image

Ook Mozilla doelwit van DigiNotar-hackers

donderdag 1 september 2011, 11:14 door Redactie, 6 reacties

De aanvallers die bij het Nederlandse DigiNotar wisten in te breken, hadden het naast Google en het Tor Project, ook op Mozilla voorzien, zo heeft de open source-ontwikkelaar laten weten. "DigiNotar waarschuwde ons in juli dat ze frauduleuze certificaten voor addons.mozilla.org hadden uitgegeven en ze binnen een aantal dagen na het uitgeven hadden ingetrokken", aldus een verklaring van Mozilla topman Johnathan Nightingale.

Via de certificaten zou een aanvaller een nepsite kunnen opzetten, zonder dat bezoekers in dit geval gewaarschuwd werden, of het verkeer van bezoekers afluisteren. "Wegens het uitblijven van een volledig overzicht van de ten onrechte uitgegeven certificaten door DigiNotar, besloot het Mozilla team om DigiNotar uit ons rootprogramma te verwijderen en onze gebruikers te beschermen", gaat Nightingale verder.

Aanval
DigiNotar liet eerder weten dat het de aanval op 19 juli ontdekte, maar de aanval begon volgens Chester Wisniewski van anti-virusbedrijf Sophos op 10 juli. Ook heeft hij geen hoge pet op van de audit die het Nederlandse bedrijf na de aanval liet uitvoeren. "Het missen van het uitgegeven certificaat voor Google roept vragen op over de kwaliteit en diepgang van de uitgevoerde audit."

Wisniewski stelt verder dat het bedrijf het vertrouwen van de internetgemeenschap heeft geschonden. "Dat DigiNotar een incident zo lang geheim heeft kunnen houden, demonstreert dat ons vertrouwen in certificate authorities misplaatst is." Certificate authorities geven onder andere SSL-certificaten uit waarmee browsers de identiteit van een website bepalen en het verkeer van bezoekers versleutelen.

Inmiddels is ook bekend geworden dat Mac OS X door een programmeerfout problemen heeft om de frauduleuze certificaten in te trekken.

Reacties (6)
01-09-2011, 12:29 door Anoniem
Ik mis iets in de discussie waardoor ik niet zeker weet wat nu de impact is van deze certificatenhack.
Een aanvaller die de certificaten heeft kan zich voordoen als *.torproject.org.
Maar de DNS server die verantwoordelijk is voor het torproject.org domein verwijst mij toch altijd nog naar het juiste IP adres? Ja, er is dus een man-in-the-middle aanval nodig, maar dat moet toch op een heel hoog niveau gebeuren om zoveel mogelijk gebruikers af te kunnen luisteren? Hebben de aanvallers Internet routers weten te hacken? Anders is de impact toch erg klein en het risico ook?
01-09-2011, 14:14 door Anoniem
"Ook heeft hij geen hoge pet op van de audit die het Nederlandse bedrijf na de aanval liet uitvoeren. "Het missen van het uitgegeven certificaat voor Google roept vragen op over de kwaliteit en diepgang van de uitgevoerde audit."

Door welk bedrijf is deze audit uitgevoerd dan? Volgens de verklaring van Diginotar heeft Fox-it deze audit uitgevoerd, aangezien zij nogmaals gevraagd zijn.

Zie voor de verklaring: http://diginotar.nl/Actueel/tabid/264/articleType/ArticleView/articleId/327/Default.aspx
01-09-2011, 16:13 door Anoniem
https://www.ssllabs.com/ssldb/analyze.html?d=https%3A%2F%2Ffox-it.com

>> This server is vulnerable to MITM attacks because it supports renegotiation.
01-09-2011, 16:42 door Anoniem
Eerste audit is door PWC (PriceWaterhouseCoopers) gedaan.
Daarna is Fox-IT gevraagd een (echte? ;) ) audit uit te voeren.
01-09-2011, 18:10 door Unit 10 Forensics
De juiste CRL blijkt onder Public CA 2025 te hangen, dus de laatste CRL update is hier te vinden http://service.diginotar.nl/crl/public2025/latestCRL.crl

Dit geeft verrassende resultaten, zo massaal zijn er op 19 juli geen falsificaten ontdekt. Ik zie slechts 2 revoked op 19 juli 2011 en 1 op 20 juli 2011.

Erger nog: er zit een fout in het 'Public CA 2025' certificaat! Deze verwijst namelijk naar de eerste CRL 'Root CA' en naar de laatst genoemde 'Public 2025'. Ernstige implementatiefout!!!
02-09-2011, 19:47 door Anoniem
Door Anoniem: Ja, er is dus een man-in-the-middle aanval nodig, maar dat moet toch op een heel hoog niveau gebeuren om zoveel mogelijk gebruikers af te kunnen luisteren? Hebben de aanvallers Internet routers weten te hacken? Anders is de impact toch erg klein en het risico ook?

Het waren mensen in Iran die tijdens het browsen constateerden dat er iets niet in de haak was. De Iraanse overheid wordt er daarom van verdacht achter de aanval te zitten. Die hebben inderdaad toegang tot de internetinfrastructuur in hun land. Naast valse google- en mozillacertificaten zijn ook certificaten voor TOR vervalst, wat prima in het straatje past van een repressieve staat die met lastige dissidenten af te rekenen heeft.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.