Computerbeveiliging - Hoe je bad guys buiten de deur houdt

McAfee blocks ocsp.usertrust.com (178.255.83.1)

30-06-2012, 00:34 door Bitwiper, 11 reacties
English readers: please see below

Zojuist probeer ik naar https://isc.sans.edu/ te surfen met Firefox (ingesteld op verplicht OCSP checken) op een PC met McAfee. Dat leidde tot een popup van McAfee:
Door McAfee: Risky connection blocked
McAfee has blocked your PC from making a potentially risky connection.

About this connection
IP Address: 178.255.83.1
Program: Firefox
whois 178.255.83.1@whois.ripe.net
inetnum: 178.255.83.0 - 178.255.83.63
netname: COMODOCA
descr: Comodo CA
country: GB

McAfee firewall uitgezet, nogmaals naar https://isc.sans.edu/ gesurfed, nu probleemloos. Certificaat bekeken:
OCSP: URI: http://ocsp.usertrust.com

nslookup ocsp.usertrust.com
Name: ocsp.usertrust.com
Address: 178.255.83.1

Wijziging 2012-07-01 14:55 - Een emotionele regel verwijderd uit dit bericht. Reden: veel belangrijker dan persoonlijke emoties bij een specifiek softwarepakket is het feit dat dit de zoveelste nagel aan de doodkist van PKI is, omdat hieruit blijkt dat notabene beveligingssoftware (van welke fabrikant dan ook en voor whatever reason) OCSP en/of CRL distributie sites blokkeert. Het gaat hier om kritische sites die in principe gewhitelist zouden moeten worden, en waar, in het geval van mogelijke security problemen, onmiddellijk contact met de beheerders ervan gezocht moet worden.

2012-07-01 13:46 UTC Added the following English write-up. I have just submitted this to the isc.sans.edu handlers:
By Bitwiper: Yet another nail in PKI's coffin

Friday evening (2012-06-29 around 21:45 UTC, 23:45 local NL time) I tried to visit https://isc.sans.edu/ using Firefox on a PC with McAfee software including "Net Guard" (trustedsource.com) functionality enabled. I have configured Firefox such that OCSP validation is mandatory (which should be the default IMO).

The connection failed with a McAfee popup:
------------
Risky connection blocked
McAfee has blocked your PC from making a potentially risky connection.

About this connection
IP Address: 178.255.83.1
Program: Firefox
------------

Firefox said:
------------
Secure connection failed
The OCSP server experienced an internal error.
------------

I soon found out that ocsp.usertrust.com resolves to 178.255.83.1.

I wrote about this (in Dutch) here: http://www.security.nl/artikel/42063/1/McAfee_blocks_ocsp.usertrust.com_%28178.255.83.1%29.html

Yesterday I tried to report this to McAfee but failed initially, because https://secure.mcafee.com/ also uses a Comodo certificate (feedback can be provided via https://secure.mcafee.com/apps/mcafee-labs/threat-feedback.aspx?ip=178.225.83.1).

After permitting https without OCSP validation I submitted a report to McAfee (via the link shown above) on 2012-06-30 20:39 UTC. Afterwards I reconfigured mandatory OCSP checking.

Today I have removed the McAfee firewall entry for 178.255.83.1 and retried opening https://secure.mcafee.com/ (on 2012-07-01 12:02 UTC). The result was that 178.225.83.1 was blocked again and the OCSP error showed up. This means McAfee has not fixed the problem.

The "reasons" why ocsp.usertrust.com is blocked can be seen in http://www.mcafee.com/threat-intelligence/ip/default.aspx?ip=178.225.83.1
Apparently it is involved in a "high" level of spam between -1% and +1%. I have no clue what this means.

IMO this is very serious. Security software manufacturers shoud WHITELIST critical PKI servers. In case of any suspicion of compromise or other abuse they should NOT block such servers, but contact the owners immediately and have the misintrepretation explained or the problem fixed.

Best regards,
Bitwiper

2012-07-01 17:31 - Addition: apparently COMODO ITSELF blacklists 178.255.83.1, see http://siteinspector.comodo.com/public/reports/4753361 (and my reports below).
2012-07-01 18:55 - Edited typo: replaced ' by '
Reacties (11)
30-06-2012, 14:33 door Bitwiper
Op https://isc.sans.edu/ krijg ik nog steeds de OCSP certificaat foutmelding. Nadat ik (tijdelijk ingelogd als Administrator) in de McAfee settings onder "Net Guard" de entry voor 178.225.83.1 heb verwijderd, en opnieuw naar https://isc.sans.edu/, krijg ik d eMcAfee popup weer en wordt 178.225.83.1 weer geblokkeerd.

Ik ben er verder ingedoken (met WireShark). Als ik 178.225.83.1 de-blokkeer en weer naar https://isc.sans.edu/ surf, maakt McAfee een SSl/TLS (poort 443) verbinding met tunnel.cfw.trustedsource.org (161.69.165.7). In die (versleutelde) sessie krijgt McAfee op de PC waar ik nu aan zit kennelijk meegedeeld dat 178.225.83.1 onveilig is.

Dus surf ik naar http://www.trustedsource.org. Dat is een site van McAfee. Als ik daar het IP-adres 178.225.83.1 invul, wordt m'n browser doorgestuurd naar http://www.mcafee.com/threat-intelligence/ip/default.aspx?ip=178.225.83.1. Omdat ik standaard javascript blokkeer middels noscript zie ik dan nog wel wat. De vierkante plaatjes worden in eerste instantie nog niet gevuld.

Noscript meldt dat die pagina Javascript wil uitvoeren afkomstig van de volgende sites:
- twitter.com
- linkedin.com
- google.com
- facebook.net

Ik besluit javascript naar Google.com aan te zetten en krijg vervolgens een grotendeels lege pagina met de volgende foutmelding:
This web site needs a different Google Maps API key. A new key can be generated at
http://code.google.com/apis/maps/documentation/javascript/v2/introduction.html#Obtaining_Key.
McAfee heeft kennelijk haar Google Maps licenties niet op orde.

Ik zet javascript naar Google weer uit. Rechtsbovenaan http://www.mcafee.com/threat-intelligence/ip/default.aspx?ip=178.225.83.1 klik ik op "Threat Feedback" en word doorgestuurd naar: https://secure.mcafee.com/apps/mcafee-labs/threat-feedback.aspx?ip=178.225.83.1
...
MET OOK EEN OCSP FOUTMELDING!

Ook https://secure.mcafee.com/ kan ik niet openen. Reden: hun certificaat is ook van usertrust/Comodo...

Ik open http://www.mcafee.com/threat-intelligence/ip/default.aspx?ip=178.225.83.1 opnieuw (zonder javascript van Google) en zie nu dat een deel van de plaatjes wel gevuld zijn. Onder "Daily Trend of IP Mail Volume Change and Reputation" zou 178.225.83.1 betrokken zijn bij een "High" level op spam. Kennelijk ligt die -rood-gekleurde- hoeveelheid tussen de -1% en de +1%. Hoe moet ik in vredesnaam zo'n plaatje interpreteren?

Nb. Googlen naar 178.225.83.1 en spam levert geen serieuze hits op.

Wijziging 2012-07-01 14:57 - Emotionele teksten verwijderd uit dit bericht. Redenen: zie bovenste bericht in deze thread.
30-06-2012, 16:04 door Anoniem
Ik zou McAfee als ik jou was z.s.m. vervangen.Het is bekend dat McAfee tegenwoordig tot de slechtste of de minst goede security software behoort.
30-06-2012, 22:41 door Bitwiper
Door Anoniem: Ik zou McAfee als ik jou was z.s.m. vervangen.Het is bekend dat McAfee tegenwoordig tot de slechtste of de minst goede security software behoort.
Ik heb al een doos met Kaspersky liggen maar was er nog niet aan toegekomen die te installeren. Dat gaat nu wel heel binnenkort gebeuren.

