Digitale handtekeningen van Microsoft gestolen

Microsoft heeft een waarschuwing de deur uit gedaan waarin staat dat hackers bijna twee maanden geleden een tweetal digitale certificaten met de naam van Microsoft eronder hebben weten te bemachtigen. Deze zouden gebruikt kunnen worden om een virus of trojan horse te vermommen als officiëel veilig verklaarde software afkomstig van Microsoft. De fout ligt in dit geval bij VeriSign, het bedrijf dat de certificaten uitdeelt. Pas na het zetten en terugsturen van de digitale stempel werd bij Microsoft om bevestiging gevraagd. Toen deze na weken wachten nog niet binnen was rook men onraad, maar toen was het al te laat. De certificaten staan nu op de blacklist en Microsoft komt binnenkort met een update die misbruik ervan moet voorkomen. Volgens een woordvoerder is dit de eerste keer dat een vals certificaat in omloop is:

"We screwed up in issuing the certificate," de Silva said. "However, our second-stage fraud protection caught that mistake. We are not trying to shift the blame." The two certificates represent the first time VeriSign has falsely issued such codes, de Silva added, noting that the company has handed out more than 500,000 certificates. "Class 3" certificates come with up to $100,000 in liability protection for the customer--in this case, Microsoft.

[...] "If it was someone with a purpose in mind, then six weeks is a long time to do something," he said. If the attacker wanted to compromise a company or a government agency by creating forged Microsoft-signed certificates, the damage may already be done.

"If the job was to install a sniffer, then there could be a zillion backdoors as a result of it," Thompson said. A sniffer allows an intruder to grab everything typed by a person on a computer, including passwords, and usually leads to a total compromise of security.

Er wordt aangeraden om Microsoft software getekend op 29 of 30 januari van dit jaar niet te downloaden en installeren. Bedankt pierce voor de tip.

Lees meer

Reacties (57)

Zpottr 23 maart 2001 11:41

Sorry, maar het Microsoft Sucks gaat hier ten dele wel op. In de RFC's die gaan over comunicatie beveiligd met certificates staat dat clients voor acceptatie moeten checken of het certificaat in kwestie niet op een lijst van ingetrokken certificaten staat. Dit is alleen maar een probleem omdat MS altijd heeft verzuimd deze check in te bouwen (net als een groot deel van de concurrentie overigens).

Des te slordiger, als je bedenkt wat ze allemaal van plan zijn met hun .NET-gedoe. Dat zou ook dichtgetimmerd moeten worden met vergelijkbare technieken, en je kunt alleen maar hopen dat ze zich dan wel an de 'regels' houden. Fijn he, dat closed source?

Onno @Zpottr • 23 maart 2001 18:06

Dit is alleen maar een probleem omdat MS altijd heeft verzuimd deze check in te bouwen

...en wat zie ik bij de opties van IE?

"Controleren of de server een certificaat heeft ingetrokken"
en
"Controleren of de uitgever een certificaat heeft ingetrokken"

Leuke opties he? Precies waarvan jij beweert dat ze ontbreken.

Verwijderd @Zpottr • 23 maart 2001 11:48

daarom is dit microsoft zn fout??
beetje vage uitleg. Ik vind wel dat je deels gelijk hebt, maar dit heeft echt helemaal NIETS met MS te maken.

Rukapul @Verwijderd • 23 maart 2001 13:31

Dit heeft wel met MS te maken. Op het moment dat jouw computer een certificaat ontvangt controleert hij of het certificaat getekend is door een bekende Certificate Authority. Daarnaast is het goed gebruik om te controleren of het certificaat inmiddels ingetrokken (revoked) is. Dat gebeurd door regelmatig CRL's Certificate Revocation Lists te downloaden waarop alle ingetrokken certificaten staan. Blijkbaar zit er in de MS implementatie geen support om automatisch dergelijke CRL's te updaten.

Verwijderd @Verwijderd • 23 maart 2001 11:50

Inderdaad, MS is in deze net zo goed slachtoffer als de rest door een f#ckup van een derde partij.

Zpottr @Verwijderd • 23 maart 2001 13:35

Als je bewust een feature als RCL's (Revoced Certificate Lists) niet inbouwt in je software, dan zorg je ervoor dat dit soort fouten grote gevolgen kunnen hebben. Het is echt niet voor niets dat de RFC voorziet in een mogelijkheid een 'gestolen' certificaat in te trekken!

