Falske Google-certifikater misbruges til hackerangreb

It-kriminelle udnytter fejl hos tyrkisk certifikatudsteder til at lokke folk ind på falske Google-domæner. Flere browserproducenter på vej med opdateringer.

Det er de seneste par uger lykkedes it-kriminelle at lokke folk ind på hjemmesider, der giver sig ud for at være Googles, men i virkeligheden bruges til lyssky gerninger som phishing og man in the middle-angreb. Det oplyser Google i et blogindlæg.

Angrebene skal for eksempel lokke kreditkortoplysninger ud af folk eller installere malware på deres pc'er.

»Sent den 24. december detekterede og blokerede Chrome (Googles browser, red.) et uautoriseret digitalt certifikat for "*.google.com"-domænet,« skriver Google, som er på vej med en opdatering til Chrome.

Det uautoriserede SSL-certifikat stammer fra den tyrkiske certifikatudsteder Turktrust, som ellers burde være til at stole på. Turktrust, som er en såkaldt root Certificate Authority, oprettede i august ved en fejl to intermediate certifikater knyttet til domænerne *.EGO.GOV.TR og e-islem.kktcmerkezbankasi.org. De to certifikater skulle have været almindelige SSL-certifikater, men i stedet blev de første af de to udnyttet til at oprette det falske certifikat.

Microsoft, der også har et vågent øje på sagen, oplyser i en meddelelse:

»Microsoft er bekendt med aktive angreb, der benytter et falsk digitalt certifikat udstedt af Turktrust Inc., som er en CA (certifikatudsteder, red.) i Trusted Root Certification Authorities Store. Det falske certifikat kan bruges til at spoofe indhold, gennemføre phishing-angreb eller man in the middle-angreb. Dette rammer alle supporterede udgaver af Microsoft Windows.«

Microsoft lover derfor en en opdatering af sin Certificate Trust List, hvilket skulle være på vej ud til Windows-brugerne.

Også Mozilla, der står bag Firefox-browseren, har blokeret for Turktrust-certifikaterne.

Følg forløbet

Kommentarer (9)

Peter Makholm

Er det ikke snart på tide at vi både dropper tilliden til at vi kan fikse CA systemet ved at black-liste certifikater efter nogen indser at de er blevet kompromiteret?

Er det ikke snart på tide at vi tager os samme til for alvor at øge sikkerheden i CA-systemet?

Er det ikke på tide med lidt nytænkning, eller i det mindste bare for alvor at få indført DNSSEC og DANE som midlertidige foranstaltninger?

Nicolai Hansen

"[til at] lokke folk ind på hjemmesider" - Et uautoriseret certifikat kan vel ikke bruges til at lokke folk ind på en side? Det kan bruges til MitM, men hvordan "lokker" man med det? Og hvis man har mulighed for at lave et MitM angreb, h

"Turktrust, som ellers burde være til at stole på" - Eller burde de? Hvorfor burde man kunne stole på dem? Kom gerne med én grund :-)

"De to certifikater skulle have været almindelige SSL-certifikater, men i stedet blev de første af de to udnyttet til at oprette det falske certifikat." - Så vidt jeg kan læse mig frem til, så var det kun det éne intermediate certifikat som blev brugt til at lave 42 falske "Google" certifiketer (*.android.com, *.google.tld <-- hvor tld er en masse forskellige tld'er).

"Dette rammer alle supporterede udgaver af Microsoft Windows." - Det rammer vel alle OS (det burde det)? Og gad vide hvor hurtige, eller langsomme, Apple er denne gang til at løse det, sidst gang (DigiNotar) var de jo historisk langsomme selvom certifikatet aktivt blev brugt til at spionere.

Yderligere kunne man jo kigge på den smarte "certificate pinning" teknik som Chrome bruger - endnu en gang har den opdaget et angreb (gad vide hvor lang tid der ellers ville være gået, før nogle ville fatte mistanke?)

Thue Kristensen

It-kriminelle udnytter fejl hos tyrkisk certifikatudsteder til at lokke folk ind på falske Google-domæner. Flere browserproducenter på vej med opdateringer.

Jeg har ikke læst nogle steder andre end Version2 at *.google.com-certificatet skulle være blevet misbrugt. En hurtig Google-søgninger tyder på at det ikke er tilfældet. Hvad er jeres kilde?

TurkTrust siger direkte at

The available data strongly suggests that the *.google.com cert was not issued for dishonest purposes or has not been used for such a purpose.

martin nyhjem

Jeg vil tro det er fra blog siden de har deres fakta:

Link: http://googleonlinesecurity.blogspot.ca/2013/01/enhancing-digital-certif...

"Late on December 24, Chrome detected and blocked an unauthorized digital certificate for the "*.google.com" domain. We investigated immediately and found the certificate was issued by an intermediate certificate authority (CA) linking back to TURKTRUST, a Turkish certificate authority. Intermediate CA certificates carry the full authority of the CA, so anyone who has one can use it to create a certificate for any website they wish to impersonate.
"

Nicolai Hansen

Det er fordi artiklen er et "skolebogs eksempel" som ikke sker i virkeligheden. Kreditkortoplysninger kan NEMT købes på diverse skumle sider til $5 stykket, mens et rigtigt-"falsk certifikat" er meget mere værd (altså ikke noget man ville ofre på at skaffe CC's).

Sidste gang var det den iranske regering som brugte det (DigiNotar) på at spionere på Gmail brugere.

Selvom Turktrust kommer fra Tyrkiet, så har vi (afaik) ikke fået af vide HVOR de(t) falske certifikat(er) blev brugt. Det er vist blevet ret "populært" at pege på Kina (eller diverse diktaturer), men bemærk at den liste Microsoft har publiceret hverken indeholder [*.]google.ch eller gmail.com.

Så hvis det næsten med garanti ikke er en "normal hacker" og listen ikke passer med hvad et land ville have udstedt, hvem kan det så være? P.t. peger mange beviser mod en Checkpoint Firewall som ved en fejl blev sat op med et intermediate certifikat ( https://groups.google.com/forum/#!msg/mozilla.dev.security.policy/aqn0Zm... ),

Thue Kristensen

Det er fordi artiklen er et "skolebogs eksempel" som ikke sker i virkeligheden.

Det fremgår ikke klart nok af artiklen. Artiklen skriver jo

Det er de seneste par uger lykkedes it-kriminelle at lokke folk ind på hjemmesider, der giver sig ud for at være Googles, men i virkeligheden bruges til lyssky gerninger som phishing og man in the middle-angreb.

Version2 skriver jo direkte at certifikatet ER blevet brugt til lyssky gerninger. Men det er det ikke - TURKTRUSK siger jo, at det hele var en fejl og det ikke er blevet misbrugt. Hvis det var et skolebogs-eksempel, så skulle Version2 have skrevet "potentielt er" eller "kan være", ikke "er".

Version2 skriver også at der har været "it-kriminelle" som har haft fat i det falske certificat. Det skriver TURKTRUSK jo direkte ikke er tilfældet. Ingen stedet skriver Version2 at de "it-kriminelle" bare er et "skolebogs-eksempel" eller lignende. Jeg kan ikke se hvordan du kan kalde det et "skolebogs-eksempel" hver gang Version2 hiver en udokumenteret påstand ud af den blå luft, og fremlægger den som et fact.

Nicolai Hansen

Well, artiklen er tydeligvis forkert (håber ikke du er overrasket, det er bestemt ikke første gang V2 er forkert på den). Men selvom oplysningerne om hvem/hvad er forkerte, så er hele det med at bruge et rigtigt-"falsk certifikat" til at skaffe CC's, stadig et skolebogs eksempel. Du kan finde det skrevet ned i lære bøger mange steder, men det sker ikke i virkeligheden.

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen

TDC skifter koncernchef efter faldende mobilomsætning

Jesper Stein Sandal Mobil og tele 14. aug 2015

Nyeste job

KurserStyrk dine evner med et kursus

Ingeniørfaglige kurser

Hvornår: Hvor: Efter aftale Pris: kr. Efter aftale

Adobe Photoshop Grundlæggende

Hvornår: 2015-09-15 Hvor: Storkøbenhavn Pris: kr. 9950.00

Forandringsledelse i projekter

Hvornår: 2015-12-14 Hvor: Storkøbenhavn Pris: kr. 11400.00

MSI pakker. Grundlæggende

Hvornår: 2015-09-23 Hvor: Østjylland Pris: kr. 14000.00

Master i gymnasiepædagogik

Hvornår: Hvor: Fyn Pris: kr. Efter aftale