neprihlásený Utorok, 17. októbra 2017, dnes má meniny Hedviga   DonaskaKvetov.sk - donáška kvetov v SR a zahraničí Pošli kvety
Azet.sk vymenil SSL certifikát, opäť za kompromitovaný

DSL.sk, 29.5.2008


Po dnešnom článku servera DSL.sk o dva týždne známej chybe v OpenSSL knižnici v linuxovej distribúcii Debian a odvodených distribúciách, ktorá má vážne bezpečnostné následky, vymenil certifikát zatiaľ jediný z vlastníkov 27 slovenských SSL certifikátov kompromitovaných chybou.

Bol ním portál Azet.sk, u ktorého bol kompromitovaný certifikát používaný okrem iného pri prihlasovaní užívateľov. Certifikát bol nahradený novým s platnosťou oddnes.

Z nepochopiteľných príčin je ale kompromitovaný aj RSA kľúč nového certifikátu, ako vyplýva z testu nástrojmi od Debianu a Ubuntu openssl-vulnkey a dowkd.pl a ich databáz.

Do času publikovania článku sa nám nepodarilo od prevádzkovateľa portálu získať stanovisko k tomu, čo bolo príčinou použitia kompromitovaného kľúča.

Chyba v OpenSSL knižnici prítomná viac ako rok v distribúcii Debian spôsobila, že knižnica generovala na danej platforme iba 32 768 rozličných postupností náhodných čísel. Napríklad v prípade generovania RSA kľúčov danej dĺžky bol tak každý kľúč z úzkej množiny 32 768 kľúčov a u každého takéhoto kľúča je tak možné podľa verejného kľúča nájsť privátny.

U SSL komunikácie zabezpečenej takýmto spôsobom kompromitovaným certifikátom je jej bezpečnosť prakticky na úrovni nezabezpečenej komunikácie, keď SSL komunikáciu je možné rozšifrovať, respektíve je možné použiť man-in-the-middle útok.


      Zdieľaj na Twitteri



Najnovšie články:

Orange spustil veľkú novinku v podobe volaní cez WiFi, podmienky nenadchnú
NEUVERITEĽNÉ, vážny problém s eID štát nepochopiteľne zatĺka
Eset dosiahol výrazný úspech, bude v Chrome. Ale nie ako antivírus
Netflix dá na natáčanie vlastného obsahu 8 miliárd
Všetko čo potrebujete vedieť o prekonaní bezpečnosti WiFi. Android a Linux od WiFi odpojte
Občania Slovenska pozor. Elektronické občianske eID nie sú bezpečné
Slováci objavili kritický svetový bezpečnostný problém, milióny RSA kľúčov sa dajú prelomiť
Technologický gigant avizuje lepšiu batériu, za 6 minút sa elektromobil nabije na 320 km
Bezpečnostná katastrofa, bezpečnosť WiFi WPA2 bola evidentne prelomená
Očakávaný 4K remake legendy Age of Empires sa odkladá, osud ďalších neznámy


Diskusia:
                               
 

ako sa vravi, snaha sa ceni, ale tiez si mohli novy certifikat najprv overit a nespoliehat sa len na slova: uz to mate v poriadku ;)
Odpovedať Známka: 1.4 Hodnotiť:
 

moja mara neni ozaj moja mara?
Odpovedať Známka: -3.3 Hodnotiť:
 

to akoze muj tata neni muj tata?
Odpovedať Známka: 0.0 Hodnotiť:
 

niekto zabudol spustit pred vyhenerovanim noveho kluca
apg-get update
apt-get upgrade
:))
Odpovedať Známka: 2.5 Hodnotiť:
 

keby to bolo take jednoduche ... vsak
Odpovedať Známka: 10.0 Hodnotiť:
 

Je to take jednoduche.
Toto mali spustit na PC, kde ten certifikat generovali.
A ak maju produkcny server na debian-based distribucii, tak to mali spustit aj tam, po update server nebude trustovat certifikaty, ktore su z infikovanych.
Odpovedať Známka: 0.0 Hodnotiť:
 

to je vtip azet haha uz ake tajne informacie tam maju uzivatelia. tie uchylne profily uzivatelov, sexisticke fotografie alebo ta trapna posta (email) uz horsi je len post.
Odpovedať Známka: 5.2 Hodnotiť:
 

keby zivot mal spocivat na post.sk a sme.sk tak sme davno v pazi
Odpovedať Známka: 5.6 Hodnotiť:
 

a na com spociva, o velky mudrc?
Odpovedať Známka: 0.0 Hodnotiť:
 

a v com nespociva, ú velky mudrc ?
Odpovedať Známka: 3.3 Hodnotiť:
 

tak post.sk je nozaj to najhoršie čo múže byť, občas sa stracaju maily, nedá sa prihlasiť, alebo mail, ktorý ste dostali pred týždnom sa zobrazí medzi prijatou správou až zajtra. A to ešte si pýtaju prachy za podporu pop3.
Odpovedať Známka: 6.7 Hodnotiť:
 

mas ohladom postu vela info, este dodaj ze ho aj pouzivas a vyhravas the best joke of the year :)
Odpovedať Známka: -6.0 Hodnotiť:
 

Ja ho osobne pouzivam ako spamovy kos, zide sa :)..Ale niektore registracie webov chodia fakt v uctihodnych dlhych intervaloch.
Odpovedať Hodnotiť:
 

Man-in-the-middle utok je mozne pouzit vzdy. V tomto pripade vsak uzivatel dostane rovnaky certifikat ako keby komunikoval zo serverom priamo kdezto v klasickom pripade dostane podvrhnuty certifikat, ktory je zistitelny.
Odpovedať Hodnotiť:
 

:)

Pri takejto definícii man-in-the-middle by tento termín stratil význam.
Odpovedať Hodnotiť:
 

wikipedia.org/wiki/Secure_Sockets_Layer#Security

To protect against Man-in-the-middle attacks, the client compares the actual DNS name of the server to the DNS name on the certificate
Odpovedať Hodnotiť:
 

to uz je opravene :)
Odpovedať Známka: 3.3 Hodnotiť:
 

Co ktomu povedat... azet je azet... jedna velka diera.
Odpovedať Známka: 10.0 Hodnotiť:
 

neviem naco treba azetu SSL, ved nerobia i-banking a ani nic podobne. A navyse databazy hesiel zverejnuju ich interny zamestnanci na internete a kazdy si potom pozera zamknute albumy. Na to, ze nesifruju hesla v databaze (md5, sha), ale ukladaju ich ako plain text, sa nevyjadrujem. No ved kto by mal potom zaujem o 30 az 40 znakovy hash, ze? S heslami alá plain text sa da lepsie kseftovat. Azet nie je spolocnost, ktorej by som mohol doverovat.
Odpovedať Hodnotiť:

Pridať komentár