image

Tor geeft DigiNotar internet-doodstraf

donderdag 1 september 2011, 10:42 door Redactie, 12 reacties

Tor, de software om anoniem mee te surfen, heeft het Nederlandse DigiNotar een "internet-doodstraf" gegeven omdat het geen vertrouwen meer in de certificaten van het bedrijf heeft. Aanvallers wisten bij DigiNotar in te breken en frauduleuze certificaten te genereren. Naast *.google.com, is nu ook officieel bevestigd dat het Tor Project een doelwit was.

Erinn van het Tor Project nam contact op met DigiNotar en ontving interessante informatie, waaronder een lijst met de certificaten die de aanvallers voor *.torproject.org genereerden. In totaal zou het om twaalf certificaten gaan, waarvan elk een zogeheten wildcard voor torproject.org was. Hiermee geldt het certificaat voor alles dat voor .torproject.org komt.

Aanval
De aanval werd volgens DigiNotar op 19 juli opgemerkt. Uit de gegevens die Tor ontving, bleek dat de eerste zes certificaten op 18 juli waren uitgegeven en een tweede set certificaten op 20 juli. De eerste zes uitgegeven certificaten verliepen op 17 augustus 2011 en de tweede set op 19 augustus 2011. Volgens de informatie van DigiNotar zouden alle certificaten in kwestie zijn verlopen. Daarbij liet het bedrijf tegenover Erinn weten dat er geen bevestiging was dat de aanvaller of aanvallers de certificaten ook hebben ontvangen. Iets waar Erinn aan twijfelt. "Ik heb geen reden om te geloven dat het voor deze certificaten lastiger was om bij de aanvragende partij te komen dan voor het in het wild gebruikte Google certificaat."

Via deze frauduleuze certificaten zou een kwaadwillende partij een nepversie van de Tor-website kunnen opzetten. Gebruikers die naar https://torproject.org gaan, krijgen dan geen waarschuwing en denken dat ze op de echte website zitten. Vervolgens zou de aanvaller een versie met een backdoor kunnen aanbieden, zodat de identiteit en communicatie van de gebruiker toch zou zijn te achterhalen. Tor adviseert gebruikers dan ook om de digitale handtekening van gedownloade bestanden te controleren.

Waardeloos
DigiNotar wilde Tor geen kopie van de uitgegeven certificaten geven. "We weten niet zeker of ze wel kopieën hebben of dat ze geen kopieën willen openbaren die ze wel of niet hebben. Dit is zeer verontrustend omdat dit het CRL/OCSP terugtrekkingsproces zo goed als waardeloos maakt."

Het Tor Project gelooft niet dat de uitgegeven frauduleuze '*.torproject.org certificaten op het moment van schrijven zijn ingetrokken. "Het kan zijn dat ze certificaten niet intrekken als ze verlopen zijn. Er is geen bewijs dat het intrekken heeft plaatsgevonden op het moment dat deze certificaten geldig waren", aldus Erinn. Vanwege eerdere uitspraken denkt het Tor Project dat DigiNotar en moederbedrijf VASCO met "damage control" bezig zijn. Daarnaast moet het bedrijf openheid van zaken geven om welke certificaten het allemaal gaat en welke informatie het niet heeft.

Browser
Inmiddels werkt het Tor Project met twee browserleveranciers samen om ervoor te zorgen dat dit soort aanvallen niet meer in de toekomst kunnen plaatsvinden. De browser controleert in dit geval de uitgevende instantie van het certificaat. Komt die niet overeen met de echter uitgever die in de browser staat vermeld, dan krijgt de gebruiker een waarschuwing. Zowel Google als Mozilla zullen dit mogelijk in de browser gaan verwerken.

Daarbij is het Tor Project niet blij met het compromis dat Mozilla en de Nederlandse overheid sloten. "Wij maakten geen onderdeel van de discussie uit, en we begrijpen niet de redenen voor zo'n compromis. We willen een certificate authority die ons niet meteen inlichtte toen het dit probleem ontdekte niet blindelings geloven."

Versie
Vanwege het "DigiNotar" debacle heeft Tor een nieuwe versie van de anonimiseringssoftware uitgebracht, die niet meer Firefox 3.6 ondersteunt, aangezien deze niet meer was te patchen.

Daarnaast is de meegeleverde Firefox 6 iets aangepast speciaal voor DigiNotar. "We hebben DigiNotar proactief een "Internet-doodstraf" in de Tor Browser gegeven", merkt Erinn op. Het volledig verwijderen van DigiNotar uit de browser zou invloed op zo'n zevenhonderd certificaten hebben.

Reacties (12)
01-09-2011, 10:57 door PeterB
Ik heb zelf diginotar certificaten in mijn browser handmatig op " onbetrouwbaar" gezet en uitgeschakeld. Dat zouden meer mensen moeten doen, ellende is alleen dat hebt gros van de internet gebruikers geen flauw idee heeft waar die dingen zich bevinden.

