image

Iraniërs bespioneerd via DigiNotar-certificaten

maandag 5 september 2011, 16:05 door Redactie, 7 reacties

Iraanse internetgebruikers waren het echte doelwit van de DigiNotar-hack, dat zegt anti-virusbedrijf Trend Micro. Het bedrijf heeft bewijs dat de bij DigiNotar gestolen certificaten zijn gebruikt om Iraniërs op grote schaal af te luisteren. "We hebben ontdekt dat internetgebruikers van meer dan 40 verschillende Iraanse ISP-netwerken en universiteiten met de valse bij DigiNotar uitgegeven SSL-certificaten zijn geconfronteerd", zegt onderzoeker Feike Hacquebord.

Er zou bewijs zijn dat sommige Iraniërs die software gebruiken om overheidscensuur en afluisteren te omzeilen, ook het slachtoffer van deze "gigantische man-in-the-middle-aanval" zijn geworden. "Trend Micro heeft concreet bewijs dat deze man-in-the-middle-aanvallen inderdaad op grote schaal in Iran plaatsvonden", merkt Hacquebord op.

Bewijs
Het bewijs is gebaseerd op de informatie die het eigen Smart Protection Network de afgelopen tijd verzamelde. Het netwerk analyseert onder andere welke domeinnamen waar vandaan op de wereld worden opgevraagd. De afgelopen weken was er voor het domein validation.diginotar.nl een zeer opmerkelijk patroon zichtbaar. Het wordt tot 30 augustus 2011 voornamelijk door Nederlandse en Iraanse internetgebruikers opgevraagd. Validation.diginotar.nl wordt door internetbrowsers gebruikt om de authenticiteit van door DigiNotar uitgegeven SSL-certificaten te controleren. Het feit dat opeens zoveel Iraanse gebruikers dit certificaat opvragen, terwijl DigiNotar zich voornamelijk op de Nederlandse markt richt, is opmerkelijk.

Uit cijfers blijkt dat op 28 augustus een groot aantal Iraanse internetgebruikers de valse DigiNotar certificaten krijgen voorgeschoteld. De aanval werd op 29 augustus wereldkundig gemaakt en op 30 augustus is het meeste verkeer voor validation.diginotar.nl verdwenen. Op 2 september is bijna al het Iraanse verkeer verdwenen.


Afluisteren
De statistieken tonen volgens Trend Micro duidelijk aan dat Iraanse internetgebruikers aan een grootschalige man-in-the-middle-aanval zijn blootgesteld. Daardoor was het mogelijk voor de aanvallers om versleuteld verkeer van allerlei domeinen te onderscheppen en te lezen. Verder onderzoek onthulde volgens Hacquebord nog meer schokkende feiten. Ook uitgaande proxy-nodes voor in de VS ontwikkelde anti-censuur software stuurde requests naar validation.diginotar.nl.

"Dit betekent zeer waarschijnlijk dat Iraanse burgers die deze anti-censuur software gebruiken, het slachtoffer van dezelfde man-in-the-middle-aanval waren", laat de onderzoeker weten. "Hun anti-censuur software had ze moeten beschermen, maar in werkelijkheid is hun versleutelde communicatie waarschijnlijk door een derde partij afgeluisterd."

Reacties (7)
05-09-2011, 16:57 door Thijzzz
... Dat heeft TM dus kunnen zien door al ons surfgedrag te verzamelen?
Die valse Certificaten krijg je alleen maar voorgeschoteld als je DNS server je verzoek omleid naar de verkeerde server, dus als meer dan 40 ISP's daar een DNS aanpassing hebben doorgegeven/ingesteld, dan ziet dat er erg nationaal georganiseerd uit.

Erg professioneel, maar ook erg amateuristisch.
05-09-2011, 20:48 door Bitwiper
Is de verticale schaal in het plaatje lineair? Zo ja dan verbaast het me hoe weinig Iraniërs zijn aangevallen (n.b. de hoge balk is NL!). Immers 28 augustus was een zondag, dat is niet een dag dat veel Nederlanders overheidswebsites bezoeken, en zondag is een door-de-weekse-Google-dag in Iran. Ook vreemd dat Trend Micro spreekt van "bewijs" (mijn vertaling van "concrete evidence") maar nalaat abslolute getallen te noemen.

