id: Гость   вход   регистрация
текущее время 14:11 06/11/2024
Владелец: unknown (создано 30/08/2011 10:03), редакция от 30/08/2011 12:05 (автор: unknown) Печать
Категории: криптография, приватность, инфобезопасность, распределение ключей, прослушивание коммуникаций, стандарты, атаки, ssl, разное, события, человек посередине, модель угрозы
https://www.pgpru.com/Новости/2011/ОбнаруженФальшивыйУдостоверяющийСертификатДляGMail
создать
просмотр
редакции
ссылки

30.08 // Обнаружен фальшивый удостоверяющий сертификат для GMail


Компания Mozilla была уведомлена по крайней мере об одном фальшивом SSL-сертификате, выданном на имя компании Google. Удостоверяющим центром выдачи данного сертификата была компания DigiNotar. Для пользователей будут выпущены новые версии Firefox for desktop (3.6.21, 6.0.1, 7, 8, 9), mobile (6.0.1, 7, 8, 9), Thunderbird (3.1.13, 6.0.1) и SeaMonkey (2.3.2), в которых будут удалены сертификаты Diginotar, пока компания не определится с уровнем безопасности поставляемых сертификатов.


Обеспокоенные пользователи могут удалить сертификационный центр DigiNotar из своих программ вручную по этой инструкции.


SSL-сертификаты используются для установления безопасных шифрованных соединений в интернете для связи с различными сервисами. Сюда входит безопасный обмен паролями и содержимым с почтовыми и веб-серверами, службами интернет-коммерции. Владелец фальшивого сертификата может провести так называемую MITM-атаку — незаметный активный перехват трафика, с выдачей обеим сторонам фальшивых сеансовых ключей. При этом возможно чтение трафика в открытом (незашифрованном виде), а обе стороны не смогут определить наличие активной прослушивающей стороны до момента опубликования фальшивого сертификата.


Такая ситуация возможна из-за того, что существует множество компаний — поставщиков сертификатов (удостоверяющих центров), каждая из которых может удостоверять любой сервис в интернете на основании собственных правил. Особенно велик риск использования сертификатов властями (см. Сертифицированная ложь: обнаружение атак перехвата SSL, осуществляемых властями и защита от них ) для прослушивания приватных коммуникаций пользователей.


Как сообщает The Guardian, множественные SSL-соединения с использованием данного сертификата зафиксированы у провайдеров в Иране. Именно иранский пользователь (вероятно отслеживающий все сертификаты с помощью специальных плагинов к браузерам) сообщил в техподдержку компании Google о подозрительном сертификате, выданном ещё 10 июля.



Ранее аналогичный случай отмечался с поставщиком сертификатов Comodo.


Источник: Mozilla security blog


 
На страницу: 1, 2 След.
Комментарии [скрыть комментарии/форму]
— sentaus (06/09/2011 23:05, исправлен 06/09/2011 23:06)   профиль/связь   <#>
комментариев: 1060   документов: 16   редакций: 32
Впрочем, не вполне ясно, чем поддельный сертификат отличается от настоящего гугловского? Просто обычный серт, выданный каким-то УЦ. Или подозрение вызвало то, что гугл не стал бы пользоваться услугами DigiNotar?

Chrome при проверке сертификатов *.google.com на какую попало CA не полагается, сертификат должен быть выдан только CA из ограниченного списка.
Т.е. он вспыл фактически из-за того, что chrome не доверяет всем корневым CA безусловно.


Upd: Sattva опередил на минуту :)

— unknown (06/09/2011 23:12)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
А у нас SATtva сертификаты своим OpenPGP ключом заверяет, что тоже хорошо.
— Гость (06/09/2011 23:40)   <#>
Занимались бы этим наши, а не иранцы — наверняка пострадал бы.

И за что ж эти ваши так pgpru.com могут не любить? ;) Вот спецслужбам наверно гораздо проще живётся. Достаточно просто "попросить" сертификатик у одного из тысяч промежуточных CA из своей страны.
— Гость (07/09/2011 02:45)   <#>
И за что ж эти ваши так pgpru.com могут не любить?
За то же, за что Нургалиев анонимность в интернете не любит, о чём он в интервью и распинается. И не только он, кстати.
— SATtva (07/09/2011 08:14)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Щёголев против сетевой анонимности не возражает (на словах, по крайней мере), чего не скажешь о некоторых его подчинённых.
— unknown (10/09/2011 06:43)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
http://pastebin.com/GkKUhu35

Если верить взломщику, то он получил доступ к OpenBSD с сертификатами, с одним открытым портом, изолированной от интернета, к которой был доступ только из внутренний сети и не по паролям, а по токенам и RSA SecurID картам.

Там он слишком прикалывается, чтобы во всём ему верить, но может кто распарсит подробности?

Пишет, что он одиночка, с властями своей страны несвязанный, взлом сделал из каких-то близких к патриотическим в его понимании побуждений.

По крайней мере, понятно, почему он особо не осторожничал, если это он — это было для него способом безбашенно оторваться или что-то вроде этого.

Из предыдущего:

http://pastebin.com/jhz20PqJ
http://pastebin.com/85WV10EL
— Гость (13/09/2011 07:12)   <#>
Там он слишком прикалывается, чтобы во всём ему верить, но может кто распарсит подробности?
Там одно идиотское ребячество. Когда результат будет — и так напишут, причём не он, а о нём, в новостях, как это уже было с Comodo.
— Гость (25/03/2015 20:22)   <#>
Обнаружен ещё один. Сертификат удостоверяющего центра был использован для перехвата трафика произвольных доменов
китайский удостоверяющий центр CNNIC (China Internet Network Information Center) передал холдингу MCS промежуточный (вторичный) корневой сертификат, на условии его использования только для доменов, зарегистрированных данной компанией. В нарушение всех правил обращения с корневыми сертификатами, закрытый ключ не был изначально помещён в HSM (Hardware Security Module), а установлен в MITM-прокси, осуществляющем перехват защищённых соединений с целью контроля за работой сотрудников корпорации.
— Гость (26/03/2015 05:34)   <#>

Есть надежда, что однажды это всё прекратится.
На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3