image

Facebook publiceert tools om onterecht uitgegeven certificaten te detecteren

maandag 18 december 2017, 11:12 door Redactie, 6 reacties

Facebook heeft tools gepubliceerd waarmee ontwikkelaars en domeinhouders voor onterecht uitgegeven tls-certificaten worden gewaarschuwd, wat moet helpen bij het detecteren van man-in-the-middle-aanvallen. Tls-certificaten worden gebruikt voor het opzetten van een versleutelde verbinding tussen websites en hun bezoekers.

Op dit moment zijn er honderden certificaatautoriteiten die voor nagenoeg elke website op het internet een geldig tls-certificaat kunnen uitgeven. Een hack van een dergelijke certificaatautoriteit, zoals DigiNotar, of in het geval van een malafide certificaatautoriteit, kan ervoor zorgen dat er tls-certificaten worden uitgegeven waarmee een aanvaller man-in-the-middle-aanvallen kan uitvoeren. Doordat het tls-certificaat van een vertrouwde certificaatautoriteit afkomstig wordt het namelijk door de browser vertrouwd, die zodoende geen waarschuwing aan de gebruiker laat zien.

Om onterecht uitgegeven certificaten te detecteren bedacht Google een systeem genaamd Certificate Transparency. Bij Certificate Transparency verplichten browsers dat een https-website bewijs aanlevert dat het certificaat in een openbaar Certificate Transparency-log voorkomt. Dit is een eenvoudige netwerkdienst die een archief van uitgegeven certificaten bijhoudt. Certificaten kunnen alleen aan dit log worden toegevoegd en niet worden verwijderd of aangepast.

Ze gebruiken verder een cryptografische methode om manipulatie te voorkomen en kunnen door het publiek worden gecontroleerd. Via zogeheten 'monitors' wordt er periodiek in de log-bestanden naar verdachte certificaten gezocht. Zodoende kunnen onterecht uitgegeven certificaten worden gedetecteerd, alsmede certificaatautoriteiten die zijn gehackt of kwaadaardig zijn.

Tools van Facebook

Vorig jaar december lanceerde Facebook al een monitoringtool voor Certificate Transparency-logs, waarmee ontwikkelaars en domeinhouders naar certificaten kunnen zoeken en een waarschuwing ontvangen wanneer er nieuwe certificaten voor hun domeinen zijn uitgegeven. Nu komt het sociale netwerk met verschillende nieuwe tools die bij de detectie van onterecht uitgegeven certificaten moeten helpen.

Via de Webhooks-programmeerinterface kunnen ontwikkelaars een domein opgeven dat moet worden gemonitord. Elke keer dat Facebook een nieuw certificaat voor dit domein detecteert, wordt er een request met informatie over het certificaat naar de server van de ontwikkelaar gestuurd. Daarnaast is er ook een progammeerinterface (api) voor het analyseren van certificaten vrijgegeven en ondersteunt Facebook nu ook push-notificaties. In plaats van waarschuwingen per e-mail kunnen ontwikkelaars ook via Facebook voor onterecht uitgegeven certificaten worden gewaarschuwd.

Image

Reacties (6)
18-12-2017, 11:57 door Anoniem
Gaat fakebook zich nu ook al met security bezighouden? Dit bedrijf krijgt steeds meer invloed op een enge manier.
18-12-2017, 12:59 door Tha Cleaner
Door Anoniem: Gaat fakebook zich nu ook al met security bezighouden? Dit bedrijf krijgt steeds meer invloed op een enge manier.

Doen ze eens wat goed. Is het ook weer niet goed.

Sommige personen zijn echte zwartkijkers.....
18-12-2017, 14:54 door Whacko
Door Tha Cleaner:
Door Anoniem: Gaat fakebook zich nu ook al met security bezighouden? Dit bedrijf krijgt steeds meer invloed op een enge manier.

Doen ze eens wat goed. Is het ook weer niet goed.

Sommige personen zijn echte zwartkijkers.....

Ben het met je eens [Tha Cleaner], vaak stemmingsmakerij hier en schoppen tegen alles wat maar kan.

Hoewel ik hier wel iets in kan zien, Facebook nestelt zich nu wel even in een gebied waar je invloed zou kunnen uitoefenen.
Dit had een opensource tool moeten zijn zodat iedereen de werking kan controleren. Nu is het een dienst die ze aanbieden, geld voor kunnen vragen, statistieken over kunnen vergaren, en deze statistieken weer verkopen.

