Valse certificaten onthullen tekortkomingen in de beveiliging van internet

Een grote inbreuk bij een Nederlandse leverancier van digitale certificaten heeft ertoe geleid dat sommige beveiligingsexperts twijfels hebben bij de infrastructuur die ten grondslag ligt aan de beveiliging van internet.





Door de inbreuk konden onbekende aanvallers minstens 531 frauduleuze certificaten uitgeven voor grote domeinen, waaronder Google.com, Microsoft.com en Yahoo.com. Certificaten worden verondersteld te verifiëren dat een website echt is voor de webbrowser van een bezoeker; die verificatie voorkomt dat een aanvaller een vervalst domeinadres gebruikt om gegevens te stelen. De certificaten bevatten versleutelde gegevens waarmee browsers en andere software kunnen bevestigen dat een website legitiem is. Dus door het digitale certificaat te compromitteren, kan een aanvaller zich voordoen als een beveiligde website, zoals Google's Gmail, en communicatie onderscheppen, of beveiligingsmechanismen omzeilen en schadelijke software installeren.

Wat hier ongebruikelijk is, is niet dat een certificeringsinstantie is gecompromitteerd, maar dat iemand het heeft opgemerkt, zegt Moxie Marlinspike, chief technology officer en medeoprichter van Whisper Systems, een bedrijf dat zich richt op het beveiligen van mobiele communicatie. Dit gebeurt de hele tijd.

Het gecompromitteerde certificaatbedrijf, DigiNotar, is een van de ongeveer 650 bedrijven, ook wel certificeringsinstanties of CA's genoemd, die worden vertrouwd om de certificaten uit te geven. Eerder dit jaar erkende een andere certificeringsinstantie, Comodo, dat een aanvaller de beveiliging van zijn systemen had geschonden en ten minste negen certificaten had uitgegeven voor grote domeinen, waaronder Google, Skype en Yahoo. Op de Black Hat Security Conference in augustus bekritiseerde Marlinspike het huidige systeem van certificeringsinstanties en bood een ander model aan, bekend als Convergence, gebaseerd op een peer-to-peer vertrouwensmodel.



De Electronic Frontier Foundation, een groep voor digitale rechten, betoogde: in een analyse publiceerde deze week dat recente inbraken suggereren dat de keuze om al dan niet een certificeringsinstantie te vertrouwen bij de gebruiker moet liggen, niet bij browserleveranciers of websites.

Deze CA's lijken te bestaan ​​in de rechtsgebieden van ongeveer 50 landen, schrijven de auteurs van het rapport. Elk van deze landen zou een CA kunnen dwingen om frauduleuze certificaten te maken voor spionagedoeleinden of voor het bespioneren van de burgers van dat land.

De laatste aanval toont aan dat een enkele inbreuk verstrekkende gevolgen kan hebben. EEN voorlopig rapport begin september uitgegeven door het Nederlandse beveiligingsbedrijf Fox-IT ontdekte dat de indringers aanzienlijke zwakke punten in de netwerkbeveiliging van DigiNotar uitbuitten, waaronder een enkele account die al zijn certificaatservers kon besturen en een zwak wachtwoord gebruikten voor accounttoegang. Het bedrijf ontdekte dat meer dan 300.000 unieke IP-adressen - bijna volledig uit Iran - één frauduleus certificaat tegenkwamen dat was uitgegeven voor het domein van Google. Apple, Google, Microsoft en Mozilla hebben hun browser al bijgewerkt om elk door DigiNotar ondertekend certificaat te wantrouwen.



De Nederlandse overheid, die voor haar versleutelde communicatie vertrouwt op de digitale handtekeningen van DigiNotar, heeft de certificatenactiviteiten van het bedrijf overgenomen. Daarnaast wordt onderzocht of de focus op Iraanse gebruikers erop zou kunnen wijzen dat de regering van het land mogelijk bij de aanval betrokken is geweest.

Het certificaatsysteem werkt, maar er moet meer aandacht worden besteed aan beveiliging, zegt Amar Doshi, senior manager van certificaatproducten bij beveiligingsbedrijf Symantec, dat de certificeringsinstantie VeriSign heeft overgenomen en nu beheert.

Alle gebeurtenissen van de afgelopen weken laten echt zien dat 'a cert is a cert is a cert' niet echt van toepassing is, zegt Doshi. Er zijn verschillen tussen certificaten. Er zijn verschillen tussen CA's.



Sommige browsermakers lijken klaar om zich op die verschillen te concentreren. Vorige week bezorgde de Mozilla Foundation, de groep die de ontwikkeling van de Firefox-browser beheert, de certificaatautoriteiten een lijst met veiligheidscontroles die in acht dagen moeten worden voltooid. Het zei dat elke autoriteit die niet aan het verzoek voldoet, door Mozilla uitgegeven certificaten als onbetrouwbaar zou kunnen vinden.

Deelname aan het rootprogramma van Mozilla is naar eigen goeddunken, en we zullen alle nodige stappen ondernemen om onze gebruikers veilig te houden, Kathleen Wilson, de programmamanager die verantwoordelijk is voor Mozilla's CA Certificates Module, zei in een e-mail aan certificeringsinstanties.

zich verstoppen