DigiNotar - Geschichte eines Hacks

DigiNotar Geschichte eines Hacks Maximilian Fellner Technische Universität Graz

Ein System, das uns Sicherheit vermittelt... SSL TLS & HTTPS

HTTP über SSL/TLS Erzeugung eines Session Key über asymmetrisch verschlüsselte
Kommunikation. Anschließend symmetrisch ver- schlüsselter Datenaustausch. Authentifiziert Server über dessen Zertifikat. Public Key des Servers ist in seinem Zertifikat enthalten.

Certificate Authority (Root CA) Stellt Zertifikate aus Identität des Zertifikatinhabers
offiziell bestätigt Zertifikatskette ...basiert auf einem einfachen Konzept.

Die Vorteile liegen auf der Hand. Wir wissen mit wem
wir Kommu- nizieren und unsere Daten sind verschlüsselt. Geschützt vor allen Angriffen von außen.

DigiNotar – Profil Niederländische Zertifizierungsstelle Root CA DigiNotar PKIoverheid Zwischen-CA
DigiNotar "Staat der Nederlanden" Root CA PKIoverheid: e-Government Sub-CAs…

Quelle: Black Tulip - Report of the investigation into the
DigiNotar Certificate Authority breach, Fox IT BV, 2012 (Intrusion Prevention System)

DigiNotar Certificate Authority breach, Fox IT BV, 2012

DigiNotar Certificate Authority breach, Fox IT BV, 2012 CA management Software Production Server Hardware Security Module (netHSM)

DigiNotar Certificate Authority breach, Fox IT BV, 2012 CA management Software Production Server Hardware Security Module (netHSM) ASP.NET CMS

DigiNotar Certificate Authority breach, Fox IT BV, 2012 Verzeichnis /beurs auf dem Haupt-Web server settings.aspx als rudimentärer File manager

DigiNotar Certificate Authority breach, Fox IT BV, 2012 18.06.2011 17.06.2011 Logfile Analyse 29.06.201 1 01.07.2011

DigiNotar – Der Angriff 01.07.2011 DMZ-ext-net, Office-net & Secure-net kompromittiert
10.07.2011 Erste wilde Zertifikate erstellt 19.07.2011 Automatischer Test entdeckt wilde Zertifikate Ende Juli 2011 DigiNotar ist sicher, Lage unter Kontrolle zu haben…

DigiNotar – 28.08.2011 Iranischer Gmail User berichtet über Zertifkats-Warnung in
Google Chrome Wildes Zertifikat für *.google.com Betroffene Zertifikate werden widerrufen

DigiNotar – Das Ende 03.09.2011 Niederländische Regierung & Browserhersteller widerrufen
Vertrauen in (Zertifikate von) DigiNotar 14.09.2011 Niederländische Telekombehörde OPTA beendet CA-Qualifizierung von DigiNotar 19.09.2011 DigiNotar meldet Bankrott an

Folgen des Verbrechens Gefälschtes Zertifikat für *.google.com Überwachung von Usern
durch Iranische Regierung? Insgesamt 531* gefälschte Zertifikate Niederländisches e-Government behindert *) Quelle: Black Tulip - Report of the investigation into the DigiNotar Certificate Authority breach, Fox IT BV, 2012

Zusammenfassung des Angriffs Erster Zugang über Webserver: veraltete CMS Software
Upload von Tools, Kompromittierung weiterer Systeme (u.a. Datenbank) Kontrolle der CA-Managment Software & Erstellung von Zertifikfaten IP-Adresse und OCSP-Requests aus dem Iran Folgerung: MITM-Angriff auf iranische Bürger

Gegenmaßnahmen (1) CA / Browser Forum Baseline Requirements for the
Issuance an Management of Publicly-Trusted Certificates max. Gültigkeitsdauer 39 Monate genauere Identifikation der Antragsteller Verpflichtung zum jährlichen Risk-Assessment

Gegenmaßnahmen (2) EU e-Signatur Richtlinie 1999/93/EC Vereinheitlichte Terminologie Verpflichtende Sicherheitsstandards

Gegenmaßnahmen (3) Neues PKI Konzept: Convergence CAs mit "trust notaries"
ersetzen User entscheidet, wem er vertraut Mehrere Notare benötigt, um eine Website zu validieren

Vielen Dank! Maximilian Fellner Technische Universität Graz

DigiNotar - Geschichte eines Hacks

DigiNotar - Geschichte eines Hacks

Maximilian Fellner

More Decks by Maximilian Fellner

Other Decks in Technology

Featured

Transcript