Diginotar-hack ondermijnt Windows Update

Inmiddels is de lijst van ten onrechte uitgegeven certificaten gegroeid van 247 naar ruim 530 certificaten. Daar zitten ook hele algemene 'domeinen' tussen als *.*.org en *.*.com. Maar ook blijken er veel sites met informatie voor dissidenten tussen te zitten.

Uit nieuwe gegevens blijkt verder dat niet alleen voor het domein van Microsoft en Windows Live certificaten zijn uitgegeven door Diginotar. Ook voor Windows Update is een certificaat aangemaakt. Eerder was al duidelijk dat de aanval zich ook op het Mozilla- en Tor-project richt.

Eigen Windows Update?

Het toevoegen van het certificaat lijkt vooral te zijn gedaan voor een eigen Windows Update. Want om daadwerkelijk updates te kunnen genereren zal ook een digitale handtekening van Microsoft nagemaakt moeten worden. Maar voor het ondertekenen van software wordt ook gewerkt met SSL-certificaten.

De infrastructuur laat de mogelijkheid open om ook derde partijen software te laten ondertekenen. Wie op basis van nepcertificaten deze infrastructuur vervangt, kan vervolgens ook onechte versies van updates verspreiden. Overigens betekent het bestaan van het valse certificaat nog niet dat dit ook gebeurt.

Bronnen melden aan NU.nl dat er harde indicaties zijn dat Iran geen misbruik van Windows Update is gemaakt. Dat zou onder andere blijken uit het onderzoek dat bij de dochter van Vasco Data Security is uitgevoerd.

Navraag bij experts leert dat het niet triviaal is om Windows Update in het westen te misbruiken. Dat komt omdat voor een succesvolle aanval ook DNS moet worden gekraakt. Door de hoeveelheid aan provider en de open infrastructuur is dat relatief lastig om te doen. DNS is nodig om de indruk te wekken dat certificaten die Microsoft zelf uitgeeft ook daadwerkelijk bij het bedrijf vandaan komt. Daarom is een scenario van een aanval vooral een risico in landen waar de overheid de verbindingen controleert.

Verstrekkende gevolgen

"Wat je nu ziet gebeuren is dat de mogelijk zeer verstrekkende gevolgen van een vervalst certificaat zichtbaar worden", vertelt Rachel Marbus onderzoeker aan de Universiteit van Tilburg en bestuurslid bij het Platform voor Informatiebeveiliging. Volgens haar zal het feit dat een certificaat is vervalst mensen niet veel zeggen. "Maar stel je voor dat het een persoon of een land zou lukken om met een vals certificaat de gebruiker van Windows te laten denken dat hij een update van zijn software verkrijgt bij de echte Microsoft website. Daarmee kan toegang worden verkregen tot de computers van zeer veel gebruikers."

"Uiteindelijk gaat het daarbij om een dubbel negatieve situatie. Ten eerste loopt de gebruiker het gevaar dat zijn computer met een niet van Microsoft afkomstige update "besmet" raakt", verzucht ze. "Maar wellicht nog veel erger is het feit dat gebruikers die denken goed te doen en netjes een update doen als dat nodig is, onveilig blijken te zijn."

Extra alert worden

"Let wel, het gaat vooralsnog om een hypothetische situatie. Maar het zal ons allen extra alert moeten maken. Binnen de informatiebeveiliging proberen wij immers al jaren mensen duidelijk te maken dat ze vooral tijdig hun computers moeten updaten", stelt ze verder. "Wat als je daar nu ook al niet meer op kan vertrouwen?"

Ze benadrukt dat Microsoft ook een tweede laag van beveiliging heeft en dat nog niet duidelijk is of ook die van valse certificaten is voorzien. "Maar het enkele geval dat ook het certificaat van de Windows Update nader bekeken wordt, maakt wel dat duidelijk is dat het hele Diginotar verhaal zeer grote impact heeft op de hele internetsamenleving."

Nooit meer vertrouwen

Het Tor-project is door de Nederlandse overheid ingelicht. Voorman Jacob Applebaum heeft ondertussen in een blog-posting een toelichting gegeven. Hij adviseert een aantal uitgevers van certificaten niet meer te vertrouwen:

DigiNotar Cyber CA

DigiNotar Extended Validation CA

DigiNotar Public CA 2025

DigiNotar Public CA - G2

Koninklijke Notariele Beroepsorganisatie CA

Stichting TTP Infos CA

Bron: Webwereld.nl