Iemand die zich voordeed als een Microsoft-medewerker heeft van Verisign twee digitale handtekeningen afgetroggeld.
Daarmee is Microsoft in een lastig parket terecht gekomen, want degene die de handtekeningen in zijn bezit heeft, is nu in staat bijvoorbeeld een virus op het web te zetten dat volgens de beveiligingssleutel afkomstig is van het betrouwbare Microsoft. Tot op heden heeft de boosdoener de veiligheidscertificaten, die hij rond 30 januari heeft gestolen, nog niet gebruikt. Maar Microsoft stelt dat in principe alle Microsoft-klanten gevaar lopen en heeft de diefstal daarom aan de grote klok gehangen. De onderneming is vorige week door internet-beveiligingsonderneming Verisign op de hoogte gebracht. Het bedrijf heeft de FBI gevraagd de zaak te onderzoeken.
Met de digitale certificaten kan de dief Windows-programma’s, ActiveX-besturingen en Office-macro’s ‘ondertekenen’, waarmee de weg open is voor het verspreiden van vernietigende codes die allerlei bedrijfsbeveiligingen gemakkelijk omzeilen. Met name de Office-macro’s en de ActiveX-besturingen kunnen voor gigantische problemen zorgen. In tegenstelling tot Windows-programma’s kunnen deze namelijk worden verspreid via web-pagina’s en Html-emails, met ActiveX-besturing en Word via een script.
Inmiddels zijn zowel Verisign als Microsoft druk bezig met maatregelen om het effect van de diefstal zoveel mogelijk binnen de perken te houden. Zo heeft Verisign de gewraakte certificaten officieel ’teruggeroepen’ op zijnCertificate Revocation List (CRL), maar omdat de certificaten geen specificatie bevatten van eenCRL-distribution point (CDP) is het voor de CRL-check-mechanismes in browsers niet mogelijk om de laatste editie van Verisigns CRL te downloaden en te gebruiken voor controle. Microsoft is daarom druk bezig om daarvoor eenpatch te ontwikkelen. Daarmee zou de gebruiker gewaarschuwd moeten worden als hijcontent oproept die gebruik maakt van een van de twee gestolen certificaten.
Verisign ontloopt zijn verantwoordelijkheden niet. "We hebben er een potje van gemaakt", geeft vice-president Mahi de Silva ronduit toe. "Gelukkig is de fraude wel in de ’tweede beveiligingsronde’ aan het licht gekomen en hebben we de betrokken partijen blijkbaar nog op tijd kunnen waarschuwen."
Normaal gesproken geeft Verisign pas een nieuw certificaat uit nadat is gecontroleerd of de aanvraag legitiem is. Door een, volgens De Silva, "menselijke fout" heeft het bedrijf in eerste instantie niet opgemerkt dat de aanvrager niet voor Microsoft werkte. Nadat een certificaat is toegekend, stuurt Verisign een email naar zijn klant om de uitgifte te bevestigen. In dit specifieke geval duurde het opvallend lang voordat Microsoft daarop reageerde. "Toen we een mailtje terugkregen van Microsoft, beseften we meteen dat we fout zaten", aldus De Silva. Hij benadrukte dat het de allereerste keer is dat Verisign zo’n fout heeft gemaakt.
