Nieuws
image

Comodo geeft cybercriminelen geldig certificaat

vrijdag 27 augustus 2010, 13:50 door Redactie, 10 reacties

Cybercriminelen zijn erin geslaagd om onder naam van een legitiem bedrijf een certificaat aan te vragen dat gebruikt werd voor het signeren van malware. De malware werd ontdekt door het Finse F-Secure. De virusbestrijder nam contact op met het bedrijf in wiens naam het certificaat was uitgegeven. In eerste instantie ging het anti-virusbedrijf ervan uit dat cybercriminelen het 'code signing' certificaat hadden gestolen. Het bedrijf in kwestie deed echter niets met software en kon dus ook niet signeren.

Het certificaat was in naam van een echte werknemer aangevraagd, waarbij Comodo zowel telefonisch als via e-mail de persoon in kwestie had geverifieerd. De criminelen hadden toegang tot de e-mail van de werknemer en de telefonische verificatie kwam bij de verkeerde persoon terecht of er was een misverstand, aldus Jarno Niemelä. Tijdens het onderzoek werd duidelijk dat ook Certificate Authority (CA) Thawte de medewerker had gebeld, alleen dat na het telefoongesprek het certificeringsproces werd gestopt. "Het lijkt erop dat de virusschrijvers meerdere CA's hebben geprobeerd totdat alles lukte."

Vertrouwen
Niemelä maakt zich vanwege het incident ernstig zorgen over de betrouwbaarheid van het signeren van software in het algemeen. "Als aanvallers toegang tot de e-mail van een bedrijf hebben, is het lastig voor een CA om te verifiëren of het om een legitiem verzoek gaat." De Fin verwacht dat er in de toekomst meer van dit soort incidenten zullen plaatsvinden.

CA's hebben wel maatregelen getroffen om misbruik te voorkomen. "Maar deze systemen worden beheerd door mensen, en zijn dus feilbaar. We moeten het feit accepteren dat met het huidige systeem, certificaten geen 100% bewijs zijn voor de herkomst van een bestand."

Als het aan Niemelä ligt, zouden bedrijven bij slechts één CA hun certificaten moeten regelen. In dat geval wordt het lastiger voor aanvallers om bestaande relaties te omzeilen of misleiden. "Het huidige model waarbij elke CA een certificaat in elke naam kan uitgeven zal nooit veilig zijn, aangezien er teveel manieren voor scams en social engineering zijn."

Reacties (10)
27-08-2010, 13:56 door SirDice
Cybercriminelen zijn erin geslaagd om onder naam van een legitiem bedrijf een certificaat aan te vragen dat gebruikt werd voor het signeren van malware.
Moet dat niet software zijn?
27-08-2010, 14:30 door Anoniem
Dus e-mail (onbeveiligd protocol) met bijvoorbeeld mobiele telefoon (ook onveilig) moet een veilig SSL certificaat opleveren?
Ik dacht dat je altijd met je paspoort naar een kantoor van Thawte moest reizen voor de betere certificaten.

Heeft Comodo op deze manier meerdere certificaten uitgegeven? Vooral omdat dit natuurlijk bij criminelen bekend kan raken dat het bij hen makkelijk is? Ik wist niet eens dat ze code signing certificaten uitgaven. Misschien ook handig om de eigen software te ondertekenen. Maar wat is dat dan nog waard? Ze kunnen dus alles ondertekenen wat ze willen als ze hun eigen CA zijn :-/
27-08-2010, 14:31 door Anoniem
Malware is toch een term om software aan te duiden met kwade (malicious) bedoelingen?
27-08-2010, 14:44 door [Account Verwijderd]
[Verwijderd]
27-08-2010, 15:25 door [Account Verwijderd]
[Verwijderd]
27-08-2010, 15:55 door LightFrame
Het is niet de eerste keer dat dit gebeurt bij COMODO.

Hier is ook een mooie discussie; http://forums.comodo.com/general-discussion-off-topic-anything-and-everything/comodo-continues-to-issue-certificates-to-known-malware-t39564.0.html
27-08-2010, 16:08 door Anoniem
Ik vind het raar dat het door commeriële instellingen wordt gedaan. Je kan toch ook niet een reeks bedrijven aflopen om met niet meer dan een verificatie per telefoon en email een paspoort aan te vragen? Net als het uitgeven van paspoorten vind ik dit een taak voor overheden.
27-08-2010, 17:04 door Anoniem
Is dit een probleem? Moet ik dus software vertrouwen omdat bedrijf X, wat ik niet ken een certificaat heeft van autoriteit Y, die ik ook niet vertrouw? Het enige certificaat dat ik vertrouw, is mijn eigen certificaat.
27-08-2010, 18:00 door SirDice
Door unaniem:
Door SirDice:
Cybercriminelen zijn erin geslaagd om onder naam van een legitiem bedrijf een certificaat aan te vragen dat gebruikt werd voor het signeren van malware.
Moet dat niet software zijn?

Lijkt me onlogisch. Waarom software signeren?
Omdat windows in bepaalde gevallen (drivers bijv.) alleen signed accepteert.
28-08-2010, 00:52 door Blijbol
Comodo heeft al eerder valse certificaten verstrekt voor digid.nl en mozilla.com. Deze onzin bij Comodo moet echt eens ophouden nu.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search