24.03 // Взлом УЦ Comode и получение фальшивых сертификатов SSL для популярных сервисов
Как сообщили представители компании Comodo, которое также подтвердили Microsoft, Google и Mozilla, был осуществлён взлом аккаунта корневого поставщика удостоверяющих цифровых сертификатов Comodo и получение подложных сертификатов на популярные сервисы интернета:
- login.live.com
- mail.google.com
- www.google.com
- login.yahoo.com (3 certificates)
- login.skype.com
- addons.mozilla.org
- "Global Trustee"
Как утверждается, взлом произошёл из иранского сегмента сети интернет и носил хорошо спланированный характер.
Патч, закрывающий данную уязвимость был внесён поставщиками браузеров Firefox и Chromium первоначально без каких-либо поясняющих комментариев: фальшивые сертификаты были внесены в чёрный список с пометкой "тестовые".
Взломщик, потенциально осуществляющий MITM-атаку при помощи этих сертификатов мог бы при существующей модели также блокировать и запрос браузера к сетевым спискам отозванных сертификатов, поэтому первоначальное внесение таких сертификатов только в онлайн-список отзыва не остановило бы атаку. Этот метод атаки включён в известную утилиту перехвата SSL-соединений "sslmitm". Существуют и более лёгкие методы проведения атаки, основанные на блокировании, а не подмены соединений и на особенностях работы браузеров. Они были публично продемонстрированы в 2009 году, но не исправлены в текущей версии Firefox.
Подмена SSL-сертификатов позволяет прослушивающей стороне нарушать целостность и конфиденциальность защищённого ssl-соединения в сети интернет, если оно базируется на доверии к сертификату, подписанному одним из множества УЦ, находящихся обычно в списке доверяемых для браузеров, почтовых программ, систем обновлений операционных систем, в банковских и других программах.
Источник: Torproject Blog
комментариев: 9796 документов: 488 редакций: 5664
Ужас-ужасный. Но вполне закономерный. Не могу даже распарсить нагромождение подробностей.
Когда дело касается коммерчески ориентированных моделей безопасности возникает стойкое желание похоронить их, чем разбираться в их хитросплетениях. Не стоит доверять моделям сертификации с корневыми удостоверяющими центрами, со всеми этими как попало наполняемыми списками включения и отзыва, якобы основанными на доверии и репутации к УЦ. Нет уже ни репутации, ни доверия к тому как они выполнены в браузерах. Шнайер об это десять лет назад предупреждал.
Пользователи проиграли. Полностью. И фосс не помог.
Теперь комодо пытаются указать на государство которое по их словам так открыто засветилось. И как мгновенно это открытие произошло в действительности ...
комментариев: 9796 документов: 488 редакций: 5664
А причём здесь FOSS? Списки сертификатов просто включает в браузеры (пакеты) как есть.
комментариев: 254 документов: 9 редакций: 753
У COMODO есть подразделение UserTrust, которое занимается оформлением цифровых удостоверений для веб-сайтов; с помощью этих сертификатов определяется подлинность ресурсов, на имя которых они выданы. Сообщается, что хакеры смогли завладеть аутентификационными сведениями некоторой восточноевропейской компании, которая состоит в партнерских отношениях с COMODO – что, собственно, и позволило им сгенерировать нужные удостоверения. Напомним, что цифровые сертификаты могут быть полезны для фишеров: они придают кажущуюся легитимность вредоносным копиям известных Интернет-ресурсов.
Глава компании Мели Абдулла-оглы выразил уверенность в том, что атака обеспечивалась ресурсами некоторого враждебного государства и была "политически мотивированной". При этом, по его словам, отдельные признаки позволяют предполагать, что нападение было произведено с территории Ирана. Аналогичная точка зрения была изложена и в корпоративном блоге COMODO, где заявляется, что IP-адреса, с которых действовали взломщики, были приписаны к одному из иранских поставщиков услуг Интернета.
"Обычный киберпреступник предпринял бы атаку методом грубой силы, однако в данном случае образ действий был иным", – отметил г-н Абдулла-оглы. – "Это была тщательно скоординированная, можно даже сказать – хирургически точная операция; нападавшие четко знали, какие задачи им нужно выполнить и в какой срок".
В информационном бюллетене Microsoft, посвященном этому инциденту, говорится, что злоумышленники получили девять сертификатов: три для адреса login.yahoo.com и по одному для login.live.com, mail.google.com, www.google.com, login.skype.com, addons.mozilla.org и Global Trustee. Происшествие уже вынудило производителей популярных Интернет-обозревателей обновить свои программные решения: Chrome и Firefox получили исправления еще несколько дней назад, а патчи от Microsoft подоспели лишь вчера. Впрочем, обновление из Редмонда оказалось более масштабным: лже-сертификаты были внесены в черный список всех поддерживаемых на данный момент операционных систем Windows.
Источник.
комментариев: 9796 документов: 488 редакций: 5664
Кто-то из Ирана взломал аккаунт УЦ Комода и создал другого пользователя, через которого насоздавал себе фальшивых SSL-сертификатов на имя гугла, скайпа, яху, мозиллы,майкрософта и др. Когда это обнаружилось и самим Комодом, то патч, закрывающий эту дырку в Хромиуме и Мозилле ничего не объяснял. И только когда его стали изучать, тогда Комоду стало отпираться бессмысленно и он признался. По его объяснениям и сопоставлению с данными наблюдения за сертификатами косвенно ясно, что их успели использовать для проведения атак подмены.
А создатели браузеров получается как-бы даже в сговоре с поставщиками сертификатов, что протаскивают патчи так, чтобы не вызывать паники и не рушить бизнес-репутацию (вместо того, чтобы те открыто отозвали сертификаты). Т.е. сертификаты добавили в блэклист, как якобы "тестовые". Удасться ли бравым правдоискателям раксрыть коварный заговор? Запасатесь попкорном и ждите продолжения серий.
интернетамулицам Комод водили:комментариев: 11558 документов: 1036 редакций: 4118
По крайней мере, значительная доля доходов Мозиллы поступает от УЦ, включающих свои корневые сертификаты в FF. Так что, да, прямая заинтересованность налицо.
Это что? Если не выписывали промежуточных, как сообщается, тогда это сертификат с CN где вместо домена такая строчка. Внимание вопрос, а зачем CA выпускает сертификаты с произвольными строками в CN. Или допустим это не про CN и тот был пуст, тогда почему подписали такое. Если злоумышленники настолько расшатали их инфраструктуру тогда где гарантии что нет промежуточных, и вообще было 9. Чем дальше, тем всё больше вопросов.
Пора отказываться от мещанских комодов, товарищи.
комментариев: 11558 документов: 1036 редакций: 4118
Не у любого.