Overigens heb ik hier zojuist toch maar een melding van gedaan bij McAfee - daar moest ik wel OCSP checking voor uitzetten. Ik heb aangegeven dat ze hier kunnen reageren, ik ben benieuwd of ze dat gaan doen.
01-07-2012, 00:44 door Ivanhoe
@Bitwiper
Waarom gebruikte je een commercieele anti-virus?
Of is de 'dekkingsgraad' van commercieele anti-virus programma's, in vergelijking met freeware, tegenwoordig wel beduidend hoger dan eerder. Een paar jaar geleden was dat nog 33 % tegen 28 % afgevangen malware in testen.

Op mijn desktop (XP, 1 Gb RAM) gebruik ik Avast i.c.m. MBAM en op mijn laptop (Vista, 4 Gb RAM) MSE en MBAM.
Op de desktop echt al jaren en al die jaren door nog nooit een infectie gehad.

Wel wil ik zeggen, dat als ik een commercieele anti-virus zou willen gebruiken, ik als eerste Kaspersky zou proberen.
Niet dat ik in mijn omgeving mensen heb die Kaspersky al geruime tijd naar voldoening gebruiken, maar eerder omdat op websites als hier Kaspersky het programma eigenlijk nooit aan de schandpaal genageld wordt en omdat Kaspersky bij grote besmettingen vaak als eerste een gratis tooltje uitbrengt om de besmetting van je systeem te kunnen verwijderen (en daarmee dus in een flinke regio de 'olievlek' probeert en weet in te dammen).
Ook heb ik wel het gevoel dat 'ze' er bij Kaspersky, en misschien vooral de grote baas, bovenop zitten.
01-07-2012, 12:39 door [Account Verwijderd]
[Verwijderd]
01-07-2012, 15:42 door Bitwiper
Door Ivanhoe: @Bitwiper
Waarom gebruikte je een commercieele anti-virus?
Of is de 'dekkingsgraad' van commercieele anti-virus programma's, in vergelijking met freeware, tegenwoordig wel beduidend hoger dan eerder. Een paar jaar geleden was dat nog 33 % tegen 28 % afgevangen malware in testen.
Je kunt op deze site (security.nl) veel klachten van mij terugvinden over antivirus: geen enkel pakket werkt betrouwbaar bij verse malware.

De reden dat ik voor een commerciële antivirus kies is dat deze veel verder gaan dan alleen maar malware detecteren. Bijvoorbeeld, in principe is de McAfee firewall gecombineerd met Net Guard (a.k.a. TrustedSource) een goed initatief. Maar dan moeten ze hun huiswerk wel goed doen natuurlijk. De luxere Kaspersky versies kennen uitgebreide instellingen voor het blokkeren van bijv. devices aan USB poorten. Dat soort zaken vind je echt niet in gratis software.

De reden dat er op de PC (in de woonkamer) waar ik dit nu tik nog McAfee staat is dat ik een xs4all account heb en McAfee gratis kreeg. Ondertussen heeft xs4all McAfee eruit gegooid en vervangen door F-Secure. Die ga ik ook niet gebruiken, want die kreeg ik niet eens geïnstalleerd op de PC van m'n pa - die ook bij xs4all zit (die PC heb ik destijds redelijk gehardened door services uit te zetten. Ik ben 3 uur aan het pielen geweest om F-Secure geïnstalleerd te krijgen en heb dat uiteindelijk opgegeven en er MSE opgezet - m'n pa doet, gezien z'n leeftijd, niet meer zoveel op internet).

De reden dat ik sowieso een virusscanner aanraad is dat, hoewel deze je zelden meteen redt bij ellende, bij een juiste configuratie, na enige tijd wel op problemen kan wijzen. Het maakt gewoon een (relatief klein) onderdeel uit van een totaal pakket aan maatregelen, genomen niet alleen omdat er op deze PC ook ge-internetbankierd wordt.

Door Peter V: Ik heb ervaring met Kaspersky, en ik moet zeggen dat dit pakket (internet security) echt tot de top behoort.
Dat is ook mijn ervaring, maar er moet wel bij gezegd worden dat het niet echt een pakket voor beginners is. Er zijn vaak meldingen (vooral uit de firewall) die ook ik niet kan plaatsen, laat staan een noob.
01-07-2012, 17:16 door Bitwiper
Aanvulling: de oorzaak van het blacklisten lijkt notabene Comodo ZELF te zijn!

Googlen naar: "178.255.83.1" malware leverde onder meer op:
http://siteinspector.comodo.com/recent_detections:
http://ocsp.comodoca.com Suspicious 178.255.83.1 2012-06-30 17:48:23 UTC Black listed pages were found on this site.
Die laatste tekst verwijst naar:
http://siteinspector.comodo.com/public/recent_detections/4753361:
Unsafe URL Result Detected IP Last Detected At Details
http://ocsp.comodoca.com/ Suspicious 178.255.83.1 2012-06-30 17:48:23 UTC Show report
Show report wijst naar: http://siteinspector.comodo.com/public/reports/4753361:
Report for ‘http://ocsp.comodoca.com/ index page.’

This is a suspicious page.
Scan Time: 2012-06-30 17:48:23 UTC.

Scanned single URL | Details | Report False Positive

Scanned IP: 178.255.83.1
Current IP: 178.255.83.1

This page has been scanned 3 times.

33% Safe
67% Suspicious
0% High Risk
0% Inconclusive

Blacklist Checking: Suspicious View Details
Phishing: Safe
Malicious Activity: Safe
Malware Downloads: Safe
Suspicious Activity: Safe

Domain Name: comodoca.com
Registrar: CSC CORPORATE DOMAINS, INC.
Registration date: 13-NOV-2002
Renewal date: 13-NOV-2013
Last updated date: 07-DEC-2011

Administrative, Technical Contact:
Email: domain-admin@comodogroup.com
Phone: +1.2019630004
De "Details" wijzen naar http://siteinspector.comodo.com/public/reports/show_log?id=4753361:
Report Details
This is a suspicious page : http://ocsp.comodoca.com/ Result for 2012-06-30 17:48:23 UTC

Blacklist Details

Blacklisted site. It's found in the public black lists. [BL3, detected distributing of malware]
Blacklisted URL It's found in the public black lists. [BL3, detected distributing of malware]

2012-07-01 18:19 Aanvulling: "Comodo site inspector" heeft 178.255.83.1 in elk geval al op 2012-06-22 als "suspicious" aangemerkt, zie http://siteinspector.comodo.com/public/reports/4563028.
01-07-2012, 18:39 door Bitwiper
Aanvulling (in een nieuw bericht, security.nl weigerde een toevoeging van deze tekst aan bovenstaande post van mij vanwege te veel URL's):

In http://support.clean-mx.de/clean-mx/viruses?id=1697858 (niet naar actuele resultaten van de "walker" kijken, maar naar de lange regel die begint met het kopje (i) Line) is te zien dat er al op 2012-06-20 10:00:58 een incident zou zijn gemeld (dat na 1.1 uur is gesloten) voor http://178.255.83.1/.

O.a. is er een bijbehorend resultaat van virustotal: http://www.virustotal.com/latest-report.html?resource=4842e206e4cfff2954901467ad54169e (0% detectie op dat moment, 20 juni dus) maar die pagina is ondertussen geüpdate. Ook vandaag is het resultaat 0% detectie (0/42).

De oorzaak van de verwarring is mogelijk dat je naar http://ocsp.usertrust.com/ (of http://178.255.83.1/) kunt surfen en dan (op dit moment) een 5-bytes lang OCSP antwoord krijgt (binaire bestandje) met een random filename. Wellicht heeft iemand dat voor malware aangezien.
02-07-2012, 15:39 door Anoniem
"Ik zou McAfee als ik jou was z.s.m. vervangen.Het is bekend dat McAfee tegenwoordig tot de slechtste of de minst goede security software behoort."

Maar het probleem ligt bij CA Authority Comodo, niet bij McAfee ? Daarnaast kom je dit soort problemen tegen met AV software van tal van leveranciers.
02-07-2012, 18:03 door Anoniem
McAfee is zowiezo meuk.Het laat allerlei exploits,trojans en rootkits door.Ik heb dit zelf meegemaakt met McAfee Internet Security.Ook in de diverse tests scoort McAfee matig tot zelfs slecht.Ook belast het je pc resources aanzienlijk.Bovendien is het ook nog eens niet goedkoop,voor rond die prijs kun je beter norton of kaspersky aanschaffen.
Door Anoniem: "Ik zou McAfee als ik jou was z.s.m. vervangen.Het is bekend dat McAfee tegenwoordig tot de slechtste of de minst goede security software behoort."

Maar het probleem ligt bij CA Authority Comodo, niet bij McAfee ? Daarnaast kom je dit soort problemen tegen met AV software van tal van leveranciers.
02-07-2012, 22:16 door Bitwiper
Op dit moment staat de "Web Reputation" van 178.255.83.1 op rood "high risk" in http://www.mcafee.com/threat-intelligence/ip/default.aspx?ip=178.255.83.1. Echter McAfee Net Guard blokkeert dat IP adres niet meer (als ik het uit de McAfee firewall verwijder en naar https://secure.mcafee.com/ of naar https://isc.sans.edu/ surf krijg ik geen popup meer, terwijl ik OCSP validation als verplicht heb ikgesteld in Firefox).

Volgens http://siteinspector.comodo.com/public/reports/4760171 is 178.255.83.1 nu clean.

Door Anoniem: "Ik zou McAfee als ik jou was z.s.m. vervangen.Het is bekend dat McAfee tegenwoordig tot de slechtste of de minst goede security software behoort."

Maar het probleem ligt bij CA Authority Comodo, niet bij McAfee ? Daarnaast kom je dit soort problemen tegen met AV software van tal van leveranciers.
Ik heb geen idee bij wie het probleem initieel lag.

Maar dat maakt niet uit. Elke blacklistbeheerder zou moeten weten dat je niet op basis van wat iemand anders zegt een IP adres mag blacklisten. Een heel simpel onderzoekje had uitgewezen dat het hier om een essentiële PKI server gaat, en dat de (slechts 5 bytes lange) output van http://178.255.83.1/ natuurlijk geen malware is maar een OCSP response.

Zowel Comodo als McAfee (en wie weet nog meer) trappen hier kennelijk in en slopen daarmee zelfs hun eigen functionaliteit (het gaat om een server beheerd door Comodo en https://secure.mcafee.com gebruikt een Comodo a.k.a. UserTrust certificaat).

Last but not least had het hierbij om een criminele actie kunnen gaan (en wie weet was het dat ook).

Stel een aanvaller weet een private key van een webserver (van een bank of zo) te stelen en misbruikt deze door een gespoofde server op te zetten. En stel nou dat iemand dat ontdekt en het meldt, waarna het certificaat met de public key (behorende bij eerder genoemde private key) wordt geblokkeerd (gerevoked, ingetrokken). Dan hoeft de crimineel kennelijk alleen maar wat lawaai op virustotal te maken en erbij te schrijven dat zowel de CRL als OCSP servers malware verspreiden zodat ze op één of meer blacklists belanden....

Het gevolg is dat notebane securitysoftwaremakers die crimineel een handje helpen door te zorgen dat gebruikers van die software niet merken dat het certificaat is ingetrokken, zonder dat die crimineel grootschalige anti-revocation-check aanvallen op eindgebruikers hoeft uit te voeren!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.