SSL-certificaten ruim jaar geleden al gekraakt

De 512-bit certificaten van het Maleisische DigiCert die onlangs opdoken in malware, zijn ruim een jaar lang ongemerkt misbruikt. Ze zijn niet gestolen maar gekraakt, ontdekte Fox-IT.

Hackers hebben de 512-bit RSA-sleutel van een aantal beveiligingscertificaten gekraakt. Vervolgens hebben ze met die valide maar valse certificaten geavanceerde malware digitaal ondertekend. Het is niet bekend wanneer deze kraak heeft plaatsgevonden, maar de eerste verdachte certificaten zijn reeds in augustus 2010 gedetecteerd. Dat meldt securitybedrijf Fox-IT na onderzoek van deze nieuwste certificatenaffaire.

Gecertificeerde Trojans
Het gaat om zwakke certificaten uitgegeven door de Maleisische certificaatautoriteit (CA) DigiCert Sdn. Bhd. Die collega van het Nederlandse DigiNotar is begin november door ondermeer Microsoft en Mozilla in de ban gedaan, nadat bleek dat er 22 zwakbeveiligde certificaten in omloop waren.

Niet lang daarna is malware ontdekt die voorzien is van een geldig overheidscertificaat, ondertekend door de bewuste Maleisische CA. Daardoor komt de software op beveiligingsmechanismes over als vertrouwd en betrouwbaar. De Trojan in kwestie is ingezet voor bedrijfsspionage.

Gekraakt, niet gestolen
In eerste instantie dachten security-experts dat de valse certificaten waren gestolen. Fox-IT onderzoeker Michael Sandee stelt nu dat ze zijn gekraakt. Dit is vorig jaar zomer al gebeurd, maar mogelijk nog eerder. Zodoende zijn verschillende valse certificaten meer dan een jaar onder de radar gebleven.

Diefstal van certificaten komt vaker voor: onder meer de certificaten die gebruikt zijn in de supermalware Stuxnet en Duqu gebruiken ontvreemde certificaten. Maar Sandee wijst erop dat het kraken van het 512-bit RSA algoritme tegenwoordig prima te doen is, gezien de breed beschikbare rekenkracht.

In 30 uur gekraakt
Zelf schat de securityonderzoeker in dat deze encryptiesleutels binnen 'enkele weken' gekraakt kunnen worden. Dat tijdsbestek lijkt inmiddels zwaar achterhaald. Cryptograaf Tom Ritter reageert op de Fox-IT blogpost dat het kraken van 512-bit RSA-sleutels tegenwoordig binnen 30 uur gepiept kan zijn, en circa 140 dollar kost.

Dit kan bijvoorbeeld met BOINC, het gedecentraliseerde rekenplatform dat onder meer door SETI@home wordt gebruikt. Maar ook rekenclusters, van bijvoorbeeld grafische processors (GPU's) in Amazons cloud EC2, of een botnet volstaat.

Fox-IT-onderzoeker Sandee hekelt Microsoft voor het toelaten van recente software die is ondertekend met een 512-bit sleutel. Dat algoritme wordt immers al jaren onveilig geacht en is 12 jaar geleden al voor het eerst gekraakt. Anno 2011 moet die zwakke encryptie eigenlijk niet meer worden vertrouwd.

DigiNotar en Globalsign
In de praktijk blijkt 512-bit echter nog gewoon in gebruik te zijn. Uit de database van de SSL Observatory van de digitale burgerrechtenbeweging EFF duiken ook nog een aantal DigiNotar- en GlobalSign-certificaten op, beveiligd met een zwakke 512-bit sleutel.

Beide bedrijven waren recentelijk doelwit van hackers, die de kritieke infrastructuur van DigiNotar grondig wisten te hacken, wat een crisis bij de Nederlandse overheid veroorzaakte. Bij GlobalSign bleef de schade beperkt tot een gecompromitteerde webserver. Fox-It heeft echter geen aanwijzingen dat de zwakke DigiNotar-certificaten ook zijn gekraakt. Alle zwakke en misbruikte 512-bit certificaten zijn inmiddels verlopen of ingetrokken.