neprihlásený Piatok, 15. decembra 2017, dnes má meniny Ivica   DonaskaKvetov.sk - donáška kvetov v SR a zahraničí Pošli kvety
SSL certifikátom a zabezpečným stránkam zrejme nie je možné dôverovať

DSL.sk, 23.12.2008


X.509 certifikátom zabezpečujúcim HTTPS stránky zabezpečené SSL protokolom a tak ani samotným zabezpečeným webovým stránkam nie je zrejme možné bezvýhradne dôverovať.

Vyplýva to zo zistení Edda Nigga, ktorému sa podarilo identifikovať certifikačnú autoritu neoverujúcu dostatočne žiadateľa o certfikát pre webový server.

Od tejto certifikačnej autority si tak je respektíve minimálne bolo možné do pondelka nechať vystaviť plne platný certifikát podpísaný koreňovým certifikátom nachádzajúcim sa vo všetkých významných webových prehliadačoch pre doménu, ktorú žiadateľ nevlastní. Niggovi sa to podarilo pre doménu www.mozilla.com, jemu vystavený certifikát pre ktorú je možné sťahovať tu.

Certifikát bol vydaný u certifikačnej autority PositiveSSL patriacej pod Comodo, v súčasnosti po zverejnení už je certifikát zaradený medzi zneplatnené.

Certifikát platný rok má v časti Subject v položke OU, organizational unit, uvedené "PositiveSSL" a "Domain Control Validated". Akým postupom sa podarilo Niggovi certifikát vygenerovať neuvádza.

Možnosť získania takéhoto neoprávnene vydaného certifikátu umožňuje útočníkom prevádzkovať napríklad po podvrhnutí DNS záznamov aj podvrhnuté zabezpečené stránky, ktoré sa budú prehliadaču javiť ako pravé zabezpečené stránky.

Zatiaľ nie je známe, koľko falošných certifikátov bolo vydaných, či boli všetky identifikované a či boli niektoré z nich použité na reálne útoky na Internete.

Brániť sa proti prípadným podvrhnutým stránkam využívajúcim neoprávnene vydaný certifikát od PositiveSSL je možné preverením v certifikáte uvedenej certifikačnej autority. V prípade, že certifikát bol vydaný PositiveSSL, je potrebné detailné preverenie certifikátu, presná metodika identifikovania neoprávnene vydaného certifikátu vzhľadom na nedostatok informácií zatiaľ ale nie je k dispozícii.


      Zdieľaj na Twitteri



Najnovšie články:

Notebook pod kilo so štvorjadrovým Intelom a výdržou 22.5 hodín
USA pod vedením Trumpa zrušili sieťovú neutralitu
Umelá inteligencia Google už hľadá aj planéty, zatiaľ našla dve
Rusi si v utorok na seba globálne presmerovali dátovú prevádzku posielanú najväčším IT firmám
Briti dokončili kúpu SK-NIC-u. Nové .sk domény nechávajú za 8.4 eur
DSL rozchodili cez mokrý špagát, dosiahli 3.5 Mbps. Nesimulovali slovenské linky?
Po 4 mesiacoch je Android 8.0 Oreo iba na 0.5% Androidov
Zverejnené desiatky kľúčov pre 4K Blu-ray filmy
Šifrovanie diskov v Linuxe sa výrazne zlepšuje, dostáva ochranu integrity
Druhá generácia Ryzenov má prísť už vo februári


Diskusia:
                               
 

Nikdy Nikomu Never !
Odpovedať Známka: 8.9 Hodnotiť:
 

verim vlastnej CAcke
Odpovedať Známka: 5.4 Hodnotiť:
 

a ja verim ceckam
Odpovedať Známka: 6.9 Hodnotiť:
 

Preto seriozne spolocnosti pouzivaju jedine certifikat od Thawte a od VeriSign. Pri ostatnych by som tak ci tak uz daval bacha a hlavne pri bankovych operaciach by som si rozmyslel, ci tuknem svoje udaje do kompu!
Odpovedať Známka: 6.4 Hodnotiť:
 

Verit len chuckovi ze ta zabije z dvojitej otocky sa da
Odpovedať Známka: -4.3 Hodnotiť:
 

Teba uz zabil?
Odpovedať Hodnotiť:
 

nigga na to prisiel :-)
Odpovedať Známka: 7.1 Hodnotiť:
 

Ach jaj, clovek uz aby neveril naozaj nicomu. Jedina ako tak solidne fungujuca vec uz je nesolidna :-( A vobec, aj tak by som vsetky tie pocitace a internety zakazal. A vsetkych "bezpecnostnych expertov" a inych sturalov nechal povinne cez sviatky oddychovat bez pristupu k PC. Ach jaj, to zas bude. Vraj sviatky pokoja a mieru :-D LOL

Vsetkytm zelam stastne a vesele :-*
Odpovedať Známka: 0.0 Hodnotiť:
 

antiVISTA kedze nepriatelia nasich nepriatelov su nasi priatelia tak si moj priatel. :D


A tie stastne a vesele sa budu zelat az zajtra bude tu na to priestor vo zvlastnom clanku. Zatial musim vymysliet daky dobry vins.
Odpovedať Známka: -7.1 Hodnotiť:
 

to bolo jasné, že to všetko časom budú sa snažiť prelomiť....a budú sa o to heckeri snažiť až dovtedy kým sa im to úplne nepodarí a páni experti budú mať plné ruky práce aby vyvinuli ešte bezpečnejší certifikát .... hlavne nech je bezpečná komunikácia medzi serverami medzi bankami, keď ľudia vo veľkom využívajú internet banking... nech sú naše peniažky v bezpečí
Odpovedať Známka: -5.6 Hodnotiť:
 

Navrhujem Vam este raz si poriadne precitat clanok. Nic nebolo prelomene, dotycnemu sa akurat podarilo ziskat platny certfikat od CA.
Odpovedať Známka: 8.2 Hodnotiť:
 

internet banking je najbezpecnejsi vo windowse pod internet explorerom predovsetkym bez skodlivych firewallov a antivirov ktore zbytocne zbrzduju a kadejako rucaju komp.
Odpovedať Známka: 0.0 Hodnotiť:
 

:D jjj... a samozrejme by som neodporucal chodit na i-banking z domu. Vhodna by bola nejaka zapadnuta internetova kaviaren ktora splna specifika popisane vyssie.
Odpovedať Známka: 3.3 Hodnotiť:
 

lololol
Odpovedať Známka: -8.5 Hodnotiť:
 

Lidstvo by mělo být nahrazeno vyšší formou inteligence... třeba pes, ten pozná svého pána od cizího člověka. Hmm od Comodo mám taky certifikát na e-mail, bylo to zadarmo, tak proč to nebrat.
Odpovedať Známka: -6.7 Hodnotiť:
 

"Niggovi sa to podarilo pre doménu www.mozilla.com, jemu vystavený certifikát pre ktorú je možné sťahovať tu."

WTF?
Odpovedať Známka: 8.8 Hodnotiť:
 

:D Pozoruhodná veta :D
Odpovedať Známka: 6.0 Hodnotiť:
 

Pozrel som si zoznam certifikcnych autorit v browseri a nikde tam nevidim PositiveSSL. Je tam niekde vobec v standardnej instalacii? Ktora to je?
Odpovedať Hodnotiť:
 

FF 3.0.4 a mam tu len COMODO
Odpovedať Hodnotiť:
 

Celá certifikačná cesta je UTN - USERFirst (SHA1 04 83 ed 33 99 ac 36 08 05 87 22 ed bc 5e 46 00 e3 be f9 d7) / PositiveSSL CA (SHA1 dd c5 8c 53 df 2e f2 b2 66 20 bf 1c a7 d4 15 ff 98 cd b4 84) / neoprávnený certifikát.

Pre overenie korektnosti napr. v IE si stačí linkovaný certifikát vo Windows stiahnuť na disk a otvoriť.
Odpovedať Hodnotiť:
 

tento článok som vôbec nepochopil :-D
ako ukradli private key RSA zabezpečených stránok alebo čo?
Odpovedať Známka: 0.0 Hodnotiť:
 

a Tuhle CA tu nemam
Odpovedať Známka: -5.0 Hodnotiť:
 

Ziaden HACK ani CRACK nenastal. Ziadne prelomenie bezpecnosti na urovni OS/HW/SW/SSL/sifrovania ...

Problem nastal s tym, ze Duri Pravy tvrdil, ze je Fero Lavy Nepravy a policia mu to uverila a vytlacila na obciansky.

Obciansky je pravy, fotka je OK, vsetko je OK.

Az na to, ze je to v skutocnosti Duro, nie Fero

Chybu spravila policia (certifikacna autorita), ze uverila klamstvu a neoverila si, D. Pravy je D.P. a nie Fero Lavy Nepravy.

A teraz moze DP vystupovat ak FLN a ist si vybrat do banky jeho peniaze (ak este sfalsuje podpis).
Cize, ak niekto povrhne stranku cez DNS - este to potvrdi certifikatom, tak mu "mozete" plne doverovat, hoci je klamar ... dostane (z pohladu zabezpecenia a SW) korektne login a pass a on potom uz v/na pravej banke/stranke vyrabuje vasu kreditku, BUC ...
Odpovedať Známka: 8.3 Hodnotiť:
 

Bez preklepov:

Ziaden HACK ani CRACK nenastal. Ziadne prelomenie bezpecnosti na urovni OS/HW/SW/SSL/sifrovania ...

PRIKLAD::
Problem nastal v tom, ze Duri Pravy tvrdil, ze je Fero Lavy Nepravy a policia mu to uverila a vytlacila na obciansky (cize policia svojou nedbalostou/podplatenim/... klame tiez).

Obciansky je pravy, fotka je OK, vsetko je OK --
az na to, ze je to v skutocnosti Duro, nie Fero.

Chybu spravila policia (certifikacna autorita), ze uverila klamstvu a neoverila si, ze Duri Pravy je vlastne D.P. (pravda) a nie Fero Lavy Nepravy (klamstvo).

A teraz moze DP vystupovat ako FLN a ist si vybrat do banky jeho peniaze (ak este sfalsuje podpis).
Cize, ak niekto povrhne stranku cez DNS - este to potvrdi certifikatom, tak mu "mozete" (z technickeho hladiska=ma pravy obciansky) plne doverovat, hoci je klamar ... dostane (z pohladu zabezpecenia a SW) korektne login a pass a on potom uz v/na pravej banke/stranke vyrabuje vasu kreditku, BUC ...


Odpovedať Známka: 6.9 Hodnotiť:
 

no, konecne niekto, kto vie citat a rozmyslat.... zato, ze nejaka CAcka odflakne svoju robotu, SSL certifikaty nemozu :). mali by revokovat jej issuing certifikat a este 2x kutacom po gulach....
Odpovedať Známka: 7.1 Hodnotiť:
 

...a odobrať im licenciu, zakázať činnosť, prípadne zodpovedným ľuďom zobrať aj rodné listy. Zase sa potvrdilo, že každá reťaz je len taká silná, ako silné je jej najslabšie ohnivko.
Odpovedať Hodnotiť:
 

To je vsetko pravda, akurat, ze tato situacia vystihuje podstatu systemu ako taku.
Z pozicie toho, kto cez taketo SSL komunikuje je absolutne nepodstatne ako opacna strana ziskala ten certifikat.
Podstatne je to, ze sa pripoji na mozilla.com co vlastne nie je mozilla.com a bude si mysliet, ze je na mozilla.com :):):).
Tiez tam ktosi spominal Thawte a Verisign, myslim, ze vsetky korenove CA maju +/- rovnake podmienky na ziskanie statutu korenovej CA, takze to iste by sa mohlo stat aj tam, lebo aj sudruhovia zo spominanej CA museli formalnu stranku veci pre ziskanie statutu korenovej CA naplnit. Akurat, ze nedodrziavaju to co sa zaviazali dodrziavat.

Odpovedať Hodnotiť:
 

Ten nigga mal asi tazke detstvo.. :-(
Odpovedať Známka: -5.6 Hodnotiť:
 

toto je ukazkovy pripad typu: kto kontroluje tych, ktori kontroluju.
Odpovedať Známka: 2.0 Hodnotiť:
 

no, u na slovensku NBU a kazdorocne externy auditor (minimalne pre akreditovane CA :)
Odpovedať Hodnotiť:
 

bol vydaný u certifikačnej autority

by som nahradil:

bol vydany certifikacnou autoritou.... a uz prestante pouzivat to POSRATE "U".... co ste chybny????????????
Odpovedať Známka: 6.0 Hodnotiť:
 

"Od tejto certifikačnej autority si tak je respektíve minimálne bolo možné do pondelka nechať vystaviť,,,"

autor clanku to pisal na kolene v autobuse alebo co? same chyby.
Odpovedať Hodnotiť:

Pridať komentár