image

Fraude met SSL-certificaten grote websites

woensdag 23 maart 2011, 14:34 door Redactie, 9 reacties

Nog onbekende aanvallers hebben de afgelopen tijd SSL-certificaten voor verschillende grote websites bemachtigd, om zo mogelijk informatie te stelen of systemen over te nemen. Het begon toen Google een aantal valse SSL-certificaten in Google Chrome blokkeerde, maar niet vertelde wie de certification authority (CA) was die de certificaten had uitgegeven. Vandaag kwam Firefox met de aankondiging dat het ook verschillende certificaten had geblokkeerd, die door Comodo waren uitgegeven.

Het is de vraag hoe de aanvallers de certificaten hebben verkregen. Jacob Appelbaum van het Tor-project meldt dat een Certification Authority op één of andere manier mogelijk gecompromitteerd is geweest. De aanvallers zouden vervolgens zelf HTTPS-certificaten voor populaire websites hebben uitgegeven. Een aanvaller kan zodoende zichzelf als één van de aangevallen websites of systemen voordoen, zonder dat gebruikers dit door hebben.

Mozilla heeft inmiddels laten weten dat er een certificaat voor addons.mozilla.org is uitgegeven. In totaal wist de aanvaller negen certificaten te bemachtigen, waarvan zeven met een unieke naam. Appelbaum stelt dat ook Facebook, Skype, Google en Microsoft interessante doelwitten zouden zijn. Zowel Mozilla als Google merken op dat de CA in kwestie iets opmerkelijks heeft gedaan door de aanval te melden, aangezien dit geen goede reclame is. Comodo heeft nog niet de omvang van de aanval onthuld en hoe de aanvallers konden toeslaan.

Vertrouwen
Appelbaum merkt verder op dat er geruchten gaan dat de aanval mogelijk door een land is uitgevoerd, maar wil niet verder speculeren. "Het feit dat het systeem voor vertrouwen op het web van een alles of niets voorwerp afhankelijk is, zou genoeg reden voor alarm zijn. Het is duidelijk dat dit eerder is en zal blijven worden misbruikt."

Appelbaum ziet de aanval als een waarschuwing. "We moeten nieuwe manieren onderzoeken, bouwen en delen om vertrouwen, identiteit, authenticiteit en vertrouwelijkheid op het internet te garanderen", laat Appelbaum weten. Hij besluit: "Certification Authorities blijven mogelijk een stuk van de puzzel, maar is de hoogste tijd dat we zorgen dat ze niet de alpha en de omega meer zijn."

Reacties (9)
23-03-2011, 19:48 door Anoniem
Als we nu hier beginnen met lezen http://blogs.technet.com/b/msrc/archive/2011/03/23/microsoft-releases-security-advisory-2524375.aspx en dan zien waar ze het vandaan hebben staat het hele verhaal zonder dat er andere fabeltjes krantjes aan te pas hoeven te komen.

http://www.comodo.com/Comodo-Fraud-Incident-2011-03-23.html
23-03-2011, 20:28 door Anoniem
Het blijft natuurlijk Comodo:

https://www.networking4all.com/en/support/tools/site+check/comodo/
23-03-2011, 20:32 door Bitwiper
Microsoft Update meldt zojuist dat update KB2524375 beschikbaar is voor download (zie http://www.microsoft.com/technet/security/advisory/2524375.mspx). In de advisory schrijft Microsoft onder meer:
Comodo advised Microsoft on March 16, 2011 that nine certificates had been signed on behalf of a third party without sufficiently validating its identity. These certificates may be used to spoof content, perform phishing attacks, or perform man-in-the-middle attacks against all Web browser users including users of Internet Explorer.
Jammer dat het een week moet duren voordat dit verder bekend wordt.

Overigens gaat het om certificaten voor (met tussen ronde haken de serienummers):

- addons.mozilla.org (009239d5348f40d1695a745470e1f23f43)
- "Global Trustee" (00d8f35f4eb7872b2dab0692e315382fb0)
- login.live.com (00b0b7133ed096f9b56fae91c874bd3ac0)
- login.skype.com (00e9028b9578e415dc1a710a2b88154447)
- login.yahoo.com (00d7558fdaf5f1105bb213282b707729a3)
- login.yahoo.com (392a434f0e07df1f8aa305de34e0c229)
- login.yahoo.com (3e75ced46b693021218830ae86a82a71)
- mail.google.com (047ecbe9fca55f7bd09eae36e10cae1e)
- www.google.com (00f5c86af36162f13a64f54f6dc9587c06)

Een verklaring van Comodo zelf staat hier: http://www.comodo.com/Comodo-Fraud-Incident-2011-03-23.html
23-03-2011, 23:51 door Erwtensoep
Naast de update van MS zijn Firefox 3.6.16 en 3.5.18 zijn uit.
24-03-2011, 05:26 door sjonniev
Comodo humor: Monitoring of OCSP responder traffic has not detected any attempted use of these certificates after their revocation... Wordt dat gebruikt dan, OCSP? Ik dacht dat dat veel te duur was...
24-03-2011, 08:59 door Anoniem
Probleem van X509 PKI is dus wel dat zo lang er ook maar een CA in je trusted lijst staat die fouten maakt (en die lijst is lang), je geen enkel certificaat kan vertrouwen...
24-03-2011, 09:56 door peterrus
Door Anoniem: Het blijft natuurlijk Comodo:

https://www.networking4all.com/en/support/tools/site+check/comodo/

Startcom is ook de partij achter startssl.com. Misschien is dit gedaan als audit. Alsnog ernstig uiteraard.
24-03-2011, 10:57 door Jan-Hein
Als je het gebruik van public key encryption vermijdt, zoals in de LidoKey, heb je dit soort problemen niet.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.