Abonneer je gratis op Techzine!

De hacker van het certificaatbedrijf DigiNotar heeft een verklaring op Pastebin geplaatst. Hierin claimt hij dat het hem gelukt is om het Windows Update-protocol te reverse engineeren.

Naast Windows Update wil de hacker nog een aantal dingen ophelderen. Ten eerste claimt hij dat alleen hij verantwoordelijk is voor de kraak van zowel Comodo als DigiNotar en dat er geen overheid zoals die van Iran achter de hacks zit. Daarnaast meldt de hacker dat de aanval ingewikkelder zou zijn dan de Stuxnet-worm en dat hij code kan ondertekenen.

Dit zou hij kunnen doen doordat hij toegang heeft verkregen tot certificaatautoriteiten naast DigiNotar. Zo laat de hacker weten dat hij toegang heeft tot GlobalSign. StartCom was bijna gelukt, maar hier stak een handmatige verificatie van de CEO een stokje voor, zo vertelt de hacker.

Het meest opzienbarende is misschien wel dat de hacker claimt heel Windows Update te hebben nagemaakt. De hacker zou weten hoe Windows Update XML-bestanden leest via SSL, evenals dat elke update een SHA-1-hash heeft en dat elk bestand via de WinVerifyTrust-API wordt geverifieerd. Hij stelt dan ook dat hij, in combinatie met getekende SSL-certificaten, Windows-updates kan verspreiden. Hij bewijst dit door een ondertekende versie van de Windows Calculator uit te geven. Deze calculator is ondertekend met een Google-certificaat.

Ten slotte laat de hacker weten dat hij specifiek DigiNotar heeft aangevallen vanwege wat de Nederlandse overheid heeft gedaan in Srebrenica, waarschijnlijk omdat de toen aanwezige legereenheid te weinig zou hebben gedaan om zoveel mogelijk mensen te redden.

Het is nog niet honderd procent zeker dat dit echt de DigiNotar-hacker is. De hacker heeft een wachtwoord online gezet van DigiNotar, dus verifiëren of de hacker in ieder geval deels de waarheid spreekt, zou eenvoudig moeten zijn.

Overigens heeft GlobalSign zojuist aangekondigd de uitgave van certificaten te staken vanwege het onderzoek.


Inmiddels hebben we van Microsoft vernomen dat de SSL-certificaten voor de Windows Update-servers zijn getekend door het root-CA-certificaat van Microsoft, wat door Microsoft zelf worden uitgegeven en beheerd. Volgens Microsoft loopt Windows Update dan ook geen risico, ook niet voor een aanvaller met een vals certificaat.