DigiNotar - Geschichte eines Hacks

DigiNotar - Geschichte eines Hacks

The story of the 2011 DigiNotar certificate hack (German).

F9bf9c0311137e6c4878d74cd54a8e41?s=128

Maximilian Fellner

November 05, 2012
Tweet

Transcript

  1. DigiNotar Geschichte eines Hacks Maximilian Fellner Technische Universität Graz

  2. Ein System, das uns Sicherheit vermittelt... SSL TLS & HTTPS

  3. HTTP über SSL/TLS Erzeugung eines Session Key über asymmetrisch verschlüsselte

    Kommunikation. Anschließend symmetrisch ver- schlüsselter Datenaustausch. Authentifiziert Server über dessen Zertifikat. Public Key des Servers ist in seinem Zertifikat enthalten.
  4. Certificate Authority (Root CA) Stellt Zertifikate aus Identität des Zertifikatinhabers

    offiziell bestätigt Zertifikatskette ...basiert auf einem einfachen Konzept.
  5. Die Vorteile liegen auf der Hand. Wir wissen mit wem

    wir Kommu- nizieren und unsere Daten sind verschlüsselt. Geschützt vor allen Angriffen von außen.
  6. DigiNotar – Profil Niederländische Zertifizierungsstelle Root CA DigiNotar PKIoverheid Zwischen-CA

    DigiNotar "Staat der Nederlanden" Root CA PKIoverheid: e-Government Sub-CAs…
  7. Quelle: Black Tulip - Report of the investigation into the

    DigiNotar Certificate Authority breach, Fox IT BV, 2012 (Intrusion Prevention System)
  8. Quelle: Black Tulip - Report of the investigation into the

    DigiNotar Certificate Authority breach, Fox IT BV, 2012 (Intrusion Prevention System)
  9. Quelle: Black Tulip - Report of the investigation into the

    DigiNotar Certificate Authority breach, Fox IT BV, 2012
  10. Quelle: Black Tulip - Report of the investigation into the

    DigiNotar Certificate Authority breach, Fox IT BV, 2012 CA management Software Production Server Hardware Security Module (netHSM)
  11. Quelle: Black Tulip - Report of the investigation into the

    DigiNotar Certificate Authority breach, Fox IT BV, 2012 CA management Software Production Server Hardware Security Module (netHSM) ASP.NET CMS
  12. Quelle: Black Tulip - Report of the investigation into the

    DigiNotar Certificate Authority breach, Fox IT BV, 2012 Verzeichnis /beurs auf dem Haupt-Web server settings.aspx als rudimentärer File manager
  13. Quelle: Black Tulip - Report of the investigation into the

    DigiNotar Certificate Authority breach, Fox IT BV, 2012 18.06.2011 17.06.2011 Logfile Analyse 29.06.201 1 01.07.2011
  14. DigiNotar – Der Angriff 01.07.2011 DMZ-ext-net, Office-net & Secure-net kompromittiert

    10.07.2011 Erste wilde Zertifikate erstellt 19.07.2011 Automatischer Test entdeckt wilde Zertifikate Ende Juli 2011 DigiNotar ist sicher, Lage unter Kontrolle zu haben…
  15. DigiNotar – 28.08.2011 Iranischer Gmail User berichtet über Zertifkats-Warnung in

    Google Chrome Wildes Zertifikat für *.google.com Betroffene Zertifikate werden widerrufen
  16. DigiNotar – Das Ende 03.09.2011 Niederländische Regierung & Browserhersteller widerrufen

    Vertrauen in (Zertifikate von) DigiNotar 14.09.2011 Niederländische Telekombehörde OPTA beendet CA-Qualifizierung von DigiNotar 19.09.2011 DigiNotar meldet Bankrott an
  17. Folgen des Verbrechens Gefälschtes Zertifikat für *.google.com Überwachung von Usern

    durch Iranische Regierung? Insgesamt 531* gefälschte Zertifikate Niederländisches e-Government behindert *) Quelle: Black Tulip - Report of the investigation into the DigiNotar Certificate Authority breach, Fox IT BV, 2012
  18. Zusammenfassung des Angriffs Erster Zugang über Webserver: veraltete CMS Software

    Upload von Tools, Kompromittierung weiterer Systeme (u.a. Datenbank) Kontrolle der CA-Managment Software & Erstellung von Zertifikfaten IP-Adresse und OCSP-Requests aus dem Iran Folgerung: MITM-Angriff auf iranische Bürger
  19. Gegenmaßnahmen (1) CA / Browser Forum Baseline Requirements for the

    Issuance an Management of Publicly-Trusted Certificates max. Gültigkeitsdauer 39 Monate genauere Identifikation der Antragsteller Verpflichtung zum jährlichen Risk-Assessment
  20. Gegenmaßnahmen (2) EU e-Signatur Richtlinie 1999/93/EC Vereinheitlichte Terminologie Verpflichtende Sicherheitsstandards

  21. Gegenmaßnahmen (3) Neues PKI Konzept: Convergence CAs mit "trust notaries"

    ersetzen User entscheidet, wem er vertraut Mehrere Notare benötigt, um eine Website zu validieren
  22. Vielen Dank! Maximilian Fellner Technische Universität Graz