SSL certifikátom a zabezpečným stránkam zrejme nie je možné dôverovať

DSL.sk, 23.12.2008

X.509 certifikátom zabezpečujúcim HTTPS stránky zabezpečené SSL protokolom a tak ani samotným zabezpečeným webovým stránkam nie je zrejme možné bezvýhradne dôverovať.

Vyplýva to zo zistení Edda Nigga, ktorému sa podarilo identifikovať certifikačnú autoritu neoverujúcu dostatočne žiadateľa o certfikát pre webový server.

Od tejto certifikačnej autority si tak je respektíve minimálne bolo možné do pondelka nechať vystaviť plne platný certifikát podpísaný koreňovým certifikátom nachádzajúcim sa vo všetkých významných webových prehliadačoch pre doménu, ktorú žiadateľ nevlastní. Niggovi sa to podarilo pre doménu www.mozilla.com, jemu vystavený certifikát pre ktorú je možné sťahovať tu.

Certifikát bol vydaný u certifikačnej autority PositiveSSL patriacej pod Comodo, v súčasnosti po zverejnení už je certifikát zaradený medzi zneplatnené.

Certifikát platný rok má v časti Subject v položke OU, organizational unit, uvedené "PositiveSSL" a "Domain Control Validated". Akým postupom sa podarilo Niggovi certifikát vygenerovať neuvádza.

Možnosť získania takéhoto neoprávnene vydaného certifikátu umožňuje útočníkom prevádzkovať napríklad po podvrhnutí DNS záznamov aj podvrhnuté zabezpečené stránky, ktoré sa budú prehliadaču javiť ako pravé zabezpečené stránky.

Zatiaľ nie je známe, koľko falošných certifikátov bolo vydaných, či boli všetky identifikované a či boli niektoré z nich použité na reálne útoky na Internete.

Brániť sa proti prípadným podvrhnutým stránkam využívajúcim neoprávnene vydaný certifikát od PositiveSSL je možné preverením v certifikáte uvedenej certifikačnej autority. V prípade, že certifikát bol vydaný PositiveSSL, je potrebné detailné preverenie certifikátu, presná metodika identifikovania neoprávnene vydaného certifikátu vzhľadom na nedostatok informácií zatiaľ ale nie je k dispozícii.




Najnovšie články:



inzercia



Diskusia:

Pravidlo NNN Od: aleluja | Pridané: 23.12.2008 22:59 Nikdy Nikomu Never ! Odpovedať Známka: 8.9 Hodnotiť:

Re: Pravidlo NNN Od reg.: Kveri | Pridané: 23.12.2008 23:10 verim vlastnej CAcke Odpovedať Známka: 5.4 Hodnotiť:

Re: Pravidlo NNN Od: enx | Pridané: 24.12.2008 8:14 a ja verim ceckam Odpovedať Známka: 6.9 Hodnotiť:

Re: Pravidlo NNN Od: Marek1234 | Pridané: 24.12.2008 11:11 Preto seriozne spolocnosti pouzivaju jedine certifikat od Thawte a od VeriSign. Pri ostatnych by som tak ci tak uz daval bacha a hlavne pri bankovych operaciach by som si rozmyslel, ci tuknem svoje udaje do kompu! Odpovedať Známka: 6.4 Hodnotiť:

Re: Pravidlo NNN Od reg.: ShodanN | Pridané: 26.12.2008 20:40 Verit len chuckovi ze ta zabije z dvojitej otocky sa da Odpovedať Známka: -4.3 Hodnotiť:

Re: Pravidlo NNN Od: Zmurko | Pridané: 29.12.2008 10:07 Teba uz zabil? Odpovedať Hodnotiť:

nigga Od: looool | Pridané: 23.12.2008 23:27 nigga na to prisiel :-) Odpovedať Známka: 7.1 Hodnotiť:

parada Od: antiVISTA | Pridané: 23.12.2008 23:29 Ach jaj, clovek uz aby neveril naozaj nicomu. Jedina ako tak solidne fungujuca vec uz je nesolidna :-( A vobec, aj tak by som vsetky tie pocitace a internety zakazal. A vsetkych "bezpecnostnych expertov" a inych sturalov nechal povinne cez sviatky oddychovat bez pristupu k PC. Ach jaj, to zas bude. Vraj sviatky pokoja a mieru :-D LOL Vsetkytm zelam stastne a vesele :-* Odpovedať Známka: 0.0 Hodnotiť:

