Vo Windows identifikované potenciálne zadné vrátka v SSL pre NSA

DSL.sk, 29.7.2013

V operačnom systéme Windows od verzie Windows Vista je použitý aktualizačný mechanizmus koreňových SSL certifikátov, ktorý môže byť potenciálne pri spolupráci Microsoftu využitý na obídenie bezpečnosti SSL na konkrétnom individuálnom PC bez preniknutia do tohto PC.

Tento aktualizačný mechanizmus je verejne známy už viacero rokov, v kontexte informácií o Prism a ďalších informácií o elektronickom špehovaní verejnosti ale na aspekt rizika zneužitia tohto mechanizmu poukázal nemecký c't magazin.

Protokol SSL využívaný okrem iného na prístup k zabezpečeným HTTPS stránkam zabezpečuje prenášanú komunikáciu šifrovaním tak, že bez informácií získaných priamo z klienta, v tomto prípade PC, alebo webového servera nie je možné odšifrovať odpočuté prenášané dáta. Zároveň SSL slúži ako autentifikačný mechanizmus a potvrdzuje klientovi, že komunikuje s vlastníkom certifikátu použitého pre zabezpečenie daného spojenia.

Táto funkcia je zabezpečená PKI, infraštruktúrou verejných kľúčov, vychádzajúcou z tzv. koreňových certifikátov certifikačných autorít prednastavených v klientovi, v tomto prípade vo Windows.

Od Windows Vista ale implementácia SSL a PKI vo Windows pri narazení na certifikát podpísaný neznámym koreňovým certifikátom kontaktuje servery Microsoftu, stiahne si aktualizovaný zoznam koreňových certifikátov a prípadne si doteraz neznámy certifikát pridá do zoznamu dôveryhodných.

Aktualizačný zoznam platných koreňových certifikátov je podpísaný Microsoftom a dostať do Windows nový koreňový certifikát je tak možné len pri spolupráci Microsoftu.

Tento individuálny aktualizačný mechanizmus ale nie je vzhľadom na dôležitosť dát ako sú koreňové certifikáty dostatočne transparentný, keď napríklad potenciálne Microsoftu dovoľuje na žiadosť amerických tajných služieb konkrétnym užívateľom napríklad na základe ich IP adries podstrčiť ľubovoľný koreňový certifikát. NSA alebo FBI s využitím takejto asistencie môžu uskutočniť Man-In-The-Middle útok na užívateľa efektívny aj na SSL a tváriť sa ako servery ľubovoľnej služby, pričom kompromitované certifikáty môžu byť zasielané len terču útoku.

Takýto útok s využitím aktualizačného mechanizmu koreňových certifikátov má podobné dopady ako získanie podvrhnutých certifikátov tajnými službami od spolupracujúcich certifikačných autorít, útoky sa ale odlišujú predpokladaným dopadom na prípadné spolupracujúce spoločnosti v prípade zaregistrovania útoku. V prípade podvrhnutých certifikátov od spolupracujúcich certifikačných autorít usvedčuje jednoznačne autoritu už samotný certifikát a vedomé vydanie falošného certifikátu by pre certifikačnú autoritu znamenalo zrejme jej koniec.

Vo Windows zabudované SSL sú okrem Windows a Internet Explorera využívané aj ďalším softvérom, okrem iného prehliadačom Chrome. Prípadný útok na aktualizačný mechanizmus by tak mal dopad aj na prehliadanie cez Chrome.

Microsoft na otázky renomovaného c't magazin, prečo do Windows zabudoval tento aktualizačný mechanizmus, neodpovedal. Je samozrejme potrebné zdôrazniť, že mechanizmus je zatiaľ len potenciálnymi zadnými vrátkami a žiadne konkrétne dôkazy o jeho zneužívaní nie sú známe.


Najnovšie články:



Diskusia:

no samozrejme... Od: pedrox | Pridané: 29.7.2013 15:05 ze to nezneuziju, samozrejme :-) Odpovedať Známka: 7.4 Hodnotiť:

Zvyšuje to pracovný výkon Od: =oOo= | Pridané: 29.7.2013 21:50 Počitač na ktorom pracujem (opakujem pracujem) mám odpojený od internetu. Tak ma skúste hacknúť. Odpovedať Známka: 1.3 Hodnotiť:

Re: Zvyšuje to pracovný výkon Od: MuadDib | Pridané: 2.8.2013 9:04 Pošlem ti nakazený USB kľúč so zákerným firmvérom... :-) Odpovedať Hodnotiť:

pocit Od: qwerty/z | Pridané: 29.7.2013 15:06 mam tichy pocit ze sa nieco chysta... lebo tolkoto podobnych sprav tu este asi nebolo Odpovedať Známka: 7.6 Hodnotiť:

Re: pocit Od reg.: Terepin | Pridané: 29.7.2013 15:11 DSL.sk ide odkúpiť Microsoft. Odpovedať Známka: 8.7 Hodnotiť:

Re: pocit Od: barbar onan | Pridané: 29.7.2013 15:26 keď tvoj výrok obrátim, určite dostanem -10.00 Microsoft ide kúpiť dsl.sk Odpovedať Známka: -7.4 Hodnotiť:

Re: pocit Od: -...- | Pridané: 29.7.2013 15:30 My sa nedame! Odpovedať Známka: 7.8 Hodnotiť:

Re: pocit Od: trololololol | Pridané: 30.7.2013 4:31 Ale date, len o tom nebudete vediet. -Prism Odpovedať Známka: -4.4 Hodnotiť:

Re: pocit Od: debilkovia | Pridané: 30.7.2013 19:22 haha super nadpis ako z DSL DSL.sk ide odkúpiť Microsoft kto koho ide odkupit? vysvetli si ako chces :D Odpovedať Známka: 10.0 Hodnotiť:

asi tak Od: hotentot | Pridané: 29.7.2013 15:07 to uz co mu mam verit ked nie SSL a zelenemu baru v prehliadaci :(( Odpovedať Známka: 8.4 Hodnotiť:

Re: asi tak Od: fffffffffffffffffffffff | Pridané: 29.7.2013 15:14 verit mozno uz len jednej veci a to ze kazdy raz zomrie ... aj sloboda a demokracia Odpovedať Známka: 8.7 Hodnotiť:

Re: asi tak Od: netload | Pridané: 29.7.2013 17:30 už asi iba ... https://www.torproject.org/ Odpovedať Známka: 2.0 Hodnotiť:

Re: asi tak Od: lel | Pridané: 30.7.2013 2:24 https://www.torproject.org/about/sponsors.html.en Sponzor je osoba (fyzická alebo právnická) alebo spoločnosť, ktorá financuje náklady určitej akcie, činnosti či vysielania odmenou za nejakú formu návratnosti tohto financovania. now do the math Odpovedať Známka: 4.0 Hodnotiť:

Re: asi tak Od: john doe | Pridané: 30.7.2013 11:25 Takze som to(r) instaloval zbytocne... Odpovedať Hodnotiť:

Re: Niečo ako \"slobodný softvér\" Ti zrejme nič nehovorí, Od: Rudolf Dovičín | Pridané: 1.8.2013 8:05 však? Odpovedať Hodnotiť:

Re: Niečo ako \\ Od: lel | Pridané: 1.8.2013 11:16 nieco ako common sense Ti zrejme nic nehovori, vsak? Odpovedať Hodnotiť:

dnisdnbsdklnflksd Od: zrukynoha2 | Pridané: 29.7.2013 15:10 btw. mám pocit že AdBlock prestal pre Google reklamy fungovať :| Odpovedať Známka: 9.0 Hodnotiť:

Re: dnisdnbsdklnflksd Od: Kicko | Pridané: 29.7.2013 15:13 daj si Ghostery ... Odpovedať Známka: 6.2 Hodnotiť:

Re: dnisdnbsdklnflksd Od: mememe? | Pridané: 29.7.2013 15:23 minule to ohlasovali, dovodom je ze ich google zasponzoruje, a naoplatku ho nebudu blokovat, takze peniaze s osperavedlnenim ze google reklamy nie su aztake agresivne ako tie ktore mienia blokovat :-) Odpovedať Známka: 7.5 Hodnotiť:

Re: dnisdnbsdklnflksd Od: Aas | Pridané: 30.7.2013 9:13 Adblock Edge is a fork of the Adblock Plus version 2.1.2 extension for blocking advertisements on the web. This fork will provide the same features as Adblock Plus 2.X and higher but without "acceptable ads" feature. Odpovedať Hodnotiť:

Re: dnisdnbsdklnflksd Od: pupcek | Pridané: 29.7.2013 16:45 Daj si adblock plus, tiez som to fcera riesil... Odpovedať Známka: -4.3 Hodnotiť:

Re: dnisdnbsdklnflksd Od: tomasko126 | Pridané: 29.7.2013 17:07 Vyšla nová verzia Adblocku 2.6.4 ktorá opravuje všetky neblokované reklamy a znova ich blokuje. Odpovedať Známka: -5.6 Hodnotiť:

Re: dnisdnbsdklnflksd Od reg.: TheHacker | Pridané: 29.7.2013 17:25 A aby sa ti nezobrazovali textove reklamy pri vyhladavani, treba vypnut aj "Allow some non-intrusive advertising". Odpovedať Známka: 8.8 Hodnotiť:

Re: dnisdnbsdklnflksd Od: tomasko126 | Pridané: 29.7.2013 17:30 platí iba pre Adblock Plus Odpovedať Známka: 4.3 Hodnotiť:

AdBlock Od: tomasko126 | Pridané: 29.7.2013 16:44 Som jeden z vývojárov AdBlocku a my nepovoľujeme žiadne reklamy, sme závislí na príjmoch od donácií od používateľov, nie ako Adblock Plus. Adblock Plus je platený väčším množstvom ľudí a firiem, momentálne som tu na stáži ;) Takže mám aj informácie o vývoji. Berte to ako chcete ale to čo píšem, je pravda. Odpovedať Známka: -6.7 Hodnotiť:

Re: AdBlock Od: Šenkár Výčapník | Pridané: 29.7.2013 17:27 no mily tomasko126, ty si akurat tak na stazi v predaji obuvi v priore na druhom poschodi. Odpovedať Známka: 6.7 Hodnotiť:

Re: AdBlock Od: tomasko126 | Pridané: 29.7.2013 17:31 dobre never, len si aspoň daj do Googlu môj nick -- tomasko126 alebo meno Tomáš Taro Odpovedať Známka: -4.5 Hodnotiť:

Re: AdBlock Od: tomasko126 | Pridané: 29.7.2013 17:33 alebo ešte aj LinkedIn -- http://dit.cz/bi Odpovedať Známka: -3.3 Hodnotiť:

Re: AdBlock Od: 252424 | Pridané: 29.7.2013 18:02 Sranda. Prekladatel sa nazval vyvojarom. Odpovedať Známka: 7.1 Hodnotiť:

Re: AdBlock Od reg.: ccccc | Pridané: 30.7.2013 8:29 :D podla tvojej prekladatelskej logiky by sa aj ujo vratnik mohol nazivat vyvojarom :D pretoze pracuje v IT firme :D Odpovedať Známka: 6.4 Hodnotiť:

Re: AdBlock Od: qwerty/z | Pridané: 30.7.2013 8:48 keby ze neotvori vyvojarom tak nevznikne nic... cize aj vratnik ma celkom klucovu ulohu ;-) Odpovedať Známka: 6.9 Hodnotiť:

Re: AdBlock Od: blue | Pridané: 30.7.2013 9:21 Ale no, bez vratnika by nevzniklo nic ... takze nie "klucovu" ale "zakladnu" - je to jeden z prvych ludiv projekte. Vdzy ked idem do prace, vratnik tam uz je, on ani domov nechodi ... Odpovedať Známka: 10.0 Hodnotiť:

Re: AdBlock Od: hmm. | Pridané: 29.7.2013 23:56 Bohuzial, nevidim verziu pre Firefox, to je chyba pretoze pouzivam Firefox a nemienim kvoli Adblocku zacat pouzivat Chrome. Adblock Plus je pre Firefox, takze jasna volba.. Odpovedať Známka: 0.0 Hodnotiť:

AdBlock Od: tomasko126 | Pridané: 29.7.2013 17:34 Som zvedavý čo povieš na to teraz... Odpovedať Známka: -9.0 Hodnotiť:

Re: AdBlock Od: vkr | Pridané: 29.7.2013 21:38 Nehnevaj sa, ale bol by si prekvapeny, ze keby sa tu kazdy zacal takto chvastat ze co a pre koho robi, tak by sa tu naslo dost manikov ktorym by si mohol tak upratovat hotelovu izbu pocas projektu. Odpovedať Známka: 7.9 Hodnotiť:

AdBlock Od: tomasko126 | Pridané: 29.7.2013 17:38 a tu máš aj FB: https://www.facebook.com/tomaasko126 Na starosti mám slovenské a české reklamy: code.google.com/p/adblock-czechoslovaklist A na starosti mám aj vývoj: code.google.com/p/adblockforchrome Odpovedať Známka: -6.2 Hodnotiť:

Re: AdBlock Od reg.: pocitujlasku | Pridané: 29.7.2013 17:45 a moj fb je https://www.facebook.com/BillGates twitter: https://twitter.com/BillGates wikipedia: https://en.wikipedia.org/wiki/Bill_Gates ... Odpovedať Známka: 7.6 Hodnotiť:

Re: AdBlock Od: tomasko126 | Pridané: 29.7.2013 17:47 A prečo si to neskontroluješ? Aspoň uvidíš že všetko sedí ;) Odpovedať Známka: -7.3 Hodnotiť:

Re: AdBlock Od: vkr | Pridané: 29.7.2013 23:04 Sak on sa nehada, skontroluj aj ty jeho, vsetko sedi. Vilo ma v poslednom case zalubu ucit sa cudzie jazyky Odpovedať Známka: 7.3 Hodnotiť:

Re: AdBlock Od: Deer | Pridané: 29.7.2013 17:54 Naco zadne vratka, vsak staci typka trocha zneistiet a sam vyklopi udaje o sebe. Odpovedať Známka: 8.3 Hodnotiť:

Re: AdBlock Od: tomasko126 | Pridané: 29.7.2013 17:58 Mňa už aj tak majú keď som v SEO, na Googli....V Google Search nájdeš všetko toto takže som nedal nič naviac ;) Všetko nájdeš na Googli, všetko o mne. Stačí že to tam je a NSA to má k dispozícii... Odpovedať Známka: -8.3 Hodnotiť:

Re: AdBlock Od: ___fuxo | Pridané: 29.7.2013 18:14 Jasne, vsetci sme z Teba posrani a uz kazdy si nastudoval tvoje statusy na Facebooku, Twitteri, GooglePlus aj LinkedIn... Odpovedať Známka: 7.3 Hodnotiť:

Re: AdBlock Od: tomasko126 | Pridané: 29.7.2013 19:29 Niekto asi zabudol, že ja som toto nezačal Odpovedať Známka: -7.1 Hodnotiť:

Re: AdBlock Od: Alino  | Pridané: 29.7.2013 21:27 ale vasnivo v tom pokracujes :D Odpovedať Známka: 9.1 Hodnotiť:

Re: AdBlock Od: quix_ | Pridané: 30.7.2013 6:27 Boze uz ho niekto pochvalte lebo nas tu bude otravovat tyzden,vyvojar jeden . ocividne to potrevuje :D Odpovedať Známka: 10.0 Hodnotiť:

Re: AdBlock Od reg.: Uhlik | Pridané: 30.7.2013 7:53 Tomas, si super, videl som vsetky tvoje filmy - http://www.imdb.com/name/nm2542045/ :D ... Odpovedať Známka: 10.0 Hodnotiť:

Re: AdBlock Od: lol. | Pridané: 30.7.2013 23:44 Su to sice serialy ale aj tak mas u mna male bezvyznamne plus, jeden starsi, viacmenej najstarsi, a jeden novsi, viacmenej najnovsi.. To musi byt dobre stary ten Tomas ked ten najnovsi snimok dotocil v roku 1986. :D Odpovedať Hodnotiť:

Re: AdBlock Od: tomasko126 | Pridané: 29.7.2013 18:02 Požívam Google Analytics, takže vidím kto s akou IP, s akého OS, browseru, zariadenia,rozlíšenie, mesta sa pripája, a na aké stránky sa presmeruváva, odkial sa dostal na moju stránku.. Like od Facebooku sleduje používateľa, na aké stránky chodí po tom, čo kliknete na tlačidlo Like, všetky služby Vás sledujú a robia si o Vás profil a ani o tom neviete.... Odpovedať Známka: -7.6 Hodnotiť:

Re: AdBlock Od reg.: FilipSK | Pridané: 29.7.2013 18:14 od toho je tu predsa pravidlo pre fb do adblocku alebo ten facebook disconnect nie? Odpovedať Známka: 10.0 Hodnotiť:

Re: AdBlock Od: quix_ | Pridané: 30.7.2013 6:30 Hej hej vsetci sme sprosti a nevieme len ty vies. Este nieco? Daj uz pokoj a pomuckaj sa s priatelom.. Odpovedať Známka: 8.7 Hodnotiť:

OP is faggot Od: pdx | Pridané: 30.7.2013 6:34 Posielanim IP adresy (ako zvlast parametru) do Google Analytics porusujes pravidla danej sluzby. Vzhladom k tvojim reakciam tuna predpokladam, ze netusis, ze Google Analytics nezbiera IP a vonkoncom nemas paru o tom, ako by si tam tu IP natlacil. Odpovedať Známka: 10.0 Hodnotiť:

AdBlock Od: tomasko126 | Pridané: 29.7.2013 17:42 Nejaké hrobové ticho zrazu.. Odpovedať Známka: -8.9 Hodnotiť:

Šenkár Výčapník Od: lukas486 | Pridané: 29.7.2013 17:52 Šenkár Výčapník zavidis? Inak chcem sa ta spytat, kolko by stali gumaky, ty by si mohol vediet kedze brigadujes v priore na druhom :D Odpovedať Známka: 2.5 Hodnotiť:

NSA tam má klíče Od: Jardík 2 | Pridané: 29.7.2013 19:27 NSA má nějaký ty klíče ve windows už od verze 95. How NSA access was built into Windows: http://www.heise.de/tp/artikel/5/5263/1.html Odpovedať Známka: 10.0 Hodnotiť:

offtopic Od: offtopic | Pridané: 29.7.2013 19:53 Ide niekomu thepiratebay? Ked dam nacitat stranku tak mi nacita bielu prazdnu stranu iba s tymto textom: Could not connect to caching server 00 Odpovedať Známka: 1.4 Hodnotiť:

Re: offtopic Od: RinkoKikuči | Pridané: 29.7.2013 20:32 nefunguje.Tak to je naozaj v 3.14 Odpovedať Známka: 0.0 Hodnotiť:

Re: offtopic Od reg.: cookie_monster | Pridané: 29.7.2013 22:00 http://torrentfreak.com/pirate-bay-down-130729/ Odpovedať Známka: 5.0 Hodnotiť:

Re: offtopic Od: RinkoKikuči | Pridané: 29.7.2013 22:21 Uz mi to ide .udajne upgradovali software. :) Odpovedať Známka: 5.0 Hodnotiť:

prism-break Od: prism-break | Pridané: 30.7.2013 8:48 https://prism-break.org/ - zoznam software ako sa zbaviť dohľadu z Utahu. Odpovedať Známka: 5.0 Hodnotiť:

autor Od: Kveri_ | Pridané: 30.7.2013 9:28 chvalim autora za "Je samozrejme potrebné zdôrazniť, že mechanizmus je zatiaľ len potenciálnymi zadnými vrátkami a žiadne konkrétne dôkazy o jeho zneužívaní nie sú známe." Bodaj by toto pisali v kazdom clanku na sme :D Odpovedať Známka: 10.0 Hodnotiť:

Mne to pride celkom zdokumentovane Od: MRu | Pridané: 30.7.2013 12:31 Okrem ineho je to mozne aj vypnut. http://goo.gl/uTxOs3 ... If you want to prevent the Update Root Certificates feature in Windows Vista from communicating automatically with the Windows Update Web site, you can turn off this feature by using Group Policy. ... Odpovedať Hodnotiť:

dookola Od: o com? | Pridané: 31.7.2013 0:49 pekne vam tu hrabe :-( duchaplna diskusia Odpovedať Hodnotiť:

Koniec podpory Windows XP Od: MuadDib | Pridané: 2.8.2013 11:37 V tomto svetle hneď inak vyzerá koniec podpory Windows XP a to, že potom bude Windows XP "nezabezpečený"... Odpovedať Hodnotiť:

Pridať komentár