image

"SSL-diefstal bracht Iraanse activisten in levensgevaar"

vrijdag 25 maart 2011, 11:58 door Redactie, 5 reacties

Certificaatuitgever Comodo heeft de levens van Iraanse dissidenten in gevaar gebracht door de diefstal van negen SSL-certificaten niet op tijd te melden. Dat zegt beveiligingsonderzoeker Jacob Appelbaum, die de diefstal van de certificaten zelf ontdekte. Een dag later kwam Comodo met een verklaring dat er een account voor het aanvragen van certificaten was gehackt. De aanvaller zou vervolgens certificaten in naam van Microsoft, Skype, Google, Mozilla en Yahoo hebben aangevraagd. Via de SSL-certificaten zou een overheid of provider verkeer dat via HTTPS loopt kunnen afluisteren. Van één certificaat, die van Yahoo, is zeker dat het op internet is gebruikt.

Comodo wachtte acht dagen om de aanval te rapporteren. "Door dit voor acht dagen stil te houden, hebben Comodo en anderen levens in gevaar gebracht", aldus Appelbaum, die doelt op Iraanse activisten die mogelijk zijn afgeluisterd. "Tijdens die tijd waren ze geheel weerloos. Gebruikers hadden deze informatie eerder moeten krijgen." Volgens de onderzoeker zouden Iraanse autoriteiten activisten tijdens ondervragingen met online bewijs confronteren. "Ze laten degenen die gearresteerd zijn regelmatig gegevens over hun internetverkeer zien."

Iran
De oprichter en directeur van Comodo ontkent dat iemand door de aanval gevaar zou hebben gelopen. Het bedrijf legt de schuld bij de Iraanse overheid. Eén van de gestolen Yahoo-certificaten zou door een Iraanse internetprovider zijn gebruikt. Comodo wachtte naar eigen zeggen acht dagen om de aanval te onderzoeken, de certificaten in te trekken en verschillende browserleveranciers zoals Google, Mozilla en Microsoft te waarschuwen, zodat ze updates konden uitgeven om de valse certificaten te blokkeren.

De valse Yahoo website zou offline zijn gehaald nadat Comodo het certificaat introk. Of de overige acht gestolen certificaten ooit zijn ontvangen door de aanvaller, laat staan gebruikt, is onbekend. Gisteren liet de Amerikaanse beveiligingsonderzoeker Robert Graham nog weten dat hij niet denkt dat Iran achter de aanval zit.

Reacties (5)
25-03-2011, 12:14 door Anoniem
Ik begrijp zo-wie-zo niet waarom er gewacht moet worden na het uitgeven van de valse certificaten.
De enigen die er misbruik van kunnen maken zijn degenen die de geheime sleutel bij het publieke certificaat in hun bezit hebben. Samen met de update van Microsoft is het net of het hier een exploit betreft die nog even geheim moet worden gehouden om verder misbruik te voorkomen.
25-03-2011, 13:01 door Anoniem
Door Anoniem: Ik begrijp zo-wie-zo niet waarom er gewacht moet worden na het uitgeven van de valse certificaten.
De enigen die er misbruik van kunnen maken zijn degenen die de geheime sleutel bij het publieke certificaat in hun bezit hebben. Samen met de update van Microsoft is het net of het hier een exploit betreft die nog even geheim moet worden gehouden om verder misbruik te voorkomen.
Goed punt... Het is inderdaad niet zo dat anderen, die er anders niets van weten, er plotseling ook gebruik van kunnen maken. En degenen die de sleutel hebben, hopen zowiezo dat ze het zo lang mogelijk kunnen gebruiken, zonder dat gebruikers het weten.
Het enige wat ik me nog kan voorstellen, is dat men de mensen wil oppakken die de valse certificaten hebben aangemaakt. Maar als dat niet gebeurt, is het verder onzin om het pas later te publiceren.
25-03-2011, 13:15 door Anoniem
"Door dit voor acht dagen stil te houden, hebben Comodo en anderen levens in gevaar gebracht", aldus Appelbaum, die doelt op Iraanse activisten die mogelijk zijn afgeluisterd.

Grappig die Appelbaum. Wie zijn billen brand moet op de blaren zitten. Maar net als Job Cohen gaat meneer Appelbaum waarschijnlijk thee met de boefjes drinken...
25-03-2011, 13:32 door Anoniem
ehh...

zegt beveiligingsonderzoeker Jacob Appelbaum, die de diefstal van de certificaten zelf ontdekte.
volgens mij heeft de beste meneer ontdekt dat er certificaten serienummers op een blacklist kwamen, bij een aantal browser leveranciers, dat is volgens mij wat anders dan ontdekken dat er een diefstal heeft plaats gevonden??
Hij kon hooguit de conclusie trekken dat er wat vreemds aan de hand was.

Voor wat betreft het stil houden, dat had alleen zin zolang er nog een onderzoek liep/loopt naar de dader(s) daarna had het gelijk publiek gemoeten, echter zoals ook in de Mozilla bug post valt te lezen heeft ook Microsoft gevraagd om een gezamenlijke openbaring dus dit komt niet helemaal alleen van Comodo voor zover ik heb kunnen nagaan.
28-03-2011, 15:50 door Anoniem
Grappig die Appelbaum. Wie zijn billen brand moet op de blaren zitten. Maar net als Job Cohen gaat meneer Appelbaum waarschijnlijk thee met de boefjes drinken...
???
Appelbaum doelt op Iraanse activisten die strijden tegen hun eigen (corrupte en evil) regering. Het valse certificaat is waarschijnlijk gebruikt voor een MITM-attack tussen Iraanse internetgebruikers en Yahoo (en mogelijk andere providers). Zo kon de Iraanse overheid dissidenten afluisteren en confronteren met e-mailverkeer. Als Comodo niet acht dagen had gewacht maar gelijk naar buiten had gebracht dat er valse certificaten in omloop zijn hadden die dissidenten zich wel twee keer bedacht voordat ze inlogden op hun webmail, maar nu kon Iran dus ruim een week lang mailverkeer afluisteren.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.