Verbaast me helemaal niets. Is ook niet de eerste keer, trouwens. Maar het volgt simpelweg uit het model, dus kon je op je vingers natellen dat het een keer ging gebeuren en dus ook dat het een keer bekend ging worden.

Recent voorbeeld (Dridex banking trojan) is hier behandeld door Didier Stevens: https://isc.sans.edu/forums/diary/An+autograph+from+the+Dridex+gang/23331/ en https://isc.sans.edu/forums/diary/Finding+VBA+signatures+in+Word+documents/23333/.

Zowel VBA code als de executable waren digitaal ondertekend met een Comodo certificaat waar je ook details van terug vindt in o.a. https://www.virustotal.com/#/file/8c7ccefa5576b1be7fdc9d59fa1185ab64469b88696d195e61b4a12b9dee7d5e/details (Comodo antivirus ziet er geen malware in, maar het is dan ook ondertekend met een Comodo certificaat) en https://www.hybrid-analysis.com/sample/8c7ccefa5576b1be7fdc9d59fa1185ab64469b88696d195e61b4a12b9dee7d5e?environmentId=100#file-certificates.

MD5 van het certificaat: EBD25135109C5CEAF63B09C18E571FCE
SHA1 van het certificaat: 9632BC315DF522514C5B40BB6D459822DAB0CBEE
Serienummer: e49755cf142de7a7a73534aa34a56f18
1 jaar geldig sinds 20180131

Ik heb het certificaat zelf niet in bezit en weet niet of het ondertussen is ingetrokken (revoked).

Konden we oo wachten, toch?

Bye trusted sw?

Kan nog leuk worden met die virusscanners zoals f-secure en diverse firewalls die daar deels op leunen?

Of zie ik dat verkeerd?

Dat "vertrouwen" was altijd bedoeld als iets anders: Controle.

In welke zin? Waar leunen ze precies op?

Wat ik hier mis, en ik zal niet de enige zijn, is een duidelijke uitleg in begrijpelijk Nederlands, hoe het mogelijk is dat een root-certificaat is gecompromitteerd.
Is er ingebroken bij de uitgever van certificaten, en is de database waarin de certificaten worden gegenereerd gestolen.
Of is het mogelijk om de broncode van een certificaat te veranderen.
Al die links naar Engelstalige en ook nog technisch Engelstalige websites, zijn een groot obstakel voor de gemiddelde bezoeker en geïnteresseerde in deze materie.

Aan firewalls (die geen TLS inspectie doen) heb je geen moer als ondertekende bestanden via TLS worden overgedragen. En zelfs met TLS inspectie heb je geen garanties, als de malware zelf tijdens transport verhaspeld (obfuscated) is en gedecodeerd op je schrijf gezet wordt, helpt zo'n firewall geen zier.

Echter, m.b.t. virusscanners (naar Cruijff): elk nadeel hep zijn voordeel...

Want als zo'n, duidelijk onterecht uitgegeven certificaat nog niet zou zijn ingetrokken (de check daarop is sowieso onbetrouwbaar) weet je zeker dat alles wat daarmee ondertekend is, ofwel kwaadaardig, ofwel zinloos (spam etc.) is; in elk geval is de ondertekenaar niet wie hij zegt dat hij is. En een digitaal certificaat bestaat nou eenmaal uit een nagenoeg gegarandeerd unieke reeks bytes en is daarmee een snoepje voor detectie door virusscanners (met een gigantisch lage kans op false positives), ongeacht wat de makers in de malware zelf variëren en/of middels obfuscatie verstoppen.

Google maar eens naar het serienummer dat ik hierboven noemde, of naar de hashes - ook bekend als "thumbprints" of "vingerafdrukken" (om zoveel mogelijk te vinden moet je ook zoeken naar die hashes voorzien van scheidingstekens tussen de bytes en zoeken naar de string tussen aanhalingstekens - dus "EB-D2-51-35-10-9C-5C-EA-F6-3B-09-C1-8E-57-1F-CE" en "96-32-BC-31-5D-F5-22-51-4C-5B-40-BB-6D-45-98-22-DA-B0-CB-EE"). Jammer genoeg vind je zo geen pagina's bij VirusTotal (daar staan deze hashes natuurlijk ook maar kennelijk blokkeert VirusTotal het doorzoeken van pagina's met robots.txt o.i.d.).

