The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Злоумышленникам удалось получить поддельные SSL-сертификаты"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Злоумышленникам удалось получить поддельные SSL-сертификаты"  +/
Сообщение от opennews on 23-Мрт-11, 17:17 
Стали известны дополнительные подробности причин экстренного обновления черных списков SSL-сертификатов в Firefox (http://www.opennet.me/opennews/art.shtml?num=29998), Chrome/Chromium (http://googlechromereleases.blogspot.com/2011/03/stable-and-...) и других web-браузерах. По данным (https://blog.torproject.org/blog/detecting-certificate-autho...) из блога разработчиков проекта Tor злоумышленникам удалось получить восемь валидных HTTPS-сертификатов для ряда известных web-ресурсов, среди которых сайты Facebook, Skype, Google, Microsoft и Mozilla (реально, поддельных сертификатов может быть больше, в трафике сети Tor было выявлено 8).


Предполагается, что подобное стало возможным в результате  компрометации центра сертификации Comodo (CA (http://ru.wikipedia.org/wiki/%D0%A6%D0%B...)). Используя данные сертификаты злоумышленники могут...

URL: https://blog.torproject.org/blog/detecting-certificate-autho...
Новость: http://www.opennet.me/opennews/art.shtml?num=30010

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Злоумышленникам удалось получить поддельные SSL-сертификаты"  –1 +/
Сообщение от Marbleless on 23-Мрт-11, 17:17 
>одного из центров сертификации

Какого именно, не известно? Если неизвестно, то почему, можно ведь отследить цепочку подписей?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Злоумышленникам удалось получить поддельные SSL-сертификаты"  +2 +/
Сообщение от User294 (ok) on 23-Мрт-11, 17:21 
Написано же:

> Предполагается, что подобное стало возможным в результате компрометации
> центра сертификации Comodo (CA).

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Злоумышленникам удалось получить поддельные SSL-сертификаты"  +2 +/
Сообщение от Marbleless on 23-Мрт-11, 17:38 
> центра сертификации Comodo (CA).

Да, вижу, что теперь уже написали.

Ну, Comodo - оно и есть Comodo. Плохо, что существующая система с глобальными интернет-нотариусами может привести к таким последствиям.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Злоумышленникам удалось получить поддельные SSL-сертификаты"  +1 +/
Сообщение от Andrey Mitrofanov on 23-Мрт-11, 17:45 
> Да, вижу, что теперь уже написали.

Представь себе, и об этом:

> Плохо, что существующая система с глобальными интернет-нотариусами может привести к таким последствиям.

- этот самый "разработчик Tor" ioerror "уже написал". Длинно и разнообразно.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

4. "получить поддельные SSL-сертификаты"  +1 +/
Сообщение от Andrey Mitrofanov on 23-Мрт-11, 17:41 
> может быть больше, 8 выявлено в трафике сети Tor.

Разработчик Tor анализирова открытые источники (списки отозванных сертификатов по "интернетам") в поисках "очернённых" броузеростроителями _серийных _номеров сертификатов. Нашёл 8, по ним -- выдавший ЦА, перепродавца Комодовского "авторитета".

Никакого "трафика сети Tor", совсем.
Максимум: сказал, что аналогичные блэклисты-затычки для Tor ещё в разработке.
Все равно никакого "трафика Tor"....

>> получить поддельные SSL-сертификаты

И кстати, про $SUBJ: сертификаты-то настоящие B) , их "просто" удалось получить "кому-то не тому", насколько я ничего не понимаю.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "получить поддельные SSL-сертификаты"  +/
Сообщение от angel_il (ok) on 23-Мрт-11, 19:10 
я тоже именно так непонял
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

11. "Злоумышленникам удалось получить поддельные SSL-сертификаты"  +3 +/
Сообщение от xz (??) on 23-Мрт-11, 19:27 
>В худшем случае данный инцидент может поставить >под угрозу сам принцип организации иерархии >удостоверяющих центров.

Принцип то гнилой,давно пора.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "Злоумышленникам удалось получить поддельные SSL-сертификаты"  +1 +/
Сообщение от iZEN (ok) on 24-Мрт-11, 10:00 
Принцип не гнилой. Гнилой сам подход к его реализации в некоторых клиентских программах и браузерах, когда по умолчанию сертификаты ПРОХОДЯТ проверку при отсутствии доступа к серверу OCSP (серверу, содержащими список отозванных сертификатов). В частности, в Firefox 4.0 по умолчанию сертификат считается валидным, если нет доступа к серверу OCSP. В настройках Дополнительные -> Шифрование -> Настройки OCSP можно изменить это злосчастное умолчание, если взвести галочку "При ошибке соединения с сервером OCSP, рассматривать сертификат как недействительный". ;)
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

12. "Злоумышленникам удалось получить поддельные SSL-сертификаты"  –11 +/
Сообщение от Аноним (??) on 23-Мрт-11, 22:06 
Принцип гнилой ? А сам протокол ? Я так понимаю если соединение устанавливается по открытому каналу, и на клиенте изначально нет секретного ключа, то сев на канал в момент установки соединения можно снять все исходные данные для дальнейшей расшифровки.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Злоумышленникам удалось получить поддельные SSL-сертификаты"  +2 +/
Сообщение от Аноним (??) on 24-Мрт-11, 01:10 
Ты того ... матчасть вначале изучи а потом уж на пол-мира позорься :)
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

15. "Злоумышленникам удалось получить поддельные SSL-сертификаты"  +4 +/
Сообщение от Vitaly_loki (ok) on 24-Мрт-11, 05:55 
Правильно, что разлогинился перед тем, как такой бред писать :) Почитай как работает ассиметричное шифрование.