De huidige implementatie zorgt er voor dat een certificaat, zogauw het 'in the wild' is, nooit meer teruggetrokken kan worden, behalve door software-updates. En hoe weet je dat je die update kunt vertrouwen? Juist...

Het half implementeren van een certificate-based authenticatiemethode geeft slechts een beetje schijnveiligheid en is zo geen haar beter dan het niet gebruiken van authenticatie.

0siris @Zpottr • 23 maart 2001 12:06

closed source is niet per definitie slecht, alleen doet microsoft het nogal slecht door zich in een hoop gevallen NIET aan de betreffende RFC's houdt.

In het tijdperk waarin we nu leven zou je verwachten dat elk zichzelf respecterend OS bouwer dit soort handtekeningdingen toch wel op de juiste manier geimplementeerd heeft.

Ik zal niet beweren dat ik microsoft goed ken, maar ik vrees dat dit nog niet voorbij is...

Vorlon 23 maart 2001 11:27

En als mensen nu dat vinkje van "Altijd alles van deze firma accepteren" aan hebben staan vraagt windows volgens mij helemaal er niet meer naar; dan wordt het gewoon geinstalleerd..... Of ben ik nu helemaal mis

Atomsk @Vorlon • 23 maart 2001 11:42

Weet ik niet zeker, maar in de praktijk zal het echter nog niet meevallen zo'n sniffer plugin bij veel mensen te installeren. Je moet dan eigenlijk eerst inbreken bij een bekende site (Yahoo ofzo) en de HTML daar aanpassen om je backdoor te installeren.
Met een paar homepages bij Geocities kom je niet zo ver.

mth @Atomsk • 23 maart 2001 12:18

Het is genoeg om de DNS server van een willekeurige provider te kraken. Niet lang geleden was er een exploit in bind ontdekt, een veelgebruikte DNS daemon. Mensen denken dan dat ze op microsoft.com zitten, maar in feite downloaden ze van een andere site. Die andere site kan een proxy server zijn die alle documenten van Microsoft ongewijzigd doorgeeft, behalve een paar ge-infecteerde downloads.

Zpottr @Vorlon • 23 maart 2001 11:37

Nee, gelukkig niet; dat gaat alleen op voor een specifiek certificaat. Het is verkeerd verwoord in de dialog box. Tja, het moet allemaal wel simpel natuurlijk he?

Verwijderd 23 maart 2001 11:46

Dat zoeits kan gebeuren snap ik echt volledig niet. Verisign weet lijkt mij als geen ander wat voor schade het kan aanrichten als ziets als dit gebeurt.
Ik stond met mn mond wijd open van verbazing toen ik dit las...
Ik hoop dat er snel een update komt, zodat dit leed mischien verholpen kan worden.
Maar dan is nog niet alles verholpen, standaard internetters komen dit bijna niet te weten, en als ze het al weten, zullen ze waarschijnlijk geen patch downloaden. Dit kan dus erg grote gevolgen hebben.

Laten we hopen dat de onderschepper manieren heeft en een hele leuke week gehad heeft, maar er niets mee doet, het zal mij benieuwen.

Crazy D @Verwijderd • 23 maart 2001 11:59

Dat zoeits kan gebeuren snap ik echt volledig niet. Verisign weet lijkt mij als geen ander wat voor schade het kan aanrichten als ziets als dit gebeurt.

Tjah, foutje is menselijk, zullen we maar zeggen. Maar dit is natuurlijk wel een serieuze fout

Hopen dat er niet al diverse "windows updates" gedaan zijn die eigenlijk "install sub7" blijken te zijn...

Tjah en dat het MS is die nu de pineut is, zal wel niet helemaal toeval zijn. Een hacker (of whoever dit was die die signature nu in bezit heeft) heeft natuurlijk weinig belang bij een certificate van een of andere kleine toko, met MS kun je echt "leuke" dingen gaan doen, dus da's veel intressanter om te bemachtigen.

raptorix 23 maart 2001 11:21

Niet netjes van verisign die toch als doel heeft om mensen een veilig gevoel te geven bij installatie bestanden, zeker in geval van Microsoft had men wel wat allerter mogen zijn. Ik betwijfel of men echt iets met deze certificaten kan immers, 99% van de downloads van MS gaat via hun eigen site, in dat opzicht denk ik dat de schade dus wel meevalt.

Verwijderd 23 maart 2001 11:22

Lekker slim van VeriSign. Is het niet eens een fout van Microsoft dan doet een ander bedrijf het wel. Ik denk dat een hoop bedrijven nou wel naar een ander bedrijf zullen gaan.

