Turkse SSL-verstrekker: wij zijn niet gehackt
De Turkse SSL-verstrekker Turktrust die verschillende frauduleuze certificaten uitgaf zegt niet gehackt te zijn zoals sommige media beweren. Google kwam gisteren met de waarschuwing dat Chrome op 24 december ongautoriseerde certificaten voor het '*.google.com' domein ontdekte en blokkeerde. Het valse certificaat voor Google zou al in augustus 2011 zijn gemaakt.
Turktrust liet Google weten dat de twee intermediate CA-certificaten per ongeluk aan organisaties waren verstrekt, die eigenlijk gewone SSL-certificaten hadden moeten ontvangen. In een verdere verklaring stelt Turktrust dat het incident in augustus 2011 tijdens een softwaremigratie zich voordeed.
Testsysteem
Voor juni 2011 waren de certificaatprofielen op de productiesystemen van Turktrust naar een testsysteem geëxporteerd, en bevatte een bepaald aantal certificaatprofielen. Voor testdoeleinden werden twee extra profielen toegevoegd die een CA-extensie bevatte. In de tussentijd waren ook de productiesystemen geüpgraded en van drie extra SSL-certificaatprofielen voorzien. Dit betekende dat het aantal profielen op het productiesysteem niet meer met het testsysteem overeen kwam.
De tests eindigden voor 30 juni, maar door een 'ongelukkige samenloop', werden de productiesystemen gepatcht met de profielen van het testsysteem, die 2 verkeerde profielen bevatte en de 3 juiste profielen miste. De verkeerde profielen waren alleen op 8 augustus gebruikt voor het uitgeven van de twee frauduleuze certificaten en waren niet als sub-CA-certificaten bedoeld.
Aanvraag
Door een certificaataanvraag met één van de ontbrekende profielen op 10 augustus, werd de situatie ontdekt. De verkeerde profielen werden vervolgens door de juiste profielen vervangen. Het was echter toen nog niet bekend dat er een vals certificaat voor het Google-domein was aangemaakt. Uiteindelijk werd het systeem op 17 oktober 2011 helemaal geüpgraded en door KPMG geaudit en goedgekeurd.
Verder laat Turktrust weten dat één van de ten onrechte uitgegeven certificaten al was ingetrokken voordat die gebruikt was. Het andere certificaat zou op 6 december 2012 gebruikt zijn voor het signeren van het frauduleuze certificaat voor *.google.com. Voor 6 december was het certificaat op een IIS-server geïnstalleerd die als webmailserver werd gebruikt.
Firewall
Op 6 december werd het certificaat en de sleutel naar een Checkpoint-firewall geëxporteerd. "Het was dezelfde dag van de uitgifte van het frauduleuze certificaat", aldus een werknemer op de Mozilla-mailinglist. De Checkpoint-firewall zou zijn geconfigureerd voor het uitvoeren van Man-in-the-middle-aanvallen, maar volgens de werknemer zou Checkpoint automatisch Man-in-the-Middle-certificaten genereren.
Met deze certificaten is het mogelijk om een versleutelde verbinding af te luisteren. Normaal zou dit een foutmelding aan de kant van de gebruiker opleveren, maar in dit geval was het uitgegeven certificaat van een legitieme SSL-verstrekker afkomstig. Toen Turktrust door Google op 26 december werd ingelicht werd ook het tweede frauduleuze certificaat ingetrokken.
"De beschikbare gegevens suggereren dat het *.google.com certificaat niet voor oneerlijke doeleinden is uitgegeven of voor dit soort doeleinden is gebruikt", aldus de werknemer, die ook een aanval op de SSL-verstrekker zelf ontkent. "Er is zeker geen enkele data om te bewijzen dat de Turktrust-systemen gehackt zijn."
Google kwam gisteren met de waarschuwing dat Chrome op 24 december ongautoriseerde certificaten voor het '*.google.com' domein ontdekte en blokkeerde. Het valse certificaat voor Google zou al in augustus 2011 zijn gemaakt.
[...]
Zoals je in mijn comment in https://www.security.nl/artikel/44562/1/Microsoft_waarschuwt_voor_vals_Google_certificaat.html kunt lezen, zijn er op 2011-08-08 twee sub-CA certificaten uitgegeven door Turktrust, waaronder een Sub-CA cerificaat voor "*.EGO.GOV.TR". Dat certificaat is pas op 2012-12-06 gebruikt om een *.google.com servercertificaat mee te ondertekenen (overigens voorzien van een waslijst aan alternative names (waaronder *.android.com, *.google-analytics.com en *.urchin.com, zie http://www.cupfighter.net/index.php/2013/01/turktrust-fraudulent-digital-certificates-could-allow-spoofing-diginotar-the-sequel/ voor de hele lijst).
Nogmaals, het kan zijn dat er meer *.google.com certificaten signed door *.EGO.GOV.TR zijn uitgegeven, maar die heb ik nergens in publicaties gezien die dat uitwijzen.
Aanvulling 11:43: ik vermoed dat Turktrust "slechts" geblunderd heeft door de certificaten voor *.EGO.GOV.TR en e-islem.kktcmerkezbankasi.org per ongeluk als CA certificaten uit te geven.
Waarschijnlijk heeft de aanvaller later (wellicht bij toeval) ontdekt dat *.EGO.GOV.TR een CA certificaat is, heeft ingebroken op 1 van de servers waar dit certificaat voor geldt en de bijbehorende private key gekopieerd.
Aanvulling 12:00: https://map.ego.gov.tr/ a.k.a. https://posta.ego.gov.tr/ bestond zeker al op 25 december (aldus Google: https://webcache.googleusercontent.com/search?sclient=psy-ab&hl=en&tbo=d&site=&q=cache:6ZdBZx6CXT4J:https://posta.ego.gov.tr/%2Bsite:ego.gov.tr&ct=clnk). Zowel https://map.ego.gov.tr/ als https://posta.ego.gov.tr/ tonen nog steeds een "IIS" welkomstplaatje maar hebben wel een nieuw servercertificaat gekregen, dat is uitgegeven op 2012-12-28. Het zou mij niet verbazen als die server gehacked is geweest en onbedoeld een CA- i.p.v. server certificaat had.
dat doe je niet voor de lol ofzo.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.