image

Tientallen valse SSL-certificaten op internet ontdekt

zaterdag 15 februari 2014, 06:50 door Redactie, 9 reacties

Onderzoekers hebben op internet tientallen valse SSL-certificaten ontdekt die voor man-in-the-middle-aanvallen op internetgebruikers kunnen worden ingezet. SSL-certificaten laten gebruikers de identiteit van een website controleren en versleutelen het verkeer tussen website en bezoekers.

De valse SSL-certificaten zijn voor allerlei websites aangetroffen, zoals Facebook, Google, mailservers, iTunes, YouTube en verschillende banken. Een aanvaller die met de valse SSL-certificaten tussen één van deze websites en het slachtoffer gaat zitten zal bij veruit de meeste browsers een certificaatwaarschuwing veroorzaken, zodat de gebruiker kan weten dat er iets mis is en hij mogelijk wordt aangevallen.

Dat is echter een ander verhaal bij mobiele gebruikers, zo waarschuwen onderzoekers van internetbedrijf Netcraft die de certificaten ontdekten. Uit eerder verschenen onderzoek blijkt dat 40% van de onderzochte mobiel bankieren apps niet het SSL-certificaat controleert. In dit geval kan een aanvaller zich wel tussen de gebruiker en de bank plaatsen zonder dat dit wordt opgemerkt. Het zijn dan ook vooral deze apps die een aantrekkelijk doelwit voor man-in-the-middle-aanvallen zijn, stelt Paul Mutton van Netcraft.

Reacties (9)
15-02-2014, 07:53 door Anoniem
Er werd toch continue geroepen dat mobiel bankieren veiliger is dan internetbankieren?
15-02-2014, 09:53 door Briolet
En er werd geroepen dat je altijd het slotje moet controleren.
15-02-2014, 10:29 door Anoniem
Een vals certificaat wat een waarschuwing veroorzaakt? Dat kan iedereen toch met een paar openssl commando's
aanmaken? Lijkt me niks bijzonders dat zo iets wordt aangetroffen.

Interessant wordt het pas als je een vals certificaat aantreft wat geen waarschuwing veroorzaakt.
Maar ook dat is nog niks bijzonders want er zijn zoveel uitgevers van vertrouwde certificaten dat er altijd wel een tussen
zal zitten waar je er een kunt "ritselen", zeker als je doel maar nobel genoeg is.

Applicaties die geen foutcodes checken.... tja. Nitwits heb je overal.
15-02-2014, 11:01 door [Account Verwijderd]
[Verwijderd]
15-02-2014, 11:03 door [Account Verwijderd] - Bijgewerkt: 15-02-2014, 11:05
[Verwijderd]
15-02-2014, 12:20 door Anoniem
Wie hebben die certificaten uitgegeven? Lijstje graag.

Daarnaast is het nog maar weer eens een illustratie dat het huidige koop-je-vertrouwen-model gewoon fundamenteel onredbaar kapotstukdefect is.
15-02-2014, 12:38 door Briolet
Door Peter V.: Maar wie controleert het certificaat?

Als je het heel netjes doet, controleer je de publieke sleutel van het certificaat handmatig, met de verse die de website zelf opgeeft. Al heb ik bij banken nog nooit een separate vermelding van de publieke sleutel gezien. Maar van een banking app zou je toch verwachten dat de publieke sleutel hardcoded in de app zelf zit. Dan kan hij maar met één specifiek certificaat werken en de rest is direct ongeldig, ook al zijn zij door een andere root authory gewaarborgd.

Nadeel is dat dat de app direct ongeldig is als het certificaat vernieuwd wordt, maar dat kun je ook nog wel iets aan doen door twee certificaten te accepteren met verschillende vervaltijd.
15-02-2014, 14:10 door Anoniem
EMET gebruikers kunnen het certificaat pinnen zoals dat heet aan hun internetbankieren.
Mocht er dan een ander certificaat opduiken, geeft EMET een waarschuwing.
Werkt echter alleen met Microsoft Explorer voor zover ik weet.
15-02-2014, 17:51 door Anoniem
Door Anoniem: EMET gebruikers kunnen het certificaat pinnen zoals dat heet aan hun internetbankieren.
Mocht er dan een ander certificaat opduiken, geeft EMET een waarschuwing.
Werkt echter alleen met Microsoft Explorer voor zover ik weet.
Ja maar in andere browsers zit dat al ingebouwd of is er een extensie die je kunt installeren om dat te doen.
Ik gebruik hier zo'n extensie "certificate patrol".
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.