SSL-uitgever verstrekt certificaat aan malwaremaker
De Amerikaanse Certificate Authority (CA) DigiCert heeft ten onrechte een certificaat aan malwaremakers verstrekt, die daarmee malware signeerden om internetgebruikers mee te infecteren. Gesigneerde bestanden genereren in Windows een minder opvallende waarschuwing en laten de gebruiker zien dat het bestand van een geverifieerde uitgever afkomstig is.
DigiCert gaf op 19 november van vorig jaar een certificaat voor het Franse bedrijf NS Autos uit. Volgens de Franse bedrijvenpagina Societe.com was er korte tijd in Frankrijk een bedrijf onder deze naam actief, maar ging het in 2011 failliet. Ruim voor het verstrekken van het certificaat door DigiCert.
Banking Trojan
Malwaremakers gebruikten het certificaat voor het signeren van allerlei malware. Het Slowaakse anti-virusbedrijf ESET vond in de database meer dan 70 met het certificaat gesigneerde bestanden. Het gaat onder andere om een banking Trojan die van een virtueel toetsenbord afkijkt om de pincode van het slachtoffer te bemachtigen.
Vervolgens moet het slachtoffer een via sms verkregen code invoeren. Deze code wordt door de criminelen gebruikt om een begunstigde aan de rekening van het slachtoffer toe te voegen. De gestolen gegevens worden vervolgens via FTP of naar een Gmail-adres gestuurd.
Ransomware
Een ander gesigneerd malware-exemplaar vergrendelt de computer. In tegenstelling tot veel andere ransomware die zich voordoet als een waarschuwing van een politiekorps, laat deze variant het slachtoffer geloven dat hij zijn computer bij Microsoft moet registreren. Hiervoor moet een bedrag van 4 dollar worden betaald.
Vervolgens wordt de gebruiker doorgestuurd naar een andere pagina om daar een product van 50 dollar aan te schaffen, dat wederom malware is.
"Hoewel het signeren van code bedoeld is om te laten zien dat het van de juiste partij afkomstig is en tijdens het downloaden niet is gemanipuleerd, kan het gebruikers een vals gevoel van veiligheid geven", zegt Stephen Cobb. Het ten onrechte verstrekte certificaat zou inmiddels zijn ingetrokken.
Tijd voor iets anders dus .... maar wat?
Bedenk ook even hoeveel van die CAs er zijn, herinner je dat het niet de eerste keer is, en het moet je duidelijk worden dat dit ook niet de laatste keer zal zijn. Het PKI model is op termijn gewoon niet houdbaar.
Meta-puntje: Laat het maar aan de vrije markt over, dan, uhm, blijven misstanden bestaan zolang ze maar genoeg poet opleveren?
Voorlopig echter wordt je als eindgebruiker gedwongen heel die collectie rootCAs in je browser te vertrouwen, en is het zelfs experts eigenlijk niet mogelijk daar behoorlijke keuzes te maken. Ziedaar een mooie ingang om een lange, pijnlijk gedetailleerde lijst te maken van de vele manieren waarop PKI faalt.
Te beginnen met de bedroevend slechte manier om zelfs maar een certificaat te bekijken. Ik bedoel, het openssl textdump formaat is tot daar aan toe --op de commandline is'ie bruikbaar als niet geweldig-- maar de individuele velden onder uitklapbare plusjes plakken in een popupje en dat dan als "gebruiksvriendelijke versie" presenteren, is best wel hemeltergend nixnuttig, eigenlijk. (Huiswerk: waarom is dat zo?)
Dus. Lijstje beginnen?
https://www.security.nl/artikel/38047/1/Firefox-plugin_omzeilt_SSL_Certificate_Authorities.html
Convergence is dan ook ontwikkeld om CA's te vervangen. In plaats van een Certificate Authority, is er een 'notaris' die de authenticiteit van het SSL-certificaat controleert, tijdens de eerste keer dat de gebruiker de website bezoekt. De certificaten worden lokaal door de browser opgeslagen en bij volgende bezoeken gecontroleerd. Zolang de certificaten overeenkomen, is er geen noodzaak om de notaris te benaderen. Tijdens de DefCon hackerconferentie won Whisper Systems de award voor privacybeschermer.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.