woensdag 6 juni 2012

GemNet vergeet certificaat te revoken

Op 8 December 2011 kwam in het nieuws dat een server van GemNet gehackt is. Vervelend nieuws, vooral omdat GemNet een certificaat leverancier is. In een persbericht laat KPN het volgende weten:

Daarbij wil KPN graag gebruik maken van de kennis en expertise die hiermee geboden wordt. KPN hecht er belang aan om de dialoog aan te gaan, zodat mogelijke gevoeligheden in systemen boven tafel komen. Vooral zo kan gezamenlijk een grotere veiligheidswaarborg voor internetgebruikers worden bereikt en de dienstverlening verbeterd.

Om die reden deze blog post. Zo is mij namelijk informatie toegespeeld die doet concluderen dan KPN enkele steekjes heeft laten vallen tijdens de damage control. De server voor www.gemnet.nl is direct offline gehaald en die hebben we dan ook niet meer terug gezien. Het certificaat (hieronder de private key) voor "www.gemnet.nl" is direct revoked.


Echter is men vergeten goed naar de server configuratie te kijken. Het certificaat voor "webchat.gemnet.nl" (hieronder de private key afgebeelt) was namelijk ook op deze server aanwezig en is door in ieder geval één aanvaller buitgemaakt. KPN heeft nagelaten dit certificaat in te trekken, waardoor deze geruime tijd in de handen van tenminste één hacker is geweest. Gezien het feit dat er meerdere sporen van meerdere hackers zijn aangetroffen, is deze mogelijk zelfs in handen van meerdere hackers geweest.


Het in bezit hebben van de private key van een certificaat is niet direct een gevaar. Om een succesvolle aanval met dit certificaat uit te voeren zijn meerdere niet direct praktische omstandigheden nodig. Maar het is zeker mogelijk, en zeker de certificaten van een certificaat leverancier zijn hierbij van zéér hoge waarde.
Hieronder is in het kort gedemonstreerd hoe een mogelijke aanval plaats zou hebben kunnen vinden. Waarbij de gebruiker denkt met GemNet te communiceren, terwijl dit niet het geval is.
Er is gebruik gemaakt van het certificaat voor webchat.gemnet.nl.

Bij een aanval moet te allen tijde de DNS gemanipuleerd worden. Dit kan door een host file op een systeem aan te passen (makkelijkst), de DNS servers van GemNet te hacken (moeilijkst + meest gevaarlijk), via DNS cache poisoning (meest waarschijnlijk) of op alle andere mogelijke manieren waarbij een MitM attack kan worden uitgevoerd. In dit voorbeeld is de host file aangepast.
Het certificaat is op server 192.168.81.132 geïnstalleerd.
Bij het slachtoffer systeem is in de hostfile de volgende configuratie toegevoegd:
webchat.gemnet.nl         192.168.81.132
De gebruiker opent de pagina webchat.gemnet.nl, en het onderstaande scherm zal verschijnen:


Hieronder een Youtube filmpje van deze aanval:


Ik heb dit probleem bij het NCSC aangemeld en KPN heeft direct dezelfde dag nog dit certificaat revoked. Later is besloten hierover te berichten op de eigen website, waarvoor hulde - hulde - hulde.

11 opmerkingen:

  1. ok dan hier heb ik geen kaas van gegeten. ook ik moet nog wat bij leren maar ik snap de bedoeling ervan wel heel goed. Als ik zo een certificaat in handen krijg ben ik in godmode.

    BeantwoordenVerwijderen
  2. Ben benieuwd gebruiken ze Zen of zo om die certificaten te deycrypten?

    BeantwoordenVerwijderen
  3. BlueHost is ultimately one of the best hosting company with plans for all of your hosting needs.

    BeantwoordenVerwijderen
  4. I posted this article to my favorites and intend to return to for more outstanding articles. It’s all too easy to read and comprehend and also clever post. Read http://www.ihindiwishes.com/sad-shayari-in-hindi/ & here.

    BeantwoordenVerwijderen
  5. TESTIMONY TESTIMONY TESTIMONY Hello friends!!! My name is Jeff Chandler. I want to testify of the good Loan Lender who showed light to me after been scammed by 3 different Internet international lender, they all promise to give me a loan after making me pay a lot of fees which yield nothing and amounted to no positive result. I lost my hard earn money and it was a total of $1,000.00. One day I was browsing through the internet looking frustrated when I came across a testimony of a woman who was also scammed and eventually got linked to a legit loan company called mr peter Loan Company and where she finally got her loan, so I decided to contact the same loan company and then told them my story on how I have been scammed by 3 different lenders who did nothing but to cause me more pain. I explain to the company by whattsApp (+2349063879939) you can also Email the company on their Email Address on (peterloanfirmcompany112@gmail.com (mailto:peterloanfirmcompany112@gmail.com)) and all they told me was to cry no more because I will get my loan in their company and also I have made the right choice of contacting them. I filled the loan application form and proceeded with all that was requested of me and to my greatest astonishment I was given a loan amount of $580,000.00 US Dollars at a very low interest rate of 4% by this great Company. if there is anyone who is also in need of an urgent loan should kindly whattsapp this great loan company offers on (+2349063879939) or kindly email them. (peterloanfirmcompany112@gmail.com (mailto:peterloanfirmcompany112@gmail.com)) managed by mr peter loan a God fearing man and here I am today happy because this company has given me a loan so I made a vow to my self that I will keep testifying on the internet on how I got my loan. Do you need a loan urgently? kindly and quickly contact This great company now for your loan via whattsApp +2349063879939. or Email (peterloanfirmcompany112@gmail.com (mailto:peterloanfirmcompany112@gmail.com)) and share your own testimony thanks. Peter loan company offers is a great company and they are the only loan lender who can offers you loan without collateral others are fraud. Mr peter is a very good and kind man he is a God fearing man And i believe God has sent him to come and help us so any one who is really in need of an urgent loan should contact him own and get your instant loan thanks once again. contact him on (+2349063879939). OR Email him on (peterloanfirmcompany112@gmail.com (mailto:peterloanfirmcompany112@gmail.com)) and celebrate by sharing your own great testimony too do not lose this great opportunity thanks.