Laten we maar hopen dat er niet te veel hackers deze handtekeningen zullen misbuiken, anders is het hek van de dam. Er zijn altijd wel mensen die zomaar op ja klikken voordat ze eigenlijk lezen wat ze installeren. Kijk maar naar de hoeveelheid mensen die een attachment in Outlook openen zonder te kijken wat het is.

De nieuwe virusmakerij is weer in vollegang

Verwijderd 23 maart 2001 11:19

Als het hiermee idd mogelijk wordt om op een "trusted" manier software te installeren dan zijn de hack mogelijkheden oneindig..

Let's hope there fast with update..

raptorix @Verwijderd • 23 maart 2001 11:22

Je zult toch eerst iets moeten downloaden wat op iets van MS lijkt, als je op www.hackerz.ru een IE5.5 patch gaat halen dan ben je denk ik niet handig bezig

Zpottr @raptorix • 23 maart 2001 11:45

Tuurlijk. Allen wie garandeert jou dat de verbinding die jij met 'microsoft.com' hebt niet compromised is? Err bestaan genoeg attacks die ervoor zorgen dat jij denkt dat je van microsoft.com aan het downloaden bent terwijl het in werkelijkheid van hackerz.ru afkomstig is. Simpelste voorbeeld: jij hebt een share openstaqan (niet ongebruikelijk bij MS-gebruikers) en iemand past jouw host-list aan. Jammer dan.
Precies het soort problemen dus dat dit soort certificaten zou moeten oplossen

Bikkeltje @Zpottr • 23 maart 2001 11:52

In principe zou dat niet kunnen werken, omdat hosts in een vastgelegde volgorde worden resolved.

Als er in de netwerk instellingen een DNS server wordt opgegeven, dan is de volgorde DNS,Hosts file. Naar mijn weten kan via een openstaande share nog geen tcp/ip instellingen gewijzigd worden.

mth @Zpottr • 23 maart 2001 12:27

Simpelste voorbeeld: jij hebt een share openstaqan (niet ongebruikelijk bij MS-gebruikers) en iemand past jouw host-list aan.

Het beveiligingsprobleem in SMB waar je naar verwijst gaat alleen over het aanpassen van de netbios naar IP mapping, je kunt er geen internet host names mee aanpassen. Stel je hebt een lokaal netwerk met daarop de computers "jantje" en "pietje". Als file and printer sharing openstaat vanaf het internet, kan iemand "jantje" wijsmaken dat "pietje" op een heel ander IP adres zit, niet op het lokale netwerk maar op een willekeurige plaats op het internet. Maar die aanpassing geldt alleen voor file and printer sharing (SMB), niet voor host names zoals je die in je browser intikt ("pietje.com" kan niet worden aangepast).

.oisyn Moderator Devschuur® @Zpottr • 23 maart 2001 12:34

nope, het is andersom, dus eerst de host file en dan de DNS

probeer het maar uit

en mth, heb jij het ook over die hosts file?
dan klopt het niet wat je zegt, want hosts zijn op deze manier wel degelijk te wijzigen

Ulysses @raptorix • 23 maart 2001 11:43

weet je hoeveel mensen wellis www.mircosoft.com intikken? tis maar een voorbeeld...
Of mensen die over ICQ gaan blaten dat het een gelekte patch is... nee, distributie is eht probleem niet, alles lijkt helemaal te kloppen als de juiste certificaten erbij zitten...

DMT @Verwijderd • 23 maart 2001 21:16

Het zou wat zijn zeg als ze die handtekening gaan gebruiken in een proggie die zich dan voordoet als 'de beloofde patch" die Microsoft hierbij aankondigt.

Dennizz 23 maart 2001 11:21

hoe kan zoiets nou gebeuren, beetje grote blunder lijkt mij

dit is iig niet goed voor de reputatie (die ze al niet al te best hadden onder sommige mensen )

zo'n fout maken ze niet nog eens hoop ik, is er trouwens misbruik gemaakt van die certificaten?

Verwijderd @Dennizz • 23 maart 2001 12:29

zoals wordt gezegd in het newsitem ligt de fout bij VeriSign, dusseh met die reputatie zal het dus eigenlijk wel mee moeten vallen, hoewel er dus blijkbaar mensen zijn die (graag?) lezen dat het de fout van MS is.

Dennizz @Verwijderd • 23 maart 2001 12:49

ik zeg niet dat het de fout van microsoft is, maar wel lullig dat t bij hun is, veel mensen zullen hier ook geen betere gedachten van microsoft van krijgen, zoiets heeft alleen maar negatief effect...

TheGhostInc @Dennizz • 23 maart 2001 23:36

Dat is denk ik ook de reden dat VeriSign erg snel zegt dat het hun fout is, als ze daar iets te lang mee wachten, dan gaat M$ ook nog problemen geven (als ze niet al een schadeclaim hebben gezet, of zelfs gekregen).
Dit geeft weer mooi aan dat je niet altijd hoeft te hacken, maar dat soms gewoon simpel op andere manieren ook al veel toegang verkregen kan worden.
(menselijk falen blijft HET probleem)

KMK 23 maart 2001 11:23

Wat kut dat het nu bij Microsoft weer moet gebeuren....

Deze fout is dus zeker bij VeriSign gemaakt en het had netzo goed een ander bedrijf kunnen treffen...
Dus roep nu niet weer gelijk Micro$oft suck etc.

QuarK @KMK • 23 maart 2001 12:16

En wie zegt dat VeriSign al niet eerder zulke fouten heeft gemaakt?
Bedenk wel dat MS de waarschuwing heeft verzonden, niet VeriSign..

Ik kan me voorstellen dat bedrijven liever sneaky een blacklist aanbrengen via een update, dan in public bekennen dat er een major security hole op straat ligt..

Toch wel netjes van MS..

Ronald 23 maart 2001 11:47

Slordig ja, maar 2 fouten op de 500.000 is gewoon waanzinnig weinig! dat het toevallig Mickey$oft treft ja.. shit happens.

Verwijderd @Ronald • 23 maart 2001 11:58

Inderdaad slordig, maar dan van beide partijen. Het is alleen wel zo dat MS de veiligheid van hun systemen altijd al slecht voor elkaar had. Kijk maar naar de gekloot met outlook. En nu dit weer. Misschien dat nu eindelijk eens een bedrijf MS voor de rechter daagt en zo afdwingt dat ze iets goed beveiligen en zich aan de RFC`s houden

Verwijderd @Verwijderd • 23 maart 2001 12:02

Het is alleen wel zo dat MS de veiligheid van hun systemen altijd al slecht voor elkaar had.

Je bedoelt dat MS het heeft uitgelokt? Lijkt me niet.

Verwijderd @Verwijderd • 25 maart 2001 10:43

Goeroe, lees het verhaal van Onno. Dan zie je dat er dus wel degelijk gechecked kan worden op certificaten!

Verwijderd @Verwijderd • 23 maart 2001 15:44

Nou, eigenlijk dus wel hoor.
Als een bedrijf (welk bedrijf dan ook) geen gebruik
maakt van de mogelijkheid van het revoken van
certificaten (of certificaten gewoon een kort(ere) levensduur toekennen, is dat eigenlijk
ERG dom.

Het is m.i. te vergelijken om het password
van een administrator in een envelop te stoppen en dan nooit meer dat password te wijzigen (inclusief nieuwe enveloppe) en nooit meer na te gaan wie er toegang
heeft tot die enveloppe.

En dan durven ze (MS) nog te eisen dat je tijdens
MCSE-vragen daar wel aan moet denken ;-)

Verwijderd @Verwijderd • 25 maart 2001 18:37

Ja, MAAR:
Die opties staan standaard UIT!
Dus....moet je als gewone gebruiker maar aan denken om die AAN te zetten......

Vergelijk met het feit dat WindowsScriptingHost standaard aan cq geinstalleerd staat....
Daar hebben de makers van vele virussen ook
gebruik van gemaakt.

Ulysses @Ronald • 23 maart 2001 11:52

hoge bomen enzo

beetje tegenwind...

Verwijderd 23 maart 2001 20:51

sorry hoor dat ik ff een heel ander onderwerpje aanspreek,

we hadden het net over het imago van VeriSign. Maar denk ns na over M$, mensen die normaal nadenken en een beetje neutraal naar deze kwestie kijken zullen zeggen fout van VeriSign, maar der zijn natuurlijk allemaal mensen die het imago van M$ weer naar beneden proberen te halen.

hetgene wat ik probeer te zeggen is dat M$ er waarschijnlijk veel meer onderlijd dan VeriSign.

Op dit item kan niet meer gereageerd worden.

Digitale handtekeningen van Microsoft gestolen

Lees meer

Reacties (57)

Sorteer op:

Weergave: