Objavený 7 týždňov platný nepravý SSL certifikát pre Google, zneužíval sa

DSL.sk, 30.8.2011

Cez víkend bol na Internete objavený platný X509 SSL certifikát pre domény *.google.com vydaný a podpísaný koreňovou certifikačnou autoritou DigiNotar, ktorý ale nebol pravý a nevytvorila si ho spoločnosť Google.

Certifikát má udávanú platnosť už od 10. júla a zrejme tak bol platný viac ako sedem týždňov.

DigiNotar certifikát zneplatnila v pondelok, kedy zároveň Microsoft zneplatnil vo Windows Vista+ koreňový certifikát DigiNotar a Mozilla a Google oznámili vydanie aktualizácií svojich prehliadačov rovnako zneplatňujúcich koreňový certifikát DigiNotar a tým všetky ním podpísané certifikáty.

Na certifikát upozornil v nedeľu užívateľ z Iránu, ktorý zaregistroval aktívny MITM, Man-In-The-Middle, útok pomocou tohto certifikátu. Na útok ho upozornil prehliadač Chrome, ktorý má od verzie 13 vydanej 2. augusta zabudovanú dodatočnú ochranu upozorňujúcu na certifikáty pre domény Google nevydané niektorou zo zadefinovaných certifikačných autorít.

Nepravý SSL certifikát umožňuje jeho držiteľovi tváriť sa, v kombinácii so zasielaním nepravých DNS informácií alebo aktívnou zmenou dátovej prevádzky užívateľa, ako prevádzkovateľ príslušných zabezpečených stránok bez upozorňovanie na nepravý certifikát štandardnými overovacími SSL mechanizmami. Útočník môže získať všetky informácie prenášané medzi užívateľom a serverom, vrátane napríklad hesla.

Google podľa svojho stanoviska získal informácie o MITM útokoch zneužívajúcich tento nepravý certifikát v pondelok, útok bol realizovaný najmä na obyvateľov Iránu.

Ako sa podarilo útočníkom od DigiNotar získať platný certifikát pre *.google.com a odkedy bol certifikát reálne zneužívaný na útoky nie je zatiaľ jasné. Podobný incident sa vyskytol už v marci tohto roka, vtedy boli nepravé certifikáty získané od certifikačnej autority Comodo zneplatnené do niekoľkých hodín od ich získania. Kontroly zneplatnenia certifikátov je možné ale pri kontrole nad sieťovou infraštruktúrou znefunkčniť.


Najnovšie články:



Diskusia:

xcvzxvc Od: sdfasdfasdf | Pridané: 30.8.2011 11:10 ze diginotar, tak toto ma pobavilo :D Odpovedať Známka: 8.3 Hodnotiť:

Pošli kvety Od: hranostaj | Pridané: 30.8.2011 11:20 "útok bol realizovaný najmä na obyvateľov Iránu." Kto vtom asi tak mohol mat prsty... Odpovedať Známka: 7.8 Hodnotiť:

Re: Pošli kvety Od: .......,.,.,. | Pridané: 30.8.2011 11:22 Samozrejme, ze Iransky fasiticky rezim. Odpovedať Známka: -4.0 Hodnotiť:

Re: Pošli kvety Od: qurantiiino | Pridané: 30.8.2011 11:45 Spojene staty teroristicke, Cesky mir Odpovedať Známka: 6.6 Hodnotiť:

Re: Pošli kvety Od: mahmud | Pridané: 30.8.2011 12:16 zlovolny Izrael a SŠA. Odpovedať Známka: 3.8 Hodnotiť:

Re: Pošli kvety Od: einstein | Pridané: 30.8.2011 13:22 podla toho nazvu to musel byt nejaky nasinec :-) Odpovedať Známka: 10.0 Hodnotiť:

Tmobile Od: dsdko | Pridané: 30.8.2011 13:26 ide vam volat z/na Tmobile? Odpovedať Známka: -2.0 Hodnotiť:

