Egyptisch bedrijf: malafide Google-certificaten waren foutje
Het Egyptische bedrijf dat malafide SSL-certificaten voor verschillende websites van Google had gegenereerd noemt het een foutje dat Google uiteindelijk achter de certificaten kwam en alarm sloeg. Het was namelijk niet de bedoeling dat de certificaten werden ontdekt. Deze week waarschuwde Google internetgebruikers voor malafide Google-certificaten die door het Egyptische MCS Holding waren aangemaakt. Via de certificaten zou een aanvaller Man-in-the-Middle- en phishingaanvallen op internetgebruikers kunnen uitvoeren, om zo wachtwoorden en de inhoud van versleuteld verkeer te onderscheppen.
MCS Holding is een Egyptisch beveiligingsbedrijf dat zakelijke netwerkoplossingen levert. Het was echter een zogeheten "intermediate" certificaatautoriteit (CA) geworden, die aan de Chinese certificaatautoriteit CNNIC was gekoppeld. SSL-certificaten die van een intermediate certificaatautoriteit afkomstig zijn hebben de volledige autoriteit van de CA waaronder ze vallen. Met name Mozilla had grote kritiek op CNNIC dat het MCS Holding toestemming had gegeven om als intermediate CA SSL-certificaten te genereren.
Het Egyptische bedrijf stelt in een verklaring dat het een overeenkomst met CNNIC had gesloten om voor een periode van twee weken als intermediate CA te kunnen optreden. Dit zou nodig zijn voor het testen van een nieuw uit te rollen clouddienst. De test vond in een beveiligd laboratorium plaats waarbij de privésleutel van het CA-certifcaat, voor het genereren van SSL-certificaten, in een firewall was opgeslagen.
De firewall was echter ingesteld om automatisch certificaten te genereren voor websites die op internet werden bezocht. Tijdens een onbewaakt moment in het weekend zou één van de IT-ingenieurs hebben besloten om met Google Chrome te internetten. Chrome beschikt over certificaat pinning, waarmee websites kunnen aangeven door welke CA hun SSL-certificaat is uitgegeven. De browser zal vervolgens deze certificaten op een whitelist plaatsen.
Wordt voor de website een SSL-certificaat gebruikt dat door een andere CA is uitgegeven, dan slaat de browser alarm. Nadat MCS Holding door CNNIC was ingelicht werd het certificaat direct uit de firewall verwijderd en werden alle betrokken partijen gewaarschuwd. Volgens het Egyptische bedrijf gaat het om een menselijke fout die onbedoeld plaatsvond. "We hebben geen aanwijzingen op misbruik en we adviseren dan ook niet dat mensen hun wachtwoord gaan wijzigen of andere actie ondernemen", aldus een woordvoerder van het bedrijf.
Maatregelen
Inmiddels heeft Google het intermediate certificaat van MCS Holding ingetrokken en heeft ook Microsoft een update onder Windowsgebruikers uitgebracht. Uit de omschrijving van de softwaregigant blijkt dat er certificaten voor de domeinen *.google.com, *.google.com.eg, *.g.doubleclick.net, *.gstatic.com, www.google.com, www.gmail.com en *.googleapis.com waren aangemaakt. Firefox komt volgende week met een update om het certificaat in te trekken.
Op de mailinglist van Mozilla-ontwikkelaars is na het incident een verhitte discussie losgebarsten of CNNIC ook niet schuldig is, omdat het allerlei regels zou hebben overtreden. Daarbij willen sommigen dat CNNIC uit de root store van Firefox wordt verwijderd. Mocht Mozilla dit doen dan kan dit zeer grote gevolgen voor met name Chinese Firefoxgebruikers hebben, die daardoor HTTPS-sites met SSL-certificaten van CNNIC en daaronder hangende intermediate CA's niet meer kunnen bezoeken. De Chinese CA heeft Mozilla dan ook gevraagd om CNNIC niet uit de root store te verwijderen.
Verderop lijkt te staan dat hun firewall was ingesteld om voor elke bezochte web site een vals certificaat aan te maken. Waar waren deze gasten mee bezig?
Verderop lijkt te staan dat hun firewall was ingesteld om voor elke bezochte web site een vals certificaat aan te maken. Waar waren deze gasten mee bezig?
dit is een feature van een firewall, die daarmee alle https verkeer tussen de client in het netwerk en de server op het internet doorsnuffelbaar maakt, en bijvoorbeeld gmailtjes met de woorden "classified files" of sollicitatie eruitfiltert en rapporteert.
vervelend voor een medewerker, maar wel erg prettig voor een firewall-eigenaar.
Lijkt me ook niks mis mee, mist aangekondigd in een personeelshandboek en tijdens een sollicitatieprocedure.
Prive-surfen doe je maar niet met een company-device of via een company netwerk.
En dat horen zowel MCS als CNNIC verdomd goed te weten.
En de uitgevende CA kan niet worden verwijderd wegens "te veel impact".
Vreemd dat men dit systeem vertrouwt...
En de uitgevende CA kan niet worden verwijderd wegens "te veel impact".
Vreemd dat men dit systeem vertrouwt...
jij leent een OS van Bill gates, of krijgt er een van Linus, waarmee je DUS hen vertrouwd om je PC ervaring een goede te laten zijn. ZIJ vertrouwen een stel ROOT-CA's, en JIJ daarmee ook. Vertrouw je er een paar niet, dan gooi je die er maar lekker zelf uit.
En als je door een CA te verwijderen ineens je favvy website stuk maakt, dan is dat een keuze die je hebt.
Als je PC's maar stom vind, dan ga je lekker fietsen buiten, en een ambacht leren. ;-)
of je vind een beter systeem uit.
Het is een systeem dat gebaseerd is op vertrouwen, en dat wordt inderdaad geschaad door overheden en bedrijven, maar dit is wat het is, en wat we hebben.
Dus als je klaar bent met gelijk hebben, wat ga je er dan aan doen?
Dus als je klaar bent met gelijk hebben, wat ga je er dan aan doen?
"Certificaten voor dummies" lezen? (heeft betrekking op ph-cofi, die geen denigrerende taal richting andere bezoekers zal gebruiken)
Met een heel erg kale certificatenlijst beginnen en kijken of je alle gebruikelijke sites kunt bezoeken? Vervolgens vraag ik me af of software updates al die andere certificaten weer terugbrengt? Of kan ik van een firewall een certificatenbewaker maken voor het hele interne netwerk?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Privacy Officer / CISO
Denk jij bij het lezen van artikelen in de media die het belang rondom privacy en informatiebeveiliging duiden, het hoeft toch helemaal niet zover te komen als je als organisatie je zaken op orde hebt? Dan zoeken wij jou!
Functionaris Gegevensbescherming (FG)
Als FG ben je de onafhankelijke toezicht-houder op naleving van de Algemene Verordening Gegevensbescherming (AVG) binnen de gehele TU/e. Je houdt toezicht op de toepassing en naleving van de AVG door de universiteit op diverse domeinen: onderwijs, onderzoek, valorisatie en bedrijfsvoering.
Security consultant
Weet jij alles van security, governance, risk en compliancy en weet je dit te vertalen naar gerichte oplossingen voor onze klanten? Begrijp jij als geen ander zowel de inhoudelijke kant, als de ‘organizational change’ kant van cybersecurity? Dan ben jij wellicht onze nieuwe security consultant!