    BeantwoordenVerwijderen


  6. CONTACT: onlineghosthacker247@gmail.com
    -Find Out If Your Husband/Wife or Boyfriend/Girlfriend Is Cheating On You
    -Let them Help You Hack Any Website Or Database
    -Hack Into Any University Portal; To Change Your Grades Or Upgrade Any Personal Information/Examination Questions
    -Hack Email; Mobile Phones; Whatsapp; Text Messages; Call Logs; Facebook And Other Social Media Accounts
    -And All Related Services
    onlineghosthacker Will Get The Job Done For You
    onlineghosthacker247@gmail.com
    TESTED AND TRUSTED!!!

    BeantwoordenVerwijderen
  7. My life was falling apart, I was being cheated and abused, I had to know the truth and needed proof. I contacted a private investigator that linked me with onlineghost who took care of the hack job. He hacked his iPhone,Facebook,Instagram, Whats app, twitter and email account. I got all I wanted as proof . I”m glad i had a proven truth he was cheating . Contact him for any hack job. Tell him i referred you to him, he will surely meet your hack need. Contact: onlineghosthacker247@ gmail .com

    BeantwoordenVerwijderen

  8. Een hacker heeft me geholpen de WhatsApp, e-mails en alle sms-berichten van mijn vrouw en alle verwijderde berichten van de afgelopen zes maanden te bespioneren, je kunt hem een ​​bericht sturen via dit nummer (+13852501115) of contact met hem opnemen via e-mail op brillianthackers800 @ gmail.com

    BeantwoordenVerwijderen
  9. Hi Everyone!

    We have USA fresh & Verified SSN Leads with best connectivity score
    All info checked & genuine

    Info in LEADS
    First Name | Last Name | SSN | Dob | DL Number |Address | State | City | Zip | Phone Number | Account Number | Bank NAME

    *Price for SSN lead $2
    *You can ask for sample before any deal
    *If anyone buy in bulk, we can negotiate
    *Sampling is just for serious buyers

    ==>ACTIVE & FRESH CC FULLZ ALSO AVAILABLE<==
    ->$5 PER EACH

    LIMITED DATA AVAILABLE
    ->Hope for the long term deal
    ->Interested buyers contact me fast

    Whatsapp > +923172721122
    Email > leads.sellers1212@gmail.com
    Telegram > @leadsupplier
    ICQ > 752822040

    BeantwoordenVerwijderen
  10. Hello everyone I want to introduce you guys to a group a private investigators who can help you with information you need in any situation in life and they are ready to follow you step by step until your case is cleared just contact +17078685071 and you will happily ever after
    Premiumhackservices@gmail.com

    BeantwoordenVerwijderen
  11. **SELLING SSN+DOB FULLZ**

    CONTACT
    Telegram > @leadsupplier
    ICQ > 752822040
    Email > leads.sellers1212@gmail.com

    >>1$ each without DL/ID number
    >>2$ each with DL
    >>5$ each for premium (also included relative info)

    *Will reduce price if buying in bulk
    *Hope for a long term business

    FORMAT OF LEADS/FULLZ/PROS

    ->FULL NAME
    ->SSN
    ->DATE OF BIRTH
    ->DRIVING LICENSE NUMBER WITH EXPIRY DATE
    ->COMPLETE ADDRESS
    ->PHONE NUMBER, EMAIL, I.P ADDRESS
    ->EMPLOYMENT DETAILS
    ->REALTIONSHIP DETAILS
    ->MORTGAGE INFO
    ->BANK ACCOUNT DETAILS

    >Fresh Leads for tax returns & w-2 form filling
    >Payment mode BTC, ETH, LTC, PayPal, USDT & PERFECT MONEY

    ''OTHER GADGETS PROVIDING''

    >SSN+DOB Fullz
    >CC with CVV
    >Photo ID's
    >Dead Fullz
    >Spamming Tutorials
    >Carding Tutorials
    >Hacking Tutorials
    >SMTP Linux Root
    >DUMPS with pins track 1 and 2
    >Sock Tools
    >Server I.P's
    >HQ Emails with passwords

    Email > leads.sellers1212@gmail.com
    Telegram > @leadsupplier
    ICQ > 752822040

    THANK YOU

    BeantwoordenVerwijderen