neprihlásený Nedeľa, 17. decembra 2017, dnes má meniny Kornélia   DonaskaKvetov.sk - donáška kvetov v SR a zahraničí Pošli kvety
Azet.sk vymenil SSL certifikát, opäť za kompromitovaný

DSL.sk, 29.5.2008


Po dnešnom článku servera DSL.sk o dva týždne známej chybe v OpenSSL knižnici v linuxovej distribúcii Debian a odvodených distribúciách, ktorá má vážne bezpečnostné následky, vymenil certifikát zatiaľ jediný z vlastníkov 27 slovenských SSL certifikátov kompromitovaných chybou.

Bol ním portál Azet.sk, u ktorého bol kompromitovaný certifikát používaný okrem iného pri prihlasovaní užívateľov. Certifikát bol nahradený novým s platnosťou oddnes.

Z nepochopiteľných príčin je ale kompromitovaný aj RSA kľúč nového certifikátu, ako vyplýva z testu nástrojmi od Debianu a Ubuntu openssl-vulnkey a dowkd.pl a ich databáz.

Do času publikovania článku sa nám nepodarilo od prevádzkovateľa portálu získať stanovisko k tomu, čo bolo príčinou použitia kompromitovaného kľúča.

Chyba v OpenSSL knižnici prítomná viac ako rok v distribúcii Debian spôsobila, že knižnica generovala na danej platforme iba 32 768 rozličných postupností náhodných čísel. Napríklad v prípade generovania RSA kľúčov danej dĺžky bol tak každý kľúč z úzkej množiny 32 768 kľúčov a u každého takéhoto kľúča je tak možné podľa verejného kľúča nájsť privátny.

U SSL komunikácie zabezpečenej takýmto spôsobom kompromitovaným certifikátom je jej bezpečnosť prakticky na úrovni nezabezpečenej komunikácie, keď SSL komunikáciu je možné rozšifrovať, respektíve je možné použiť man-in-the-middle útok.


      Zdieľaj na Twitteri



Najnovšie články:

Nórsko vyplo FM vysielanie a prešlo na digitálne, na Slovensku sa s ním len začína
Úrad verejného zdravotníctva odporúča ako sa čo najmenej vystavovať žiareniu z mobilov
Veľká televízia sa pokúsi o remake The IT Crowd
Polovica ľudí si myslí, že kontroluje smartfón príliš často, a chce to obmedziť
Notebook pod kilo so štvorjadrovým Intelom a výdržou 22.5 hodín
USA pod vedením Trumpa zrušili sieťovú neutralitu
Umelá inteligencia Google už hľadá aj planéty, zatiaľ našla dve
Rusi si v utorok na seba globálne presmerovali dátovú prevádzku posielanú najväčším IT firmám
Briti dokončili kúpu SK-NIC-u. Nové .sk domény nechávajú za 8.4 eur
DSL rozchodili cez mokrý špagát, dosiahli 3.5 Mbps. Nesimulovali slovenské linky?


Diskusia:
                               
 

ako sa vravi, snaha sa ceni, ale tiez si mohli novy certifikat najprv overit a nespoliehat sa len na slova: uz to mate v poriadku ;)
Odpovedať Známka: 1.4 Hodnotiť:
 

moja mara neni ozaj moja mara?
Odpovedať Známka: -3.3 Hodnotiť:
 

to akoze muj tata neni muj tata?
Odpovedať Známka: 0.0 Hodnotiť:
 

niekto zabudol spustit pred vyhenerovanim noveho kluca
apg-get update
apt-get upgrade
:))
Odpovedať Známka: 2.5 Hodnotiť:
 

keby to bolo take jednoduche ... vsak
Odpovedať Známka: 10.0 Hodnotiť:
 

Je to take jednoduche.
Toto mali spustit na PC, kde ten certifikat generovali.
A ak maju produkcny server na debian-based distribucii, tak to mali spustit aj tam, po update server nebude trustovat certifikaty, ktore su z infikovanych.
Odpovedať Známka: 0.0 Hodnotiť:
 

to je vtip azet haha uz ake tajne informacie tam maju uzivatelia. tie uchylne profily uzivatelov, sexisticke fotografie alebo ta trapna posta (email) uz horsi je len post.
Odpovedať Známka: 5.2 Hodnotiť:
 

keby zivot mal spocivat na post.sk a sme.sk tak sme davno v pazi
Odpovedať Známka: 5.6 Hodnotiť:
 

a na com spociva, o velky mudrc?
Odpovedať Známka: 0.0 Hodnotiť:
 

a v com nespociva, ú velky mudrc ?
Odpovedať Známka: 3.3 Hodnotiť:
 

tak post.sk je nozaj to najhoršie čo múže byť, občas sa stracaju maily, nedá sa prihlasiť, alebo mail, ktorý ste dostali pred týždnom sa zobrazí medzi prijatou správou až zajtra. A to ešte si pýtaju prachy za podporu pop3.
Odpovedať Známka: 6.7 Hodnotiť:
 

mas ohladom postu vela info, este dodaj ze ho aj pouzivas a vyhravas the best joke of the year :)
Odpovedať Známka: -6.0 Hodnotiť:
 

Ja ho osobne pouzivam ako spamovy kos, zide sa :)..Ale niektore registracie webov chodia fakt v uctihodnych dlhych intervaloch.
Odpovedať Hodnotiť:
 

Man-in-the-middle utok je mozne pouzit vzdy. V tomto pripade vsak uzivatel dostane rovnaky certifikat ako keby komunikoval zo serverom priamo kdezto v klasickom pripade dostane podvrhnuty certifikat, ktory je zistitelny.
Odpovedať Hodnotiť:
 

:)

Pri takejto definícii man-in-the-middle by tento termín stratil význam.
Odpovedať Hodnotiť:
 

wikipedia.org/wiki/Secure_Sockets_Layer#Security

To protect against Man-in-the-middle attacks, the client compares the actual DNS name of the server to the DNS name on the certificate
Odpovedať Hodnotiť:
 

to uz je opravene :)
Odpovedať Známka: 3.3 Hodnotiť:
 

Co ktomu povedat... azet je azet... jedna velka diera.
Odpovedať Známka: 10.0 Hodnotiť:
 

neviem naco treba azetu SSL, ved nerobia i-banking a ani nic podobne. A navyse databazy hesiel zverejnuju ich interny zamestnanci na internete a kazdy si potom pozera zamknute albumy. Na to, ze nesifruju hesla v databaze (md5, sha), ale ukladaju ich ako plain text, sa nevyjadrujem. No ved kto by mal potom zaujem o 30 az 40 znakovy hash, ze? S heslami alá plain text sa da lepsie kseftovat. Azet nie je spolocnost, ktorej by som mohol doverovat.
Odpovedať Hodnotiť:

Pridať komentár