“Comodo heeft keer op keer laten zien dat het niet de verantwoordelijkheid wil nemen die een certificate authority (ca) moet hebben”, stelt Paul van Brouwershaven, cto bij Networking4all. Hij verwijst naar eerdere fouten van het bedrijf dat SSL-certificaten uitgeeft. Met die certificaten laten websites hun beveiligde https-verbindingen op authenticiteit controleren door webbrowsers. Comodo is de derde grootste ca ter wereld, na Verisign en Go Daddy.

Blind vertrouwen

Deze week nog heeft de hacker, die Comodo via een affiliate te grazen heeft genomen, geclaimd nog twee van die gelieerde bedrijven te hebben gehackt. Van Brouwershaven roept in een security-mailinglist op tot een ban van Comodo, door browsermakers als Mozilla en Microsoft.

Die vertrouwen blind op uitgegeven SSL-certificaten, ook de vervalste exemplaren die de Iraanse hacker heeft laten verstrekken door Comodo. Bovendien ontbeert het huidige certificatensysteem een algemene methode om onjuiste (zoals vervalste) certificaten snel terug te roepen of te schrappen.

“Comodo heeft verschillende gelegenheden gehad om te laten zien dat het wil veranderen”, schrijft de Nederlandse cto. Maar het bedrijf “heeft genoeg incidenten gehad om te bewijzen dat het niet in staat is om een goede ca te zijn, het brengt de hele internetgemeenschap in gevaar.”

Gebruikers de dupe

Mozilla overweegt een ban, als één van de mogelijke opties in een meerjarenplan om beveiliging te verbeteren. Ook de Amerikaanse security-guru Bruce Schneier pleit voor een volledige verwijdering van Comodo-certificaten. "Dit is niet de eerste keer dat Comodo de fout ingaat. Het veiligste voor ons als gebruikers zou zijn om het Comodo-rootcertificaat uit onze browsers te verwijderen, maar wij kunnen dat niet."

"Dat kunnen de browserbedrijven - Microsoft, Mozilla, Opera, enzovoorts - maar ik denk dat ze dat niet zullen doen", blogt Schneier pessimistisch. Hij voorziet dan namelijk aanklachten door Comodo. "Het is voor de browserbedrijven slimmer om het probleem op ons gebruikers af te wentelen."

Schadevergoeding, imago

Van Brouwershaven stelt ook een schadevergoeding voor: voor de bedrijven die gedupeerd zijn door de vervalste certificaten. Dat is dan niet slechts om het geld, maar ook om het vertrouwen te herstellen van eindgebruikers in de getroffen bedrijven. Het gaat tenslotte om een potentieel beveiligingsprobleem door een defect onderdeel, argumenteert hij, net zoals bij een auto. Terughalen en compenseren zou dan standaardprocedure moeten zijn.

“Wie vertrouwt er het gehele ca-model nog als we niet root-certificaten uit alle browsers laten halen als die certificaten van een verstrekker komen die duidelijk niet in staat is die functie goed te vervullen? Was dat niet het idee van hele ca-model: om het pressiemiddel van root-verwijdering te hebben als je je werk niet goed doet?”, vraagt Van Brouwershaven zich af.

Internet ondermijnd

Hij is niet de enige die felle kritiek uit. Andere security-experts, waaronder Paul C. Bryan, vallen hem bij. Ook de Electronic Frontier Foundation haalt uit, net als security-onderzoeker Jacob Appelbaum, van anonimiseringsdienst Tor Project die de hack (Comodogate gedoopt) aan het licht heeft gebracht.

Comodo-ceo Melih Abdulhayoğlu houdt het in een algemene blogpost van vorige week op de constatering dat de fundamentele authenticatielaag van internet onder vuur ligt. Hij noemt de succesvolle aanvallen van Iran op het daar veelgebruikte Tor Project, de geslaagde cyberinbraak bij encryptiebedrijf RSA en het door Tunesië onderscheppen van logins voor sociale netwerksites via geïnjecteerde JavaScript-code. De Comodo-ceo laat de eigen hack buiten beschouwing, die gebruikers van onder meer Yahoo Mail, Hotmail, Gmail en Skype in gevaar heeft gebracht.

Hotmail, Gmail, Skype

De hacker heeft Comodo namelijk negen vervalste certificaten laten uitgeven voor zeven internetdomeinen van onder meer Google (mail.google.com), Skype, Yahoo, Microsoft Hotmail (Live.com) en Firefox-maker Mozilla. Verkeer van en naar die websites valt hierdoor om te leiden en te onderscheppen. Dit maakt phishing-aanvallen om inloggegevens buit te maken veel makkelijker en kansrijker.

Gebruikers worden dan namelijk naar een namaaksite geleid, die beveiligd is met https en daarvoor wel een correct SSL-certificaat heeft. Webbrowsers slaan dus geen alarm: de https-verbinding wordt goedgekeurd en als ‘veilig’ weergegeven. Daarnaast is het mogelijk om op een nepsite ook malware aan te bieden, zoals met addons.mozilla.org waar extensies voor Firefox zijn te downloaden.

Politie-onderzoek VS en Italië

Zowel de FBI als de Italiaanse politie onderzoekt deze zaak nu. Het in New Jersey gevestigde Comodo is namelijk via de Italiaanse gelieerde (affiliate) SSL-verstrekker InstantSSL gehackt. Het is niet bekend of en wat de Iraanse autoriteiten doen aan deze zaak. De hacker heeft zelf herhaaldelijk verklaard niet verbonden te zijn aan de regering van zijn land of aan een bepaalde groepering.

Overigens heeft Webwereld ontdekt welke verstrekker van SSL-certificaten was gehackt en daarmee de ingang voor de SSL-vervalsing. Hoofdaanbieder Comodo meldde namelijk alleen dat “een Zuid-Europese Comodo-affiliate” was gehackt. Een kort onderzoek door Webwereld onder die affiliates leverde een offline site op voor de Italianse partner InstantSSL. Die bleek inderdaad gehackt te zijn.

De ontdekking van Webwereld is meegenomen in het uitpluizen van de hack door onder meer ceo Mikko Hypponen van securitybedrijf F-Secure en security-onderzoeker Jacob Appelbaum, die ook vrijwilliger is voor klokkenluiderssite Wikileaks.

Stilhouden

De cyberinbraak en vervalsing van SSL-certificaten is aanvankelijk stil gehouden, ook door Mozilla die met een kleine Firefox-update stilletjes de getroffen domeinen op een blacklist heeft gezet. Later is de sleutelrol van InstantSSL ook gestaafd door de hacker zelf.

InstantSSL is inmiddels weer online, maar doet geen melding van de hack. Noch op de homepage noch in de secties about en nieuws. Laatstgenoemde webpagina bevat links naar Comodo-persberichten tot eind augustus 2009.

Ook Comodo zelf is op zijn website stil over de hele affaire. De persberichten lopen tot en met 21 maart dit jaar, terwijl de sectie ‘Comodo in the news’ links bevat naar nieuwsartikelen bij diverse ict-sites tot aan 14 maart. De hack is op 15 maart gepleegd en op 23 maart opgebiecht door Comodo in een blogpost en een fraudemelding, die beide niet worden aangegeven op de hoofdsite van het bedrijf.