Zodra een virusscanner zo'n onterecht uitgegeven certificaat "voorbij ziet komen" weet deze zeker dat het om malware gaat - maar dan moeten ze er natuurlijk niet vanuit gaan dat "als het signed is, is het veilig" - zoals sommige dumb virusscanners kennelijk doen.

Met andere woorden, bij massaal gespamde of anderszins verspreide malware met zo'n onterecht verkregen certificaat, horen virusscanners dit redelijk snel op te pakken, dus verwacht ik niet dat dit een grote vlucht gaat nemen. Bij targeted attacks is dit natuurlijk wel een ander verhaal.

Er is geen root-certificaat gecompromitteerd. De aanvragers doen zich voor als geautoriseerde medewerkers van een bedrijf en vragen een code signing certificaat aan. Wellicht kan dat al door het e-mail account van een willekeurige werknemer van zo'n bedrijf te hacken, en van daaruit de aanvraag in te dienen (een zogenaamd CSR, of te wel Certificate Signing Request).

Wat hier fout gaat is dat certificaatuitgevers onvoldoende controleren of een aanvrager is wie zij zegt dat zij is, en daadwerkelijk door het betreffende bedrijf geautoriseerd is om zo'n certificaat aan te vragen.

Hoe dat mogelijk is? Nalatigheid, foutje, noem maar op. Zo ging er een tijd terug het gerucht rond dat door ambtelijk er met de pet naar gooien een root cert van een overheidsinstelling (van een land ergens in Azie) circuleerde, dat ze dit wisten en dat het ze niet genoeg kon schelen om er ook wat aan te doen. Tsja. Ik heb het stuk niet helemaal uitgeplozen maar de rapportage is dat ze een contact gevonden hebben waar je geld naartoe schuift en die regelt dan een vertrouwd certificaat voor je. Het kan goed zijn dat het om een achterdeurtje gaat, dit een "broker" is voor corrupte contacten, iets in die trant. Dat is dus niet een probleem met de cryptografische wiskunde die de certificaten moet garanderen (daar hebben we ook al gedonder mee gehad), maar een typisch mensenprobleem.

En dan zie je hoe PKI daar inherent gevoelig voor is. Want kijk maar naar je certificate store in je browser: Daar zitten iets van 650 absoluut vertrouwde certificaten tussen van een paar honderd organisaties van allerlei allooi. Het model is dus, als je in het bezit bent van zo'n certificaat kan je alles, als niet dan niet. Maar dat maakt alle root certificaten en dus alle houderorganisaties, tot doelwit. In plaats van een bullseye, heeft een aanvaller er beschikking over 650. Mooi man.

Dus als je snapt hoe PKI is opgezet, dan snap je vrij snel dat dit een gigantische achilleshiel is. Als daar wat mis mee gaat, dan is het hoe niet eens zo heel belangrijk. Want het dat het mis zou gaan, daarvan wisten we eigenlijk wel dat het slechts een kwestie van tijd was, is, en zal zijn.

Een certificaat bestaat uit een publieke sleutel en wat data, gesigneerd met een geheime sleutel. Je zou die ongesigneerde data "broncode" kunnen noemen maar niemand doet dat. In PKI heet zoiets een signing request, wat met een geheime sleutel gesigneerd wordt; jouw publieke sleutel plus data plus signatuur (gemaakt met de geheime sleutel van het signerede certificaat) tezamen is je nieuwe certificaat. De sleutel tot het certificaat zelf is ook een geheime sleutel, die moet je dus geheim houden. Een root cert is dan ook een certificaat dat zichzelf certificeert (met z'n eigen geheime sleutel).

Het moge duidelijk zijn dat iedereen een root cert kan maken. Maar een root cert dat helemaal niemand vertrouwt, daar heb je precies niets aan. Vandaar dus die lijst van gezegende root certs voor websites in je browser. Er zijn meer van die lijstjes voor verschillende browsers, maar ook voor verschillende andere doelen.

Andermans certficiaten (root of niet) aanpassen drukt zich meestal uit als een aanval op de wiskunde waar de gebruikte algorithmen op stoelen. Soms blijkt dat te kunnen (zoekterm "MD5"), en dan moet er iets anders verzonnen worden. Maar meestal is het makkelijker om een andere truuk te proberen. En dat kan ook echt vanalles zijn.

Als je met "gemiddelde bezoeker" eigenlijk "DAU" ("Duemmst Anzunehmender User") bedoelt, dan kan ik er inkomen.

De bron is vaak alleen maar in het Engels te vinden, dus als je er in wil duiken zit je redelijk hard vast aan Engels leren. En dan kom je er vaak genoeg achter dat er bedroevend weinig inhoud te vinden is tussel al de sensatietermen. Wat dan weer betekent dat je de onderliggende fundamenten moet uitpluizen en je eigen analyses maken.

Het zijn dan ook commerciele bedrijven, gericht op het maken van omzet. En niet toezichthouders - al willen we ze graag zo zien.

Men is op de hoogte van de fake signing certs.
Wordt weer een Google taak zeker.

Vandaar ook de opmerking: "Certificate Authorities beschermen je tegen iedereen van wie ze geen geld aannemen." En dat is dan zolang er niemand in de organisatie corrupt is en alle procedures en techniek werken foutloos.

Controleren of een aanvrager van een certificaat is wie zij (m/v) zegt dat zij is, en, bij een certificaat namens een organisatie: of de aanvrager geautoriseerd is om namens die organisatie dat certificaat aan te vragen, is de primaire taak en het enige bestaansrecht van een certificaatuitgever. Op z'n minst moeten zij zich aan hun eigen gepubliceerde regels houden. Ik mag hopen dat bedrijven niet per definitie alleen omzet kunnen maken door de boel te belazeren.

Je zou het toch ook niet accepteren als een stadhuismedewerker een paspoort met jouw naam en BSN, maar met zijn foto erop, aan aan ander zou verstrekken? Of (een meer commerciële vergelijking) als een notaris zou meewerken aan de verkoop van jouw huis aan een derde met een verkoper die claimt de eigenaar van jouw huis te zijn?

@23-02-2018, 10:03 door Anoniem
Je hebt zeker een punt met al dat misschien beetje teveel technisch Engels.
Gelukkig bestaan er toch ook redelijk veel goeie technische teksten in het Nederlands
Maar er moet sowieso ook veel meer vertaald worden, zodat iedereen het kan volgen.
Kortom, ze maken er zich nogal inderdaad te gemakkelijk van af met al dat Engels stuff neer te plempen!
https://nos.nl/op3/artikel/2180448-te-veel-engels-in-het-hoger-onderwijs.html

Ik zou niet weten waarom iedereen het moet kunnen volgen. Wel eens getracht communicatie tussen een pilot en luchtverkeersleiding proberen te volgen? Moet ook zeker in het Nederlands....
Je hebt nu eenmaal vakgebieden die zich op een specifieke taal richten en zich zelf met specifieke termen bedienen waar niet iedereen weet wat er bedoeld wordt. (wel eens een juridisch document gelezen?)

De Yanken hebben dus zelf het veilig certificatensysteem eerst naar de knoppen geholpen, stel je voor. En dat allemaal om Israël te behagen, je kan daarover lang argumenteren natuurlijk maar 'kaputt = kaputt' he.
Uit het artikel:
'The Stuxnet worm that targeted Iran's nuclear program almost a decade ago was a watershed piece of malware for a variety of reasons. Chief among them, its use of cryptographic certificates belonging to legitimate companies to falsely vouch for the trustworthiness of the malware. Last year, we learned that fraudulently signed malware was more widespread than previously believed. On Thursday, researchers unveiled one possible reason: underground services that since 2011 have sold counterfeit signing credentials that are unique to each buyer.'

