Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 19 reacties

Beveiligingsfirma F-Secure heeft nieuwe malware ontdekt die voorzien is van een certificaat dat ondertekend lijkt met een sleutel van de Maleisische overheid. Het certificaat, dat inmiddels is verlopen, zou door onbekenden zijn gestolen.

Volgens F-Secure hebben de malwaremakers een certificaat gebruikt dat ondertekend is door het in Maleisië gevestigde Agricultural Research and Development Institute. Het certificaat zou bij deze overheidsinstantie al 'enige tijd geleden' zijn gestolen, zo meldt het beveiligingsbedrijf op basis van informatie vanuit de Maleisische overheid.

De malware, die in gemanipuleerde pdf-bestanden is aangetroffen en 'W32/Agent.DTIW' heet, zou gebruik proberen maken van een kwetsbaarheid in Adobe Reader 8. Ook poogt het na besmetting diverse onderdelen te downloaden die weer zijn voorzien van certificaten met 'esupplychain.com.tw' als bron. De malware zou echter inmiddels niet meer volop kunnen profiteren van het dragen van een certificaat, zoals een ongehinderde installatie in Windows, omdat het Maleisische certificaat sinds 29 september niet langer geldig is.

Terwijl het relatief zeldzaam is dat malware voorzien is van een certificaat, komt het toepassen van certificaten die ondertekend zijn door overheidsinstanties nog minder vaak voor, zo stelt F-Secure. Desondanks wisten geavanceerde malware als Stuxnet en het recente Duqu misbruik te maken van vervalste certificaten, terwijl in Nederland de geruchtmakende Diginotar-zaak voor veel onrust zorgde.

Moderatie-faq Wijzig weergave

Reacties (19)

Het hele certificatensysteeem is gebaseerd op vertrouwen: jij vertouwt die en die, ik vertrouw jou, dus die en die zijn te vertrouwen.
Ik ben geen analist oid, maar mij lijkt het dat in de nabije toekomst certificaten, zoals nu gebruikt, aan vertrouwen (en dus nut) moeten inboeten doordat er steeds meer misbruik bekend wordt. Dat bekend worden hoeft zelfs geen zwakheid in het systeem te impliceren. Eťn geldig, maar gestolen certificaat (of zelfs CA, zie diginotar) kan immers een enorme impact hebben als zo'n website of applicatie ten onrechte vertrouwd wordt. Meerdere van dat soort incidenten zal op termijn(volgens mij!) het vertrouwen in CA's zo sterk beschadigen dat men nieuwe mechanismen zal moeten zoeken naast de bestaande revocation lists om het vertrouwen te versterken.
Het hele certificatensysteeem is gebaseerd op vertrouwen: jij vertouwt die en die, ik vertrouw jou, dus die en die zijn te vertrouwen.
Je omschrijving neigt meer naar een web of trust en niet naar een public key infrastructure, waar dit artikel over gaat. Een PKI is meer een hiŽrarchie van top (root certificate authority) naar bodem (eindgebruiker). In een PKI worden certificaten, ondertekende public keys, alleen uitgegeven van boven naar beneden door een (vaak intermediate) certificate authority.
Ik ben geen analist oid, maar mij lijkt het dat in de nabije toekomst certificaten, zoals nu gebruikt, aan vertrouwen (en dus nut) moeten inboeten doordat er steeds meer misbruik bekend wordt.
Het gevaar is niet zozeer dat een CA geheime sleutel gestolen en/of misbruikt is, maar dat dit niet of te laat bekend wordt gemaakt, zoals in het geval van DigiNotar. Als het op tijd bekend is, is het enige dat gedaan moet worden het betreffende CA certificaat op een certificate revocation list zetten en deze verspreiden, een nieuw CA certificaat genereren en voor alle benadeelde en legitieme partijen nieuwe certificaten genereren. Dit is tijdrovend, tenzij de processen hierop van te voren zijn ingericht. Voor een enkel certificaat dat wellicht per ongeluk ondertekend is door een vertrouwde partij (wat wellicht het geval is in het nieuwsartikel) is het alleen maar nodig om het certificaat op een CRL te zetten en die te verspreiden.
Eťn geldig, maar gestolen certificaat (of zelfs CA, zie diginotar) kan immers een enorme impact hebben als zo'n website of applicatie ten onrechte vertrouwd wordt. Meerdere van dat soort incidenten zal op termijn(volgens mij!) het vertrouwen in CA's zo sterk beschadigen dat men nieuwe mechanismen zal moeten zoeken naast de bestaande revocation lists om het vertrouwen te versterken.
Alternatieven zijn er al, vaak gebaseerd op het eerder genoemde web of trust: bepaal zelf wie je vertrouwd en beslis de hoeveelheid verificatie die vereist is om een dienst als 'vertrouwelijk' te bestempelen.