Een TLS certificaat voor een subdomein zegt bijvoorbeeld al veel. Je weet nu dat dat subdomein bestaat. Zolang het voor de buitenwereld nooit gelinkt wordt, weet google of welke searchengine hier nooit van. Dat kan best waardevolle informatie zijn.

Maargoed, het is doemdenkerij. Maar zolang er geld mee valt te verdienen is niets zeker.
18-12-2017, 15:58 door Anoniem
Door Whacko:
Door Tha Cleaner:
Door Anoniem: Gaat fakebook zich nu ook al met security bezighouden? Dit bedrijf krijgt steeds meer invloed op een enge manier.

Doen ze eens wat goed. Is het ook weer niet goed.

Sommige personen zijn echte zwartkijkers.....

Ben het met je eens [Tha Cleaner], vaak stemmingsmakerij hier en schoppen tegen alles wat maar kan.

Hoewel ik hier wel iets in kan zien, Facebook nestelt zich nu wel even in een gebied waar je invloed zou kunnen uitoefenen.
Dit had een opensource tool moeten zijn zodat iedereen de werking kan controleren. Nu is het een dienst die ze aanbieden, geld voor kunnen vragen, statistieken over kunnen vergaren, en deze statistieken weer verkopen.

Een TLS certificaat voor een subdomein zegt bijvoorbeeld al veel. Je weet nu dat dat subdomein bestaat. Zolang het voor de buitenwereld nooit gelinkt wordt, weet google of welke searchengine hier nooit van. Dat kan best waardevolle informatie zijn.

Maargoed, het is doemdenkerij. Maar zolang er geld mee valt te verdienen is niets zeker.

Hebben jullie niet door hoe Facebook zich overal tussen wurmt? 5G proberen ze ook tussen te komen. Landen van "gratis internet" voorzien als je maar een FB account hebt (andere keuze is er niet) en nu weer beveiliging? Snappen jullie niet dat FB dat alleen maar doet om iedereen afhankelijk van ze te maken net als Google en Microsoft? Weten jullie niet hoe FB alles van jou te weten wil komen op wat voor listige manier dan ook? En jullie makke schaapjes trappen overal in.

Dit soort zaken horen inderdaad Open Source te zijn zodat iedereen het kan controleren.
18-12-2017, 16:47 door Tha Cleaner
Door Anoniem:
Hebben jullie niet door hoe Facebook zich overal tussen wurmt? 5G proberen ze ook tussen te komen. Landen van "gratis internet" voorzien als je maar een FB account hebt (andere keuze is er niet) en nu weer beveiliging? Snappen jullie niet dat FB dat alleen maar doet om iedereen afhankelijk van ze te maken net als Google en Microsoft? Weten jullie niet hoe FB alles van jou te weten wil komen op wat voor listige manier dan ook? En jullie makke schaapjes trappen overal in.
hoho... Dat maak er allemaal weer iets negatiefs van. Persoonlijk zie ook liever niet dat facebook dit doet. Maar blijkbaar ziet niemand andere er niet brood in?
En Facebook biedt je nu wel de mogelijkheid. En je hebt zelf de keuze om dit bij Facebook te doen. Of niet.... Zo gemakkelijk is het. Maak het eventueel zelf..... Er zijn misschien wel meer producten die het kunnen. Maar het is nu ook mogelijk bij Facebook.

Maar blijkbaar heeft niemand anders hierin brood gezien om hier iets voor te bouwen, onderhouden en promoten?

Je kan er een hoop omheen discussiëren, maar je hoeft het niet te doen bij Facebook..... Dat is de vrijheid die je hebt.....

Dit soort zaken horen inderdaad Open Source te zijn zodat iedereen het kan controleren.
Opensource heeft hier eigenlijk niets mee te maken, het zo netjes zijn, als dit OpenSource is. Maar is geen noodzaak. Dit kan heel goed als closesource project lopen. Het hangt er alleen een beetje vanaf, wat de commerciële waarde van het product is, of het iets rendabel is om voor iemand zijn tijd aan te besteden. Immers iedereen moet leven.
19-12-2017, 19:18 door Anoniem
Door Anoniem: Gaat fakebook zich nu ook al met security bezighouden? Dit bedrijf krijgt steeds meer invloed op een enge manier.

Ik vind het prima zolang ze niet hun eigen standaarden gaan ontwikkelen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.