De hacker van DigiNotar claimt ook GlobalSign en nog drie andere CA’s te hebben gehackt. Uit voorzorg staakt GlobalSign tijdelijk het verstrekken van SSL certificaten.
De hacker van DigiNotar claimt ook GlobalSign en nog drie andere CA’s te hebben gehackt. Uit voorzorg staakt GlobalSign tijdelijk het verstrekken van SSL certificaten.
De persoon (of groep) – alias ‘Comodohacker’ – die stelt verantwoordelijk te zijn voor de inbraak in de Nederlandse DigiNotar systemen en het vervalsen van SSL-certificaten, claimt in een mededeling op Pastebin dat hij nog vier andere ‘certificate authorities’ (CA’s) heeft gehackt. Daarbij vermeldt hij uitdrukkelijk GlobalSign, een van de grotere CA’s. Dat bedrijf besloot uit voorzorg de uitgifte van SSL-certificaten tijdelijk te staken.
In eerdere berichten stelt de auteur dat hij tevens de hacker achter de inbraak in de Comodo CA systemen in maart 2011 was. Wat de aanval op DigiNotar betreft, was dat volgens ComodoHacker een vergelding tegen de Nederlandse overheid voor de slachtpartij in Srbrenica, 16 jaar geleden. Hij stelt voorts een individu te zijn en geen ‘Iraans leger’.
GlobalSign is een Europese CA, opgericht in 1996. In 2006 werd het een onderdeel van de japanse GMO Internet inc Group. Het bedrijf stelt ‘s werelds vierde grootste verstrekker van SSL-certificaten te zijn, met meer dan 140.000 verstrekte SSL server certificaten.
Op de Europese site wordt verwezen naar klanten als BT, Vodaphone, BBC, de Britse National Health Service, naast banken als ING en Fortis. Operationeel beschikt het bedrijf over een datacenter in België (gevestigd op de locatie van het voormalige Ubizen in Mechelen).
Reactie
In een reactie stelt Ronald De Temmerman, general manager GlobalSign Belgium dat “er geen aanwijzingen zijn van een hack als dusdanig in het Belgische datacenter. Er wordt momenteel onderzoek gedaan op alle niveaus van de operations,” en dus niet alleen in België.
Voorts wijst De Temmerman erop dat dit ernstig wordt genomen, maar het toch nog in eerste instantie een claim van de betrokken persoon of groep betreft. Of er vervalste certificaten zouden zijn verstrekt, wordt bekeken en “dat is een continu proces. Zo worden alle logs bekeken.”
Wanneer een en ander duidelijker zal zijn, “is moeilijk om te zeggen. Iedereen is gemobiliseerd voor het intern onderzoek, met alle betrokken partijen. We sluiten ook niet uit om extern onderzoek aan te spreken.”
Alles zal in de komende uren worden bekeken, met een allicht snel wijzigende situatie. Nieuwe informatie zal onder meer op de website worden geplaatst, maar “klanten kunnen ook via de gewone kanalen, zoals de account managers, informatie verkrijgen.”
Update GlobalSign heeft de Nederlandse securityspecialist Fox-IT om hulp gevraagd bij het onderzoek naar een mogelijke hack door ComodoHacker. Hierbij wordt verwezen naar de ervaring van Fox-IT opgedaan bij het onderzoek van de Nederlandse CA DigiNotar, en de kennis opgedaan betreffende ComodoHacker zelf. GlobalSign benadrukt het een ‘voorzorgsmaatregel’ (“precautionary measure”) betreft, terwijl het eigen onderzoek doorgaat.
