Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

HP trekt certificaat in vanwege blunder met trojan

Door , 26 reacties

HP trekt eind deze maand een certificaat in dat het bedrijf gebruikte om software, waaronder drivers, te ondertekenen. Uit onderzoek blijkt dat het per ongeluk werd gebruikt voor het ondertekenen van malafide software.

Het certificaat, dat voornamelijk werd gebruikt voor oudere producten, zou systeembeheerders de garantie moeten geven dat er niet is geknoeid met de software. Het Amerikaanse bedrijf ontdekte echter dat het certificaat 'per ongeluk' werd gebruikt voor het ondertekenen van een trojan, zo meldt beveiligingsjournalist Brian Krebs op zijn blog.

Beveiligingsbedrijf Symantec attendeerde HP op de malware, nadat het op een computer van een medewerker van HP de vier jaar oude trojan vond die zich daarop had genesteld. Daar deed het programma zich voor als een ander bestand, waarna het met het certificaat werd ondertekend. HP gebruikte het certificaat tot mei 2010 voor het ondertekenen van software.

Volgens HP is het certificaat zelf niet gekraakt geweest en is de trojan nooit naar klanten verscheept. Dat verzekert Brett Wahlin, die verantwoordelijk is voor de beveiliging van HP, Krebs. HP laat het certificaat 21 oktober intrekken door VeriSign, waarna het zijn software opnieuw moet ondertekenen.

Door Yoeri Nijs

Nieuwsposter

10-10-2014 • 22:23

26 Linkedin Google+

Reacties (26)

Wijzig sortering
Dat hele gedoe met certificaten, staat en valt met de uitgifte ervan en als we dat al niet eens meer kunnen vertrouwen, wat moeten we dan nog met die certificaten??
Er zijn veel teveel voorbeelden waar het fout gaat helaas.
Er is helemaal niets mis met de manier waarop certificaten werken. En in dit geval is er met heel de keten zelfs niets misgegaan daar de malware zich heeft weten te nestellen op een locatie waar deze netjes ondertekend werd door een automatisch script.

Er zijn inderdaad enkele voorbeelden te vinden waar het fout gaat met de uitgifte van certificaten (denk maar aan diginotar) maar gelukkig kan men deze certificaten relatief snel intrekken. Maar wat is het alternatief?

Voor beveiliging ben je altijd afhankelijk van anderen. Bij 1 van de vorige problemen stelde iemand hier voor dat we niet zouden mogen vertrouwen op CAs en dat daar iets aan gedaan moet worden, en dan kwam hij/zij af met een systeem waarbij je vertrouwd op de gemeenschap. Een gemeenschap die eigenlijk nog minder te verliezen heeft en anoniemer is dan 1 groot bedrijf dat zijn reputatie hoog wenst te houden. Recent heeft bitcoin dan weer aangetoond waarom vertrouwen hebben in een gemeenschap geen goed idee is. Van zodra iemand een meerderheid van die gemeenschap controleerd kan men namelijk fraudulente zaken toch goedkeuren.
Er zijn veel voorbeelden waar het fout gaat, maar andersom als er geen certificaat is is er helemaal nihil beveiliging. Het vervalsen van een certifciaat kan, maar blijkt in de praktijk een behoorlijk grote drempel zodat het wel degelijk veiligheid biedt. Immers je moet nu al inbreken bij een bedrijf.

HP is schimmig over details maar het lijtk te gaan om een van twee mogelijkheden:
- extreme pech. Een gewone trojan infecteert een machine van een ontwikkelaar die de laatste testen doet van een stuk software voor dat het gereleased wordt. Deze trojan renamed zichzelf naar een veelgebruikte executable (wat veel trojans doen) en het kiest per domme pech een executable van een stuk sofwtare in ontwikkeling. Dat wordt dus per ongeluk gesigned.
- zelfde als voorgaande, alleen is het geen domme pech maar een bewuste actie van een waarschijnlijk nation state attacker die de executable voor een specifieke attack gebruikte.

Niet onwaarschijnlijk variant 2. De nu gesignde trojan is namelijk niet wijd verbreid in het wild maar werd op een specifieke locatie buiten HP aangetroffen.

Veel grote defensie en financiele bedrijven hebben op bepaalde infrastructuur onderdelen een beleid enkel signed software toe te staan. Zeg maar net zoals een Windows RT geen unsigned software toestaat hetgeen tot veel woeste reacties onder gebruikers leide O-)
Ofwel dat werkt doorgaans fenomenaal als beveiliging, behalve dan een aantal keren per jaar waar meestal professionele hackers in staatsdienst via een maandelange voorbereide aanval mbv dit soort signed malware binnen weten te komen.

Symantec's cyber security team heeft wel vaker gerapporteerd over dit soort voorbeelden. O.a. de befaamde hack op enkeel bedrijven betrokken bij de F35 ontwikkeling waren ook opgespoord door Symantec, en ook daar gebruikte men een gestolen certifciaat. Als is technisch het certificaat hier dus niet eens gestolen.
Als ik de tekst lees, denk ik eerder, dat een developer een executable tegenkwam waarvan hij dacht dat die nog niet gesigned was. Hij denkt dan waarschijnlijk iets als wat een prutsers weer op afdeling A, en signed hem alsnog.
Tja, en hp veegt dat onder het tapijt: signing niet gecomprimeerd.... right. Dat betekent dus dat de handtekening van een groot bedrijf niet perse zoveel waard is.
Het vertrouwen in certificaten an sich staat hier niet aan de orde. Het certificaat werkt hier gewoon goed - met een certificaat kan iets ondertekend worden en daardoor kun je de afzender dus controleren. Door het certificaat van HP is het onmogelijk (voor zover er geen breach in de chain of trust zit) dat iemand anders zijns software ondertekend als afkomstig van HP.

Het probleem hier is dat HP zélf iets heeft ondertekend dat niet van hen was. Het certificaat is dan nog prima te vertrouwen, maar het certificaat impliceert niet dat wat ondertekend is ook daadwerkelijk te vertrouwen is. Je kunt je dus afvragen in hoeverre je HP dan kunt vertrouwen.
Als dat zo is, waarom trekken ze hem dan in?
Zodat, mocht de verkeerd ondertekende software toch in het wild terecht komen, het niet meer wordt geaccepteerd omdat het certificaat is ingetrokken.
Wat we moeten met die certificaten? Identificatie van een endpoint en versleutelde data-uitwisseling, genoeg voorbeelden (zo merendeel van de websites die je bezoekt) waar het wel goed gaat.
HP trekt eind deze maand een certificaat in dat het bedrijf gebruikte om software, waaronder drivers, te ondertekenen. Uit onderzoek blijkt dat het per ongeluk werd gebruikt voor het ondertekenen van malafide software.

Waarom pas eind deze maand en niet direct? Of mis ik iets in het verhaal?
Omdat als je geen getekend alternatief voorhanden hebt, je met een ingetrokken certificaat feitelijk een denial of service uitvoert op je eigen software.

Het feit dat een certificaat niet meer betrouwbaar is, betekent niet automatisch dat je het direct in wilt trekken. Kijk naar wat bij Diginotar is gebeurd, daar heeft men er bewust voor gekozen de intrekking enige tijd uit te stellen zodat er voldoende tijd was om met alternatieven te komen.

Sec genomen zeg je dat je bij enige vorm van conpromitatie het certificaat moet intrekken. Maar als de gevolgen van de intrekking mogelijk groter zijn dan van bewust door blijven gaan met het gebruik, moet je je nog eens achter de oren krabben of direct intrekken wel de juiste oplossing is.

[Reactie gewijzigd door Eagle Creek op 11 oktober 2014 16:38]

Grote kans dus dat drivers van HP op een aantal systemen stoppen met functioneren/updaten als het certificaat eenzijdig wordt ingetrokken. In principe kan dit gelden voor iedereen die niet ooit "device driver signing" heeft uitgeschakeld op Windows-machines.

Ook vraag ik me af of de grote antivirus/malware-makers snel hun definities aanpassen; als zometeen oude software van HP als malware/trojan gezien kan worden, kan ik me zelfs voorstellen dat AHCI-gerelateerde calls op HP-machines worden geisoleerd met redelijk fatale gevolgen voor het OS.

Ik hoop dus van harte dat het betreffende certificaat nooi(!!!) naar buiten is gebracht in de vorm van test/beta in het wild.

[Reactie gewijzigd door MAX3400 op 10 oktober 2014 22:32]

Het zou inderdaad wel handig zijn als we eerst zouden kunnen testen of het certificaat in gebruik is.

Weer eens wat anders: scannen naar certificaten in plaats van virussen.

###

Nogal suffe opmerking van mezelf, die eerste zin.
Checken of je HP-certificaten hebt doe je natuurlijk gewoon even zelf:
open de Certificate Manager (certmgr.msc), selecteer Certificates - Current User, kies menuoptie Action > Find Certifiates en zoek naar HP in de velden Issued By en Issued To.

[Reactie gewijzigd door Kalief op 11 oktober 2014 11:12]

Het zou inderdaad wel handig zijn als we eerst zouden kunnen testen of het certificaat in gebruik is.

Het certificaat is in gebruik, en wel door de volgende software:

http://krebsonsecurity.co...re-Support-KM01195423.pdf

http://krebsonsecurity.co...re-Support-KM01150947.pdf

(Shameless plug van Krebs website O-) )


EDIT: Kennelijk zijn er iets teveel Tweakers geweest die Krebs bezocht hebben _/-\o_ want hij heeft de links verwijdert inclusief de post in zijn reactie forum waarin hij ze aankondigde.

[Reactie gewijzigd door Armin op 11 oktober 2014 19:35]

Beide linkjes geven een #404 page not found.
inderdaad.. bij Krebs kom ik wel deze page tegen:
http://krebsonsecurity.co...is-expensive-oops-for-hp/
Ik denk niet dat antivirus software iets gaat doen met software van HP. Digitale ondertekening en de daadwerkelijke software staan los van elkaar. Een virusscanner doet eigenlijk niks met het hele certificaten gedeelte van de gescande bestanden, maar vergelijkt stukjes informatie met een database (virus definities) en als er overeenkomsten zijn heeft het een virus gedetecteerd.

Het woord virus kan in principe met elk woord voor malware vervangen worden, het gaat om het scannen.

Verder maakt het digitaal ondertekenen van software alleen maar uit op het moment dat die handtekening gecontroleerd wordt, en of er voor de gebruiker een keuze is om iets met het wel/niet geldig zijn van het gebruikte certificaat te doen.

Je hebt het over drivers die dan niet meer geladen worden als de handtekening niet geldig is. Dat zorgt er over het algemeen voor dat je een driver wel of niet zonder problemen kan installeren. Als de driver eenmaal geďnstalleerd is doet windows volgens mij niks meer met die handtekening.

Verder gaat dit niks met AHCI of calls doen, ten eerste niet om dat HP niet zelf drivers voor AHCI maakt of ondertekent, en ten tweede om dat AHCI ook prima met Microsoft's eigen driver werkt.

Het is niet alsof alle HP computers die voor 2010 geleverd zijn na Oktober niet meer werken. Virusscanners hebben er verder eigenlijk helemaal niks mee te maken. Een digitaal ondertekend virus is nog steeds een virus en wordt nog steeds gedetecteerd en verwijderd door een actieve virusscanner.

[Reactie gewijzigd door johnkeates op 10 oktober 2014 22:50]

In principe kan dit gelden voor iedereen die niet ooit "device driver signing" heeft uitgeschakeld op Windows-machines.
De vanzelfsprekendheid waarmee je spreekt over het uitschakelen van "device driver signing" vind ik maar eng.
In principe kan dit gelden voor iedereen die niet ooit "device driver signing" heeft uitgeschakeld op Windows-machines.

Dat is geloof ik alleen redelijk makkelijk en permanent, te doen op 32bits OS-en maar die zijn inmiddels wel in de minderheid.Op 64Bits Windows OS-en is het lastiger en moet het per boot specifiek met een F8 boot geforceerd worden.
Maar waarom zou je dat doen? Driver signen is een goed iets, al vinden veel mensen dat alles wat een extra bevestigingspopup geeft per definitie een slecht iets.
Enige reden die ik weet te verzinnen is dat je (heel) oude hardware hebt waar geen signed driver voor beschikbaar is.
Verbeter me maar als ik het mis heb maar dit certificaat en de controle er van is alleen van toepassing ten tijde van de installatie van drivers andere met dit certificaat ondertekende software.

Alle software en drivers die geinstalleerd zijn zullen niet ineens stoppen met werken.

Kortom, mocht je images hebben waarin deze software wordt uitgerold of je gebruikt iets als Altiris, zal je dus binnenkort nieuwe versies moeten downloaden die met een nieuw certificaat ondertekent zijn.
Het vertificaat wordt gecontroleerd bij het laden van de software. dus bij de volgende reboot heeft het gevolgen. Tenzij je driver signing uitzet. onhandig grapje
Volgens mij klopt dat niet. Ik heb vaker software geinstalleerd waarbij ik driver signing uit moest zetten. Na de instalatie kan driver signing gewoon weer aan staan en dan werkt alles nog steeds.

Tenzij dat dat weer veranderd is en het artikel hier rept er ook geen woord over, heb jij toevallig een bron?
Bron:
http://arstechnica.com/se...-will-revoke-certificate/
Regardless of the cause, the revocation of the affected certificate will require HP to re-issue a large number of software packages with a new digital signature. While the certificate drop may not affect systems with the software already installed, users will be alerted to a bad certificate if they attempt to re-install software from original media. The full impact of the certificate revocation won’t be known until after Verisign revokes the certificate on October 21, Wahlin said.
Maar het blijft dat met certificaten voorzichtig omgegaan moet worden, ik ben mij er net goed in aan het verdiepen en ik zag laatst, heb helaas de link niet meer :(, een artikel van een Amerikaanse beveiligingsonderzoeker die uitlegde wat de ideale opstelling zou zijn voor het werken met certificaten. Hij had het erover dat het belangrijk is bestanden alleen maar te ondertekenen op een stand-alone computer die als enige de private key in handen heeft, buiten de ca natuurlijk. En natuurlijk niet zomaar ontwikkelaar de personal key op hun computer laten installeren.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*