Elke Certificatieautoriteit in gevaar ?

GlobalSign ondertekent tot nader order geen beveiligingscertificaten meer. De multinational wil eerst onderzoek uitvoeren en zal weer certificaten uitgeven als duidelijk is geworden dat het netwerk en infrastructuur van de certificaatautoriteit (CA) niet is gecompromitteerd.

Gisteren publiceerde de zogenaamde ‘Comodohacker’ verschillende nieuwe berichten op Pastebin. Hierin claimde hij, naast DigiNotar, nog vier andere certificaatautoriteiten (CA’s) te hebben gehackt, waaronder GlobalSign. Het concern onderzocht onmiddellijk de eigen logfiles en besloot een paar uur later voorlopig geen nieuwe certificaten uit te geven.

‘GlobalSign takes this claim very seriously and is currently investigating. As a responsible CA, we have decided to temporarily cease issuance of all Certificates until the investigation is complete. We will post updates as frequently as possible’, meldt het bedrijf. 

Alhoewel de beslissing aanleiding geeft tot wilde speculaties over een mogelijke cyberaanval op het bedrijf, prijzen verschillende experts de maatregel.

‘Major props to GlobalSign for taking hacking claims seriously’,  tweet HD Moore, secuitychef van Rapid7 en architect van hackertoolkit Metasploit. ‘Good call’,  vindt ook Mikko Hypponen, hoofdonderzoeker bij securityconcern F-Secure.  Volgens Netcraft geeft GlobalSign zo’n 200 tot 250 certificaten per dag uit.

GlobalSign heeft het Delftse securitybedrijf Fox-IT, dat ook de DigiNotar-hack analyseert, ingehuurd om een mogelijke cyberaanval op zijn infrastructuur te onderzoeken. ‘Today, GlobalSign has officially announced the appointment of Fox-IT to assist with investigations into the claimed breach. Fox-IT is the Dutch cybersecurity experts hired to investigate the compromise of the Dutch CA DigiNotar and therefore already have a wealth of current knowledge and experience of the hacker’, zo schrijft GlobalSign in een verklaring. In een update later verklaart het bedrijf dat ‘The appointment of Fox-IT is a precautionary measure as we continue to assess the Comodohacker’s claims’.

Ronald Prins, directeur van Fox-IT, bevestigt de aanstelling, maar wil (terecht) geen details kwijt over waar en wanneer zijn team aan de slag gaat in het netwerk van GlobalSign. GlobalSign is vergelijkbaar met DigiNotar, alleen vele maatjes groter. De SSL-autoriteit is onderdeel van de multinational GMO Internet Group, met vestigingen in de VS, Japan, Engeland en België.

Het aanstellen van Fox-IT levert meer voer voor speculaties dat ook het netwerk van GlobalSign mogelijk is gecompromiteerd door de Comodohacker. Gezien de details die deze online publiceert wordt ervan uit gegaan dat hij inderdaad achter zowel de hack van Comodo als DigiNotar zit. Dat maakt dat zijn claim dat hij GlobalSign en nog drie andere certificaatautoriteiten (CA’s) heeft gehackt uiterst serieus wordt genomen.

Inmiddels heeft ook de OPTA aangekondigd een onderzoek in te stellen naar de handel en wandel van DigiNotar. In 2003 heeft DigiNotar van OPTA goedkeuring verkregenom in certificaten te handelen, een zogeheten CSP-status. Die goedkeuring kan OPTA nu weer intrekken, als dat uit onderzoek nodig blijkt. Het lijkt erop dat die intrekking dichtbij is….

Share This:

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.