Kauza nepravých SSL certifikátov narastá, existovali aj pre Mossad, CIA, MI6

DSL.sk, 5.9.2011

Prípad technicky platných ale podvodne získaných SSL certifikátov vydaných holandskou koreňovou certifikačnou autoritou DigiNotar je výrazne vážnejší ako vyplývalo z prvotných informácií a jasne poukazuje na závažné problémy súčasného systému SSL certifikátov.

O prípade sa verejnosť a odborná verejnosť dozvedela potom, ako bol jeden podvodne získaný certifikát pre stránky Google aktívne zneužívaný na Internete. Detailne sme o ňom informovali v tomto článku.

Tento certifikát vydaný 10. júla bol odhalený až na konci augusta a aktívne sa zneužíval na MITM, Man-In-The-Middle, útok na užívateľov z Iránu.

Nepravý SSL certifikát umožňuje jeho držiteľovi tváriť sa, v kombinácii so zasielaním nepravých DNS informácií alebo aktívnou zmenou dátovej prevádzky užívateľa, ako prevádzkovateľ príslušných zabezpečených stránok bez upozorňovania na nepravý certifikát štandardnými overovacími SSL mechanizmami. Útočník môže získať všetky informácie prenášané medzi užívateľom a serverom, vrátane napríklad hesla.

Podľa aktuálnych informácií publikovaných Mozillou útočníci od DigiNotar získali 531 nepravých SSL certifikátov, okrem certifikátu pre domény *.google.com napríklad aj pre *.logmein.com, *.torproject.org, *.microsoft.com, *.mozilla.org, *.wordpress.com, www.facebook.com, twitter.com.

Nepravné certifikáty boli získané aj pre webové stránky www.cia.gov, www.mossad.gov.il a www.sis.gov.uk, stránku britskej tajnej služby MI6.

Mozilla poukazuje na množstvo zlyhaní, ktorých sa DigiNotar dopustila. Spoločnosť objavila prienik do svojich systémov už 19. júla, sama nedokázala ale identifikovať všetky podvodne získané certifikáty z jej systémov a zároveň o tom neinformovala odbornú verejnosť. Tá sa dozvedela o certifikátoch až po odhalení ich reálneho zneužívania nahláseného spoločnosti Google na konci augusta.

Vo viacerých vydaných certifikátoch podľa Mozilly chýbali informácie o spôsobe kontroly ich prípadného zneplatnenia, aj po ich odhalení a zneplatnení tak napríklad prehliadače na ich závadnosť zrejme nepoukazovali.

Spoločnosť DigiNotar zároveň ani v súčasnosti podľa Mozilly nepristupuje k problému dostatočne zodpovedne a promptne. Mozilla ale tiež Microsoft a Google tak vydali respektíve pripravujú aktualizácie svojich prehliadačov, ktoré už nebudú žiadne certifikáty vydané DigiNotar považovať za dôveryhodné.

Prípad DigiNotar nie je prvým podobným prípadom, v marci tohto roka sa útočníkom podarilo získať nepravé certifikáty od spoločnosti Comodo. V tomto prípade boli ale tieto promptne odhalené do niekoľkých hodín, boli zneplatnené a podľa dostupných informácií neboli reálne zneužité. Až aktuálny prípad DigiNotar tak plne poukazuje na zraniteľnosť súčasného systému.

Dôveryhodnosť korektne podpísanému certifikátu pri súčasnom systéme dávajú certifikačné autority, ktorých koreňové respektíve podpisové certifikáty sú zahrnuté vo webových prehliadačoch, operačných softvéroch prípadne ďalších softvéroch. V súčasnom systéme je certifikát platný, ak je podpísaný ľubovoľným dôveryhodným certifikátom použiteľným na podpis.

Systém sa tak v súčasnosti spolieha na dôveryhodnosť všetkých certifikačných autorít, útočníkovi totiž stačí zneužiť ktorúkoľvek z nich a môže si vygenerovať platný certifikát. Ak je zneužitá iba jedna, celý systém SSL certifikátov prestáva byť pri súčasnej implementácii dôveryhodný.

Či aktuálne problémy s DigiNotar povedú k nejakému prehodnoteniu súčasného systému zatiaľ nie je jasné. V najbližších dňoch sa ale očakáva vydanie detailnej správy o incidente v DigiNotar vypracovanej po audite spoločnosťou Fox-IT.


