30.08 // Обнаружен фальшивый удостоверяющий сертификат для GMail
Компания Mozilla была уведомлена по крайней мере об одном фальшивом SSL-сертификате, выданном на имя компании Google. Удостоверяющим центром выдачи данного сертификата была компания DigiNotar. Для пользователей будут выпущены новые версии Firefox for desktop (3.6.21, 6.0.1, 7, 8, 9), mobile (6.0.1, 7, 8, 9), Thunderbird (3.1.13, 6.0.1) и SeaMonkey (2.3.2), в которых будут удалены сертификаты Diginotar, пока компания не определится с уровнем безопасности поставляемых сертификатов.
Обеспокоенные пользователи могут удалить сертификационный центр DigiNotar из своих программ вручную по этой инструкции.
SSL-сертификаты используются для установления безопасных шифрованных соединений в интернете для связи с различными сервисами. Сюда входит безопасный обмен паролями и содержимым с почтовыми и веб-серверами, службами интернет-коммерции. Владелец фальшивого сертификата может провести так называемую MITM-атаку — незаметный активный перехват трафика, с выдачей обеим сторонам фальшивых сеансовых ключей. При этом возможно чтение трафика в открытом (незашифрованном виде), а обе стороны не смогут определить наличие активной прослушивающей стороны до момента опубликования фальшивого сертификата.
Такая ситуация возможна из-за того, что существует множество компаний — поставщиков сертификатов (удостоверяющих центров), каждая из которых может удостоверять любой сервис в интернете на основании собственных правил. Особенно велик риск использования сертификатов властями (см. Сертифицированная ложь: обнаружение атак перехвата SSL, осуществляемых властями и защита от них ) для прослушивания приватных коммуникаций пользователей.
Как сообщает The Guardian, множественные SSL-соединения с использованием данного сертификата зафиксированы у провайдеров в Иране. Именно иранский пользователь (вероятно отслеживающий все сертификаты с помощью специальных плагинов к браузерам) сообщил в техподдержку компании Google о подозрительном сертификате, выданном ещё 10 июля.
Ранее аналогичный случай отмечался с поставщиком сертификатов Comodo.
Источник: Mozilla security blog
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 9796 документов: 488 редакций: 5664
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 11558 документов: 1036 редакций: 4118
Прекрасное:
http://www.microsoft.com/techn.....dvisory/2607712.mspx
А вот Windows XP надо будет посмотреть.
комментариев: 11558 документов: 1036 редакций: 4118
Перезапустите FF и загляните в список УЦ.
Тогда уходит из видимого списка. Но неизвестно, продолжает ли работать?
Нужной мне версии 3.6.21 нет пока. Больше суток прошло.
Да, как Феникс из пепла... И это наисовременнейшая версия 6.0!
Кстати, в Windows XP обнаружил аж два сертификата от DigiNotar. Безжалостно вычистил, ибо доверие к этой фирме теперь ноль.
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 1060 документов: 16 редакций: 32
Т.е. часть обнаруженных решили не отзывать? :)
комментариев: 11558 документов: 1036 редакций: 4118
http://www.theregister.co.uk/2.....certificates_forged/
комментариев: 9796 документов: 488 редакций: 5664
комментариев: 9796 документов: 488 редакций: 5664
Отчёт об операции "Чёрный тюльпан".
Компания FoxIT — судя по всему аутсорсер по обеспечению безопасности, обнаружила фальшивые сертификаты DigiNotar ещё в июне и тогда же предупредила компанию, что множество её серверов взломано.
Часть сертификатов отзывалось. Часть решили оставить атакующим для приманки и следили, где эти сертификаты всплывут. Пока DigiNotar и FoxIt неторопливо решали свои проблемы с безопасностью, судя по отчёту, нет сведений, что они кого-то предупреждали об этом. А сертификаты, среди примечательных сайтов, оказались выданы ещё для torproject.org, microsoft.com, windowsupdate.com, пострадали также twitter, android, mozillaupdates, SIS, CIA, MI6 и Mossad (прямо хочется сказать, что к счастью, сайт pgpru.com не пострадал). Полный список всего — в конце отчёта, там ещё какие-то липовые промежуточные CA.
Есть ещё обновленный список на блоге torproject.
По IP-адресам эти сертификаты всплыли в Иране при проведении MITM-атак. Но что интересно, MITM проводился почти исключительно не напрямую у провайдеров, а только на публичных прокси, VPN и исходящих узлах сети Tor на территории Ирана.
Неизвестно, сколько бы DigiNotar и FoxIT скрывали этот инциндент (хотя возможно крупные компании и были тайно предупреждены), пока пользователь из Ирана открыто не сообщил об этом на форуме Google, приложив данные сертификата.
Ну и ещё интересен факт, что сертификаты находятся на серверах, не отделённых физически от интернета и получают их не явившись лично с паспортом (как могут подумать наивные люди), а прямо так по интернету похоже и раздают.
Это было как раз предсказуемо. Сколько массовыми подменами не занимайся, рано или поздно нарвёшься на того, кто заметит и приведёт пруфы. Впрочем, не вполне ясно, чем поддельный сертификат отличается от настоящего гугловского? Просто обычный серт, выданный каким-то УЦ. Или подозрение вызвало то, что гугл не стал бы пользоваться услугами DigiNotar?
комментариев: 11558 документов: 1036 редакций: 4118