Re: Tmobile Od: kyslik | Pridané: 30.8.2011 13:28 preco by som volal z Tmobilu, ked tam nepracujem? si radsej zavolam z mojho telefonu. Odpovedať Známka: 3.7 Hodnotiť:

Re: Tmobile Od: dsdko | Pridané: 30.8.2011 13:31 otazka mala iny zmysel ako zistit, ze nevyuzivas tmobile Odpovedať Známka: -6.7 Hodnotiť:

Re: Tmobile Od: navstevnik10009 | Pridané: 30.8.2011 22:47 bože Odpovedať Známka: 6.0 Hodnotiť:

Re: Tmobile Od: asdasdf | Pridané: 30.8.2011 13:56 Pausal podla seba ide (zatial) Odpovedať Známka: 10.0 Hodnotiť:

Re: Tmobile Od: dnes má meniny Ružena | Pridané: 30.8.2011 16:03 Od rana mam v BA problem s tymto. Ani *50 ani nic nejde.. Odpovedať Známka: 5.0 Hodnotiť:

Re: Tmobile Od: dnes má meniny Ružena | Pridané: 30.8.2011 16:05 http://dopice.sk/Q6 Odpovedať Známka: 10.0 Hodnotiť:

........ Od: dfgdfg | Pridané: 30.8.2011 16:39 Aspon vidno ake je super ten ich system CA. Beru po koko* prachy a aj tak to nefunguje spravne. BTW. existuje aj alternativa http://web.monkeysphere.info/ Odpovedať Známka: 10.0 Hodnotiť:

Re: ........ Od: el_kabel | Pridané: 30.8.2011 18:13 a ako konkretne tato alternativa zabrani niekomu vydat certifikat ktory nema dostat? Odpovedať Hodnotiť:

SSL... Od: FerinoX | Pridané: 30.8.2011 20:10 Uz by konecne mohli pochopit vydavatelia prehliadacov a zrusit tzv. "doveryhodny" korenovy certifikat... Treba vytvorit centralny register, kde si spravca domeny prida cesty k doveryhodnym certifikatom a samozrejme aj potrebne HASH info, proti zneuzitiu. Tento jednoduchy system, zabezpeci, aby si kazdy mohol sam chranit svoje kluce a vytvarat si ich podla potrieb. Samozrejme koncept je trosku zlozitejsi, ale v podstate OVELA bezpecnejsi ako situacia dnes. Najlepsie certifikaty su tie, ktore si spravis sam a nema ich 3tia strana. Akurat, ze prehliadac ma ako vydavatela nepozna a som oznaceny za nedoveryhodneho aj ked sa jedna o certifikaty na mojich domenach ;-). Celkom srandovna situacia. Zrejme niekto na tom paradne rizuje.... Odpovedať Známka: 10.0 Hodnotiť:

Re: SSL... Od: Romannnnnnnnn | Pridané: 1.9.2011 21:06 Neviem, ci nemam jasno ja, alebo Ty. Ked si ja vydam certifikat na svoj server, odkial bude prehliadac vediet, ze je pravy? Rovnako si potom moze niekto iny vytvorit akoze moj certifikat. Ak to proste nie je podpisane niekym overenym, cize certfikacnou autoritou, nikto nezaruci, ze si to vytvoril prave Ty. Centralny register to je ako nahrada sucasnych korenovych autorit? Odpovedať Hodnotiť:

Ano.... Od: FerinoX | Pridané: 6.9.2011 7:50 Ano, centralizovany register, do ktoreho majitel domeny / spravca moze pridat svoj korenovy certifikat. Browser si to overi voci registru. Ako som pisal, koncept je zlozitejsi, snazim sa len vysvetlit, ze to ide. To co je dnes je len spinavy business, kedy vyrobca browsera svojvolne oznaci niekoho korenovy certifikat za doveryhodny... (pozn. nie svojvolne, ale za tazke prachy). Odpovedať Hodnotiť:

Pridať komentár