Удостоверяющий центр GlobalSign сообщил (http://www.globalsign.com/company/press/090611-security-resp...) об инициировании внутренней проверки безопасности в связи с появлением в сети анонимного заявления (http://pastebin.com/1AxH30em), в котором от имени инициаторов атаки утверждается, что кроме взлома DigiNotar (http://www.opennet.ru/opennews/art.shtml?num=31635), удалось получить доступ еще к 4 удостоверяющим центрам, среди которых StartCom и GlobalSign. Также утверждается, что несмотря на широкий резонанс после взлома удостоверяющего центра Comodo (http://www.opennet.ru/opennews/art.shtml?num=30013), у атаковавших еще остался доступ к системам некоторых реселлеров Comodo.
Информация голословна и ничем не подтверждена, но GlobalSign в качестве меры предосторожности временно приостановил выдачу сертификатов до завершения полного аудита, к проведению которого привлечены эксперты, участвовавшие в разборе инцидента DigiNotar.
Кроме того можно отметить, публикацию (http:/...URL: http://www.globalsign.com/company/press/090611-security-resp...
Новость: http://www.opennet.ru/opennews/art.shtml?num=31698
Из "отчёта". Хочется плакать. :D4.4
Current network infrastructure at DigiNotar
The successful hack implies that the current network setup and / or procedures at DigiNotar are not
sufficiently secure to prevent this kind of attack.
The most critical servers contain malicious software that can normally be detected by anti-virus software.
The separation of critical components was not functioning or was not in place. We have strong indications
that the CA-servers, although physically very securely placed in a tempest proof environment, were
accessible over the network from the management LAN.
The network has been severely breached. All CA servers were members of one Windows domain, which
made it possible to access them all using one obtained user/password combination. The password was
not very strong and could easily be brute-forced.
The software installed on the public web servers was outdated and not patched.
No antivirus protection was present on the investigated servers.
An intrusion prevention system is operational. It is not clear at the moment why it didn‟t block some of
the outside web server attacks. No secure central network logging is in place.
Винда, OK.
Точно! Безумие в отношении к безопасности сертификационным центром(-ами). Можно предположить, что у компаний, чей профиль деятельности менее тесно связан с безопасностью, всё ещё печальней (пруф: недавний epic fail Sony).
сори. отвечал на пост ниже:
> this is madness
this is madness
Зато "...physically very securely placed in a tempest proof environment..." :)
Гламурный СА.
В результате хаксор по сети влез в очень укрепленное окружение :)Вообще, судя по посту хакера и описанию от экспертов:
[Манагеры]: мы тоже хотим пилить бабло на сертификатах! А ну, сделайте-ка нам зае...сь!
[Сэйлзы-1]: А вот виндоус! Самый безопасный! Покупай!
[Сэйлзы-2]: А вот супер-защита! Самая-самая! Покупай!
[Сэйлзы-3]: А вот фенечки и прибамбасы для упрочнения вашей сети! Самые-самые!
[haxor]: whoami -> SYSTEM -> "security, eh? I'll show you security!"Если кто не знает, в винде, глубоко-глубоко в механизмах авторизации Active Directory AFAIK есть небольшая но забавная слабина. Если вы поломали машину на которую залогинен допустим администратор домена AD (получив там SYSTEM), вы в принципе можете представиться этим администратором. Проапгрейдив "локального админа" до "админа домена". В теории достаточно хакнуть машину с админом домена и после этого можно нагибать остальные машины в домене :D.
теперь замени в диалоге слово windows, на linux и отправь этот же диалог в ветку про взлом kernel.org.правда там его быстро подчистит доблестный модератор, у него как и у тебя диагноз - "Linux головного мозга".
Все просто, аноны. Как говорил кто-то из великих, "Безопасность не продукт, безопасность - процесс".Я не пойму другого. Несколько лет назад корневые CA гнули пальцы, крича, какая у них охренительно сложная процедура получения авторизации на право быть CA и RA, какие нефигово укрепленные PKI нужно строить, как должны использоваться корневые CA для подписания и выдачи, бла-бла-бла. Это, собсссно, определяет документ, именуемый CPS.
Согласно их собственным стандартам (CAшников), инфра, используемая для манипуляций с приватным ключом CA, имеет воздушный промежуток к интернету - сиречь физически не подключена к оному, админы в обязательном порядке подчиняются separation of duty, задействование корневого CA производится как запуск баллистических ракет, двумя аццкими одминами чуть ли не с предьявлением сетчатки глаза и под видеоконтролем, записи которого хранятся, как и логи, три года.
А теперь скажите-ка мне, как получилось, что все эти благие порывы оказались тупо не выполненными?
> А теперь скажите-ка мне, как получилось, что все эти благие порывы оказались
> тупо не выполненными?А тут как и в банковской индустрии. Много лапши на ущи. Много сертификаций, формальной волокиты, бюрократии и какой там еще фигни. Много формальных требований. И что самое смешное - весь этот онанизм имеет крайне косвенное отношение к безопасности компьютерных систем. То-есть вы можете выполнить все формальные требования допустим предъявляемые к банковской процессинговой системе, но при этом по факту являться полнейшим рещетом. Хотя галочки в списке вроде как расставлены, за все уплачено и так далее. Просто хакерам пофиг на эти галочки и то что уплочено, они тестируют то что по факту. Кстати, это хорошо: санитары леса - тоже нужная роль, хоть и не всегда почетная.