@Vandaag, 15:52 door Anoniem
Daar heb je natuurlijk gelijk in. Zaken die met veiligheid te maken hebben als luchtverkeersleiding hebben absolute prioriteit en als Engels daarvoor nodig is, verder ook bij wetenschap enz. is dat maar zo.
Maar ze moeten het niet veralgemenen bedoelde ik; het lijkt een toch trend te worden ook voor het banale of alledaagse; en trachten een goeie aanvaardbare mix aan te houden.
En ja bij de EU bijv.hebben ze de ook gewoonte iedereen murw te slaan op voorhand met honderden of duizenden pagina's zwaar juridisch jargon in het Engels, denk maar eens aan de 'vergunningen' aanvragen voor glyfosaat en hun GDPR ook al.

Wat niet correct is, dat is dat groene slotje in je browser, dat "Veilig" zegt. De verbinding is versleuteld, dus er valt "onderweg" niks meer te onderscheppen. Maar er kan nog altijd malware op je PC of mobiel staan die meekijkt. En de server waar je "veilig" mee verbindt, kan zelfs die malware op je PC of mobiel instelleren, als die site kwaad van plan is. Dat laatste kan ook op IP of andere kenmerken (bijv. browser agent string), zodat een site die veilig lijkt, je kan hem 100 keer controleren, voor sommige anderen toch helemaal niet veilig is.

Het enige wat echt veiligheid geeft is het open karakter van internet: Er is altijd iemand die er achter komt en het aan de grote klok kan hangen. Op een forum als dit bijvoorbeeld. Daarmee zijn ook vooral de grote particuliere firma's zo een groot gevaar voor de veiligheid. De verleiding is te groot om zelf, "on the side" ook maar misbruik van veiligheid te gaan maken. Dat bewijs ligt er al. Want die doen het... allemaal!

Gelukkig zijn al die initatieven op een bepaald moment om zeep gegaan in de geschiedenis. Microsoft heeft het geprobeerd, een "eigen internet", het MSN, maar ook bijvoorbeeld KPN, met "Het Net". En zo zijn er nog meer ambitieuzen geweest. Met mooie merken, en "laat je veiligheid maar gerust aan ons over"-verhalen. Die hadden er ook verstand van.

Er zijn meerdere schuldigen aan te wijzen: staatsdiensten die in het geheim compromitteren (vanuit welke optiek dan ook) en de daarmee "hand in voet" levende grote multinationale data corporaties. Later doet proliferatie de rest en zitten we voor lange tijd met de gebakken stoofperen en zonder de sappige conference.

Zie het certificaat gebruikt voor VPNFilter waarbij het valse CA certificaat claimt een echt MS certificaat te zijn.
CA root certificate is not trusted, maar de malware kon er M.i.M. decryptie mee uitvoeren. Gevoelige info om te stelen moest daarom niet over http gaan. Dezelfde soort figuren als destijds achter shellshock zaten, worden hier ook verdacht (eerste under the radar checks kwamen uit Taiwan-Formosa), "/cgi-bin/authLogin.cgi" kon hier op duiden, maar de echte oorsprong zoals bij alles in cyberwar blijft duister en discutabel, iedere partij zit er vuistdik in.

Neemt niet weg dat het wegvallen van heel wat trust in de certificeringsgemeenschap, denk aan het Google versus Symantec drama, hierbij niet echt helpt. Achteraf blijkt dus alles al vanaf 2001 en daarna goed PN*W*d te zijn by design.

Jammer voor de puinruimers en de "goede krachten" aan de andere kant van het Dark Imperium. We zitten er voorlopig mooi mee opgescheept als security researchers. (Analyse info credits gaan naar: news dot Sophos dot com Editor).

luntrus

Ik weet niet waar jij je info vandaan haalt, maar volgens dezelfde link van VirusTotal (VT) in je bijdrage meldt Comodo via VTwel degelijk dat er sprake is van malware.