Re: parada Od: Applista | Pridané: 23.12.2008 23:42 antiVISTA kedze nepriatelia nasich nepriatelov su nasi priatelia tak si moj priatel. :D A tie stastne a vesele sa budu zelat az zajtra bude tu na to priestor vo zvlastnom clanku. Zatial musim vymysliet daky dobry vins. Odpovedať Známka: -7.1 Hodnotiť:

bezpečnosť Od reg.: richtar | Pridané: 23.12.2008 23:37 to bolo jasné, že to všetko časom budú sa snažiť prelomiť....a budú sa o to heckeri snažiť až dovtedy kým sa im to úplne nepodarí a páni experti budú mať plné ruky práce aby vyvinuli ešte bezpečnejší certifikát .... hlavne nech je bezpečná komunikácia medzi serverami medzi bankami, keď ľudia vo veľkom využívajú internet banking... nech sú naše peniažky v bezpečí Odpovedať Známka: -5.6 Hodnotiť:

Re: bezpečnosť Od: asfalatus | Pridané: 24.12.2008 0:18 Navrhujem Vam este raz si poriadne precitat clanok. Nic nebolo prelomene, dotycnemu sa akurat podarilo ziskat platny certfikat od CA. Odpovedať Známka: 8.2 Hodnotiť:

Re: bezpečnosť Od reg.: Alino | Pridané: 24.12.2008 1:25 internet banking je najbezpecnejsi vo windowse pod internet explorerom predovsetkym bez skodlivych firewallov a antivirov ktore zbytocne zbrzduju a kadejako rucaju komp. Odpovedať Známka: 0.0 Hodnotiť:

Re: bezpečnosť Od: baro | Pridané: 24.12.2008 9:41 :D jjj... a samozrejme by som neodporucal chodit na i-banking z domu. Vhodna by bola nejaka zapadnuta internetova kaviaren ktora splna specifika popisane vyssie. Odpovedať Známka: 3.3 Hodnotiť:

lololol Od: lololol | Pridané: 23.12.2008 23:59 lololol Odpovedať Známka: -8.5 Hodnotiť:

Co chcete od lidí Od: Accuphose+ | Pridané: 24.12.2008 1:41 Lidstvo by mělo být nahrazeno vyšší formou inteligence... třeba pes, ten pozná svého pána od cizího člověka. Hmm od Comodo mám taky certifikát na e-mail, bylo to zadarmo, tak proč to nebrat. Odpovedať Známka: -6.7 Hodnotiť:

Magyaros? Od:               | Pridané: 24.12.2008 3:42 "Niggovi sa to podarilo pre doménu www.mozilla.com, jemu vystavený certifikát pre ktorú je možné sťahovať tu." WTF? Odpovedať Známka: 8.8 Hodnotiť:

Re: Magyaros? Od reg.: Arthur von Fofot | Pridané: 24.12.2008 9:28 :D Pozoruhodná veta :D Odpovedať Známka: 6.0 Hodnotiť:

Certifikacna autorita Od: Stevko_ | Pridané: 24.12.2008 8:28 Pozrel som si zoznam certifikcnych autorit v browseri a nikde tam nevidim PositiveSSL. Je tam niekde vobec v standardnej instalacii? Ktora to je? Odpovedať Hodnotiť:

Re: Certifikacna autorita Od: zippy | Pridané: 24.12.2008 10:32 FF 3.0.4 a mam tu len COMODO Odpovedať Hodnotiť:

Re: Certifikacna autorita Od reg.: Redakcia DSL.sk | Pridané: 24.12.2008 10:57 Celá certifikačná cesta je UTN - USERFirst (SHA1 04 83 ed 33 99 ac 36 08 05 87 22 ed bc 5e 46 00 e3 be f9 d7) / PositiveSSL CA (SHA1 dd c5 8c 53 df 2e f2 b2 66 20 bf 1c a7 d4 15 ff 98 cd b4 84) / neoprávnený certifikát. Pre overenie korektnosti napr. v IE si stačí linkovaný certifikát vo Windows stiahnuť na disk a otvoriť. Odpovedať Hodnotiť:

čo to Od: delayan | Pridané: 24.12.2008 9:22 tento článok som vôbec nepochopil :-D ako ukradli private key RSA zabezpečených stránok alebo čo? Odpovedať Známka: 0.0 Hodnotiť:

Windows 2008 + IE7 a Od: Martin V | Pridané: 24.12.2008 10:41 a Tuhle CA tu nemam Odpovedať Známka: -5.0 Hodnotiť:

Pre tych, co nevedia citat Od: Jan Kunderr | Pridané: 24.12.2008 15:22 Ziaden HACK ani CRACK nenastal. Ziadne prelomenie bezpecnosti na urovni OS/HW/SW/SSL/sifrovania ... Problem nastal s tym, ze Duri Pravy tvrdil, ze je Fero Lavy Nepravy a policia mu to uverila a vytlacila na obciansky. Obciansky je pravy, fotka je OK, vsetko je OK. Az na to, ze je to v skutocnosti Duro, nie Fero Chybu spravila policia (certifikacna autorita), ze uverila klamstvu a neoverila si, D. Pravy je D.P. a nie Fero Lavy Nepravy. A teraz moze DP vystupovat ak FLN a ist si vybrat do banky jeho peniaze (ak este sfalsuje podpis). Cize, ak niekto povrhne stranku cez DNS - este to potvrdi certifikatom, tak mu "mozete" plne doverovat, hoci je klamar ... dostane (z pohladu zabezpecenia a SW) korektne login a pass a on potom uz v/na pravej banke/stranke vyrabuje vasu kreditku, BUC ... Odpovedať Známka: 8.3 Hodnotiť:

Re: Pre tych, co nevedia citat Od: Jan Kunderr | Pridané: 24.12.2008 15:26 Bez preklepov: Ziaden HACK ani CRACK nenastal. Ziadne prelomenie bezpecnosti na urovni OS/HW/SW/SSL/sifrovania ... PRIKLAD:: Problem nastal v tom, ze Duri Pravy tvrdil, ze je Fero Lavy Nepravy a policia mu to uverila a vytlacila na obciansky (cize policia svojou nedbalostou/podplatenim/... klame tiez). Obciansky je pravy, fotka je OK, vsetko je OK -- az na to, ze je to v skutocnosti Duro, nie Fero. Chybu spravila policia (certifikacna autorita), ze uverila klamstvu a neoverila si, ze Duri Pravy je vlastne D.P. (pravda) a nie Fero Lavy Nepravy (klamstvo). A teraz moze DP vystupovat ako FLN a ist si vybrat do banky jeho peniaze (ak este sfalsuje podpis). Cize, ak niekto povrhne stranku cez DNS - este to potvrdi certifikatom, tak mu "mozete" (z technickeho hladiska=ma pravy obciansky) plne doverovat, hoci je klamar ... dostane (z pohladu zabezpecenia a SW) korektne login a pass a on potom uz v/na pravej banke/stranke vyrabuje vasu kreditku, BUC ... Odpovedať Známka: 6.9 Hodnotiť:

Re: Pre tych, co nevedia citat Od: Lolofon | Pridané: 24.12.2008 16:58 no, konecne niekto, kto vie citat a rozmyslat.... zato, ze nejaka CAcka odflakne svoju robotu, SSL certifikaty nemozu :). mali by revokovat jej issuing certifikat a este 2x kutacom po gulach.... Odpovedať Známka: 7.1 Hodnotiť:

Re: Pre tych, co nevedia citat Od: pppppppppppp | Pridané: 25.12.2008 11:23 ...a odobrať im licenciu, zakázať činnosť, prípadne zodpovedným ľuďom zobrať aj rodné listy. Zase sa potvrdilo, že každá reťaz je len taká silná, ako silné je jej najslabšie ohnivko. Odpovedať Hodnotiť:

Re: Pre tych, co nevedia citat Od: ................... | Pridané: 26.12.2008 17:20 To je vsetko pravda, akurat, ze tato situacia vystihuje podstatu systemu ako taku. Z pozicie toho, kto cez taketo SSL komunikuje je absolutne nepodstatne ako opacna strana ziskala ten certifikat. Podstatne je to, ze sa pripoji na mozilla.com co vlastne nie je mozilla.com a bude si mysliet, ze je na mozilla.com :):):). Tiez tam ktosi spominal Thawte a Verisign, myslim, ze vsetky korenove CA maju +/- rovnake podmienky na ziskanie statutu korenovej CA, takze to iste by sa mohlo stat aj tam, lebo aj sudruhovia zo spominanej CA museli formalnu stranku veci pre ziskanie statutu korenovej CA naplnit. Akurat, ze nedodrziavaju to co sa zaviazali dodrziavat. Odpovedať Hodnotiť:

Chudak... Od reg.: HeckreN | Pridané: 25.12.2008 0:07 Ten nigga mal asi tazke detstvo.. :-( Odpovedať Známka: -5.6 Hodnotiť:

slepa dovera Od: risototh | Pridané: 25.12.2008 12:27 toto je ukazkovy pripad typu: kto kontroluje tych, ktori kontroluju. Odpovedať Známka: 2.0 Hodnotiť:

Re: slepa dovera Od: Lolofon | Pridané: 26.12.2008 13:58 no, u na slovensku NBU a kazdorocne externy auditor (minimalne pre akreditovane CA :) Odpovedať Hodnotiť:

jhkghkjjlhkj Od: jjjjjjjjjjjjjj | Pridané: 25.12.2008 15:11 bol vydaný u certifikačnej autority by som nahradil: bol vydany certifikacnou autoritou.... a uz prestante pouzivat to POSRATE "U".... co ste chybny???????????? Odpovedať Známka: 6.0 Hodnotiť:

divny clanok Od: gtg | Pridané: 29.12.2008 8:00 "Od tejto certifikačnej autority si tak je respektíve minimálne bolo možné do pondelka nechať vystaviť,,," autor clanku to pisal na kolene v autobuse alebo co? same chyby. Odpovedať Hodnotiť:

Pridať komentár