Browsers dumpen Diginotar na Iraanse Gmail-tap
Firefox, IE en Chrome doen het Nederlandse Diginotar in de ban na misbruik van een uitgegeven beveiligingscertificaat. Daarmee heeft het Iraanse regime Gmail-verkeer afgetapt.
Google waarschuwt voor het misbruik van Diginotar-certificaten. "De getroffen mensen waren vooral in Iran gevestigd. De aanvaller gebruikte een vals SSL-certificaat uitgegeven door Diginotar, een root certificaatautoriteit die geen certificaten voor Google zou moeten uitgeven (en het ingetrokken heeft)", schrijft Heather Adkins, Information Security Manager bij Google.
Na waarschuwing van de zoekgigant dumpte Mozilla direct de Diginotar-certificaten voor Firefox. En hoewel Google's Chrome het certificaat al gelijk als vals aanmerkte, schakelt ook Chrome de erkenning van Diginotar uit. "Om de veiligheid en privacy van onze gebruikers verder te beschermen zijn we van plan de Diginotar certificaatautoriteit in Chrome onklaar te maken lopende het onderzoek", aldus Adkins. Chrome- en Firefox-gebruikers krijgen een waarschuwing te zien zals ze een site bezoeken die is beveiligd met een Diginotar-certificaat.
Phishing
Ook Microsoft merkt Diginotar als onbetrouwbaar aan. "Microsoft is op de hoogte van minimaal één vals certificaat uitgegeven door Diginotar", stelt het bedrijf in een Security Advisory. Diginotar wordt vetrouwd door alle ondersteunde versies van Windows. "Ondanks dat dit geen kwetsbaarheid in een Microsoft-product is, neemt Microsoft actie om zijn klanten te beschermen."
Microsoft bevestigt dat het certificaat effect heeft op alle subdomeinen van google.com. Het kan gebruikt worden voor diverse kwaadaardige activiteiten: het spoofen van content, het uitvoeren van phishingaanvallen en man-in-the-middle aanvallen in alle browsers. Microsoft onderzoekt of er nog meer valse Diginotar-certificaten in omloop zijn. "Als voorzorgsmaatregel heeft Microsoft het Diginotar-rootcertificaat van de Microsoft Certificate Trust List gehaald."
Gebruikers van Windows Vista, Windows 7, Windows Server 2008, en Windows Server 2008 R2 krijgen een error te zien als ze surfen naar een website met Diginotar-certificaten of als ze programma's proberen te installeren die zijn ondertekend met een Diginotar-certificaat. Er komt nog een update uit voor de oudere versies Windows XP en Server 2003.
Gmail-verkeer getapt
Aanleiding is het namaken van een beveiligingscertificaat voor het domein Google.com. Daarvoor is gebruik gemaakt van de infrastructuur van Diginotar, een Nederlands bedrijf. Dat nepcertificaat stelde Iran in staat gebruikers de indruk te geven dat ze direct met Gmail verbonden waren. In werkelijkheid communiceerden ze met Googles e-maildienst via servers van de Iraanse overheid. Al het verkeer werd dus onmerkbaar getapt.
Ronald Prins, directeur bij het beveiligingsbedrijf Fox IT, denkt dat er twee waarschijnlijke scenario's zijn. Óf Diginotar heeft een forse manco in de procedures bij de uitgifte van beveiligingscertificaten, óf het bedrijf is het slachtoffer van een hack. Beide roepen de vraag op welke sites nog meer een probleem hebben.
Schrappen rootcertificaat
Diginotar is een leverancier die een waarmerk afgeeft dat garandeert dat gebruikers ook echt op de site zijn waarop ze denken te zijn. Om dat te mogen, moet de onderneming vertrouwd worden door de browserproducenten. Anders krijgt de bezoeker een waarschuwing gepresenteerd dat het waarmerk voor een website niet vertrouwd is en dus dat die site mogelijk niet de werkelijke bestemming is.
"Het gevolg zou kunnen zijn dat veel browsers het rootcertificaat van Diginotar eruit gaan gooien. Dan werken veel Nederlandse sites niet met beveiliging", zegt Prins tegenover Webwereld. Dat zou een nachtmerrie zijn, omdat de versleuteling belangrijk is voor privacygevoelige en belangrijke commmunicatie. Iets wat op dit moment dus al gebeurt bij Firefox en gaat gebeuren bij Chrome.
Gevolgen niet te overzien
Firefox stelt de gevolgen niet te kunnen overzien en zegt daarom binnenkort een update te verspreiden, waarbij Diginotar voor een deel van de waarmerkingen niet meer wordt vertrouwd. Een zogenaamd moedercertificaat (root certificate) zal dan uit de lijst van vertrouwde waarmerkers worden gehaald. Mozilla zet deze stap na briefing door Google.
Slecht voor vertrouwen
Volgens Prins is het incident slecht nieuws voor het werken met beveiligde sites via Public Key Infrastructure (PKI). "Dit brengt het algemeen vertrouwen in de PKI-wereld erg veel schade toe", zegt hij. "We weten nu dat dit van Google niet klopt en dat roept de vraag op voor welke domeinen dat nog meer geldt ."
Volgens hem mag de zaak ook niet worden onderschat. "Als het Iran al lukt om bij Diginotar in te breken, weet ik eigenlijk niet waar ze niet zouden kunnen inbreken", zegt hij en wijst erop dat er in maart een vergelijkbaar incident heeft plaatsgevonden met Gmail, met een andere leverancier van beveiligingscertificaten. In dat geval ging het om een inbraak.
Intensief gebruik overheid
Ook de overheid moet nu goed naar de procedures van Diginotar kijken. Het bedrijf heeft bijvoorbeeld ook het certificaat voor DigiD ondertekent en geeft voor PKI-overheid certificaten uit.
Het ministerie van Binnenlandse Zaken heeft al aangegeven zich daar nog geen zorgen over te maken. Het legt uit dat de procedure voor certificaten die namens de Staat der Nederlanden worden uitgegeven via een andere proces en systeem verloopt.
Diginotar was niet bereikbaar voor commentaar.
(Met aanvullende verslaggeving door Loek Essers)
Bron: Webwereld.nl