherming van de sessie het hele verhaal was, waren self-signed certificaten prima. SSL is ook niet gehackt, niemand kan zomaar inbreken op de SSL datastroom tussen de client en de server. Het hele probleem is dat iemand anders nu kan doen of ie (de server van) de Belastingdienst is, of Google. Door deze man-in-the-middle attacks hoef je de encryptie helemaal niet te kraken, de client vertrouwt jou namelijk.

De veiligheid zit (of zou moeten zitten) in het feit dat de Certificate Authorities vertrouwd kunnen worden én dat zij bij uitgifte van een certificaat de identiteit van de aanvrager controleren. Op basis daarvan kun jij als gebruiker er dan op vertrouwen dat als het certificaat zegt: "ik ben van Google.com", je inderdaad met Google communiceert en niet met de Iraanse overheid.

Dus jazeker maken SSL certificaten iets veiliger. Het systeem is echter niet waterdicht, net als overigens alle andere systemen die ook nog bruikbaar moeten zijn.

[Reactie gewijzigd door Herko_ter_Horst op 7 september 2011 12:29]

kitafe
@totaalgeenhard7 september 2011 13:02
Kan me vergissen maar SSL wordt toch ook gebruikt voor de encryptie van de data?
Even gecheked en ja ssl zorgt ook voor de encryptie en zorgt wel degelijk voor de veiligheid van de data.

[Reactie gewijzigd door kitafe op 7 september 2011 13:11]

Korben
@kitafe7 september 2011 13:14
De keys van een certificaat worden n.m.w. alleen gebruikt voor het uitwisselen van de daadwerkelijke sleutels die gebruikt worden voor het encrypten van de data die over de lijn gaat.
kitafe
@Korben7 september 2011 14:15
ben toch nog even gaan verder zoeken en kwam op dit

Encryption Protects Data During Transmission
Web servers and Web browsers rely on the Secure Sockets Layer (SSL) protocol to create a uniquely encrypted channel for private communications over the public Internet. Each SSL Certificate consists of a public key and a private key. The public key is used to encrypt information and the private key is used to decipher it. When a Web browser points to a secured domain, a level of encryption is established based on the type of SSL Certificate as well as the client Web browser, operating system and host server’s capabilities. That is why SSL Certificates feature a range of encryption levels such as "up to 256-bit".

bron: http://www.verisign.com/s...security-works/index.html
Ximon
@kitafe7 september 2011 14:39
SSL is niet gehacked, er zijn onechte certificaten gegenereerd. Je kan prima een versleutelde sessie opzetten met twee self-signed certificaten, je hebt dan alleen de sessiedata beschermd tegen meekijken, maar je kan er niet aan de hand van het certificaat op vertrouwen dat computer die aan de andere kant van de lijn zit jouw thuisserver is of een Iranier. Als die Iranier jouw verkeer wilt afluisteren moet hij zich dus ergens tussen jouw laptop en de thuisserver nestelen.

Wat er mis ging in Iran was dat er certificaten bij Google websites opdoken die door Diginotar waren uitgegeven. Ik gok dat men daar de DNS servers van een ISP heeft weten aan te passen waardoor gmail.com verwees naar een Iraanse server. Die server meldde trots meldde dat Diginotar verzekert dat de server waar men mee te maken had gmail.com was en niet een andere nep-server. Dit was wel het geval, en dat is precies het gevaar van deze CA-hacks.
kitafe
@Ximon7 september 2011 14:49
niet dat iets te maken heeft met de reactie waarop je reageerd, maar het is on toppic :)

Is het probleem volgens mij ook dat deze onechte certificaten door bedrijven zijn gebruikt, met de gedachte dat het echte zijn. En als de hacker in bezit is van deze certificaten, kan hij de encrypted data die verstuurd word via deze ceritficaten gewoon lezen. hij hoeft alleen de data ergens af te tappen. en dat hoeft volgens mij niet zo moeilijk te zijn.
Anoniem: 35352
@Ximon7 september 2011 22:40
Met self-signed certificaten kan je juist 100% zeker zijn dat je op je thuisserver zit—op voorwaarde dat je het certificaat eerst even vergelijkt met een kopie die je meeneemt (of toch op z'n minst de fingerprint vergelijkt). Dat is immers ook hoe key authentication bij SSH werkt...

Probleem bij veel sites is natuurlijk dat je vooraf geen key hebt om mee te vergelijken...

