Hackers kraakten VeriSign-systemen in 2010

Onbekende hackers hebben in 2010 ingebroken bij VeriSign en toegang verkregen tot een deel van de systemen. Ook zou er niet nader gespecificeerde informatie zijn buitgemaakt. Onbekend is of de dns- en certificaatsystemen zijn getroffen.

Dit blijkt uit informatie die door de registrar is ingediend bij de toezichthouder Securities and Exchange Commission (SEC) en in handen is gekomen van Reuters. VeriSign zegt in vage bewoordingen de aanvallen op zijn systemen te hebben onderzocht en dat het geen bewijzen heeft gevonden dat zijn dns-systeem - het bedrijf beheert twee root-nameservers - direct gevaar heeft gelopen. Het bedrijf sluit echter niet uit dat er informatie over het dns-systeem is buitgemaakt: in de melding bij de SEC meldt VeriSign dat er niet nader omschreven informatie is buitgemaakt. Ook wordt niet duidelijk gemaakt of het gaat om gevoelige informatie.

VeriSign, inmiddels in handen van Symantec, verzorgt als registrar niet alleen de domeinnamen .com, .net, .gov, .cc en .tv, maar is ook een van de belangrijkste partijen bij de uitgifte van ssl-certificaten. Symantec heeft echter laten weten dat de aanvallers geen toegang hebben verkregen tot kritische systemen voor de uitgifte en het beheer van ssl-certificaten.

Opvallend is dat de hackersaanvallen al in 2010 hebben plaatsgevonden, maar dat de top van VeriSign pas in september 2011 dit te horen kreeg van zijn veiligheidsteam. Een maand later werd de SEC ingelicht. De reden voor deze vertraging is nog niet duidelijk en de toezichthouder stelt dan ook in zijn kwartaalreportage dat het incident sneller bij de managers van VeriSign kenbaar had moeten worden gemaakt.

Het nieuws over de aanvallen op VeriSign kan grote gevolgen hebben; met name door de hack van de Nederlandse ssl-autoriteit DigiNotar, die het voor een hacker mogelijk maakte om vervalste ssl-certificaten te genereren, en de vervalste ssl-certificaten waar Stuxnet gebruik van maakte, is het gehele systeem van certificaatverstrekking bij veel beveiligingsonderzoekers in het verdachtenbankje gekomen. Daarnaast is VeriSign een van de belangrijkste beheerders van het wereldomspannende dns-systeem. Aanvallers zouden door manipulaties op het dns-systeem kunnen pogen om zich met een vervalste website voor te doen als een legitieme website.

IT-banen

Reacties (41)

Biersteker 2 februari 2012 22:19

Tsja, dat hele certificaten gebeuren valt of staat bij de zwakste schakel. Of dat nou een gebruiker met een malafide link is, of een sysadmin met enige update achterstand. Een SSL certificaat is net zoveel waard als de browser maker gelooft in de veiligheid van het achterliggende bedrijf. Hoewel ik Verisign toch als een van de betere in had geschat. Maar dit is toch al bijna 2 jaar geleden. Al die certificaten hadden ingetrokken moeten worden, en had gemeld moeten worden aan Microsoft/Mozilla/Google/Apple etc.

Valt me trouwens op dat er nog zo verschrikkelijk veel android/iphone users zijn die nog zonder problemen de certificaten van Diginotar aannemen. Firefox/Safari/Chrome/IE hebben het gepatched maar de mobile users zitten toch wel met gebakken peren. (Tenzij je iOS ge update hebt, of in Android via Certmon en root acces, diginotar heb verwijderd.)

edit:
Holy shit, ING maakte volgens mij niet eerder gebruik van VeriSign Class 3 extended. Zal dit de reden zijn van alle problemen met ING?
Kennelijk is er niets veranderd aan het certificaat van ING. (uitgifte datum is een goede 3 maanden terug)

[Reactie gewijzigd door Biersteker op 24 juli 2024 09:06]

CH4OS @Biersteker • 2 februari 2012 23:02

Tsja, dat hele certificaten gebeuren valt of staat bij de zwakste schakel. Of dat nou een gebruiker met een malafide link is, of een sysadmin met enige update achterstand. Een SSL certificaat is net zoveel waard als de browser maker gelooft in de veiligheid van het achterliggende bedrijf. Hoewel ik Verisign toch als een van de betere in had geschat. Maar dit is toch al bijna 2 jaar geleden. Al die certificaten hadden ingetrokken moeten worden, en had gemeld moeten worden aan Microsoft/Mozilla/Google/Apple etc.

