dinsdag 30 augustus 2011

Vals *.google.com certificaat uitgegeven.

Het lijkt erop dat de Nederlandse Certificate Autority diginotar.nl een vals/verkeerd certificaat voor het domein *.google.com heeft uitgegeven.
Hoewel in de gehele wereld hier niemand over klaagt gebeurt dit in Iran wel. Lees de volgende berichten op deze site: http://www.google.com/support/forum/p/gmail/thread?tid=2da6158b094b225a

Het lijkt er dus op dat de Iraanse overheid, en enkel de Iraanse overheid, voor gedurende slechts enkele uren even een 'ander' geldig certificaat van google.com online heeft gegooit om zo de nodige gegevens binnen te harken.
De reden dat bovenstaande gebruikers een foutmelding kregen is omdat zij Google Chrome gebruiken. Chrome gebruikt nog een andere manier om de certificaten te controleren, en gaf daarom de foutmelding, waarna deze gebruikers begonnen te klagen.

Inmiddels is het certificaat ingetrokken door Diginotar.nl op zijn CRL list. En schijnen de nodige mensen van Diginotar zelf in paniek te zijn.

In de tussen tijd heeft de Iraanse regering waarschijnlijk al een schat aan informatie buitgemaakt...

Ik zal proberen bovenstaand probleem in simpele woorden uit te leggen.
Op internet heb je een protocol wat ervoor zorgt dat je op een beveiligde manier met een andere partij kan communiceren. Dit zorgt ervoor dat wat jij verzend naar deze ontvangende partij alleen door deze partij kan worden gelezen, en dat wat de ontvangende partij naar jouw verstuurd alleen door jou gelezen kan worden.
De regels voor deze communicatie liggen er al, dit gaat namelijk via een public key, waarmee jij jouw gegevens encrypt en deze versleuteld naar de ontvangende partij verstuurd. Deze ontvangende partij heeft vervolgens een zogenaamde 'private' key waarmee hij deze gegevens weer kan ontsleutelen. Zo lang alleen de ontvangende partij deze sleutel bezit kan alleen de ontvangende partij deze gegevens lezen. Echter kan jij nooit weten of je nu rechtstreeks met de juiste ontvangende partij aan het praten bent, of dat je met iemand aan het praten bent die zich voordoet als deze ontvangende partij.
Om die reden zijn Certificate Autorithies in het leven geroepen. Kort gezegd vertrouwen wij allemaal deze partijen en zorgen deze partijen ervoor dat ze een zeer strikte regel geving hebben op het identificeren van hun klanten. Op dit moment, wanneer een Certificate Autorithy zegt dat een ontvangende partij de 'echte' is, gaan we daar ook maar gewoon vanuit.
Wat is nu het geval, als je in Iran naar een website met *.google.com surft, waaronder dus ook Gmail valt, zegt deze server "Vraag maar aan diginotar.nl of ik echt ben" het antwoord van diginotar is in dit geval "Ja *.google.com is de juiste persoon, ik vertrouw hem". En vervolgens begin jij al je vertrouwelijke informatie aan deze server te vertellen. Waaronder jouw email adres + jouw wachtwoord. Nadat je hebt ingelogd laat je deze server ook nog even al je mail lezen. En de Iraanse overheid is dus nu mogelijk in het bezit van al deze gegevens. En zoals je weet in Iran, kan dat in het slechtste geval je je kop kosten.

De aanval die hier gebruikt wordt is een Man-in-the-Middle attack. De aanvaller plaatst zichzelf tussen de 2 partijen, jij verstuurd jouw gegevens naar de Man-in-the-Middle, deze leest jouw gegevens en slaat ze op, en verstuurd vervolgens jouw gegevens door naar de ontvangende partij. De ontvangende partij verstuurd vervolgens het antwoord weer naar de Man-in-the-Middle, deze slaat weer alle gegevens op, en verstuurd het antwoord vervolgens ook weer door naar de ontvangende partij zodat deze totaal niets door heeft verder.

4 opmerkingen:

  1. Thanks blackhatthacker@gmail.com for the great and perfect hack service you provided for me. helping check on my husband's infidelity. She helped me hack his cell phone number and I was a blessing to listen to every calls in real time and also provided his email password, redirected his whatsApp messages and I was also reading all his chats with his mistress and text messages. It was all worth the time. I know there are many people like me out there. Contact her directly via email blackhatthacker@gmail.com

    BeantwoordenVerwijderen