image

Mogelijk verband tussen DigiNotar en Comodo-hacker

zondag 4 september 2011, 18:43 door Redactie, 6 reacties

Er bestaat mogelijk een verband tussen de inbraak bij SSL-bedrijven Comodo eerder dit jaar en het Nederlandse DigiNotar. Dat zegt Mikko Hypponen, van het Finse anti-virusbedrijf F-Secure. "Er zit een mogelijke boodschap in de valse certificaten die de DigiNotar-hack aan de Comodo / InstantSSL-hack van maart koppelen", aldus de virusbestrijder via Twitter. Eén van de valse bij DigiNotar genereerde certificaten was voor JanamFadayeRahbar.com. Dezelfde naam komt terug in een verklaring van de Comodo-hacker eind maart.

Verder laat Hypponen weten dat de DigiNotar-hacker ook een vals certificaat voor startssl.com genereerde. Ook een Certificate Authority die SSL-certificaten uitgeeft. "Als ik hen was, zou ik mijn systemen goed controleren", aldus de Fin.

Doelwit
Mozilla-programmeur Gervase Markham onthulde dit weekend een lijst waar onder andere Skype, Microsoft en inlichtingendiensten Mossad en CIA op staan vermeld. Ook zijn er verschillende andere SSL-uitgevers op terug te vinden, zoals DigiCert, Equifax, Thawte en Verisign. Startssl.com stond hier nog niet bij. Naast deze uitgever worden ook globalsign.com en comodo.com voor het eerst genoemd als doelwit van de aanvallers.

"Het ergste van deze certificaten, is dat de aanvallers *.*.com en *.*.org van de Koninklijke Notariële Beroepsorganisatie CA hebben gekregen", laat beveiligingsonderzoeker Jacob Appelbaum via Twitter weten.

Reacties (6)
04-09-2011, 19:32 door Bitwiper
Door Redactie: "Het ergste van deze certificaten, is dat de aanvallers *.*.com en *.*.org voor de Koninklijke Notariële Beroepsorganisatie CA hebben gekregen", laat beveiligingsonderzoeker Jacob Appelbaum via Twitter weten.
In http://twitter.com/ioerror/status/110387909890285568 staat:
door ioerror: The worst about these certs? The attackers got *.*.com and *.*.org from Koninklijke Notariele Beroepsorganisatie CA
Wat ie bedoelt weet ik niet, bij mijn weten geeft de KNB geen certificaten uit. https://www.notaris.nl/ gaat fout in de laatste Firefox versie omdat daarin het benodigde "DigiNotar Root CA" is verwijderd.
04-09-2011, 19:37 door anoniem lafbekje
ik snap ook niet goed wat ioerror bedoelt

ik lees het als een gesignde key met gebruikmaking van de CA der notarissen

net van twitter:
mrkoot Matthijs R. Koot
Is it coincidence that www.knb.nl (Koninklijke Notariële Beroepsorganisatie) is unreachable? Seeing @ioerror's tweet twitter.com/#!/ioerror/sta…

edit: ah https://svn.torproject.org/svn/projects/misc/diginotar/rogue-certs-2011-09-04.csv en https://blog.torproject.org/blog/diginotar-damage-disclosure
04-09-2011, 20:07 door Bitwiper
Oops, op http://nos.nl/artikel/269899-cia-mossad-providers-protestsites-doelwit-hack.html staat onder meer:
Daarnaast maakten de hackers certificaten aan voor de software-update-functie van Microsoft, wat er op wijst dat ze mogelijk ook aangepaste programmatuur verspreid hebben om afluisteren nog makkelijker te maken.
Het wordt tijd dat Microsoft ASAP ook voor XP/2003 een update uitbrengt (d.w.z. voordat het certificaat en private key gaan zwerven). PS ik hoor het nu (live) op het NOS journaal...
04-09-2011, 23:10 door Anoniem
Zie http://www.notariaat.net/diginotar.html. Kennelijk meer dan een naamsovereenkomst. Zouden die certificaten bij notariele akte verleend zijn?
04-09-2011, 23:26 door wilnietzeggen
De meeste Iraanse dissidenten zullen inmiddels wel op de hoogte zijn van de hack en tegenmaatregelen hebben genomen.

Volgende logische stap van de Iraanse hackers: de buitgemaakte private key(s) publiceren!
Iedere scriptkiddie zal vervolgens proberen om MITM te spelen voor (ongepatchte) gebruikers.

Maximale chaos en het verderfelijke Westen wordt grote economische schade toegebracht.
05-09-2011, 11:18 door Anoniem
DigiNotar is ontwikkeld door het Nederlandse notariaat. Het bestaat sinds het einde van de jaren negentig en is in 2011 verkocht aan Vasco http://tweakers.net/nieuws/71887/diginotar-verkocht-aan-vasco-voor-tien-miljoen-euro.html .
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.