In geval van de overheid zou dat overigens relatief simpel op te lossen zijn: vermeld de nodig info om de key te controleren op zo veel mogelijk overheidsdocumenten & -folders. De kans is klein dat Iran (of wie dan ook) er in slaagt al deze documenten te vervalsen...
Jurgen
7 september 2011 12:14
Is er al iemand die de calc.exe gerund heeft? ik waag me er nog niet aan...
flux_w42
@Jurgen7 september 2011 13:05
Nog niet gestart, maar dat is ook niet nodig dus ben ik het niet van plan :)
Volgens virustotal is calc.exe virusvrij http://www.virustotal.com...bbec042165e374-1315393030, maar dan nog is het nergens voor nodig om de exe uit te voeren :P

Wel al het certificaat bekeken. Mijn PC vertrouwd het alleszinds al niet.
http://tinypic.com/r/10qmc2a/7

Ik heb de beveiligingsupdate (KB2607712) nog niet geïnstalleerd.

Edit: Na de beveiligingsupdate zag het certificaat er als volgt uit:
http://tinypic.com/r/fviusg/7
Nu zie je dat het certificaat ingetrokken is.

[Reactie gewijzigd door flux_w42 op 7 september 2011 13:25]

__fred__
@flux_w427 september 2011 14:27
calc.exe is in ieder geval inderdaad getekend met het ontvreemde google.com certificaat. Dat had ie niet anders kunnen doen dan met de private key van dat certificaat. Dus het is of de hacker, of hij heeft het bestand ook maar gekopieerd en praat met een grote mond. Toch geef ik hem redelijk de kans dat ie ingebroken heeft.

Alleen dat wil nog niet zeggen dat al zijn andere claims geloofwaardig zijn.
Anoniem: 126717
@Jurgen7 september 2011 13:09
Al een paar honderd keer. Op mijn netwerkmachine. (Ik gebruik een anti-screensaver proggie dat calc opstart, berekeningetje doet en weer sluit.)

De Diginotar affaire is al goed voor tienduizenden certificaten die opnieuw moeten worden gemaakt/geplaatst, hoeveel zouden er nu bij komen?
Anoniem: 140398
7 september 2011 12:25
Waarom zou je zeggen dat je het gehackt hebt als je er misbruik van wilt maken? Dan gooi je je eigen glazen in. Het is maar de vraag of de claims kloppen. Riekt heel erg naar grootspraak.
JeromeB
@Anoniem: 1403987 september 2011 12:51
Ik heb juist sterk het gevoel dat ComodoHacker een dwaalspoor is:
  • De referenties naar Stuxnet doen vermoeden dat het gaat om represailles.
  • Het hele Srebrenica-verhaal wordt gebruikt om Nederland in een kwaad daglicht te plaatsen, maar een uitleg ontbreekt.
  • Het kinderachtige karakter van de berichten lijkt heel bewust zo te zijn geschreven.
Zelf vermoed ik nog steeds dat de Iraanse overheid hier achter zit en dat de daadwerkelijke redenen voor de hack veel simpeler zijn, namelijk het monitoren van haar eigen internetgebruikers.

[Reactie gewijzigd door JeromeB op 7 september 2011 12:51]

Anoniem: 319423
7 september 2011 12:06
Jaar 2011 is wel het jaar van het kraken / hacken van bedrijven en systemen zeg.
My-life
@Anoniem: 3194237 september 2011 12:08
Ik voorspel dat dit in 2012 ook zal zijn en in 2015 nog meer. Veel bedrijven snappen de risico's niet of steken hun kop in het zand IMHO.
simplicidad
@Anoniem: 3194237 september 2011 12:15
Het is alleszins een topjaar voor diegene die pleiten voor strengere regels, het opgeven van anonimiteit op het internet, etc.

Ik geloof niet zo in conspiracy verhalen maar soms vraag ik mij toch af of al die zaken geen ander doel voor ogen hebben dan puur wat hacken. Het komt toch bepaalde mensen enorm goed uit.

[Reactie gewijzigd door simplicidad op 7 september 2011 12:16]

