Nieuws
image

Comodo voorziet bankrover van geldig certificaat

dinsdag 4 september 2012, 09:43 door Redactie, 9 reacties

Certificaatverstrekker Comodo heeft malwaremakers een geldig certificaat gegeven om hun malware mee te signeren. Door het signeren van malware worden kwaadaardige bestanden als legitiem beschouwd en duurt het langer voordat virusscanners alarm slaan, aldus Fabio Assolini van Kaspersky Lab. In de meeste gevallen gebruikers de malwaremakers gestolen of eigen certificaten. Onlangs ontdekte Assolini een Braziliaanse banking Trojan die over een eigen, geldig certificaat beschikte.

De makers van de malware registreerden een domein met de naam van een bekend Braziliaans softwarebedrijf en gebruikten allerlei valse gegevens voor de registratie. Ondanks de vervalste gegevens wisten de criminelen een geldig digitaal certificaat bij Comodo aan te schaffen. Met het legitieme certificaat werden verschillende Trojaanse paarden gesigneerd.

Internetbankieren
Via een grootschalige e-mailcampagne werd de malware vervolgens verspreid en als 'update' aan ontvangers aangeboden. Eenmaal actief steelt de malware gegevens voor internetbankieren en kan zo geld van rekeningen stelen. Vijftien dagen na het uitgeven werden de certificaten door Comodo ingetrokken.

Uit cijfers van McAfee blijkt dat het aantal gesigneerde malware-exemplaren nog altijd stijgende is.

Reacties (9)
04-09-2012, 09:58 door Anoniem
Dat hele Comodo en al die bedrijfjes die zogenaamd geacredditeerd zijn moeten ze met onmiddelijke ingang uit de tent trappen. Het systeem valt door deze jongens geheel niet te vertrouwen en het dient enkel nog maar om geld te verdienen met schijnveiligheid.
04-09-2012, 10:24 door AceHighness
^^ what he said
04-09-2012, 10:25 door Anoniem
Tja als je een domein geregistreerd hebt dan kun je een certificaat voor dat domein aanvragen. What's new, dat doet niet alleen Comodo maar talloze andere aanbieders doen dat ook ("domain control validated" certificaten).

Het probleem zit er in dat de eindgebruiker alleen kan controleren of een site waarmee hij praat correspondeert met de domeinnaam. Of de domeinnaam wel correspondeert met het bedrijf wat hij verwacht dat kan hij niet controleren.

Dit betekent dat certificaten in feite vrij waardeloos zijn, en iedere resterende waarde zullen verliezen als er steeds meer TLD's worden uitgegeven waaronder je een naam kunt registreren.

De "extended validation" certificaten zijn nu nog wat beter, maar bedenk dat wat nu "extended validation" heet in de begintijd de standaard was, en dat die standaard steeds maar naar beneden is bijgesteld onder druk van de concurrentie en het geld verdienen. Dat zal op den duur met "extended validation" ook wel gebeuren.
04-09-2012, 10:41 door Anoniem
Awesome! Nu zijn al hun signed binaries eenvoudig te detecteren ook al is de malicous code obfuscated. Goed voorbeeld waar een certificaat ook voor gebruikt kan worden.
04-09-2012, 11:52 door [Account Verwijderd]
[Verwijderd]
04-09-2012, 12:21 door [Account Verwijderd]
[Verwijderd]
04-09-2012, 12:22 door Anoniem
Comodo is een grote vis, terwijl DigiNotar een kleine speler was. Comodo compleet verbannen is de eerste stap.
04-09-2012, 12:29 door Anoniem
Een code signing certificaat heeft geen domein check aangezien het geen domeinnaam gebruikt. Hij moet dus minimaal organisatie gevalideerd op handelsinschrijving worden dus het lijkt dat Comodo hierin gebrekkig is geweest. De CA Browser forum hanteerd sinds juli ook eisen voor OV certificaten en dit had dus niet kunnen gebeuren als Comodo goed had gevalideerd. De minimale stappen zijn voor Code Signing:

Controle Handelsregister
Telefonische validatie met contactpersoon op een telefoonnummer wat geregistreerd staat in een publieke bron
Second Review
04-09-2012, 13:41 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search