- Клиент скачивает с сервера сертификат (открытый ключ).
- Потом клиент генерирует сеансовый ключ,
- Зашифровывает его открытым ключом (сертификатом). Расшифровать сеансовый ключ может ТОЛЬКО сервер (ибо только у него есть закрытая часть ключа).
- Сеансовый ключ отсылается серверу (отсылается он ЗАШИФРОВАННЫЙ открытым ключом).

Потом соединение шифруется уже сеансовым ключ. Итого, закрытый/открытый ключ нужен только для того чтоб обменяться сеансовым ключом

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

19. "Злоумышленникам удалось получить поддельные SSL-сертификаты"  +1 +/
Сообщение от zazik (ok) on 24-Мрт-11, 09:46 
> Правильно, что разлогинился перед тем, как такой бред писать :) Почитай как
> работает ассиметричное шифрование.
> - Клиент скачивает с сервера сертификат (открытый ключ).
> - Потом клиент генерирует сеансовый ключ,
> - Зашифровывает его открытым ключом (сертификатом). Расшифровать сеансовый ключ может
> ТОЛЬКО сервер (ибо только у него есть закрытая часть ключа).
> - Сеансовый ключ отсылается серверу (отсылается он ЗАШИФРОВАННЫЙ открытым ключом).
> Потом соединение шифруется уже сеансовым ключ. Итого, закрытый/открытый ключ нужен только
> для того чтоб обменяться сеансовым ключом

Может быть он наслушался про MIM и неправильно себе представляет эту атаку?

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

24. "Злоумышленникам удалось получить поддельные SSL-сертификаты"  +1 +/
Сообщение от Аноним (??) on 24-Мрт-11, 11:17 
Дык читал, и дырку вижу, хотя может просто чего то и недопонял, вы не кипешуйте так, если объясните в чем я не прав и чего не понимаю то буду вам весьма благодарен.

Мы посередине. Значит в начале можем вместо сертификата сервера подсунуть клиенту свой (самоподписанность также обходится), и соответственно расшифровать его запрос, т.к. алгоритм формирования сеансового ключа известен и закрытая часть ключа у нас есть. Далее расшифровав клиентский запрос мы формируем и отправляем серверу свой запрос, как будто мы изначальный клиент, и далее действуем как прокси, ну и собственно все.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

25. "Злоумышленникам удалось получить поддельные SSL-сертификаты"  +/
Сообщение от Vitaly_loki (ok) on 24-Мрт-11, 11:36 
А-а-, дак вы имеете в виду Man-In-the- Middle атаку. Ну дак и в чем тут гнилость протокола? Если вы предоставили клиенту КОРРЕКТНЫЙ сертификат, подменили DNS-запись, то какие претензии к протоколу то? Может это DNS гнилой? :) Или ARP? :) По-вашему получается гнилое все ассиметричное шифрование, как класс.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

28. "Злоумышленникам удалось получить поддельные SSL-сертификаты"  +/
Сообщение от filosofem (ok) on 24-Мрт-11, 12:31 
Все так. Поэтому и существуют CA, чьи сертификаты распространяются вместе с браузером и которые подтверждают аутентичность сертификата сервера.
В чем гнилость протокола и какие есть еще варианты?
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

29. "Злоумышленникам удалось получить поддельные SSL-сертификаты"  +/
Сообщение от . on 04-Апр-11, 13:24 
сценарий такой только при использовании rsa; возможен также вариант с diffie-hellman
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

13. "Злоумышленникам удалось получить поддельные SSL-сертификаты"  +/
Сообщение от alltiptop (ok) on 23-Мрт-11, 23:52 
напомнило http://community.livejournal.com/ctrlaltdel_rus/427626.html
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Злоумышленникам удалось получить поддельные SSL-сертификаты"  +/
Сообщение от CHERTS (??) on 24-Мрт-11, 08:49 
Недавно отказался от получения сертификата от COMODO и видать правильно, если их корневой сертификат был скомпрометирован.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Злоумышленникам удалось получить поддельные SSL-сертификаты"  –1 +/
Сообщение от iZEN (ok) on 24-Мрт-11, 09:24 
Доходчиво и ясно: http://habrahabr.ru/blogs/infosecurity/116084/
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "Злоумышленникам удалось получить поддельные SSL-сертификаты ..."  +/
Сообщение от Аноним (??) on 24-Мрт-11, 09:54 
wow! даже микрософты подсуетились и выпустили секурапдейт
http://go.microsoft.com/fwlink/?LinkId=214214

viva la microsofta!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "Злоумышленникам удалось получить поддельные SSL-сертификаты ..."  +1 +/
Сообщение от Аноним (??) on 24-Мрт-11, 10:22 
Вот мне интерестно почему у Comodo не вызвало подозрение то, что ВНЕЗАПНО одновременно гуглу, яху, скайпу и мозилле понадобились сертификаты?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "Злоумышленникам удалось получить поддельные SSL-сертификаты ..."  +2 +/
Сообщение от vadiml (ok) on 24-Мрт-11, 10:39 
Они же не вручную создаются.
Пришёл заказ -> снялись деньги -> поставилась подпись

Люди обычно смотрят когда что-то стопорится, идёт не так.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

27. "Злоумышленникам удалось получить поддельные SSL-сертификаты ..."  +1 +/
Сообщение от TiGR on 24-Мрт-11, 11:57 
Это понятно, но система же должна реагировать как-то, когда на домен, для которого есть существующий и действенный сертификат хотят получить новый. Тут должна происходить какая-то подстраховка.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

26. "Злоумышленникам удалось получить поддельные SSL-сертификаты ..."  +/
Сообщение от misterex email on 24-Мрт-11, 11:39 
ну ничего ж не мешает Comodo иметь blacklist`ы
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру