Diginotar mag zelf geen certificaten meer uitgeven, maar vertrouwde nog wel op eigen certificaten voor zijn website. Die certificaten staan nu wereldwijd op zwarte lijsten. Het gehackte Nederlandse bedrijf heeft er nu voor gekozen om de certificaten van Comodo te gebruiken. Een Nederlandse hacker, Anthraxium-64, heeft dit opgemerkt.

Comodo-hack

Saillant detail is daarbij dat de beveiligingscertificaten van Comodo eerder dit jaar ook zijn vervalst en gebruikt in phishing-aanvallen. De dader van die kraak, bij een Comodo-partner, zou dezelfde Iraanse hacker zijn die heeft ingebroken bij DigiNotar.

Via de frauduleze certificaten, die technisch gezien geen vervalsing zijn, kan een aanvaller beveiligd dataverkeer onderscheppen. Dit gebeurt zonder dat het slachtoffer iets doorheeft. Zo kan bijvoorbeeld Gmail-verkeer worden afgetapt.

Man-in-the-middle

De schijnbaar beveiligde data wordt dan gelezen via een zogenaamde 'man in the middle'-aanval. Hierbij neemt de aanvaller een positie in tussen zijn slachtoffer en de site of server die wordt bezocht. De versleutelde beveiliging daartussen wordt door een webbrowser gecontroleerd op basis van een certificaat. Het frauduleuze exemplaar liegt dan tegen (browser van) de eindgebruiker over de geboden verbinding. Het verkeer kan dan wel omgeleid zijn naar een nep-site of niet direct naar de echte site gaan maar via een afluisterpunt van de aanvaller lopen.

Het nieuwe Comodo-certificaat van Diginotar.nl in detail: Klik voor groot