Om mensen op weg te helpen:

In Windows ga je zoeken in je browser instellingen

Op Mac ga je zoeken in je sleutelhanger (control panel)
01-09-2011, 11:01 door Anoniem
@PeterB

En *nixers hoef je niet te informeren, die snappen dat zelf wel. ;)
01-09-2011, 11:56 door Unit 10 Forensics
Of Diginotar nu wel of niet de certificatenintrekkingslijst (CRL) heeft bijgewerkt, surf in ieder geval even naar http://goo.gl/urqlc om de lijst in je browser te importeren. Veel vertrouwen geeft de lijst niet, de volgende update staat gepland voor 3 februari 2012....

EDIT: De juiste CRL blijkt onder Public CA 2025 te hangen, dus de laatste update is http://service.diginotar.nl/crl/public2025/latestCRL.crl

Dit geeft verrassende resultaten, zo massaal zijn er op 19 juli geen falsificaten ontdekt, ik zie er slechts 2 revoked op 19 juli 2011!

En nog erger, er zit gewoon een fout in het 'Public CA 2025' certificaat! Deze verwijst namelijk naar de eerste CRL 'Root CA' en naar de laatst genoemde 'Public 2025'. Ernstige implementatiefout!!!
01-09-2011, 12:16 door DarkViewOfTheWorld
Firefox : Tools -> Options -> Advanced -> Encryption tab -> View Certificates -> Dignotar in de lijst zoeken -> Delete or distrust op hun certificaat.
01-09-2011, 12:34 door Anoniem
Door Unit10: Of Diginotar nu wel of niet de certificatenintrekkingslijst (CRL) heeft bijgewerkt, surf in ieder geval even naar http://goo.gl/urqlc om de lijst in je browser te importeren. Veel vertrouwen geeft de lijst niet, de volgende update staat gepland voor 3 februari 2012....


http://goo.gl/urqlc => http://service.diginotar.nl/crl/root/latestCRL.crl

Liever long url's buiten twitter.
01-09-2011, 12:47 door [Account Verwijderd]
[Verwijderd]
01-09-2011, 12:47 door [Account Verwijderd]
[Verwijderd]
01-09-2011, 15:40 door Rene V
Diginotar komt niet in de lijst voor bij mijn FireFox. Wellicht heeft FF deze er zelf uit gehaald in de nieuwe versie 6.0.1 ^^

Overigens kunnen FF gebruikers die ook de addon Perspectives geïnstalleerd hebben hun certificaten bekijken door met rechtermuisknop op Perspectives ikoontje te klikken en dan te kiezen voor View Certificate Store
01-09-2011, 15:46 door Night
Ben het niet eens met de titel van het bericht: Diginotar geeft zichzelf de kogel door volstrekt onbetrouwbaar over te komen.

......Het was er maar één klein foutje...Wat zegt u ook tor certificaten? Nou misschien zijn het toch twee foutjes dan...
Wat er morgen nog komt? Nee maakt u zich geen zorgen: morgen komen er niet nog meer fouten aan het licht. U kunt ons op ons woord vertrouwen, dat kon u gisteren toen we toegaven één fout te hebben gemaakt en dat kunt u vandaag weer nu we toegeven dat het er toch twee waren.....
01-09-2011, 16:22 door SirDice
De aanval werd volgens DigiNotar op 19 juli opgemerkt. Uit de gegevens die Tor ontving, bleek dat de eerste zes certificaten op 18 juli waren uitgegeven en een tweede set certificaten op 20 juli.
Kloppen die data niet of hebben ze echt zitten suffen daar?

Als je een aanval ontdekt hoe kunnen ze dan alsnog de dag erna er met een aantal certificaten vandoor gaan?
01-09-2011, 18:08 door Unit 10 Forensics
Vervolg op mijn eerdere reactie:

De juiste CRL blijkt onder Public CA 2025 te hangen, dus de laatste update is http://service.diginotar.nl/crl/public2025/latestCRL.crl

Dit geeft verrassende resultaten, zo massaal zijn er op 19 juli geen falsificaten ontdekt, ik zie er slechts 2 revoked op 19 juli 2011!

En nog erger, er zit gewoon een fout in het 'Public CA 2025' certificaat! Deze verwijst namelijk naar de eerste CRL 'Root CA' en naar de laatst genoemde 'Public 2025'. Ernstige implementatiefout!!!
02-09-2011, 03:24 door Anoniem
Door René V: Diginotar komt niet in de lijst voor bij mijn FireFox. Wellicht heeft FF deze er zelf uit gehaald in de nieuwe versie 6.0.1 ^^
De enige wijziging in 6.0.1 (ten opzichte van 6.0) is het verwijderen van het DigiNotar certificaat:
What’s New in Firefox
The latest version of Firefox has the following changes:
- Revoked the root certificate for DigiNotar due to fraudulent SSL certificate issuance (see bug 682927 and the security advisory)

bron: http://www.mozilla.org/en-US/firefox/6.0.1/releasenotes/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.