Bril nodig of zo? Link staat er toch bij?

Gefeliciteerd dat jouw fantastische virusscanner (Comodo of whatever) ondertussen deze malware nu ook herkent (want die link toont de laatste keer dat dezelfde malware is aangeboden aan VT, nl. "Last analysis 2018-05-30 08:46:55 UTC"). Maar geloof mij vooral niet, ik heb vast gejokt op 22 feb 2018 en geniet lekker van je oude koeien en jouw vertrouwen in virusscanners!

Kijk 's aan met al die valse en nu ±onbetrouwbare zogeheten 'heilige' certificaten, misschien of waarschijnlijk, komt er nu nogal wat 'rommel' aandrijven op de 'blauwe' internet-oceaan voor de nieuwste 'strandjutters'! ;-)
'Blame it on the Russians' ha ha, gemakkelijk is dat wel om hun eigen basisfouten te verhullen en of te verpatsen...
•Over de nieuwste nogal kwaadaardige besmetting van de routers.
VPNFilter malware
Uit cnet.com:
https://www.cnet.com/how-to/the-fbi-says-you-should-reboot-your-router-should-you/?ftag=CAD3c77551&bhid=25130524262443374544736095454559
https://en.wikipedia.org/wiki/VPNFilter
https://www.symantec.com/blogs/threat-intelligence/vpnfilter-iot-malware

Met die certificaten kan je soms wel heel speciale en onverwachte fouten krijgen.
Zo kreeg ik een melding 'De naam van het certificaat is niet meer geldig'
Daardoor werkte misschien een financieel programma helemaal niet meer.
Volgens Digicert kan een certificaatfout dit wel veroorzaken.
Ze gaven als tip de gewoon internettijd van de computer bij te werken
‘Well if its only on your machine then I would recommend checking the time and date to ensure it is correct as that can cause issues with certificate’
Dus via Start Configuratiescherm Datum en Tijd Internettijd bijgewerkt ok
En ja hoor toen werkte dat falende programma weer perfect, 'believe it or not!'
https://www.digicert.com/legal-repository/

Mogelijk? Zoveel redenen te bedenken. Lees je in over DigiNotar, TurkTrust, etc.

Ik denk dat je beeld van een "gemiddelde bezoeker" verkeerd is.


Bedoel je niet dümmster?

Eens. En niemand heeft zin/tijd om ieder wissewasje te vertalen naar een taal die beperkt voorkomt in de IT (Nederlands).


Want? Je kan geen Engels? Klinkt een beetje als: https://nos.nl/artikel/646068-hoogleraar-legt-kamer-ict-taal-uit.html
Even serieus: Niemand heeft zin/tijd om alles te vertalen. Er zullen dan enorm veel dingen onbesproken blijven, en daar is niets aan te doen.

Je vind het meeste antwoorden in het? Juist! Engels!
Zoek je in het Nederlands naar een antwoord op een serieuze technische vraag, geen antwoord gevonden. In het Engels? Over de miljoen hits.

De link is een open vraag. Hier een open antwoord: https://nos.nl/artikel/2234977-reacties-op-onderwijsbrief-minister-van-half-werk-tot-gematigd-positief.html

Een mogelijk gevolg van het dom automatiseren en vereenvoudigen van essentiële validatie/uitgifte processen. Liever veel certificaten uitgeven dan een gedegen controle te laten uitvoeren door gekwalificeerd personeel. Waarom zijn het vrijwel altijd de zgn. Bulk CA's waar malafide certificaten vandaan komen.

Het meest gevaarlijke certificaat is dat van een bank. Zeker als dat duur betaald is van een hele dure firma. Want banken gaan over geld brengen. Halen is ander verhaal. Zeg je rekening maar eens op en vraag het maar mee. Dan weet je gelijk van wie je geld eigenlijk is. Vooral als er veel op staat.

Van een website verwacht ik HSTS, CAA en optioneel HPKP.