id: Гость   вход   регистрация
текущее время 04:13 29/03/2024
Владелец: unknown (создано 24/03/2011 15:12), редакция от 24/03/2011 17:14 (автор: unknown) Печать
Категории: софт, приватность, инфобезопасность, прослушивание коммуникаций, уязвимости, стандарты, атаки, ssl, человек посередине, модель угрозы
https://www.pgpru.com/Новости/2011/ВзломУЦComodeИПолучениеФальшивыхСертификатовSSLДляПопулярныхСервисов
создать
просмотр
редакции
ссылки

24.03 // Взлом УЦ Comode и получение фальшивых сертификатов SSL для популярных сервисов


Как сообщили представители компании Comodo, которое также подтвердили Microsoft, Google и Mozilla, был осуществлён взлом аккаунта корневого поставщика удостоверяющих цифровых сертификатов Comodo и получение подложных сертификатов на популярные сервисы интернета:


  • login.live.com
  • mail.google.com
  • www.google.com
  • login.yahoo.com (3 certificates)
  • login.skype.com
  • addons.mozilla.org
  • "Global Trustee"

Как утверждается, взлом произошёл из иранского сегмента сети интернет и носил хорошо спланированный характер.


Патч, закрывающий данную уязвимость был внесён поставщиками браузеров Firefox и Chromium первоначально без каких-либо поясняющих комментариев: фальшивые сертификаты были внесены в чёрный список с пометкой "тестовые".


Взломщик, потенциально осуществляющий MITM-атаку при помощи этих сертификатов мог бы при существующей модели также блокировать и запрос браузера к сетевым спискам отозванных сертификатов, поэтому первоначальное внесение таких сертификатов только в онлайн-список отзыва не остановило бы атаку. Этот метод атаки включён в известную утилиту перехвата SSL-соединений "sslmitm". Существуют и более лёгкие методы проведения атаки, основанные на блокировании, а не подмены соединений и на особенностях работы браузеров. Они были публично продемонстрированы в 2009 году, но не исправлены в текущей версии Firefox.


Подмена SSL-сертификатов позволяет прослушивающей стороне нарушать целостность и конфиденциальность защищённого ssl-соединения в сети интернет, если оно базируется на доверии к сертификату, подписанному одним из множества УЦ, находящихся обычно в списке доверяемых для браузеров, почтовых программ, систем обновлений операционных систем, в банковских и других программах.


Источник: Torproject Blog


 
На страницу: 1, 2 След.
Комментарии [скрыть комментарии/форму]
— Гость (24/03/2011 10:11)   <#>
Тут детектив, про это, в деталях для детей младшего школьного возраста. Тайные патчи, мутный фосс, интриги, скандалы, расследования.
— unknown (24/03/2011 10:14, исправлен 24/03/2011 10:16)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Ужас-ужасный. Но вполне закономерный. Не могу даже распарсить нагромождение подробностей.


Когда дело касается коммерчески ориентированных моделей безопасности возникает стойкое желание похоронить их, чем разбираться в их хитросплетениях. Не стоит доверять моделям сертификации с корневыми удостоверяющими центрами, со всеми этими как попало наполняемыми списками включения и отзыва, якобы основанными на доверии и репутации к УЦ. Нет уже ни репутации, ни доверия к тому как они выполнены в браузерах. Шнайер об это десять лет назад предупреждал.

— Гость (24/03/2011 12:08)   <#>
Кто выиграл от замалчивания факта существования таких сертификатов? Комодо, тем что не было панического отказа от их услуг. Сохранили свой бизнес. Но главный победитель в этой игре в зарницу, тот кто эти сертификаты выписывал. Целую неделю он мог совершать то что было им задумано с минимальными информационными потерями.

Пользователи проиграли. Полностью. И фосс не помог.

Теперь комодо пытаются указать на государство которое по их словам так открыто засветилось. И как мгновенно это открытие произошло в действительности ...
— unknown (24/03/2011 12:51)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

А причём здесь FOSS? Списки сертификатов просто включает в браузеры (пакеты) как есть.
— Гость (24/03/2011 13:12)   <#>
Метод разработки софта. Детектив ioerror долго медитировал на коммиты для хромиума и файрфокса, прежде чем понял их суть. Запутывание в опен сорсе не новость, впрочем. Браузерам так сам бог свистелок и -делок велел.
— Гость (24/03/2011 13:46)   <#>
А можно в двух словах: что же произошло и почему?
— Eridan (24/03/2011 13:48)   профиль/связь   <#>
комментариев: 254   документов: 9   редакций: 753
Так можно ставить Comodo Firewall или нет? (=
— Гость (24/03/2011 14:30)   <#>
Успешная атака против одного из партнеров компании COMODO позволила неизвестным взломщикам получить легитимные цифровые сертификаты для ряда крупнейших сетевых ресурсов – Google и Gmail, Microsoft, Skype, Yahoo. Руководитель известного поставщика средств и систем безопасности заявил, что за нападением стояло враждебное иностранное государство.

У COMODO есть подразделение UserTrust, которое занимается оформлением цифровых удостоверений для веб-сайтов; с помощью этих сертификатов определяется подлинность ресурсов, на имя которых они выданы. Сообщается, что хакеры смогли завладеть аутентификационными сведениями некоторой восточноевропейской компании, которая состоит в партнерских отношениях с COMODO – что, собственно, и позволило им сгенерировать нужные удостоверения. Напомним, что цифровые сертификаты могут быть полезны для фишеров: они придают кажущуюся легитимность вредоносным копиям известных Интернет-ресурсов.

Глава компании Мели Абдулла-оглы выразил уверенность в том, что атака обеспечивалась ресурсами некоторого враждебного государства и была "политически мотивированной". При этом, по его словам, отдельные признаки позволяют предполагать, что нападение было произведено с территории Ирана. Аналогичная точка зрения была изложена и в корпоративном блоге COMODO, где заявляется, что IP-адреса, с которых действовали взломщики, были приписаны к одному из иранских поставщиков услуг Интернета.

"Обычный киберпреступник предпринял бы атаку методом грубой силы, однако в данном случае образ действий был иным", – отметил г-н Абдулла-оглы. – "Это была тщательно скоординированная, можно даже сказать – хирургически точная операция; нападавшие четко знали, какие задачи им нужно выполнить и в какой срок".

В информационном бюллетене Microsoft, посвященном этому инциденту, говорится, что злоумышленники получили девять сертификатов: три для адреса login.yahoo.com и по одному для login.live.com, mail.google.com, www.google.com, login.skype.com, addons.mozilla.org и Global Trustee. Происшествие уже вынудило производителей популярных Интернет-обозревателей обновить свои программные решения: Chrome и Firefox получили исправления еще несколько дней назад, а патчи от Microsoft подоспели лишь вчера. Впрочем, обновление из Редмонда оказалось более масштабным: лже-сертификаты были внесены в черный список всех поддерживаемых на данный момент операционных систем Windows.
Источник.
— unknown (24/03/2011 14:44)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Кто-то из Ирана взломал аккаунт УЦ Комода и создал другого пользователя, через которого насоздавал себе фальшивых SSL-сертификатов на имя гугла, скайпа, яху, мозиллы,майкрософта и др. Когда это обнаружилось и самим Комодом, то патч, закрывающий эту дырку в Хромиуме и Мозилле ничего не объяснял. И только когда его стали изучать, тогда Комоду стало отпираться бессмысленно и он признался. По его объяснениям и сопоставлению с данными наблюдения за сертификатами косвенно ясно, что их успели использовать для проведения атак подмены.

А создатели браузеров получается как-бы даже в сговоре с поставщиками сертификатов, что протаскивают патчи так, чтобы не вызывать паники и не рушить бизнес-репутацию (вместо того, чтобы те открыто отозвали сертификаты). Т.е. сертификаты добавили в блэклист, как якобы "тестовые". Удасться ли бравым правдоискателям раксрыть коварный заговор? Запасатесь попкорном и ждите продолжения серий.
— Гость (24/03/2011 15:11)   <#>
По интернетам улицам Комод водили:
— SATtva (24/03/2011 16:35)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
А создатели браузеров получается как-бы даже в сговоре с поставщиками сертификатов, что протаскивают патчи так, чтобы не вызывать паники и не рушить бизнес-репутацию

По крайней мере, значительная доля доходов Мозиллы поступает от УЦ, включающих свои корневые сертификаты в FF. Так что, да, прямая заинтересованность налицо.
— Гость (24/03/2011 17:50)   <#>
"Global Trustee"

Это что? Если не выписывали промежуточных, как сообщается, тогда это сертификат с CN где вместо домена такая строчка. Внимание вопрос, а зачем CA выпускает сертификаты с произвольными строками в CN. Или допустим это не про CN и тот был пуст, тогда почему подписали такое. Если злоумышленники настолько расшатали их инфраструктуру тогда где гарантии что нет промежуточных, и вообще было 9. Чем дальше, тем всё больше вопросов.

Пора отказываться от мещанских комодов, товарищи.
— Гость (24/03/2011 20:08)   <#>
Я плохо понимаю зачем это надо было делать Ирану. У любого государства, ЕМНИП, есть свои УЦ, которые включены в браузерные списки — достаточно лишь обратиться к ним ради нужного задания. Как я понимаю, любой из УЦ, а так же промужочтоных УЦ может выписать серт на любой сайт, который проглотит любой умолчальный браузер.
— SATtva (24/03/2011 20:33)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
У любого государства, ЕМНИП, есть свои УЦ, которые включены в браузерные списки

Не у любого.
— Гость (25/03/2011 00:50)   <#>
Тогда интересно было бы увидеть полный список тех, кому "повезло" :)
На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3