Na DigiNotar ook GlobalSign?

[ubremoved_539]

De hacker van DigiNotar claimt ook GlobalSign en nog drie andere CA’s te hebben gehackt. Uit voorzorg staakt GlobalSign tijdelijk het verstrekken van SSL certificaten.

GlobalSign is een Europese CA, opgericht in 1996. In 2006 werd het een onderdeel van de japanse GMO Internet inc Group. Het bedrijf stelt ‘s werelds vierde grootste verstrekker van SSL-certificaten te zijn, met meer dan 140.000 verstrekte SSL server certificaten.

Op de Europese site wordt verwezen naar klanten als BT, Vodaphone, BBC, de Britse National Health Service, naast banken als ING en Fortis. Operationeel beschikt het bedrijf over een datacenter in België (gevestigd op de locatie van het voormalige Ubizen in Mechelen).

Bron: http://datanews.rnews.be/nl/ict/nieuws/ ... 728461.htm

[meon]

O-ow. De certificaten op't werk zijn dacht ik bijna allemaal van Globalsign...

[tonym]

Het gaat eigenlijk veel verder terug dan Diginotar:
Oorspronkelijk ging het eerst over Comodo, en dus na Comodo pas Diginotar.
De (Iraanse?) hacker claimt nog tot vier andere CA uitgevers toegang te hebben.
Het geval van Comodo gaat reeds maanden terug en het is verwonderlijk dat het
zolang heeft geduurd voor de andere instellingen in actie schieten (audits).
Het gaat tenslotte over het garanderen van veilige gecertifieerde verbindingen.

En voor de volledigheid toch even vermelden dat Diginotar onlangs overgenomen
werd door een notoir beveiligingsbedrijf met ook Belgische roots: Vasco Data.

[NickG]

O-ow. De certificaten op't werk zijn dacht ik bijna allemaal van Globalsign...

voorlopig nog niks aan de hand, ze stoppen gewoon met het tekenen van certificaten uit voorzorg. De dag dat ze merken ook slachtoffer te zijn heb je beter verlof

[tonym]

De "Diginotar hacker" (alias Comodo hacker) levert bewijs van CA
vervalsing en bevestigd dat hij ook toegang had tot Globalsign.

[meon]

Dat eerste verwijst naar een gezipte calc.exe (met malware in? dunno, niet verder durven openen).

[NickG]

de calc lijkt mij clean, ik heb 'm wel niet gestart
Het certificaat geeft mij een waarschuwing dat het niet geverifieerd kan worden... Het lijkt mij dus niet legitiem. Hoe is dit dan bewijs (toegegeven: ben niet echt specialist terzake)?

//EDIT: vond volgende reactie op tweakers.net

calc.exe is in ieder geval inderdaad getekend met het ontvreemde google.com certificaat. Dat had ie niet anders kunnen doen dan met de private key van dat certificaat. Dus het is of de hacker, of hij heeft het bestand ook maar gekopieerd en praat met een grote mond. Toch geef ik hem redelijk de kans dat ie ingebroken heeft.

Alleen dat wil nog niet zeggen dat al zijn andere claims geloofwaardig zijn.

Dus toch hard bewijs?

[tonym]

Het calc.exe bestand is getekend met een vervalst Diginator certifikaat.
Hij wil aantonen dat hij toegang heeft tot het vervalsen van die certificaten.

[ubremoved_539]

Meer nieuws... SSL hacker claimed Globalsign sleutel in handen te hebben.

Tot op heden blijft het bewijs uit... maar dit gaat echt niet de goede kant op.

[remus]

mailtje van Globalsign gehad:

Please read the below important message in regards to the recent Comodohacker claim against GlobalSign and other Certificate Authorities.

On September 5th, 2011 the individual/group previously confirmed to have hacked several Comodo resellers, claimed responsibility for the recent DigiNotar & Startcom hacks. In his message posted on Pastebin, he referred to also having access to 4 other high profile Certificate Authorities, and named GlobalSign as the 4th.

GlobalSign takes this claim very seriously and is currently investigating. As a responsible CA, we have decided to temporarily halt issuance of Certificates until Monday, September 12th. We deem this to be an industry wide threat due to the mention of multiple CAs. We are adopting a high threat approach to bringing services back online and we are working with a number of organisations to audit the process of reactivating issuance. We apologise for the delay and inconvenience this may cause.

We would like to take this opportunity to explain that the GlobalSign CA root was created offline, and always has been offline. Any claims of the Comodo hacker to holding a private key does not refer to the GlobalSign offline root CA.

As we continue to investigate we will be posting frequent updates on our security advisory page, please visit http://www.globalsign.com/company/press ... ponse.html for the most up to date information.

We thank our customers, and the industry as a whole, for supporting the difficult decision to halt issuance while these steps are taken.

[ubremoved_539]

Staat ook op... http://www.globalsign.com/company/press ... ponse.html

[Teebee]

En wat wil dit nu zeggen voor de dagdagelijkse zaken? (in mensentaal uitgelgd?)

[ubremoved_539]

Dat wanneer je naar een website surft waarvan het certificaat is uitgegeven door één van de mogelijk gehackte CA's (Globalsign bij naam, maar nog drie anderen), dat je niet weet of je effectief op de betreffende website terecht komt ondanks dat het typische "sleuteltje" in je browser zichtbaar is wat normaal aangeeft dat het veilig is.

Hiervoor moet de hacker wel eerst ofwel een DNS server hacken (niet eenvoudig, maar ook niet ondenkbaar zoals recent bewezen is), ofwel gewoon je lokale hosts file besmetten met een valse entry (op zich kinderspel voor zelfs scriptkiddies) zodat het adres dat je ingeeft niet bij bv. je bank terechtkomt, maar op een malafide website (die al je verkeer dus onderscgept) die gebruik maakt van een vals SSL certificaat (als de hacker dit natuurlijk heeft aangemaakt).

[lithion]

Hiervoor moet de hacker wel eerst ofwel een DNS server hacken (niet eenvoudig, maar ook niet ondenkbaar zoals recent bewezen is),

DNS is helemaal niet veilig en het is al bewezen dat het peace of cake is. Daarom dat ze DNSsec hebben uitgevonden, maar er zijn nog niet veel registrars die dat ondersteunen.