Browsers (of eigenlijk webservers) zijn niet de enige tools die gebruik (kunnen) maken van SSL certificaten. Er zijn legio andere systemen / protocollen die vaak ook via SSL beveiligd worden.

Dus de impact is wel groter dan alléén de internet wereld als de root idd gehacked of gecompromitteerd is, denk ook aan applicaties (zoals GBA) waarvan de (gevoelige) gegevens dan gewoon niet meer te vertrouwen zijn.

[Reactie gewijzigd door CH4OS op 24 juli 2024 09:06]

phonixor @Biersteker • 2 februari 2012 22:28

daar was toch ook een trojan ofzo voor op je computer voor nodig?

Verwijderd @Biersteker • 3 februari 2012 14:39

idd hetzelfde als met geld, het is maar net hoezeer je het systeem vertrouwd. Waar ik echter nog niemand over heb gehoord is dat het MOGELIJK een nepalarm is om samenwerking met overheden te verhullen (wellicht om stuxnet zijn werk in Iran te laten doen). Als het bedrijf doet of het slachtoffer is (maar niet in gevaar is geweest) verliest het ook zijn positie niet in de wereld....

DaZi 2 februari 2012 23:36

SSL is het protocol tussen de client en de server. Het certificaat is slechts om de identiteit van de server te waarborgen. Of je nu een instap certificaat van 15 euro p/jaar gebruikt of een EV certificaat van 800 euro p/jaar de encryptie wordt er niet meer of minder om.

Het enige waar je over kan twisten is dus de identiteit. Als een uitgever niet langer vertrouwd wordt hoe kan de identiteit van de servers zoals bijvoorbeeld die van de ING dan vertrouwd worden... Overigens heb je wel met een serieuze hackers partij te maken als ze het certificaat en web adres van de een bank overnemen.

Borromini 2 februari 2012 22:16

Ik vind het vooral shady hoezeer Verisign/Symantec niet kunnen zeggen wat er wel en niet is gecompromitteerd. Je systemen werden in 2010 gehackt, maar je kan nu nog steeds niet zeggen wat er wel en niet buiten schot is gebleven? Wat voor een beveiligingsbedrijf run je dan? Je mag toch verwachten van bedrijven die veiligheid hun 'core business' noemen dat ze zelf weten hoe ze dat soort dingen moeten monitoren en checken

job_h

@Borromini • 2 februari 2012 23:28

Stel ik kom binnen op jouw systeem? Hoe weet jij dan welke bestanden ik bekeken heb? Zelfs al hou je logbestanden bij, die zijn ook te verwijderen als ik ze kan vinden.
Misschien weten ze wel wat er gebeurt is, misschien niet. Wie zal het zeggen?

3DDude @job_h • 3 februari 2012 00:07

als jij logs verwijderd hebt wil dat niet zeggen dat deze niet te recoveren zijn natuurlijk?

Ik ben het helemaal met Borromini eens hoor wat dit betreft.

Volgens mij weten ze heel goed wat er allemaal gecompromitteerd is maar willen ze dat simpelweg niet naar buiten brengen.

@t hieronder --> zie je toch dat de log gewijzigd is lijkt me somehow

[Reactie gewijzigd door 3DDude op 24 juli 2024 09:06]

dasiro @3DDude • 3 februari 2012 00:29

daarom dat je geen logs verwijderd, maar enkel jouw activiteiten er uit weghaalt. Een lege logfile is verdacht

humbug @3DDude • 3 februari 2012 07:26

Nope, tenzij je activiteiten op de logfile gaat loggen (en de activiteiten op de log van de activiteiten van de log, enz) houdt het een keer op.

Logfiles zijn dan ook niet bedoeld als beveiligingenmaatregel, maar als log zodat je bij normale problemen kan zien wat er gebeurd is. Wil je de logs van een server enigszins beveiligen tegen wijzigingen zul je met aparte logservers moeten werken, maar aangezien die ook te hacken zijn blijft het een kwestie van het probleem vooruitschuiven.

Het hangt dus sterk af van de kwaliteit van de hacker wat je in welke log te zien krijgt. Bij een goede hacker dus mogelijk niets. Als je logfiles geen activiteit laten zien kan je dan ook niet de conclusie trekken dat er dus niets gebeurd is. Hierdoor is het dus onmogelijk te garanderen dat je systeem niet gehackt is. Wel is het mogelijk uit logfiles op te maken dat je gehackt bent. Eenrichtingsverkeer.

Om te kunnen garanderen dat een hacker een bepaalde server niet bereikt heeft moet je zorgen dat die server niet vanaf het netwerk waarop de hacker zat bereikbaar is. Dus een fysiek ander netwerk. In dat geval kun je zeggen dat server X bij de aanval op netwerk Y niet getroffen is. Maar meer ook niet.

Er wordt nogal vaak gedacht dat alles wel terug te halen is als je genoeg tijd hebt. Dat is niet zo. Vaak weet het bedrijf niet meer dan: "Er was een hacker op netwerk X". En vaak ook dat niet.....

Glashelder

@job_h • 3 februari 2012 01:54

In dit soort grote en belangrijke omgevingen heb je een aparte logging server die weer achter een firewall staat.

Daar volstaat een logfiletje op het lokale filesystem niet.

darkfader @job_h • 3 februari 2012 08:28

Een ander passief systeem voor netwerklogging zoals ISPs dat doen... (IP adres, tijd, ...)
Moeten ze wel een IDS hebben dat afgaat als de logs worden uitgezet/aangepast. Dan kunnen ze iig het adres tijdelijk blokkeren of meekijken wat er gaande is.
Ander idee is een 2e systeem hebben dat hetzelfde doet maar waar je niet normaal bij kunt. Daarna 2 systemen vergelijken.

mrdemc @Borromini • 2 februari 2012 22:28

Ze zullen het dan ook vast wel weten ondertussen, maar het niet naar buiten willen brengen. Al moet ik zeggen dat het voor zo'n bedrijf natuurlijk vrij kwalijk is dat het systeem wat ze gebruiken zo kwetsbaar blijkt te zijn.

stftweaker 2 februari 2012 22:37

Het is een beveilligings bedrijf. Maar ze kunnen niet precies zeggen wat er gebeurt is. Dit kan 2 dingen betekenen je staat te liegen en je weet het wel maar wilt het niet zeggen. Of ze zijn incompetent. Beide gevallen lijken mij niet gunstig. Ik vraag mij af of klanten ook daadwerkelijk over zullen stappen. Zijn er dan betere alternatieven? En misschien licht offtopic maar ik moet het toch even vragen wie en hoe wordt de kwaliteit bepaalt dan een SSL certificaat? Als ik zo op internet rondkijk zijn ze qua encryptie en dergelijke allemaal het zelfde.

Biersteker @stftweaker • 2 februari 2012 22:46

De uitgever van het certificaat, en de browsermaker. (Apple/Google/KDE/Microsoft/Opera/RIM/Mozilla)
Je kan best zelf een SSL certificaat maken, maar de browser zal het niet zomaar accepteren. (Kijk bijvoorbeeld naar de self-signed certificates, die worden ook niet zomaar geslikt door een browser). Het is een soort van vertrouwensband tussen de uitgever van het certificaat, en de browser makers, dat zou moeten garanderen dat de verbinding tussen jou PC, en de server waarmee jij verbindt, moet kloppen. Maar wat bij diginotar gebeurde was dat er certificaten voor google.com werden uitgegeven. Wat er voor zorgde dat google.com in Iran, compleet ge-reroute kon worden. Want je browser is ervan overtuigd dat de verbinding correct is. Dat is dus ook het gevaar van dit soort certificaten. Als een bedrijf zijn beveiliging niet op orde heeft, een een derde de mogelijkheid geeft een SSL certificaat te maken. Dan kan je echt nare shit doen, en lijkt alles perfect in orde.

(Leuk leesvoer: http://www.cabforum.org/Guidelines_v1_3.pdf)

[Reactie gewijzigd door Biersteker op 24 juli 2024 09:06]

CH4OS @Biersteker • 2 februari 2012 23:08

SSL is niet alleen voor browsers bedoeld hoor, dus er zit wel meer achter dan dat je nu schetst.