Najnovšie články:



Diskusia:

posli kvety do iranu Od: kladivo na okupantov | Pridané: 5.9.2011 15:08 mosadu to z celeho srdca zelam. Odpovedať Známka: -1.6 Hodnotiť:

Re: posli kvety do iranu Od: FBI | Pridané: 5.9.2011 15:40 spinavy smradlavy mossad krinovosi chuligani spinava konkurencia Odpovedať Známka: -0.8 Hodnotiť:

Re: posli kvety do iranu Od: AntiHasbara | Pridané: 5.9.2011 16:21 No ethics, no problem. Odpovedať Známka: -4.3 Hodnotiť:

Nesikovnost? Od: rms_ | Pridané: 5.9.2011 15:29 Heh, no nesikovni su chudacikovia, nieco ako niektori nasi nemenovani politici (SMER, SNS, HZDS). Odpovedať Známka: -5.9 Hodnotiť:

Re: Nesikovnost? Od: crasho | Pridané: 5.9.2011 15:30 Skor to vyzera tak, ze v Holandsku maju nejaky novy matros. Odpovedať Známka: 7.4 Hodnotiť:

matroš nematroš, photoshop je najlepší Od: hcmiki | Pridané: 5.9.2011 16:35 alebo to, že začali používať photoshop Odpovedať Známka: -7.1 Hodnotiť:

ironia Od: enx | Pridané: 5.9.2011 16:28 www.sis.gov.uk, stránku britskej tajnej služby MI6 ??? :D maju tam tiez admina nbusr123? :D Odpovedať Známka: 7.6 Hodnotiť:

Re: ironia Od: --- | Pridané: 5.9.2011 19:36 Nie nbusr123, ale sisuk123 :-) Odpovedať Známka: 7.5 Hodnotiť:

certificate patrol Od: ubx | Pridané: 5.9.2011 16:31 kym sa cely ssl system komplet neprekope, tak dobry certificate patrol nemoze byt nikdy zly :-) a system sa tak skoro neprekope, kedze umoznuje neskutocnym sposobom vladam cmuchat, kde sa im len zachce. ale samozrejme, vsetko sa da zdokonalit :-) vid: http://nakedsecurity.sophos.com/ 2011/08/29/ pakistan-move -against-online- crypto-a-dangerous-idea/ bez medzier samozrejme Odpovedať Známka: 6.7 Hodnotiť:

Re: certificate patrol Od: sem | Pridané: 5.9.2011 16:34 na skracovanie linkov odporucam http://goo.gl/ Odpovedať Známka: -1.1 Hodnotiť:

Re: certificate patrol Od: beeee | Pridané: 5.9.2011 16:38 http://bit.ly/hw0iNS Odpovedať Známka: -5.0 Hodnotiť:

Re: certificate patrol Od reg.: foobar0 | Pridané: 5.9.2011 16:38 Na dslku jedine dopice.sk. Odpovedať Známka: 7.3 Hodnotiť:

Re: certificate patrol Od: sem | Pridané: 5.9.2011 16:46 cokolvek pani, hlavne nech sa ludia dozvedia, ze sa linky daju kracovat. Odpovedať Známka: 8.3 Hodnotiť:

Re: certificate patrol Od: rastos | Pridané: 5.9.2011 21:06 Si to skrátil nejak moc ;-) Odpovedať Známka: 5.0 Hodnotiť:

Re: certificate patrol Od: ubx | Pridané: 6.9.2011 10:49 dik za nakopnutie, ale som bol lenivy este chodit na to skracovatko :-) Odpovedať Hodnotiť:

Re: certificate patrol Od reg.: Marki555 | Pridané: 5.9.2011 16:52 Aj ano, ale napriklad momentalne mi kazdu chvilu hlasi zmenu certifikatu facebook.com (skoro pri kazdej stranke ktora obsahuje Like button). Je to trosku problem pri tychto velkych weboch ktore maju pre jednu domenu sucasne vela platnych certifikatov... Odpovedať Známka: 10.0 Hodnotiť:

operačných softvéroch Od: major Terazky | Pridané: 5.9.2011 17:06 Počujte, Kefalín. A čo si vy predstavujete pod takým slovom "operačných softvéroch"? Odpovedať Známka: 8.0 Hodnotiť:

Re: operačných softvéroch Od: retro | Pridané: 5.9.2011 17:15 Nechaj ho tak.. Odpovedať Známka: -1.4 Hodnotiť:

Re: operačných softvéroch Od: zdeno-fero-jano | Pridané: 6.9.2011 0:07 To su take ktore dokazu operovat ako chirurg... Odpovedať Známka: 7.5 Hodnotiť:

dnssec Od: rastos | Pridané: 5.9.2011 21:08 > v kombinácii so zasielaním nepravých DNS informácií $ host -t rrsig sk. sk has no RRSIG record Furt nič? Odpovedať Známka: 10.0 Hodnotiť:

prihlásený užívateľ. Od: lolo21 | Pridané: 6.9.2011 9:06 je to síce len taký pocit, ale certifikátu od spoločnosti s názvom "DigiNotár" by som neveril ani po 100 stranovej prezentácii v powerpointe 97. Odpovedať Známka: 6.0 Hodnotiť:

Diginotar Od reg.: yanick | Pridané: 6.9.2011 9:59 Ja som necakal na update a dediginotarizaciu som vykonal sam ;-) Odpovedať Hodnotiť:

Databaza Od: Databaza | Pridané: 6.9.2011 22:05 goo.gl/zZHJx Odpovedať Hodnotiť:

Pridať komentár