In plaats van "bewijs" afkomstig van Trend Micro's big-brother-internet-spy, waarvan ik de nauwkeurigheid niet erg hoog inschat, ben ik wel erg benieuwd naar de logs van validation.diginotar.nl (die hopelijk worden bijgehouden en niet zijn kwijtgeraakt). Wellicht moeten we die logs wel met een klein uurtje compenseren... (zie https://secure.security.nl/artikel/38344/1/DigiNotar_OCSP_responses_fout%3F.html).

N.b. ik twijfel er niet aan dat Iraniërs te maken hebben gehad met MITM aanvallen door het valse *.google.com certificaat, ik heb alleen nog geen bewijs gezien dat de Iraanse overheid achter de aanvallen (en eventueel de inbraak bij DigiNotar) zit, en er is bij mijn weten ook nog totaal geen onderbouwde duidelijkheid over het aantal getroffen Iraniërs door deze aanval (ik twijfel er ook niet aan dat de Iraanse overheid veel afluistert, de NL overheid doet dat immers ook).

Op het NOS journaal zag ik zojuist een plaatje met ook oplichtende puntjes in Europa, die zouden (als ik het goed begrepen heb) veroorzaakt worden door Iranïers die zich buiten Iran bevinden. Waarom internetverkeer tussen Iraniërs buiten Iran en Google via Iran zou lopen is me echter een raadsel.
05-09-2011, 23:38 door Bitwiper
Het filmpje in het NOS journaal is hier te vinden: http://www.youtube.com/watch?v=_eIbNWUyJWQ. Uitleg is te vinden in het Interim Report September 5, 2011, DigiNotar Certificate Authority breach, “Operation Black Tulip” van Fox-It, dat je hier kunt downloaden: http://www.rijksoverheid.nl/onderwerpen/cybercrime/documenten-en-publicaties/rapporten/2011/09/05/fox-it-operation-black-tulip.html.

In het rapport lees ik (pagina 8, onder het plaatje):
Door Ronal Prins: A sample of the IP?s outside of Iran showed mainly to be TOR-exit nodes, proxies and other (VPN) servers, and almost no direct subscribers.
Ik zie waarschijnlijk wat over het hoofd: kan iemand mij uitleggen hoe het kan dat een Iraniër die via TOR, een proxy of een VPN service naar https://*.google.com/ surft, een vervalst certificaat aangeboden krijgt?

Of is er wellicht nog iets anders aan de hand dat we (nog) niet begrijpen?
06-09-2011, 10:23 door Bitwiper
In het 2e comment onder http://isc.sans.org/diary/DigiNotar+audit+-+intermediate+report+available/11512 geef ik aan waarom ik denk dat de "blips" in http://www.youtube.com/watch?v=_eIbNWUyJWQ (bron: Fox-It rapport) buiten Iran veroorzaakt worden door DNS attacks, en dus dat het zeer onwaarschijnlijk is dat de Iraanse overheid achter deze spoofed certificate aanvallen op Iraniërs zit c.q. zat.
06-09-2011, 10:53 door Anoniem
Dus de dader is een Iranier, die Nederland hackt om haar blunder in Sebrenica?
Maar de echte slachtoffers zijn de Iraniers zelf?
Het verhaal wordt steeds waziger
Ik zeg CIA/USA

Die zijn namelijk op harde Euro's uit, en daarbij slopen ze ons complete computerpark
Evenzo het ING verhaal, die willen hun hypotheek tak in de USA verkopen
Maar daar is de USA niet blij mee, daarom dat de Amerikaanse ING tak de grootste vijand is
Die proberen op alle manieren alles wat los en vast zit te hacken

Vergeet de USA even dat ze hun grootste vrienden/bondgenoten hackt
We zouden hand in hand moeten gaan, daar we in het zelfde schuitje zitten
En ik was nog wel zo positief over de Amerikanen, ik houd dit nu vast
NOG een keer dubieus nieuws en ik ga de USA VOL shorten

Lekker weer

Ik als hobby white hat ben nu al een week aan uren kwijt aan dit euvel
Kan ik een rekening indienen bij de overheid, diginotar of de ING?
06-09-2011, 11:40 door pj.de.bruin
Door Thijzzz: ... Dat heeft TM dus kunnen zien door al ons surfgedrag te verzamelen?
Die valse Certificaten krijg je alleen maar voorgeschoteld als je DNS server je verzoek omleid naar de verkeerde server, dus als meer dan 40 ISP's daar een DNS aanpassing hebben doorgegeven/ingesteld, dan ziet dat er erg nationaal georganiseerd uit.
Erg professioneel, maar ook erg amateuristisch.
Nee; omdat de Iraanse overheid de nationale internet backbone beheert, kunnen ze als man-in-the-middle optreden zónder DNS-aanpassing.
Ze hoeven alleen de routering-tabel van de backbone aan te passen, niet de DNS, dus medewerking van de ISP's was niet nodig.
Om dezelfde reden is het onwaarschijnlijk dat dit in Nederland gebeurt.
07-09-2011, 02:36 door Bitwiper
Door pj.de.bruin: Nee; omdat de Iraanse overheid de nationale internet backbone beheert, kunnen ze als man-in-the-middle optreden zónder DNS-aanpassing.
Dat kan absoluut, en waarschijnlijk doen ze dat ook. Echter of dat in dit specifieke geval gebeurde betwijfel ik nog steeds ten zeerste. Het ligt voor de hand dat ze spullen en methodes gebruiken die minder "lawaai" maken.

Namelijk als de Iraanse regering hierachter zou zitten, waarom zouden ze dan certificaten hebben aangemaakt met daarin als OCSP server "validator.diginotar.nl"?

Okay, stel dat ze Diginotar niet ver genoeg hebben kunnen hacken om dat te bewerkstelligen, dan hadden ze nog heel eenvoudig de DNS requests voor "validator.diginotar.nl" kunnen afvangen en een alternatief IP adres kunnen teruggeven, en die fake server valide OCSP responses laten teruggeven met daarin "dit certificaat is in orde" (immers ze hebben ook valse DigiNotar certificaten). En met een volledige MITM attack was die DNS truuk voor "validator.diginotar.nl" niet eens nodig geweest zoals je zelf zegt.

Zoals ik al eerder aangaf in deze thread, vreemd zijn de blips buiten Iran in http://www.youtube.com/watch?v=_eIbNWUyJWQ. Deze zijn voor mij een reden om aan te nemen dat er wel sprake was van DNS attacks. Immers, als je bijv. https://trac.torproject.org/projects/tor/wiki/doc/Preventing_Tor_DNS_Leaks leest, dan zie je dat Tor by default jouw DNS requests niet door de tunnel stuurt (je hebt dan echt Socks nodig).

Gevolg: als je, tijdens zo'n aanval, aan specifieke Iraanse DNS servers het IP-adres van google.com vraagt, krijg je een gespoofed adres terug. Met dat adres ga je de tunnel in, en op het uitende van de tunnel gaat het https verkeer naar de MITM server van de aanvallers (die overigens fysiek niet in Iran hoeft te staan), en vanaf dat tunnel-uiteinde worden ook de OCSP requests naar validator.diginotar.nl gestuurd (waarop geen DNS attack plaatsvond, anders hadden we de blips niet gezien).

Bij de afluistermethode die jij beschrijft, vindt de MITM natuurlijk voor de tunnels plaats. Tenzij het prutsers zijn ligt het niet voor de hand om bijbehorende OCSP requests wel ongewijzigd door te laten (door de tunnels dus); immers dit leidt bij goed ingestelde webbrowsers tot foutmeldingen na het intrekken van het certificaat en het heeft achteraf bewijs opgeleverd dat Iraniërs zijn afgeluisterd (vooral van Fox-It die de logs van validator.diginotar.nl geanalyseerd heeft met het filmpje als resultaat).

Om dezelfde reden is het onwaarschijnlijk dat dit in Nederland gebeurt.
Als onze overheid Mozilla en Microsoft met op z'n minst discutabele argumenten zover krijgt om aanpassingen te maken resp. updates uit te stellen, en ISP's al worden gedwongen om bergen verkeersgegevens op te slaan en veel taps te plaatsen, waarom zou dit dan niet ook kunnen? Met de huidige regering en die in de afgelopen tientallen jaren vermoed ik dat niet, maar kun jij de toekomst voorspellen?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.