Een voorbeeld is dat van elke drie partijen die je kent er minstens twee moeten zijn die een dienst als vertrouwd moeten categoriseren voordat jij die dienst ook vertrouwd. Op die manier ben je niet afhankelijk van een enkel oordeel van ťťn partij.

[Reactie gewijzigd door The Zep Man op 15 november 2011 07:14]

Je omschrijving neigt meer naar een web of trust en niet naar een public key infrastructure, waar dit artikel over gaat
Een PKI is wel deglijk gebaseerd op vertrouwen: ik vertrouw de CA, dus ik vertrouw alles wat die CA gesigned heeft.
Het gevaar is niet zozeer dat een CA geheime sleutel gestolen en/of misbruikt is, maar dat dit niet of te laat bekend wordt gemaakt, zoals in het geval van DigiNotar
Zelfs na het bekendworden heeft het nog meerder dagen (weken?) geduurd voor het merendeel van de browser deze certificaten ontweken. in het geval hierboven, is het pas aan het licht gekomen nadat het certificaat verlopen was (en dus wellicht een foutmelding veroorzaakte). in theorie is de impact dus beheersbaar klein, in de praktijk (ongekend) groot!
Alternatieven zijn er al
..maar worden vooralsnog niet toegepast voor de beveiliging van websites of applicaties.
[...]
Een PKI is wel deglijk gebaseerd op vertrouwen: ik vertrouw de CA, dus ik vertrouw alles wat die CA gesigned heeft.
Ik zeg nergens dat een PKI niet gebaseerd is op vertrouwen.

[qupte]Zelfs na het bekendworden heeft het nog meerder dagen (weken?) geduurd voor het merendeel van de browser deze certificaten ontweken.[/quote]Dat komt door de politieke invloed die hierop werd gedrukt. Technisch gezien is een CRL verspreiden geen probleem.
in theorie is de impact dus beheersbaar klein, in de praktijk (ongekend) groot!
De impact kan beheersbaar klein zijn, maar alleen als het proces daarop is ingericht. Dat is het zeker niet in veel gevallen.
..maar worden vooralsnog niet toegepast voor de beveiliging van websites of applicaties.
Onwaar. Als een website maar een SSL certificaat heeft om zichzelf uniek te identificeren, kan het al gebruikt worden in een web of trust. Wat voor PKI chain daarbovenop zit is in dat geval niet interessant. Er zijn al praktische implementaties hiervan, zoals Convergence. Ook zijn er implementaties die op alle soorten websites werken, zoals WOT.

[Reactie gewijzigd door The Zep Man op 15 november 2011 17:53]

In het artikel wordt in het ene geval gesproken van gestolen certificaten, en in andere gevallen van vervalste certificaten. Zit daar verschil tussen?
Gestolen: Overheid heeft een certifiaat aangemaakt maar heeft de sleutel niet netjes opgeborgen.
Vervalst: Een nieuw certificaat is aangemaakt en de CA die het moest controleren heeft niet goed opgelet (denk aan social engineering) of de CA is zelf gehackt.
Natuurlijk kan er ook worden vervalst d.m.v. een gestolen sleutel(certificaat) maar dat komt niet zo vaak voor denk ik.
MaleisiŽ is ook target geweest van Anonymous een tijdje terug, waarbij sites bestookt werden omdat MaleisiŽ aan internetsensuur zou doen. Zou dat wat met elkaar te maken hebben gehad?

Het losse deel van het losvaste groepje kan er natuurlijk een eigen agenda op na houden.

-edit-

Linkje

[Reactie gewijzigd door Redsandro op 14 november 2011 20:23]

Tuurlijk maar ik denk niet dat andere leden van Anonymous dit zomaar zouden laten gebeuren. Ik geloof nog steeds dat het white-hat hackers zijn met daar tussen een paar black-hat.

Zo is het nou eenmaal. Een geloof kan ook niet zonder een paar extremisten.
Zo zie je maar hoe achterhaald het hele certificaten systeem is geworden. Er moet een nieuwe manier van server validatie komen dat niet is gebaseerd op dit soort hack-gevoelige informatie.

Zou iemand mij meer kunnen uitleggen over DNSSEC? Zou dit niet de opvolger moeten worden van CA validatie of is dit weer een nieuwe 'zone' in het CA.
DNSSEC is een beveilige versie van DNS. Met DNSSEC kan niemand je meer wijsmaken dat je favoriete webbank op een ander IP gehost wordt.
Dit heeft iťts te maken met certificaten, in die zin dat gegevens van de webstie gecontroleerd worden, maar ook weer niet, aangezien het hebben van een beveiligd DNS record nog niet wil zeggen dat je site te vertrouwen is (wat wel de bedoeling is van certificaten)
Overigens komen certificaten niet alleen op (https) websites voor, maar is dat ook de technologie die gebruikt wordt , bijvoorbeeld, om drivers te signen voor Windows en voor authenticatie/authorisatie (van gebruikers, maar ook van apparaten). Voor beide voorbeelden biedt dnssec duidelijk geen alternatief.
Zo blijkt maar weer eens dat de overheden constant moeite hebben met veiligheid.
Dat het certificaat verlopen is is toch een kleine meevaller.
Dit gaat nergens meer over, is dit nou toch echt 'hťt nieuwe cyberoorlog' wat mensen noemen?

Ik zie dat meer landen nu problemen krijgen online, Iran, Amerika, Nederland, MaleisiŽ en zo kan ik er wel nog meer opnoemen. Volgens mij gaan mensen denken dat zij het baas zijn op internet en op illegale wijzen dingen doen en met die certificaat op het land afschuiven.

Ik vind dat ze toch voor de certificaten ook net zoals IAEA moeten maken, met het controleren van certificaten, voordat je het weet loopt dit uit de hand.
Er moet eens kritisch worden gekeken naar het huidige certificatensysteem. Tevens moeten overheden toch eens goed kijken naar hun beveiliging...
Grappig, steeds meer nieuwe aanvallen die pogen iets te ondernemen op je systeem, totdat er eentje komt die veel schade aan gaat richten. 2012 wordt het jaar van de waarheid voor de beveiliging van het internet. Ik denk dat het een grote FAIL gaat worden.
was dat niet altijd al zo geweest?, ik geloof niet zo in judgementday. het is erg genoeg dat malware zo geavanceerd word, maar we leren er wel van.
Nou snap ik waarom het Mal Ware heet...
Gaat zo wel erg de verkeerde kant op natuurlijk. Vraag me af als developer van een 'systeem' wat veilig moet zijn, je uberhaubt nog gebruik kunt maken van certificaten. En naar mijn mening moet er ook een soort van 'red button alarm' komen, certificaat gehackt, alle apps werken niet meer die gebruik maken van dit certificaat, en krijgen netjes een foutmelding te zien.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True