Worden genoeg SSL certificaten ook voor andere doeleinden gebruikt.

[Reactie gewijzigd door CH4OS op 24 juli 2024 09:06]

Biersteker @CH4OS • 2 februari 2012 23:14

True. Fax/IM/VOIP etc maken net zo hard gebruik van SSL (Eigenlijk moeten we toch stoppen met het SSL te noemen, maar TSL, TLS) Maar als er iets vatbaar is voor misbruik, dan zijn het toch de browsers en al het verkeer dat via een browser loopt.

Hoewel we toch misschien moeten vertrouwen op VeriSign, die zegt dat de certificaten niet ge compromised zijn. Maar ik moet batje4 zijn quote ook gelijk geven. VeriSign is echt een van de grote, en als jij VeriSign certs, kan maken, dan kan je echt heel makelijk, heel veel schade uitrichten. (Een import van zo'n cert, als je hem hebt is zo gedaan, en of het nou een browserbased of een voip centrale is maakt dan niet eens uit. Het is dan bijna All your data belongs to us)

[Reactie gewijzigd door Biersteker op 24 juli 2024 09:06]

toonp @Biersteker • 2 februari 2012 23:45

Correctie: TLS.

Verwijderd @toonp • 3 februari 2012 10:48

Volgens mij is TLS een protocol wat alleen betrekking heeft op encryptie. De hele keten van SSL certificaten en CA's word volgens mij https://nl.wikipedia.org/wiki/Public_Key_Infrastructure genoemd.

En tl;dr De vraag is of we CA's wel kunnen vertrouwen anno 2012. Ik ben van mening van niet. Kijk voor de grap is in je browser hoeveel CA's er worden vertrouwd en bedenk dan dat die allemaal beveiligd moeten worden. Bedenk dan dat dat allemaal bedrijven zijn met winstoogmerk en dus altijd zullen communiceren in hun eigen voordeel. Ik denk dan dat het PKI concept in theorie geweldig is, maar het menselijke element -vertrouwen- discutabel op deze schaal.

edit: typos

[Reactie gewijzigd door Verwijderd op 24 juli 2024 09:06]

cctld 2 februari 2012 22:25

Verisign is niet in handen van Symantec.
Alleen de SSL tak is verkocht aan Symantec.

Soldaatje @cctld • 2 februari 2012 22:31

Klopt, ook in 2010.
Nou nog de vraag of de hack hiervoor of erna is geweest.

mrdemc @cctld • 2 februari 2012 22:31

VeriSign is in handen van Symantec. Dat klopt gewoon.
Wat jij bedoelt is VeriSign Incorporate. Dat is inderdaad het bedrijf waar VeriSign in eerste instantie van was. VeriSign Inc. is de eigenaar van 2 van de DNS-servers en levert communicatiediensten wereldwijd.

In Search of Sunrise @mrdemc • 2 februari 2012 23:43

http://en.wikipedia.org/wiki/Verisign

cctld heeft gewoon gelijk. Verisign is nog steeds een onafhankelijk bedrijf en alleen de authentication afdeling is verkocht aan Symantec. Daar valt SSL, verisign trust seal en verisign identity protection onder.

BoomBoom_64 @In Search of Sunrise • 3 februari 2012 00:28

(It's true because Wiki says so ?!?!?!

)

Stukfruit @BoomBoom_64 • 3 februari 2012 06:47

Nee, het is waar omdat de referenties onderaan de pagina dat aangeven:
http://en.m.wikipedia.org...w_normal_site#cite_note-7

Verwijderd 2 februari 2012 23:22

Uhm is het niet zo dat een SSL bedrijf alleen je gegevens verifieert om te zien of je ook echt bent wie je zegt dan je bent? De encryptie/tunnel is net ze veilig of het nou wel of niet door een 3rd party is gesigned.

Biersteker @Verwijderd • 2 februari 2012 23:31

Nee het is juist andersom. Domain Validation. Als jij met bijvoorbeeld mijn.ing.nl verbindt, accepteer jij het certificaat van ING NV, gesigned door VeriSign. Dat garandeert de verbinding tussen jou en de ING server.

Als je dit zou willen testen, moet je Cain&Abel downloaden, een ARP poisening opzetten tussen PC1, en de router vanaf PC2. Dan zal je gelijk zien, dat het certificaat niet klopt. Maar in Cain is het erg eenvoudig om een certificate te importeren. Als je dit zou doen met een geldig, maar een niet legitiem certificaat, zou je echt letterlijk alles kunnen afvangen. Naja, dan heb je het principe een beetje door.

Verwijderd @Biersteker • 2 februari 2012 23:41

Tja maar mijn punt is dat de encryptie er niet minder om word, je kan er tussen hangen wat je wilt maar als er een SSL tunnel tussen hangt valt er niet veel te lezen.

Foamy @Verwijderd • 3 februari 2012 07:50

Wat Biersteker aan probeert te geven is dat je met een vals certificaat niets meer in de tunnel hoeft te bekijken. Je word een van de twee endpoints, en al het verkeer komt unencrypted langs je

Leaky 2 februari 2012 22:10

Dit is niet goed "Het bedrijf sluit echter niet uit dat er informatie over het dns-systeem is buitgemaakt", wedden dat we er weer een root certificat discussie bij hebben?

erwinb @Leaky • 2 februari 2012 22:17

Dan zijn de gevolgen niet te overzien. Diginotar was er alleen voor nederland, VeriSign leverd certificaten over de hele wereld.
Als het een root issue gaat worden, dan zal dit ook snel het einde zijn/worden van VeriSign.

nst6ldr 2 februari 2012 22:51

Een beveiligingsbedrijf staat of valt met vertrouwen, ongeacht de kwaliteit van hun diensten. Als ze niet met een geloofwardig en acceptabel statement komen kon dit nog wel eens een naar einde hebben voor Verisign.

Batje4 2 februari 2012 22:59

"Vertrouwen komt te voet en gaat te paard." Als we een ding geleerd hebben van Diginotar, dan is het wel dat er snel geageerd moet worden bij een beveiligingsincident in een vertrouwensmodel. De belangen zijn groot, en dat vraagt om snel, accuraat, en to the point handelen van betrokkenen.

Dat gezegd hebbende vind ik zowel Verisign als SEC erg matig acteren. Diginotar en de Nederlands Overheid gingen over de knie - moet er niet iets vergelijkbaars gebeuren met deze twee organisaties?

Ik bedoel: 2010 gebeurt, 2011 gemeld. Door een bedrijf dat WERELDWIJD handelt in vertrouwen. Dit kan gewoon niet. De impact is enorm. Ik quote uit de bron (Reuters):

"Oh my God," said Stewart Baker, former assistant secretary of the Department of Homeland Security and before that the top lawyer at the National Security Agency. "That could allow people to imitate almost any company on the Net."

En de toezichthouder: ja, dat had sneller gemoeten. En dat hou je low key. Terwijl vertrouwen is gebaat bij openheid en transparantie, zeker in zware tijden.

Wat als Reuters dit niet had ontdekt? Dan waren zowel SEC als Verisign ermee weggekomen, en dat mag imho niet gebeuren. Als dit niet harder wordt aangepakt, dan kan de conclusie niet anders zijn dan dat er met twee maten gemeten wordt.

SEC en Verisign verdienen een stevige douw.

Verwijderd 3 februari 2012 09:56

Was het niet die diginotar hacker die beweerde ingebroken te hebben bij Verisign, vlak na de inbraak op diginotar. Maar toen werd alles ontekent?

regmaster @Verwijderd • 3 februari 2012 13:42

Sterker nog, er werd tot aan de beruchte vrijdagavond door zowel Govcert, Logius als Diginotar beweerd dat er niets aan de hand was. We weten inmiddels hoe dat gelopen is. Ik verwacht hier ook wel een poging om dit in de doofpot te laten belanden. Net als de KPN dat voor elkaar heeft gekregen. Niet zo heel gek als je bedenkt dat de overheid na Diginotar vrijwel alles bij KPN heeft ingekocht. Dan is een uitkomst dat KPN ook zo lek als een mandje was wel een hele kostbare en verklaar je je als overheid wel compleet incompetent. Gaat niet gebeuren dus.

Op dit item kan niet meer gereageerd worden.

Hackers kraakten VeriSign-systemen in 2010

Lees meer

De zwakste schakel van https

IT-banen

Reacties (41)

Sorteer op:

Weergave: