Beste bezoeker,

Wij zien dat u een adblocker gebruikt die ervoor zorgt dat u geen advertenties ziet op computerworld.nl. Dit vinden wij jammer, want computerworld.nl is mede dankzij deze advertenties gratis toegankelijk. Wilt u een uitzondering maken voor computerworld.nl door deze te whitelisten?
!
Welkom op computerworld.nl! Wist u dat u met een gratis Insider-account altijd op de hoogte blijft over al het nieuws, achtergrondartikelen, opinies, interviews en events rondom IT? Schrijf u nu gratis in »
  •  
  •  
0 Reacties Bewaren
Beveiliging

Pas op: veel software doet aan SSL-kaping

De extreem onveilige root CA van Komodia zit niet alleen in Superfish, maar ook in talloze andere software. Varianten op SSL-kaping zijn wijdverbreid.

Het schandaal over de onveilige Superfish-adware op Lenovo-laptops breidt zich uit. De malware maakt gebruik van de SSL-onderscheppingsmodule van Komodia, die een eigen root-CA in de rootstore van Windows en browsers nestelt. Op die manier kan al het https-verkeer worden onderschept en ontsleuteld, terwijl de browser keurig een groen slotje laat zien.

Komodia-plaag

Nu onderzoekers op de zaak duiken, opent zich een beerput. Precies dezelfde Komodia-tool blijkt ook in andere software te zitten, inclusief dezelfde private sleutel, 'beschermd' met hetzelfde standaardwachtwoord 'komodia'. Verschillende security-experts komen met lijstjes van software, variërend van browserhelpers vergelijkbaar met Superfish zelf, tot tools voor ouderlijk toezicht en proxysoftware om het IP-adres te maskeren. Maar ironisch genoeg ook software die zich als adblocker of securitysoftware presenteert, zoals Lavasoft 'web protection'.

Lavasoft met zijn ironische securityclaims

Daarnaast bedient ook PrivDog, een privacytool van de CEO van certificaatreus Comodo, zich van SSL-kaping, al gebruikt het niet de library van het Israëlische Komodia, meldt Ars Technica.

Eén certificaat voor alle domeinen

De code van Komodia blijkt bovendien een rotte gatenkaas. Niet alleen wordt in alle instanties dezelfde sleutel en default-wachtwoord gebruikt, ook is er geen enkele validatie of beperking aan het aantal domeinen waarvan het SSL-verkeer kan worden gekaapt, ontdekte Filippo Valsorda, onderzoeker bij CloudFlare. Het gaat om 'alternative names', een bestaande X.509-extensie om in het certificaat ook andere (sub)domeinen toe te voegen waarvoor het certificaat geldig is. Wat blijkt? Dat staat wagenwijd open. Elk willekeurig domein dat in het 'alternative' veld van het Komodia certificaat wordt ingevoerd, wordt blind ondertekend. En de browser toont een mooi groen slotje.

Valt er dan niets te doen tegen dergelijke SSL-kaping? Nee, eigenlijk niet. Deze mogelijkheid wordt namelijk veelvuldig gebruikt door agressieve firewalls en Deep Packet Inspection-systemen, en is daarmee dus 'legitiem'. Ook certificaten 'vastpinnen', zoals Chrome al jaren doet, en Firefox sinds vorig jaar, beschermt alleen tegen Man-in-the-Middle aanvallen in het netwerk. Eenmaal genesteld in de rootstore van het besturingssysteem of de browser, zoals Komodia, slikken ook Chrome en Firefox deze valse certificaten voor zoete koek.

HP spint garen

De eerste rechtszaken tegen Lenovo zijn inmiddels een feit. Het concern komt onder publieke druk met alweer een mea culpa. Daarnaast heeft de pc-fabrikant een nieuwe tool uitgebracht die Superfish én het vermaledijde rootcertificaat automatisch verwijdert. Ondertussen slaan concurrenten een slaatje uit het schandaal. Zo komt HP met deze sneer op Twitter:

Gerelateerde vragen

Meer vragen »

Oudste boven ▾ Reacties

  • Reageren

  • Reactie bewerken

  • Misbruik melden

Er zijn nog geen reacties.

Reageer

Om een reactie te plaatsen moet u ingelogd zijn.

Preview