Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 47 reacties

Certificaatverstrekker GlobalSign heeft laten weten dat zijn webserver is gekraakt. Het gaat om de server waar globalsign.com op draait. Volgens het bedrijf heeft de server geen verbindingen met de overige infrastructuur van de ssl-verstrekker.

GlobalSign meldt dat het bewijsmateriaal heeft gevonden waaruit zou blijken dat zijn webserver is gekraakt. Het bedrijf stelt echter dat er vooralsnog geen bewijzen zijn gevonden dat een hacker ook kritische bedrijfssystemen heeft weten binnen te dringen anders dan de server die het domein globalsign.com host.

Het bedrijf zegt zijn infrastructuur nauwlettend te blijven monitoren en dat de informatie die GlobalSign en het ingehuurde Fox-IT hebben vergaard ook zal delen met andere CA's. Ook zou het nog steeds voornemens zijn om het uitgeven van ssl-certificaten te gaan hervatten. Dit zou vanaf maandag moeten gebeuren.

Dinsdag claimde de DigiNotar-hacker, ook bekend onder het pseudoniem Ich Sun, dat het bedrijfssystemen van GlobalSign is binnengedrongen en data heeft buitgemaakt. Zo zou hij de private domain key van de webserver hebben buitgemaakt. Het is echter nog niet duidelijk of hij er ook in is geslaagd om de systemen voor certificaat-verstrekking te kraken.

De aankondiging van GlobalSign is een nieuw signaal dat de claims van de DigiNotar-hacker waar kunnen zijn. De hacker stelt eerder verantwoordelijk te zijn geweest voor een soortgelijke aanval bij ssl-verstrekker Comodo. De hacker, die zegt alleen te opereren en 21 jaar oud te zijn, claimt ook dat hij bij de certificaatverstrekker StartCOM heeft ingebroken.

Moderatie-faq Wijzig weergave

Reacties (47)

Hmm, netjes dat ze dat in dit stadium al melden. Zo hoort het.

Blijkbaar heeft deze certificaatverstrekker iets geleerd van de affaire Diginotar. Daar ben ik blij om, want ik denk zo dat de gecombineerde inspanning van de beveligingsindustrie wel in staat moet zijn om certificaten te blijven aanbieden die je (redelijkerwijs) kan vertrouwen.

Allereerst door goed te blijven letten op de veiligheid van hun eigen servers, en ten tweede door goed te letten op false certificaten en bij constatering daarvan alle mogelijkerwijs gecompromitteerde certificaten uit dezelfde bron ook te vervangen.

Door dit zo aan te pakken krijg je gewoon een strijd van resources en geld tussen computer-inbrekers en beveiligers (op afstand betaald door hun klanten natuurlijk: dwz wijzelf). Ik denk dat de reguliere wereld zo'n gevecht wel kan winnen.

Essentiele voorwaarde is natuurlijk wel dat de beveiligers en certificaatverstrekkers ook daadwerkelijk op die manier samenwerken, en daarvoor lijkt mij openheid (van het soort dat GlobalSign nu laat zien) essentieel.

Die openheid gaat echter lijnrecht in tegen alle normale zakelijke overwegingen en institutionele reflexen. Die openheid komt er dus niet zomaar, maar dat moet bedrijven worden afgedwongen. Die dwang zou kunnen bestaan uit wettelijke voorschriften (plus controle), maar dat is weer duur en omslachtig. Het kan eenvoudiger, namelijk door marktwerking.

In dit geval bestaat de marktwerking zuiver uit angst dat ze hun tent wel kunnen sluiten (zoals DigiNotar) wanneer mocht blijken dat ze belangrijke informatie (zoals "er is bij ons ingebroken") onder de pet houden.

Op die manier bekeken is het een geluk dat die Iraanse inbreker(s) zo scheutig is(zijn) met publiciteit. Een werkelijk professionele boevenbende had zoiets doodgezwegen en had zijn tijd verder besteed aan het uitbuiten van valse certificaten voor geldelijk gewin.
Hmm, netjes dat ze dat in dit stadium al melden. Zo hoort het.
Iets zegt mij dat dit niet helemaal vrijwillig was, aangezien dit in het artikel staat:

Dinsdag claimde de DigiNotar-hacker, ook bekend onder het pseudoniem Sun Ich, dat het bedrijfssystemen van GlobalSign is binnengedrongen en data heeft buitgemaakt.

Ze moesten dus wel iets zeggen en toevallig(?) komen ze met een 'best case scenario' bericht. Ze zijn wel gehacked maar dat heeft echt geen invloed en het was toch maar een oude pc die iemand was vergeten uit te zetten.

Ondertussen claimed de hacker dat hij wel degelijk data buit heeft gemaakt in de vorm van een private domain key. Ik weet op dit moment niet echt wie ik moet geloven. GlobalSign staat dan wel voor 'vertrouwen' maar die zullen dit soort inbraken natuurlijk niet bekend maken, dan kunnen ze mogelijk DigiNotar achterna gaan.
Ik denk niet dat Fox-IT hun reputatie op het spel wil zetten en mee wil gaan in de leugen dat alles zogenaamd op orde is terwijl het niet zo is
Dat was ook wat mij opviel. Anders hadden ze het misschien ook wel netjes aangepakt, maar nu zijn ze wel heel stipt in de informatievoorziening. Diginostar is dan een goede wakeup call.

Als je business is garanderen dat sites op internet ook echt zijn wie ze zeggen te zijn dan is het wel belangrijk dat die garanties wat waard zijn. Anders is het gewoon einde business als dat je bedrijfsmodel is. Een hack is ook imagoschade, maar daar kom je wel weer overheen en als je goed handelt zou je het zelfs nog in je voordeel kunnen gebruiken.
Die openheid gaat echter lijnrecht in tegen alle normale zakelijke overwegingen en institutionele reflexen. Die openheid komt er dus niet zomaar, maar dat moet bedrijven worden afgedwongen. Die dwang zou kunnen bestaan uit wettelijke voorschriften (plus controle), maar dat is weer duur en omslachtig. Het kan eenvoudiger, namelijk door marktwerking.
Als we er op moeten wachten totdat de markt uit eigen beweging vroegtijdig openheid gaat geven over dit soort zaken dan gaat het lang duren (tot nu toe is Globalsign zo ongeveer de enige), dus met intussen veel kans op problemen door gebrek aan openheid.

Sommige dingen zijn te belangrijk om primair te laten sturen door financiŽle belangen. Zo zouden we bvb de kwaliteit van voedsel over kunnen laten aan marktwerking, en dus de Voedsel en Waren Autoriteit op kunnen heffen. Dat zou minder duur en minder omslachtig zijn.
Maar tegen de tijd dat de markt het zelf heeft geregeld zijn er dan al mensen overleden aan voedselvergiftiging als gevolg van onvoldoende regulering.
Bovendien: collectief zijn we helemaal niet zo arm dat we ons geen door de overheid opgelegde regulering kunnen veroorloven, en we zijn slim genoeg om omslachtige zaken te regelen. Dat is regulering die niet direct bijdraagt aan productie maar wel bijdraagt aan de kwaliteit van het leven en de kwaliteit van de samenleving.
CA's zijn een aantrekkelijk doelwit omdat het hackers in staat stelt zich 'voor te doen' als een andere belangrijke site.

Als jij als hacker in staat bent om, bijvoorbeeld via DNS-poisoning, je voor te doen als www.gmail.com dan is de kans op succes niet zo groot als dan iedereen levensgroot een waarschuwing krijgt dat het certificaat niet in orde is.

Als je in staat bent om zelf certificaten aan te maken die verified zijn door zo'n CA dan krijgt niemand een waarschuwing als ze op de door jouw gespoofde site komen: Mensen loggen braaf in met hun GMail account-gegevens en dat wachtwoord wordt vaak ook gebruikt door mensen op andere sites. Plotseling krijg je, als hacker, toegang tot mailboxen, andere wachtwoorden en kun je nog meer hacken.

Minder slimme mensen bewaren daarnaast ook nog weleens creditcard gegevens e.d. in bv. hun GMail account --> nog meer mogelijkheden om geld te verdienen.
Eerst Diginotar, en nu ook al GlobalSign. Waarom zijn CA's tegenwoordig doelwit?
De hacker "Sun Ich" zou een IraniŽre zijn en het huidige bewind steunen. De EU en VS hebben sancties ingesteld tegen Iran en dat zal wel wat negatieve economische gevolgen daar hebben. Misschien dat hij de economie van de EU nu wat wil ontregelen? Als ie zo doorgaat, gaat dat deels lukken, schat ik in.
De hacker "Sun Ich" zou een IraniŽre zijn en het huidige bewind steunen. De EU en VS hebben sancties ingesteld tegen Iran en dat zal wel wat negatieve economische gevolgen daar hebben. Misschien dat hij de economie van de EU nu wat wil ontregelen? Als ie zo doorgaat, gaat dat deels lukken, schat ik in.
Niet alleen dat. Hij heeft meer redenen, deze Cyberterrorist. Vwb DigiNotar:
Hij zegt DigiNotar te hebben gehackt vanwege de betrokkenheid van Nederland bij de val van Srebrenica in 1995, waarbij duizenden moslims werden vermoord.
nieuws: Hacker Comodo claimt DigiNotar-inbraak

offtopic:
Misschien moet ie eens gaan nadenken
ahmajinedad is ook geen lekkere jongen Laat dissidenten en protesterende studenten oppakken, martelen en "verdwijnen" Mahmoud controleert alles!

Die hacker werkt i.o van Iran. En Iran is Ahmadinejad.

[Reactie gewijzigd door Dutchphoto op 10 september 2011 23:51]

Hoe weet je zo zeker dat het een IraniŽr is en/of in opdracht van de Iranese overheid werkt? Volgens mij was de bron van die info een stuk tekst op pastebin? Zoals we hopelijk allemaal weten kan het heel gevaarlijk zijn om alles te geloven wat je op het internet leest. Iemand (of een overheid) die een hekel heeft aan Iran zou hier net zo goed achter kunnen zitten. Misschien is het wel een vervolgpoging om het land opnieuw aan te vallen, nadat Stuxnet niet geheel geslaagd is.

Ik zeg niet dat Iran er niet achter kan zitten, alleen dat je moet uitkijken om niet alles wat je hoort direct te geloven omdat het makkelijk in je denkbeeld past (met WMD's als bekendste voorbeeld).

edit: als ik een nieuws item gemist heb en er is inmiddels bewijs, negeer mijn post dan maar. Een linkje naar desbetreffende nieuws item zou ik in dat geval op prijs stellen :)

[Reactie gewijzigd door Bonez0r op 11 september 2011 02:37]

Omdat die geacht worden uber-beveiligd en onkraakbaar te zijn?

Je mag verwachten (en niet alleen hopen) alles van dit ssort certificaat verstrekkers betrouwbaar is (beveiliging certificaten, certificaten zelf, website naar de verstrekker toe, etc. etc.) . Iedere geslaagde poging om zwaktes aan te tonen, zodat ze verbetert kunnen worden en zonder er misbruik van te maken, lijkt me een goede
Omdat je dan zelf certificaten kan maken en je dus veel makkelijker een man in the middle attack kan doen op tich andere sites.
Nou ja, "al die CA's tegenwoordig". Het is niet zo dat we afgelopen maanden telkens CA's voorbij hebben zien komen.

Maar als je een precisieaanval plant met als doel certificaten te bemachtigen, neus je natuurlijk verder dan ťťn CA.
Als het echt waar is wat globalsign zegt: "Het gaat om de server waar globalsign.com op draait. Volgens het bedrijf heeft de server geen verbindingen met de overige infrastructuur van de ssl-verstrekker"

Dit zou betekenen dat zij hun infrastructuur hebben ingericht zoals het hoort.
Webservers/publieke deel fysiek scheiden van systemen met zeer gevoelige informatie. Hackers kunnen de publieke webservers hacken tot ze een ons wegen, maar gevoelige informatie kunnen ze toch niet krijgen.
Hackers kunnen de publieke webservers hacken tot ze een ons wegen, maar gevoelige informatie kunnen ze toch niet krijgen
Totdat de webserver geupdate moet worden met info wat uit het interne netwerk moet komen.
USB stickje er in en stuxnet anyone?
Als je je security infra goed in orde hebt gaat ook het 'intelligent' plaatsen van een trojan niet werken. Zelfs als de trojan het haalt tot een werkstation binnen het interne netwerk, heb je nog een gaatje naar buiten nodig. Wanneer je dan alles naar buiten dicht hebt staan en http/https verkeer via een proxy met whitelist stuurt wordt het toch erg lastig om naar buiten (of binnen) te komen.

Je zou je trojan dan nog de MUA op de desktop kunnen laten kapen, maar ook dat is uitstekend dicht te timmeren met een goed geconfigureerde MTA.

Daarnaast kan het 'trojan op USB stick' issue voorkomen worden door de 'info uit het interne netwerk' op een read-only medium te transporteren, zoals een CD-R ;)

Moraal: een goed beveiligde CA heeft losse segmenten, stricte security, en het daadwerkelijke CA-systeem zou zelf offline moeten staan.

[Reactie gewijzigd door Whieee op 10 september 2011 19:59]

Geen usb sticks gebruiken?
Op zich heb je helemaal gelijk, maar die webservers hebben ook veel waarde. De meeste klanten communiceren alleen maar via die website met GlobalSign. Op deze manier kun je nog enorm veel schade doen. Dat geldt natuurlijk voor iedere website maar juist voor GlobalSign is het allemaal nog wat erger omdat het door velen vertrouwd wordt.
Met al die hacks van de laatste tijd zou je haast gaan denken dat alles wel te kraken valt.... Misschien een leuk idee voor Tweakers.net:

Zet een (web)server online voor een "hackcompetitie" (evt. met een bewuste lek ergens). De eerste Tweaker die kan aantonen toegang te hebben verkregen wint (iets) :+
Och, dat hebben ze laatst al gedaan bij Linux Magazine, zie (http://www.linuxmag.nl/artikel/en-de-winnaars-zijn)
Tweakers.net is in het verleden al gekraakt...
Kan het bericht niet meer terug vinden, maar er zat een 'security leak' in een upload functie van usericons geloof ik..

[Reactie gewijzigd door pim op 10 september 2011 09:27]

Ik doel uiteraard niet op het hacken van Tweakers.net, dat zou veel te makkelijk zijn onwenselijk zijn... Wat ik bedoel is een echte competitie, T.net regelt een server waar (bewust) ergens een lek in zit verstopt, en het is aan de deelnemers om deze server te hacken :)
waarom bewust een lek verstoppen, de competitie zou pas echt wat waard zijn als er een highly secured server word opgesteld. dan heb je 2 vliegen in 1 klap. een elite hacker en een onbekende lek.
Deze knul verdient celstraf, dit is geen white/grey meer. Draai hoe je het wilt, want ik voel het 'maar die bedrijven hebben hun zaken niet inorde' comments al komen. Er zijn meer dan genoeg nette manieren om druk op bedrijven uit te oefenen of aan te geven zonder dat iedereen een nieuwe ca-certificates moet binnentrekken.

[Reactie gewijzigd door analog_ op 10 september 2011 08:13]

Om een of andere reden pleit ik ervoor dat mensen die hacken en cracken een lintje verdienen.

Het verschil tussen bekendmaking van vulnerabilities op welke manier dan ook, hoeft echt niet zachtzinnig volgens mij,
of dergelijke backdoors gebruiken voor staatsgewin/eigen gewin is dermate groot dat ik het zeer belangrijk vind dat ze de openbaar opzoeken, van mij hun 15 minutes of fame krijgen en dat er vervolgens een oplossing wordt gezocht.

Het alternatief is vele malen erger,
cybercrime word namelijk de grootste 'bedreiging' voor onze samenleving. Niet alleen computergebruikers maken fouten, de software kan nog altijd relatief simpel worden misbruikt.

Je moet kiezen tussen twee slechten, en dan kies ik voor het minst slechte. Doen alsof het niet bestaat is niemand bij gebaat. Krijg je alleen onrust van.
Jouw mening over dat lintje is er eentje zoals, geef een kind voldoende trappen onder hun reet, en dan groeien ze goed.

Echt niet dat harde middelen een oplossing zijn! Zachtzinnig ook misschien niet, maar in dit geval vraag je heel veel. Ik denk zoiets bijna onhaalbaars als 'geef alle priemgetallen'. Beveiliging 100% krijgen is niet mogelijk. Mensen en bedrijven dan proberen te frustreren door ze hardhandig duidelijk te maken dat ze de 100% niet halen is geen goed startpunt om het opgelost te krijgen. Je maakt mensen alleen maar gek met dat soort acties.
Tuurlijk is het probleem groter dan het lijkt, maar ik zie daar vooral veel misbruik van ontstaan als het JUIST in het nieuws komt. Immers: hoe meer mensen het weten, hoe groter de kans op hacks of pogingen daartoe. En inderdaad, dan is het: zie je het niet, dan bestaat het niet. Maar zolang degenen die er voor moeten waken dat alles veilig genoeg is hun werk doen, en kunnen doen, dan gaat het goed genoeg.
dus jij steekt liever je kop in het zand...?

bedrijven die zoveel vertrouwen krijgen op het internet zouden moeten worden gelynched na het maken van dit soort fouten (diginotar) ...

nu vraag ik me natuurlijk wel af of de andere pki's niet gewoon botte bluf is... (een webservertje hacken kan elke mongool)...

bovendien heb ik het idee dat hier meer politieke doelen achter zitten.. een of andere moslim terrorist die het leuk vind om op deze manier de hele wereld te zieken... verdiend wat mij betreft een waardige iraanse straf (lees de zweep)... ik geloof niet dat dit bedoeld is om de wereld te verbeteren... en zulke bedrijven zo aanpakken moet wel een doel hebben... anarchie is maar zů lang houdbaar... tenslotte.
Het verschil is echter dat deze hacker vanwege zijn intenties gewoon een cybercrimineel is. Als iemand met een eerdere hack deze problemen had kunnen aantonen en voorkomen, dan was dat degene die het lintje zou verdienen. Nu mag het lintje wat mij betreft in de kast blijven, zelfs al is aangetoond dat er veel incompetentie bestaat.
Beter dat hij het doet, dan iemand die er echt kwade bedoelingen mee heeft.

We komen er anno 2011 ineens achter dat SSL altijd een schijnveiligheid is geweest.
Blij dat iemand dat aan de grote klok hangt.
Beter dat hij het doet, dan iemand die er echt kwade bedoelingen mee heeft.
Het je zitten slapen bij de recente verhalen over het onderscheppen van verbindingen naar google in Iran ?
Aangezien zijn certificaten al zijn gebruikt in iran kun je wel zeggen dat hij kwade bedoelingen heeft.
Het goede aan deze cracks is dat ze high-profile zijn en de nalatigheid bij bedrijven goed blootleggen, en soms zelfs de meer fundamentele problemen (zoals met het certificaten systeem).
Beter dat hij het doet, dan iemand die er echt kwade bedoelingen mee heeft.
Dus het feit dat met zijn hulp in Iran andersdenkenden opgepakt kunnen worden en letterlijk een kopje kleiner gemaakt worden, vind je niet zo erg?
Ik vind het geen hacker, ik vind het een moordenaar.
Jammer dat ze niet aan het publiek melden hoe hij de webserver binnen gekomen is, blijkbaar toch een out-of-date software misbruikt? Heel goed dat het 'maar' een webserver is, echter ken ik wel miljoenen webservers in de wereld, wat specifieke informatie had geen kwaad gekund.
of een 0day hack. en dit is altijd het geval geweest, zodra er een nieuwe hack is zijn ineens een groot aantal servers niet meer veilig. de kunst is om het op te sporen en de lek te dichten.

nu komen we weer terug op het motief. er word een motief opgegeven maar het lijkt er meer op dat deze hacker eropuit om schade te veroorzaken. nadat diginotar is gekraakt is het heel makkelijk om te roepen dat andere servers ook gekraakt zijn terwijl de zelfde 0day hack is gebruikt om webservers te hacken en zo de indruk te wekken dat de rest van de servers daar ook gehackt zijn (terwijl dat helemaal niet waar hoef te zijn) met de reden om wantrouwen te veroorzaken en op die manier geld schade te veroorzaken door middel van angst.
(dit is EEN mogelijkheid en hoeft zeer zeker niet waar te zijn)

edit : typo

[Reactie gewijzigd door Madnar op 10 september 2011 19:02]

De keten lijkt gebroken, de zwakste schakel lijkt misbruikt.

Maar of en hoe een bedrijf zijn zaken op orde heeft, zou door een onafhankelijke partij gecontroleerd moeten worden. Deze mededeling zou dan ook door die onafhankelijke partij gedaan moeten zijn. Deze mededeling van GlobalSign geeft (nog) geen vertrouwen.

Want vertrouwen is een groot goed, maar controle groter. In dit geval MAG je niet vertrouwen op de mededelingen van de CA, maar moet je diens infrastructuur (laten) controleren.
Ik zou bijna geneigd zijn om die hacker te geloven, en globalsign iets te wantrouwen. Voor hetzelfde geld is hij ook daar binnengedrongen.
Ik zou bijna geneigd zijn om die hacker te geloven, en globalsign iets te wantrouwen.
En het doel is bereikt: precies wat (staats)terroristen willen.
@ alt-92: en wat is je alternatief? uit naam van patriottisme blind op DigiNotar (of vul je CA naar keuze in) blijven vertrouwen?

Scepsis tegenover iedere vorm van autoriteit is gezond.

Als je als een schaap wil leven, ga dan maar naar een kerk (of ander religieus instituut naar keuze).
Helemaal mee eens! Deze vorm van digitaal inbreken is en blijft een misdaad.
In de media ontstaat het beeld dat DigiNotar de misdadiger is, dat vind ik een zeer onwenselijke situatie. Dat betekent niet dat ik vanuit mijn professie het van DigiNotar onvoorstelbaar en onacceptabel vind!

Laat het recherceteam van onze "snelwegschutter" achter deze hacker aangaan.... Life is all about priorities! Inbreken in netwerken is geen heldendaad.

Een aantal weken geleden is een filiaal van Binck in Amsterdam op brute wijze gekraakt. Daar duikt de media vol op de mogelijke daders en reconstructies. Ik heb niets gelezen over de beveilinging van het pand....
Nee. DigiNotar & GlobalSign hadden moeten weten dat zij aantrekkelijke targets waren.

Het is - misschien nog wel meer dan de actie van de hacker - misdadig hoe laks organisaties kunnen zijn in het beveiligen van hun systemen.

Deze organisaties ( en zeker DigiNotar ) hadden in ieder geval hun omgevingen blijkbaar onvoldoende beschermd, opgedeeld en daarnaast ook nog eens niet of slecht van elkaar afgeschermd.

Het is anders niet te verklaren hoe en waarom deze inbraken plaatsgevonden hebben en wat de crackers, niet 'hackers,' in beide gevallen hebben kunnen bereiken.

BTW: da's toch een heel ander type rechercheren wat er gedaan moet worden om deze hacker te achterhalen.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True