Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 105 reacties
Submitter: Coltragon

ComodoHacker stelt dat hij de privésleutel van het domein globalsign.com in handen heeft gekregen na een aanval op het netwerk van de ssl-verstrekker. GlobalSign heeft de certificaatverstrekking stilgelegd en Fox-IT ingeschakeld.

In de posting stelt ComodoHacker, die eerder de aanval op DigiNotar opeiste, dat hij volledige toegang heeft tot de servers van certificate authority GlobalSign. Ook stelt hij klantgegevens te hebben bemachtigd en zelfs de privésleutel voor de domeinnaam globalsign.com in handen te hebben.

GlobalSign besloot woensdag de uitgifte van ssl-certificaten te staken en het Nederlandse beveiligingsbedrijf Fox-IT in te schakelen voor een onderzoek. Volgens GlobalSign is het inhuren van Fox-IT een voorzorgsmaatregel en onderzoekt het bedrijf de claims van de Iraanse hacker.

ComodoHacker, die schrijft alleen te opereren en 21 jaar oud te zijn, claimt ook dat hij bij de certificaatverstrekker StartCOM heeft ingebroken. Hij zou daar naar eigen zeggen bezig zijn geweest om certificaten te genereren voor grote websites als Google en Twitter, toen hij door Eddy Nigg, ceo van het bedrijf, werd betrapt omdat hij handmatig certificaten controleerde. Wel claimt ComodoHacker grote hoeveelheden klantgegevens, e-mails en databases in handen te hebben, die hij binnenkort op de website Cryptome wil publiceren.

In zijn betoog herhaalt de hacker zijn motivatie; hij handelt naar eigen zeggen tegen de 'vijanden' van het Iraanse bewind. Ook claimt ComodoHacker zijn hacks op een zeer geraffineerde manier uit te voeren, waardoor hij ook systemen kan aanvallen die niet aan het internet zijn gekoppeld en met smartcards zijn beveiligd.

Ook claimt de hacker dat hij nog drie internetbedrijven op het oog heeft, terwijl ook isp's en infrastructuur in Europa en de VS doelwit zouden zijn. Als 'bewijs' post de hacker een wachtwoord van de Amerikaanse isp Lmi.net.

Gerelateerde content

Alle gerelateerde content (28)
Moderatie-faq Wijzig weergave

Reacties (105)

Als dit inderdaad waar is, is dat niet best. En wellicht zijn nog meer bedrijven gecompromiteerd?

Toch vraag ik me wel af wat het waarheidsgehalte is. Een gerucht is snel verspreid nu iedereen bovenop het nieuws duikt..

Edit
Ook blijf ik het (semi-?)politieke motief opvallend vinden. Een 21-jarige die in zijn eentje opkomt voor Iran. Het kan, uiteraard, maar het geeft mij vraagtekens.

[Reactie gewijzigd door Eagle Creek op 8 september 2011 10:44]

De Comodo hacker beweert nog 4 grote CAs te hebben gehacked - in zijn laatste bericht had hij het over 3 CAs. Anyway, het lijkt me voor bv. VeriSign, GoDaddy, Networking4All en Thawte wel het juiste moment om ook even wat intern onderzoek te doen. Op dit moment zijn naar mijn idee gewoon alle certificaat uitgevers verdacht totdat het tegendeel is bewezen.

De situatie is behoorlijk ernstig: als een 21-jarige (of een hele groep achter die zgn. 21-jarige) op dit nivo certificaten kan hacken, ook in staat lijkt te zijn om het Windows update mechanisme te reverse-engineeren en daardoor updates te kunnen laten uitvoeren in Windows, dan is er eigenlijk alleen nog een DNS-hack nodig om de IT wereldwijd plat te gooien. DNS hacks zijn in het verleden niet onmogelijk gebleken. Microsoft zou er bv. verstandig aan doen om alle Windows update certificaten te revoken en te vervangen door andere certificaten en een extra authenticatie laag toe te voegen, bv. DANE.
[...]

De situatie is behoorlijk ernstig: als een 21-jarige (of een hele groep achter die zgn. 21-jarige) op dit nivo certificaten kan hacken, ook in staat lijkt te zijn om het Windows update mechanisme te reverse-engineeren en daardoor updates te kunnen laten uitvoeren in Windows, dan is er eigenlijk alleen nog een DNS-hack nodig om de IT wereldwijd plat te gooien.
[...]
Als inderdaad windows-updates mogelijk zijn, dan is een dns-hack niet eens nodig. Kwestie van de hosts-file vullen met een update.
Host file zou hij dan niet gebruiken.
dan zal eerder een soort van driver of tunnel laten installeren die het verkeer via een andere dns laat lopen dat heb je niet zo snel door als gebruiker.
Ehm, en hoe moet hij bij dat host file komen als hij daarvoor eerst een windows update wilt faken waarvoor hij eerst een dns moet hacken :P
wtf, wat zit iedereen hier bezig over windows updates? :p
dat is totaal niet relevant.

Als je die bedrijven hackt kan je waarschijnlijk ook een exploit schrijven voor IE en zo de hosts file laten aanpassen. En als hij dat niet zou kunnen kan hij nog altijd 1 kopen.
wtf, wat zit iedereen hier bezig over windows updates?
dat is totaal niet relevant.
Volgens mij snap je zelf vooral de relevantie niet. Als je het Windows Update proces in handen hebt en updates kan uitrollen, dan hoef je daarna niets te hacken - dat gaat automatisch, als mensen voor hunzelf updates installeren. Voor een IE exploit moet je er eerst voor zorgen dat A. je doel IE gebruikt en B. je doel naar een specifieke website wordt gelokt.
of een proxy. Ik heb ze wel eens in het wild gezien. Een tunnel tussen de connecties en/of een proxy. SSL sleutels is een leuke additie.
Als je al iets kan injecteren in het windowsupdate proces dan ga je natuurlijk niet heel knullig iets toevoegen aan de hosts file maar pas je gewoon de DNS client software aan. Veel lastiger te detecteren.
lmao dat dit een +1 krijgt :p

Zoals GreatSlovakia al opmerkt, hoe zou hij de host file veranderen zonder die windows update waarvoor hij dus eerst een DNS hack moet doen daarvoor :p
Als je de berichtgeving volledig gevolg had wist je dat MS daarnaas tnog een certificaat meegeeft dat ze zelf genereren. Los dus van de al dan niet gehackte DNS en WU certificaten ben je dus dan nog nergens.
Of je moet op de gecompromiteerde machine admin zijn en dan hoef je niet meer te hacken lijkt me ;)

Volgens de eigenaar van de drie grote CA zijn hun systemen niet gehacked.
http://webwereld.nl/nieuw...ze-roots-zijn-veilig.html
Dat DNS verhaal wordt wellicht lastiger omdat diverse organisaties DNSSEC gebruiken waardoor aanpassingen van DNS entries e.d. wat lastiger zijn. Als je heel de server hackt en netjes alles signt alsof je de server admin zou zijn wordt het natuurlijk een ander verhaal. Dit hele gedoe is mijns inziens wel een goed voorbeeld waarom je DNSSEC asap zou willen invoeren. Het is weer een extra laagje aan security.
Zodra je de hosts file aanpast is het dnssec verhaal afgelopen.

Zoals eerder vernoemt kan je ook gewoon de dns software aanpassen om dnssec te circumventen voor de domains die jij wil hijacken.
Ik vraag me ook af wat hier waar van is.

Maar vooral of het inderdaad een "alleen opererende 21-jarige hacker" is.
volgens mij is dat gewoon een smokescreen en zit 'gewoon' de Iraanse geheime dienst erachter, maar hebben ze deze hacker gecreëerd zodat Iran zelf geen blaam treft.
Dat moet bijna wel. Waarom zou een privé hacker zoveel moeite doen om certs voor Facebook, Google enz. te genereren als je niet tegelijkertijd ook controle hebt over de Iraanse gateway? Ik bedoel, zonder die gateway zijn die gegenereerde certs waardeloos; die gateway is immers de MitM waarmee Iraanse browsers een SSL handshake moesten doen. Er moet dus hulp vanuit het regime zijn. Daarbij is het natuurlijk wel heel toevallig dat precies die websites worden 'aangevallen' die in de Arab Spring erg veel gebruikt worden.
Maar meer algemeen getrokken kunnen we dus stellen dat overheidsinmenging in het internet (of de internetverbinding) zeer ongewenst is. In de VS verdwijnen ook hele blokken met domeinen, dus het is niet iets wat alleen maar in het Oosten gebeurt. Wellicht is deze hele affaire een boost voor het P2P DNS protocol? Want DNSSEC alleen beschermt je niet tegen een gecorrumpeerde DNS server.

[Reactie gewijzigd door Rick2910 op 8 september 2011 11:47]

Dit hele certificaten verhaal doet mij telkens maar aan 1 ding denken en dat is DNSSEC. Het is namelijk tijd om op lager niveau te beveiligen zodat certificaten uberhaupt nut kunnen hebben, maar kun je toelichten waarom DNSSEC in dit geval niet voldoende beveiliging toevoegd?

Los van het feit dat DNSSEC door thuisrouters vaak nog niet ondersteund wordt..
DNSSEC garandeert vgs mij alleen maar dat de juiste DNS-server gebruikt wordt, maar het voegt niets toe aan de beveiliging van de verbinding naar de webserver toe. Als die vervolgens onversleuteld is, kan er uitstekend een MitM attack worden uitgevoerd, op open netwerken (zoals een Wi-Fi, of een non-switched bekabeld netwerk)
Omdat - in het geval van Iran - de DNS server onder het beheer van het corrupte regieme valt.
Euhm nee, want Iran heeft daar geen SOA voor. Dus zal de dnssec validatie niet lukken.
De Amerikaanse Pro IP act maakt DNSSEC onmogelijk.
Wat hebben *wij* met die act te maken?
Wat ik vreemd vind is dat je dit openbaart.. Nu gaat iedereen opletten. Hack status is leuk, maar het was waardevoller als je dit geheim kon houden. Had het stil gehouden en je had de andere CA's nog kunnen gebruiken.

Daarom vraag ik me af of het allemaal waar is. Als het de Iraanse dienst was, dan is het misschien een bliksem afleider. (misschien is een gewillige iraanse hacker gevoegd met info uit overheid, om mee te shinen) Anders is het misschien iemand die net genoeg gegevens heeft (zoals een wachtwoord) om geloofwaardig te kunnen claimen.
In zijn dumps vond hij het een straf voor de nederlandse overheid wegens Srebrenica.

En dat Iran verhaal komt ook nergens meer terug, alleen die toegepaste afluister techniek.
Ook claimt ComodoHacker zijn hacks op een zeer geraffineerde manier uit te voeren, waardoor hij ook systemen kan aanvallen die niet aan het internet zijn gekoppeld en met smartcards zijn beveiligd.
Ben ik toch benieuwd hoe hij bij die systemen wil komen. Wellicht indirect omdat andere systemen op hetzelfde netwerk wel verbonden zijn en intern toch niet alles goed afgesloten is?
Iedere ICT-er die al een jaar of 20 werkt weet hoe hij dit op kan lossen met pull-jobs, queues, batches enz die met andere data meelift van ene netwerk naar andere. In een ver verleden moesten we zelfs ftp jobs via email draaien - je gaf de commando's in via een emailtje, bericht werd verzonden en ontvangen bij een server (waarbij je de te volgen route ook handmatig had opgegeven, bv. via x400 via arpanet naar fido) die de commando's een voor een afhandelde en via email het resultaat terugstuurde.
De netwerken zijn dan niet aan internet gekoppeld, ook niet rechtstreeks aan elkaar gekoppeld maar via allerlei andere wegen gekoppeld. Dit soort mechanismes kun je ook realiseren via USB sticks etc. (het zgn. "Nike netwerk").
Dat is een optie, vooral wanneer domme beheerders "autorun" op servers aan hebben staan en ze overal usb-sticks induwen :) Op deze wijze kan je inderdaad gegevens uitwisselen wanneer je in staat bent om een usb-stick te prepareren om als doorgeefluik te fungeren. Overigens geen moeilijke oplossing, Visual Studio Express C++, .exe bouwen, autorun.inf op usb stickie (exe eventueel verborgen in een tweede stream op ntfs) en gaan met die banaan.
(het zgn. "Nike netwerk").
Bedoel je "sneakernet"?
[...]

Ben ik toch benieuwd hoe hij bij die systemen wil komen. Wellicht indirect omdat andere systemen op hetzelfde netwerk wel verbonden zijn en intern toch niet alles goed afgesloten is?
Dan kun je toch gewoonweg niet stellen dat die dingen niet aangesloten zijn op het internet? Het internet is gewoon een verlenging van je thuis/bedrijfsnetwerk, als het daar op is aangesloten is alles op dat netwerk aangesloten op het internet..
Niet echt.
Zolang dat interne netwerk niet adeseerbaar is vanaf het internet kun je niet spreken van een aansluiting.
Er is altijd wel een weg, zie de verhalen hierboven over USB sticks etc.
Maar dan maak je dus een eigen 'aansluiting'.
Verder hoeft zo'n netwerk niet met IP te werken.
Veel succes om daar vanaf het internet tegenaan te praten.

ps. Als je IP gebruikt dan is je prive-netwerk een extentie van het internet en niet andersom.
Lol, dan kan je dat van elk thuisnetwerk zeggen he :p
Elke machine achter de natting device kan niet vanop internet bereikt worden.
En dat kan dan niet gehacked worden zeker? :p
Het wordt toch hoog tijd om een vervanger voor het huidige CA/SSL systeem te zoeken, zoals het convergence systeem van moxie marlinspike: http://www.youtube.com/watch?v=Z7Wl2FW2TcA (uitleg van nieuwe oplossing vanaf 35:35)

Het systeem zoals hij het voorstelt lijkt al een grote stap vooruit te zijn.

[Reactie gewijzigd door -GSF-JohnDoe op 8 september 2011 10:46]

Grote stap vooruit? Absoluut niet. Het lost nog altijd niet het eigenlijke probleem op. Er is nog altijd een organisatie nodig die de nodige controles uitvoert en dat certificaat moet uitgeven. Dit is meer iets wat ingaat op een aantal kleine details en die paar puntjes oplost. Het vereist net als nu nog altijd het vertrouwen in een organisatie dat die z'n werk goed doet. Het enige verschil is dat de gebruiker nu de keuze maakt, niet de browser of OS fabrikant. Het huidige CA systeem wordt hierdoor democratischer. In theorie alleen helaas. Het merendeel van het internet bestaat uit gemiddelde gebruikers die lukraak op knopjes drukken om die vervelende popup weg te krijgen. Certificaten zegt ze helemaal niets. Gevolg is dat zij de instellingen nooit zullen wijzigen en dus een risico lopen wanneer de CA (of Notary zoals Convergence het noemt) de boel net zo "goed" op orde heeft als DigiNotar en daardoor gehackt worden. Nu krijgen ze nog een update van de browser of OS fabrikant die DigiNotar als "niet betrouwbaar" markeert. De enige groep waar dit zal gaan werken is de groep waarbij men wel weet wat certificaten zijn en men daar ook wat meer controle over wil. Die groep staat vaak bekend als "nerds".

Het verschil tussen Convergence en hoe het nu gebeurd is dan ook echt alleen maar de persoon die beslist welke CA (Notary) te vertrouwen en welke niet. In beide gevallen moet je maar op de CA (Notary) vertrouwen dat zij de certificaten correct uitgeven en dat zij afdoende controleren om te garanderen dat het certificaat ook echt klopt. Juist in dit proces ging het faliekant verkeerd en daar gaat heel Convergence niet op in.

Convergence zie ik op dit moment dan ook meer als het verergeren van het probleem vanwege het feit dat de keuze en daarmee ook de verantwoordelijkheid bij de gebruiker terecht komt. De meeste internetgebruikers hebben niet genoeg kennis om met die keuze en bijbehorende verantwoordelijkheid om te kunnen gaan. Juist daardoor wordt de situatie onveiliger dan nu of krijgen we dadelijk eenzelfde situatie als nu (waarbij je die keuze en verantwoordelijkheid aan een ander uitbesteed, exact zoals dat nu al gebeurd). Dit is een zeer cruciaal punt dat in Convergence opgelost moet worden. Daarnaast moet er vooral worden gekeken naar de uitgifte van de certificaten en dat doet Convergence nou juist niet. Dat zit eerder in betere controle van de CA's zelf, denk aan de controles op brandveiligheid e.d.
Het verschil tussen Convergence en hoe het nu gebeurd is dan ook echt alleen maar de persoon die beslist welke CA (Notary) te vertrouwen en welke niet. In beide gevallen moet je maar op de CA (Notary) vertrouwen dat zij de certificaten correct uitgeven en dat zij afdoende controleren om te garanderen dat het certificaat ook echt klopt. Juist in dit proces ging het faliekant verkeerd en daar gaat heel Convergence niet op in.
Jawel, convergence gaat daarop in door meerdere notaries te gebruiken. Je kan dan zelf aangeven hoeveel overeenstemming je moet hebben in de notaries (consensus, majority of single notary) voordat je een certificaat accepteerd. Dus als je slim je notaries uitkiest is dat voldoende veilig.

Dat dit voor gewone gebruikers mogelijk wat lastig is is waar, maar browserbouwers kunnen daarop inspringen door zelf 'recommended' notaries standaard aan te zetten (bijv een google notary, een verisign notary, een eff.org notary, etc).
Inderdaad, bij het huidige systeem is het probleem vooral dat een lek bij een van de vele CA's ervoor zorgt dat geen enkel certificaat nog vertrouwd kan worden. Zolang je niet weet welke CA een certificaat uitgegeven hoort te hebben, en dat ook niet controleert is het dan niks meer waard, want het kan net zo goed ergens anders vandaan komen.
Grootste probleem is dat er CA's zijn die klakkeloos een certificaat voor je maken (bijv. abnamro.nl) als je maar betaalt. Als je dan de DNS cache poisened kun je op je eigen server met certificaat een kopie van abnamro.nl plus SSL verbinding draaien waarbij het voor de gemiddelde consument niet te onderscheiden is van de echte site.

Het certificatensysteem is gewoon achterhaald. Het komt in ieder geval tekort doordat je voordat certificaten een rol spelen al de boel om kunt leiden.
Is dit niet simpelweg op te lossen middels signing van een certificaat door meerdere CA's. Een beetje zoals PGP volgens mij werkt. Je nivo van vertrouwen is afhankelijk van het nivo van vertrouwen dat je aan de verschillende CA's hangt.
Met alle respect, maar volgens mij is dat borrelpraat. Ik kan me niet voorstellen dat er ook maar één CA is die momenteel trusted is door de grote browsers die je zo maar (ook al is het voor grof geld) even een certificaat geeft voor ieder willekeurige domein. Dat zou namelijk de doodsteek zijn voor iedere CA op het moment dat dit uitkomt (zie DigiNotar).

Je moet altijd bewijs overleggen dat je eigenaar bent van die domeinnaam. En ik weet uit eigen ervaring dat je daarbij niet een punt of een komma verkeerd moet hebben staan want dan wordt de aanvraag gewoon afgewezen.

Wat volgens mij het grote gemis is aan het huidige certificatensysteem is dat de browser geen enkele manier heeft om te controleren of het door de browser ontvangen certificaat ook daadwerkelijk het certificaat is wat de webserver heeft verstuurd. De browser controleert nu alleen het certificaat met de CA die het certificaat heeft uitgegeven. Er zou eigenlijk een manier moeten zijn dat de authenticiteit van het certificaat gecontroleerd kan worden met de publisher van de website. Lastige is dat bij een MITM attack alles gespoofed kan worden.
Was dit niet de reden voor Extended Validation? Of stelt dat ook al niks voor?

En sinds wanneer hoef je niet aan te tonen dat je ook daadwerkelijk de eigenaar ban het domein bent in de eerste plaats?
Dat is een heel leuk social(istisch) systeem, wat geen enkele bank, overheid, of wat dan ook zal gaan vertrouwen.
Voor de bank verandert er niets - voor de eindgebruiker verandert de situatie. Het systeem is nu al toe te passen op je bank (behalve als je citibank hebt :+ ) of overheidswebsites. Ze hebben dus eigenlijk helemaal niets te willen. Volgens mij heb je het systeem niet goed begrepen.

Verder is het duidelijk gebleken dat het huidige systeem al helemaal niet te vertrouwen is, dus de dingen hetzelfde laten is helemaal onacceptabel.

[Reactie gewijzigd door -GSF-JohnDoe op 8 september 2011 11:07]

Dat is een heel leuk social(istisch) systeem, wat geen enkele bank, overheid, of wat dan ook zal gaan vertrouwen.
Banken zijn niet de instanties die bepalen welke technieken massaal gebruikt gaan worden op het internet. De banken implementeren dat wat beschikbaar is en hebben vrijwel geen macht over de techniek. Het zijn meestal universiteiten die bepalen waar het met de techniek naar toe gaat.
Opvallend dat hij van zijn stoutmoudige hack claims geen bewijzen wil geven maar wel met een wachtwoord gaat komen voor een veel minder spannende hack.
Hij meent zelf (http://pastebin.com/u/ComodoHacker) aardig wat bewijzen te hebben gegeven. Hij lijkt nogal geirriteerd door iedereen die hem niet gelooft.

Ondanks dat sommige stukken van zijn betoog me nogal sterk lijken (o.a. hacken RSA) zitten er ook wel heel aannemlijke stukken tussen (eerst hacken Italiaans zusterbedrijf, waar in een DLL bestand een username/wachtwoord stond, waarmee hij verder naar binnen kwam).

Als hij eea echt in zijn eentje heeft gedaan is hij ee genie. Als het meerdere mensen zijn is het een goed aangestuurd team. Bedenk daarbij ook dat met hoe meer mensen je bent hoe moeilijker het is om dergelijke aanvallen verborgen te houden en dat de systemenen evengoed gekraakt moeten worden. Van Comodo en Diginotar heeft hij bewezen (mijns inziens) deze gehacked te hebben.

[Reactie gewijzigd door pietje63 op 8 september 2011 12:05]

Nee, er is niks bewezen dat hij die gehacked heeft. De kans is aanwezig, maar hij hoeft het niet te zijn. Dat is het maffe van hacken. Stel ik hack een systeem voor eigen gebruik. Ik wil anoniem blijven. Nu komt er in het nieuws dat die site gehacked is. Dan houd ik mijn mond, maar kan een "ComodoHacker" kiddie met de eer strijken wanneer hij een aantal punten ook kan bewijzen zonder het echt gedaan te hebben.

Daarnaast is deze "ComodoHacker" een beetje blaaskaak, vooral met de opmerking:

Ook claimt ComodoHacker zijn hacks op een zeer geraffineerde manier uit te voeren, waardoor hij ook systemen kan aanvallen die niet aan het internet zijn gekoppeld en met smartcards zijn beveiligd.

Dit is ruim te interpreteren, maar wanneer ik 10 systemen heb welke via een switch zijn gekoppeld zonder enige fysieke connectie met het internet of 1 of andere koppeling met het internet (dus gewoon een geisoleerd netwerk) dan komt hij er gewoon niet in.

Gewoon een aandachtstrekker met een hoop uitspraken.
Ik zat zo te denken, Stuxnet kwam toch ook bij de Iraanse kerncentrales door middel van memorysticks? ik neem aan dat die centrales ook niet op het internet stonden. het is wat ver gezocht maar daar dacht ik aan.

Edit : informatie terug halen word dan alleen wat lastiger :P

[Reactie gewijzigd door Madnar op 8 september 2011 17:47]

RSA was al gehackt, daar zaten de Chinese achter was het vermoeden.

http://bits.blogs.nytimes...rsa-hack-how-they-did-it/

Wie weet dat het dezelfde persoon betreft via een Chinese proxy (of in opdracht van). Of dat hij na dat nieuws ook toegang kreeg tot de informatie en die toen gebruikte om toegang tot de CAs te krijgen, waarbij de Chinese aanvallers overgingen op de aanval op Lockheed.

De Lockheed hack in zijn totaal was ook zeer geraffineerd en van een soortgelijk caliber waar deze persoon zichzelf van op de schouder klopt, dus wie weet dat er toch een sterkere band bestaat tussen beide gevallen.
waar in een DLL bestand een username/wachtwoord stond
Lijkt me niet bepaald een voorbeeld van 'best practices' om een wachtwoord in een DLL te stoppen...
Mooi om te zien dat GlobalSign totaal anders reageert dan DigiNotar. Direct een externe partij een intern onderzoek laten uitvoeren i.p.v. het stil proberen te houden en te roepen dat er niets aan de hand is.
De situatie is dan ook totaal niet vergelijkbaar. Ik denk dat DigiNotar niet anders had kunnen en moeten reageren. Vergeet niet dat dit een uniek probleem is, het is nog nooit voorgekomen dat alle browsers 1 CA trashen.

Het is makkelijk om te roepen dat GlobalSign wel goed reageert, als het andersom was geweest had GS waarschijnlijk hetzelfde gedaan als DN.
Als DigiNotar direct had gezegd dat ze gehacked waren en direct een externepartij onderzoek hadden laten doen waren ze waarschijnlijk niet door alle browsers gedumpt.
Zie Comodo, die ook gehacked zijn eerder dit jaar.
Als het niet regende, was het droog.
DigiNotar heeft zich verslikt en zijn hand overspeelt, dat is vrij duidelijk. Echter in het licht van de gebeurtenissen is het wel te begrijpen. Na de hack en bekendmaking zijn alle CA's als de dood nu en in opperste staat van paraatheid. Dat is wel een andere situatie dan 'de eerste zijn'.
Het begint allemaal wat groots te worden:
- meerdere grote bedrijven op zeer korte tijd aanpakken
- helemaal alleen opereren
En hoe je dit klaart weet ik echt niet :)
Ook claimt ComodoHacker zijn hacks op een zeer geraffineerde manier uit te voeren, waardoor hij ook systemen kan aanvallen die niet aan het internet zijn gekoppeld
Geheimde diensten zijn er in geslaagd om de Iraanse nucleaire fabrieken te infecteren met StuxNet, maar daar was het doel "gewoon" om een worm ergens binnen te krijgen. Zijn doel hier is om iets binnen te krijgen én om nadien certificaten buiten te krijgen. Hoe je dat kan doen zonder dat een systeem aan het internet hangt, is me een raadsel.
Tenzij onsite inbreken. Maar dan zitten we in een andere situatie:
Verborgen blijven ondanks én digitaal inbreken én "analoog" inbreken, dat klinkt te absurd voor woorden.

Morgen worden we wakker en heeft ie heel de SSL-business toch maar mooi in zijn/haar blootje gezet. Het enige bewijs tot hiertoe is DigiNotar.
Ik heb zo'n idee dat deze hacker niet alles goed verteld zoals hij dat zou willen vertellen.
En in zijn teksten op pastebin komt al vlug naar voren dat hij alles behalve zijn Engelse taal goed beheert.

Nu een quote waarom ik dat denk : "You see? I owned an entire computer network of DigiNotar with 5-6 layer inside which have no ANY connection to internet, I have so much to explain, but later... You have to wait!"
bron

Als je zegt, "ANY connection to internet", zou dat ook betekenen dat deze dus ook op geen enkele manier met het netwerk verbonden zou zijn.
Dus wel vreemde opmerking wat mij betreft.
Fysiek inbreken zit er gewoon niet in, anders zou hij niet alleen opereren.

Lees de teksten nog maar eens door op pastebin :
click & click
Het is gewoon wazig en slecht, eerst nog eens zien, en dan met harde bewijzen, dan geloven.
Uiteraard sluit dat niet uit dat al deze bedrijven die gerelateerd zijn aan deze nieuwsberichten nog eens goed onderzoek moeten verrichten.
Want? Dat stuk netwerk kan dan wel geen verbinding hebben naar internet (of basis van firewalls, vlan's etc) maar de route andersom kan er nog wel liggen... Internet -> proxy -> clientA -> network without internet.
Een PC zonder enige kabel of andere netwerkaansluiting kan je nooit remote benaderen.
Of hij zoekt een medewerker die zowel op zijn werk als thuis zijn usb stick in zijn computer steekt en heeft daar iets op staan wat zichzelf uitvoert. ik dacht namelijk gelezen te hebben dat ze bij diginotar geen virusscanner hadden?
Ik denk dat het hier nogal heel erg ligt aan hoe je het interpreteert. Als ik de tekst zo lees kan hij net zo goed doelen op systemen met een firewall. Daar wordt vaak ook als regel ingevoerd dat er vanaf ANY (dat hoort ook vaak in kapitalen) een verbinding mag ontstaan. Dat houdt niet veel meer in dat de connectie overal vandaan mag komen. Als het een "no ANY" zou zijn betekent dat de connectie ergens specifiek vandaan moet komen, niet per se dat er geen sprake van een machine die totaal niet verbonden is. Als je het dan weer zo leest is de uitspraak niet zo heel erg spannend en heeft een nogal hoog "captain obvious" gehalte (wie al in een netwerk zit heeft toegang tot vrijwel alle systemen).

Kortom, door z'n slechte Engels is het net als de bijbel: je kunt het op 384923742874 verschillende manieren interpreteren waardoor er evenveel theorieën ontstaan. Dat maakt het hebben van bewijzen alleen maar belangrijker omdat dat nog de enige manier is om e.e.a. te kunnen verifiëren en zo te achterhalen hoe je bepaalde dingen nou moet interpreteren.

Het lijkt mij dat het genoemd worden door een hacker die al aardig wat commotie heeft weten te veroorzaken sowieso al genoeg reden zou moeten zijn om als genoemd bedrijf je eigen systemen eens heel erg goed onder de loep te nemen ipv te wachten op bewijzen. "Better safe than sorry" om het maar eens internationaal te houden.
En hoe je dit klaart weet ik echt niet :)
Pure speculatie, maar misschien zet hij een seriële verbinding op bvb via bluetooth tussen die server en een andere computer die wel internet access heeft en zich ergens in de buurt bevindt.
"waardoor hij ook systemen kan aanvallen die niet aan het internet zijn gekoppeld en met smartcards zijn beveiligd."

Noem me naïef, maar hoe hack je een systeem dat niet verbonden is met internet. (op een non-fysieke manier)
De beste man maakt een virus welk zich verspreidt via usb sticks. Zodra het systeem zich in een systeem heeft genesteld kan het naar gegevens gaan zoeken en deze weer op de usb stick kopiëren. Deze virus wacht net zo lang totdat het weer op een pc komt waar internet is en stuurt dan deze gegevens terug naar huis?

OF

deze man liegt en zit ons lekker te jennen.
Lijkt mij ook de meest logische werkwijze. Hoe kan je ssl certificaten uitgeven als er nooit interactie is tussen het systeem waar je ze op aanmaakt en het internet. Dan moet je een usb stick maken en om de gegevens over te zetten en die daarna weggooien. Waarschijnlijk wordt dit niet gedaan. Anderzijds blijft het een klein mirakel om zoiets te doen zonder fysieke toegang tot een gebouw en zonder ontdekt te worden omdat je toch al redelijk wat moet beginnen sniffen eens je daar binnen bent.

Netwerk sites zoals linkedin lijken me wel handig om een aanval op te zetten tegen een specifiek doelwit. Je zoekt even op wie werkt voor een bedrijf dat je wil aanvallen. Vervolgens probeer je op die persoon zijn privé toestel te raken en begint daar wat te vissen naar wachtwoorden en contacten van het bedrijf.
Ja maar dat past in hetzelfde straatje als fysieke toegang hebben... Zo kan ik het ook en is verder niet bijzonder en amper hacken te noemen. Je gebruikt dan gewoon de user die gewoon toegang heeft.
De suggestie word gewerkt dat hij zo brainy is dat hij het TOCH iets heeft uitgevonden waarmee je, weet ik veel, via stroomnet kan hacken? :') Dat geeft hem een soort facade van een zekere superioriteit terwijl hij wellicht gewoon hetzelfde hoedentruucje kan toepassen op meerdere bedrijven. En dan ben je niet ver verwijderd van een ordinaire scripkiddo.

[Reactie gewijzigd door Alpha Bootis op 8 september 2011 13:06]

Ik had ooit een usb stick die er uit zag als een memory stick maar die zich voor deed als usb keyboard. Als ik die in me Windows computer stopte werd die uiteraard automatisch geinstalleerd met de standaard USB toetsenbord driver. Vervolgens spuugt de USB stick met een noodgang toetsenbordcombinaties uit zoals Windows+R en software.exe + Enter.

Als je alle drive letters af zoekt naar de USB stick die ook nog echt een memory stick is dan kan je dus zonder Internet een willekeurig programma starten.

Een soort alternatieve Autorun die ook werkt wanneer je de normale autorun functionaliteit hebt uitgeschakeld! Dit is nog maar 1 truukje.
Deze opmerking zorgt er bij mij in ieder geval voor dat ik vraagtekens zet bij zijn verhaal...
Ook claimt ComodoHacker zijn hacks op een zeer geraffineerde manier uit te voeren, waardoor hij ook systemen kan aanvallen die niet aan het internet zijn gekoppeld en met smartcards zijn beveiligd.
Hij heeft dan bronnen binnen de bedrijven? Want ik zie niet hoe je remote iets kan hacken dat niet verbonden is aan het internet. Tenzij je het wat ruimer moet bekijken, en hij via andere machines op het interne netwerk komt (waarmee de servers dus indirect aan het internet zitten).
Dit lijtk inderdaad wel het geval te zijn alsje zijn verhalen leest. Hij schrijft over rechten die zelfs de meeste medewerkers niet hebben. Waar het een rechten systeem betreft lijkt het machines te betreffen die indirect met het internet verbonden zijn. (en niet met alleen een aggregaat in een kluis staan)
Ik geloof niet dat een 21 jarige hacker met uitgebreide kennis van "cryptography, cryptanalysis, binary analysis (assessment), reversing, kernel programming" onvoldoende kennis heeft van het Engels om deftige zinnen te vormen. Conclusie, hij bestaat niet echt, is een verzinsel van de geheime dienst of een leugenaar.
Dat kan je nog verbazen: om dit allemaal te leren moet je vooral Engels lezen goed beheersen, schrijven hoeft absoluut niet. Daarom komt ook nog bij dat er waarschijnlijk ook genoeg niet-engelse resources zijn waar je dit uit kan leren.

Desalniettemin klinkt het hele verhaal van meneer zeer ongeloofwaardig. Vooral toen hij beweerde dat hij 'eventjes' Windows Update had gereversed engineerd, nadat MS zei dat het systeem nog veilig was.
De hacker claimt vanalles zonder dat het te controlleren is. Dit is een typisch geval van "divide and conquer".. Systemen hacken zonder enige verbinding is onmogelijk tenzij er werknemers zijn die met de hand systemen hacken en deze gegevens doorspelen.
Definieer verbinding.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True