Tag Archives: certifikat

300 000 Googlekonton förmodligen hackade

Den 5 september utfärdade IT-säkerhetsföretaget Fox-IT en rapport om infiltreringen av holländska DigiNotars servrar, där över 500 SSL-certifikat blev fabricerade av inkräktare. Rapporten visar att cirka 300 000 IP-adresser (där var och en representerar minst en användare) har haft tillträde till hemsidor med falska Googlecertifikat mellan den 27 juli och 29 augusti. 99 % av IP-adresserna verkade härstamma från Iran.

Bland de falska certifikaten finns en stor del som kan användas för att framställa sidor identiska med Googles sidor och tjänster. Alltså har nästan 300 000 iranier fått sina Gmail-konton infiltrerade, vilket har gjort det möjligt för hackare att bland annat läsa användarnas lösenord och e-post. Säkerhetsforskare misstänker att den iranska regeringen ligger bakom attacken, eftersom flera kopplingar tidigare har gjorts mellan regeringen och försök till att avlyssna kommunikation mellan aktivister och demonstranter.

Diskussionen kring DigiNotar och deras ansvar för det som har hänt kommer knappast att vara till företagets fördel efter rapporterna som visar att DigiNotar har varit omedvetna om att hackare har kontrollerat deras servrar i veckor. Förutom bristen av en uppdaterad serverprogramvara saknade DigiNotar dessutom skyddet från ett antivirusprogram – ett enkelt sätt att förhindra att just denna typ av attacker lyckas.

Säkerhetsradion: Hur funkar certifikat och validering?

I samband med attacken mot marknadsföringsföretaget Epsilon för någon dryg vecka sedan dök jag på en del råd om att att nätsurfare ska hålla koll på det gröna adressfältet. Många webbläsare visar nämligen en grön ruta i adressfältet när en webbplats är ”validerad”, men det behöver egentligen inte betyda så värst mycket.

Därför handlar veckans podcast om certifikat och validering.

Säkerhetsradion: Comodo hackat – falska SSL-certifikat utfärdades

De senaste dagarnas stora nyhet var enligt mig intrånget hos Comodo. Vill du veta mer kan du lyssna på den här podcasten om hela affären, eller läsa TechWorlds artikel om det där de intervjuade mig.

Hackare lyckades skapa falska krypteringscertifikat för stora webbplatser!

Någon har lyckats hacka sig in hos Comodo, ett företag som bland annat levererar TLS/SSL-certifikat. Hackaren lyckades skapa egna certifikat för domänerna mail.google.com, www.google.com, login.yahoo.com, login.skype.com, addons.mozilla.org och login.live.com.

Med hjälp av certifikaten kan attackeraren utföra så kallade man-in-the-middle-attacker utan att användaren märker någonting. Användaren loggar in på exempelvis Gmail krypterat, men attackeraren (som måste ha tillgång till användarens dator, eller till datatrafiken mellan användaren och servern) kan utan problem ligga som ”mellanhand” och läsa all trafik genom att använda sitt egna giltiga krypteringscertifikat istället.

Bloggaren ioerror (Jacob Appelbaum) på The Tor Project upptäckte att både Chromium och Firefox lade till svartlistade certifikat i sina uppdateringar, utan förklaring till varför de stoppade certifikaten, eller vilka certifikat det var.

Efter ett tag uppdagades det att anledningen var att företaget Comodo hade hackats, och giltiga krypteringscertifikat hade skapats för olika välkända webbplatser. Även Microsoft har släppt uppdateringar för att stoppa de certifikat som skapades.

Mozilla och Comodo har släppt information om incidenten på sina hemsidor. Attackeraren verkar ha kommit från Iran (eller i alla fall haft en hackad dator där som han gick via).

Ioerror påpekar i sin blogg att detta visar på sårbarheten med certifikat, och hur dåligt webbläsare har implementerat återkallning av certifikat.

Tillgång till dessa certifikat är ovärderliga för exempelvis ”övervakande stater”, som obehindrat kan övervaka även krypterade anslutningar (HTTPS) och inloggningar i hela landet.