Eagle Creek
@Anoniem: 3194237 september 2011 12:30
Gehackt werd er al jaren. Het gaat meer om de impact van de hacks van afgelopen tijd. Grote bedrijven en grote gevolgen.
bonus
@Eagle Creek7 september 2011 21:17
Precies, tegenwoordig wordt iedere hack in de showroom geplaatst, groot of klein.
Ik denk niet dat er echt veel meer hacks (% gezien dan) zijn dan vroeger, maar worden wel breeder uitgemeten dan vroeger. Misschien stimuleert dat ook wel...
ProfoundOne
7 september 2011 12:12
Het lijkt erop dat de update niet volledig tegengehouden wordt @ Windows Update. Ik kreeg vandaag wel degelijk een update aangeboden, deze is echter niet standaard geselecteerd.
wolkewietje
@ProfoundOne7 september 2011 12:25
Juist het wel/niet geselecteerd zijn van die update is dat automatisch uitrollen wat bedoelt wordt.
Ja, ik heb hem zelf ook bewust aangezet en door gevoerd en dat stuk is ook al in eerdere postings vermeld maar het standaard selecteren + doorvoeren is niet voor nederland aangezet door MicroSoft.
Herko_ter_Horst
@ProfoundOne7 september 2011 12:30
Dat was ook de afspraak met de NL overheid: de update wordt wel uitgerold, maar niet automatisch geïnstalleerd. Zo wil de overheid voorkomen dat systemen nu per direct uitvallen op basis van niet-verifieerbare certificaten.
badnews.nl
7 september 2011 12:14
Het is wel iemand van meerdere markten...
hacken sites en reverse engineering van MS updates zijn totaal verschillende dingen.
Amito
@badnews.nl7 september 2011 12:27
Dat zegt ie ja, als ik het zo lees is het een groot mediag*l persoon. Onderstaande is dan ook typerend voor hem
You see? I'm so smart, sharp, dangerous, powerful, etc. huh?
Yzord
@badnews.nl7 september 2011 12:33
Daarom denk ik dat zijn beweringen ook ongegrond zijn. Hij geniet momenteel van de aandacht en sensatie. Persoonlijk weet ik bijna zeker dat dat ook zijn ondergang zal zijn. Een echte hacker/cracker laat niet van zich horen, maar laat betreffende bedrijven/overheden in het duister tasten.

Hij zal heus wel wat op zijn geweten hebben, no doubt, maar het is imo niet meer dan een persoon die van dit soort roem geniet en dus zijn roem heffende houdt door nieuwe beweringen te plaatsen.

Maar goed, stel hij heeft gelijk, dan kan cyberspace zijn vingers nat gaan maken. Want dan houdt dit niet meer op en zullen we als privacybeschermers er veel profijt van hebben, van de angst die regeert bij overheden. Op deze manier komt er geen enkele dna/vingerafdruk/hondenpoep database :)
redah
7 september 2011 12:06
Kijk, en dit is hoe je dit soort dingen oppakt. Daar hadden Diginotar en onze overheid nog iets van kunnen leren.

Hoewel het natuurlijk wel een tikkeltje vervelend wordt dat er blijkbaar toch op grotere schaal dingen mis kunnen zijn in een industrie die 100% om vertrouwen draait...
Powermage
@redah7 september 2011 12:21
Ik denk dat de zin 'Diginotar en onze overheid' niet helemaal klopt, toen de overheid eindelijk te horen kreeg van de hack hebben ze snel gehandeld voor een overheid vind ik.
Diginotar verdient het om gewoon opgeheven te worden.
Eagle Creek
@Powermage7 september 2011 12:32
En... wellicht dat Globalsign aan de bel trekt vanwege Diginotar. We weten ook niet hoe het anders zou zijn geweest.

Wat wel duidelijk is, is dat wanneer zij niets zouden melden en het mis blijkt te zijn, ze in navolging van Diginotar de boel zouden kunnen inpakken.
.oisyn
@Powermage7 september 2011 12:34
toen de overheid eindelijk te horen kreeg van de hack hebben ze snel gehandeld voor een overheid vind ik.
Compleet niet mee eens. De overheid heeft zich juist een enorme lakse houding aangemeten door te vertrouwen op de woorden van DigiNotar zelf, die riepen in het begin nog dat ze best te vertrouwen waren, en de overheid vond dat prima. Imho hadden ze toen al (en dat heb ik destijds ook geroepen) het zekere voor het onzekere moeten nemen en alvast nieuwe certificaten aan moeten vragen (sterker nog, eigenlijk moeten ze sowieso een setje backup certificaten van een andere root CA hebben liggen, maar daar gaat het nu even niet over). Pas toen ze werden geïnformeerd van het resultaat van het onderzoek van FoxIT begrepen ze dat het stront aan de knikker was.

[Reactie gewijzigd door .oisyn op 7 september 2011 12:38]

MuddyMagical
7 september 2011 12:13
Ik begin zo langzamerhand wel een beetje te twijfelen aan die ComodoHacker. Zijn verhalen worden steeds groter en groter, maar er is nog geen bewijs gevonden dat hij het daadwerkelijk heeft gedaan.
Hij geeft een wachtwoord van een domain admin, maar er is geen bevestiging dat het klopt. Hij roept over Windows Update dat hij eigen code kan verspreiden, etc. Maar wederom geen bewijs.

Laat eerst maar eens zien....
High-Voltage2
@MuddyMagical7 september 2011 12:51
Bekijk de PSN hack... In eerste instanatie was ook niet duidelijk wat er juist aan de hand was. Niemand had gedacht dat de omvang zo groot was. Uiteindelijk heeft het hele netwerk een hele tijd uitgelegen voor onderzoek en aanpassingen. Zoveel persoonsgegevens buitgemaakt etc... Dat had op voorhand ook niemand verwacht.
1 2 3

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee