id: Гость   вход   регистрация
текущее время 21:37 28/03/2024
Владелец: SATtva (создано 03/02/2012 12:32), редакция от 03/02/2012 13:31 (автор: SATtva) Печать
Категории: инфобезопасность, защита сети, стандарты, x.509, атаки, ssl
https://www.pgpru.com/Новости/2012/ИзвестиеОВзломеVeriSignСпустяПолгодаПослеПроисшествия
создать
просмотр
редакции
ссылки

03.02 // Известие о взломе VeriSign спустя полгода после происшествия


После серии компрометаций удостоверяющих центров X.509 стало известно, что подобная участь не миновала и гигант VeriSign.


Представители VeriSign (которая — ну так, чтоб просто представлять размеры возможного бедствия — до сих пор держит два из 13 корневых DNS-серверов и является основным регистратором для доменов com, net, name, cc, tv) поспешили заявить, что считают, что атакующие не добрались до систем, поддерживающих DNS. Представитель же Symantec, владельца УЦ VeriSign, поспешил заявить, что нет оснований считать, что эта атака как-то затронула системы, занимающиеся сертификатами. Хочется в это верить — иначе история будет значительно веселее, чем в случае c голландским CA.


Любопытно, что администраторы не информировали руковоство компании аж до сентября 2011 года, а сама информация о взломе всплыла после публикации ежеквартального отчета федеральной комиссии по ценным бумагам и биржевым операциям (U.S. Securities and Exchange Commission), которая ужесточила требования по информированию инвесторов о подобных взломах.


Источник: http://bugtraq.ru/rsn/archive/2012/02/04.html


 
На страницу: 1, 2 След.
Комментарии [скрыть комментарии/форму]
— unknown (03/02/2012 13:05, исправлен 03/02/2012 13:06)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

OMG, какой же интересный список (скомпрометированных) сервисов может при этом быть опубликован, если всплывут сертификаты с левыми подписями. И да, PKI RIP! Нужно доверие по отпечатку самоподписанного сертификата (на основе первого контакта) с последующим заверением GPG-подписями.


Пора бы такую систему разработать на уровне стандарта и ввести в браузеры как альтернативную, хотя бы на уровне плагинов: чтобы по-крайней мере ограниченный круг параноиков желающих мог ею пользоваться "для себя". Затем и банки и др. крупные организации подтянутся.

— Гость (03/02/2012 23:37)   <#>
Вот оригинальная ссылка.
— sentaus (04/02/2012 00:20)   профиль/связь   <#>
комментариев: 1060   документов: 16   редакций: 32
Пора бы такую систему разработать на уровне стандарта и ввести в браузеры как альтернативную, хотя бы на уровне плагинов: чтобы по-крайней мере ограниченный круг параноиков желающих мог ею пользоваться "для себя".

Тут по хорошему нужен будет ещё некий онлайн-сервис, хранящий подписи на сертификатах, в общих чертах идентичный серверам ключей.
— Гость (04/02/2012 17:08)   <#>
Пора бы такую систему разработать на уровне стандарта
Не кажется ли вам, что этого (как и многих других очевидных вещей) не делают сознательно, дабы в своё время была возможность сильнее "раскачать лодку"?
— Гость (09/02/2012 15:19)   <#>
Trustwave отозвала сертификат, позволяющий мониторить зашифрованной трафик сотрудников частной компании

Оказывается разработчикам MITM решений совершенно официально выдают сертификаты вторичного CA. И у кого после этого осталась хоть капля доверия системе PKI? Имхо ее пора закапывать и внедрять в браузеры решения основанные на проверке посредством защищенных каналов связи, запоминании отпечатка сертификата и ручном управлении доверием. А PKI пусть остается как дополнительный уровень проверки при первом доступе к сайту.
— SATtva (10/02/2012 10:07)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Оказывается разработчикам MITM решений совершенно официально выдают сертификаты вторичного CA.

А также крупным корпорациям, которым дешевле заплатить за сертификат промежуточного УЦ, чем оплачивать и организовывать получение клиентских сертификатов по каждому чиху.
— unknown (12/02/2012 15:24)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Пора бы такую систему разработать на уровне стандарта и ввести в браузеры как альтернативную, хотя бы на уровне плагинов: чтобы по-крайней мере ограниченный круг параноиков желающих мог ею пользоваться "для себя". Затем и банки и др. крупные организации подтянутся.


Один из проектов по этой теме предлагаю обсудить в отдельной теме: MonkeySphere – openPGP заверение/проверка сертификатов сервисов
— SATtva (20/02/2012 13:11)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Оказывается разработчикам MITM решений совершенно официально выдают сертификаты вторичного CA.

Mozilla потрясает кулачком. Все УЦ, чьи корневые сертификаты входят в хранилище Mozilla, должны в срок до 27 апреля ануллировать промежуточные сертификаты, выданные третьим лицам, уничтожить аппаратные модули, содержащие ключи подписи этих сертификатов, и передать их серийные номера и отпечатки в Mozilla. В противном случае грозят исключить из перечня доверенных УЦ.
— unknown (20/02/2012 13:20)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Ева должна отвернуться, а Мэллори сдаться. Интересный протокол защиты.
— SATtva (20/02/2012 13:24)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Разумеется. Как можно усомниться, что все сертификаты выдавались в HSM, и не было ни одного неучтённого для нужд "законного перехвата"?
— Гость (20/02/2012 14:28)   <#>
Чтобы реанимировать умирающий PKI нужно две вещи:

1 – Политика абсолютной нетерпимости к любым случаям применения MITM. Любой CA способствовавший атакам должен быть строго наказан вплоть до отлучения от кормушки.
2 – Система обнаружения инцидентов в виде публичной базы данных всех сертификатов когда-либо встретившихся приложениям использующим SSL. Браузеры, почтовые клиенты, IM клиенты и прочие должны отсылать все сертификаты выданные общепризнанными CA в глобальную базу (если отсылка блокируется – считать сертификат недействительным). В этой базе можно искать аномалии и оповещать владельцев сайтов о них, далее если вдалелец сайта видит сертификат которого он не получал – он пишет заявление, по заявлению инициируется разбитательство, виновных (или просто крайних) находят и наказывают.

В этой системе плохие УЦ будут жить ровно до первого-второго инцидента, и правильно, ибо им оказано огромное доверие и в этом бизнесе есть место лишь для достойнейших. Если УЦ взломали и добрались до выдачи сертификатов – досвидания, таким нечего делать в этом бизнесе. Если государственные законы позволяют принудить УЦ к сотрудничеству со спецслужбами – этот бизнес невозможен в такой стране, пусть переезжают или закрываются. Не должно быть никаких оправданий инцидентам: не оправдал доверия – досвидания. Чем меньше останется УЦ – тем лучше, останутся лишь достойные с высокой ответственностью и непогрешимой репутацией которым действительно можно верить.
— Гость (20/02/2012 15:58)   <#>
этот бизнес невозможен в такой стране, пусть переезжают
в страну, где спецслужбы не допускают афиширования в законах таких своих возможностей :)
— unknown (20/02/2012 16:24)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Часть УЦ изначально являются не коммерческими, а государственными, принадлежащими как отдельным ведомствам-министерствам, так и госбанкам-университетам (как в Китае). Кое что рассматривалось здесь. Что с ними делать?

А судьи кто? Создатели браузеров (Mozilla), которые живут на подачки спонсорство от крупных бизнес-компаний, будут рушить крупные бизнес-проекты, да ещё и на уровне некоего международного права? Cоздатели операционок? MS и Apple? Google, который представляет собой нечто среднее (и создатель браузера, и операционки, и корпорация, и веб-гигант)? Так они сделают как выгодно им, а не будут всерьёз заморачиваться созданием независимой организации по проверке сертификатов.
— Гость (20/02/2012 16:45)   <#>
в страну, где спецслужбы не допускают афиширования в законах таких своих возможностей :)

Учредителей УЦ должны выбирать такую страну, законодательство и правоприменительная практика которой не будут мешать поддержанию безупречной реуптацией, которая должна быть непременным условием существования этого бизнеса.

Что с ними делать?

До первого инцидента – ничего. После – исключать их доверенных на общих основаниях. Главное иметь надежный механизм обнаружения инцидентов.

А судьи кто?

Разрабочики браузеров, ОС и прочего софта который имеет свой список УЦ. Надо как-то их объединять и мотивировать на правильную политику. Еще пара-тройка громких инцидентов – и кто-нибудь начнет это делать первым (логично будет пустить под этим соусом агрессивную рекламу безопасности своего софта и обосрать конкурентов), остальным придется подтягиваться если не хотят стать аутсайдерами.
— Гость (20/02/2012 21:59)   <#>
страну [c] безупречной реуптацией
Не подскажете ли такую?

PS
"Никогда не ставьте свою безопасность в зависимость от чьей-то порядочности" ©
На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3