Я-то реально в курсе. Я пробовал создавать свой CA. И знаю, что формально а что реально. Просто удивляюсь, как PKI в очередной раз "мамой клянется", а в итоге доверять-то, собссно, нечему. Такие же, как и мы, в телогреечках сидят.
> А теперь скажите-ка мне, как получилось, что все эти благие порывы оказались
> тупо не выполненными?Как обычно. http://serverfault.com/questions/293217/our-security-auditor...
> теперь замени в диалоге слово windows, на linux и отправь этот же
> диалог в ветку про взлом kernel.org.В линуксах поимение 1 машины обычно не ведет к разносу всего домена. У кернелорга сломали только пару серверов. Но главное, ресурс касающийся вопросов доверия как то исходники линя - не пострадали в силу умной реализации системы контроля версий. Все-таки Торвальдс - это мозг, а не пиар-бредни галимых маркетологов о секурити.
> правда там его быстро подчистит доблестный модератор, у него как и у
> тебя диагноз - "Linux головного мозга".Я почему-то думал что у главного админа диагнозом является бсд головного мозга. Хотя совсем дубовым виндузятникам простительно путать эти системы, конечно.
и в правду, тролль головного мозга. читай про pass-the-hash. поснифал хэш (НЕ ПАРОЛЬ!) и стал админом домена!!! вот тебе и супер безопасная венда. когда патчи выпустят свистни, может через несколько лет?
Вау ! Ты прям только что написал что kerberos придумали законченные идиоты. Надо твой пост на нобелевку номинировать. В номинации "Трепло 2011".
вы почитайте сначала про pass-the-hash а потом извинитесь, ок?
Еще один юный читаль журнала }{akep. Тут где-то в соседних ветках видел тебе подобного, мечтает взломать Microsoft. Вы уже сойдитесь что-ли два мечтателя, вооружитесь журнальчиками и идите "ломать". Как сломаете приходите снова, перед вами извинятся и наставят плюсиков. :D
> Еще один юный читаль журнала }{akep. Тут где-то в соседних ветках видел
> тебе подобного, мечтает взломать Microsoft. Вы уже сойдитесь что-ли два мечтателя,
> вооружитесь журнальчиками и идите "ломать". Как сломаете приходите снова, перед вами
> извинятся и наставят плюсиков. :Dэта... всё таки прочитайте. и попробуйте у себя в сети.
2 AdVv
> Эта техника может быть использована против устаревшего протокола NTLM, который еще в 2000 > году заменили на kerberos. Да, в целях совместимости он еще используется в некоторых > > случаях, но такую ситуацию нужно еще суметь спровоцировать. А при повышенных требованиях безопасности его использование можно (и нужно) вообще полностью запретить, о чем довольно >недвусмысленно написано в документации.прочитайте сначала всё таки. ntlm/kerberos - нет разницы. Даже смарт карты не спасают ;)
>Далее по поводу "снифить". Снифить у тебя получится на гламурном свиче DLink за 500 руб штука, и то не всегда
а ведь говорили что читали.... объясняю для всех очень занятых.
админ логинится под своей учёткой на протрояненный сервер или раб. станцию пользователя(RDP?), это ситуация ежедневна для многих из нас :) на ней снифается хэш пароля. в данном случае "снифается" надо понимать условно, не по сети, а из памяти процесса lsass. всё! используя этот хэш (не зная пароля!!) вы имеете админа домена. прога готовая в инете(собственно одноименная pass-the-hash).
я когда узнал честно говоря прифигел. и ни смарткарты вас не спасут, ни отключение ntlm ver.X.
т.о. единственная взломанная машина в AD равняется всему взлому всей AD. ч.т.д.
ну шо, есть безопасность в AD? и тут у поклонников МС аргументы заканчиваются.
Вопрос в лоб, лично ты таким способом сколько раз поимел админа в сетях с AD? :)
И где надо кОчать твоих троянов, чтобы запустить на своих серверах. Мне не терпится это сделать. :)
> Вопрос в лоб, лично ты таким способом сколько раз поимел админа в
> сетях с AD? :)статья УК РФ однако.
http://oss.coresecurity.com/pshtoolkit/doc/index.html
1. запускаете WHOSTHERE.EXE, ждёте админа(месяц или год или провоцируете логин сразу)
2. iam.exe administrator mydomain 0102030405060708090A0B0C0D0E0F10 0102030405060708090A0B0C0D0E0F10
> И где надо кОчать твоих троянов, чтобы запустить на своих серверах. Мне
> не терпится это сделать. :)ой что-то конфикер вас не спросил качать его или нет.
на скольких машинах из вашей корпоративной сети есть троян? вы не сможете сказать точно.
тем более сделать это не так сложно, я написал другому форумо-писателю.
Не работает. :( Надо звать одмина что ли для установки трояна в систему? Дык он не захочет ведь. :(
вышла новая версия
http://www.ampliasecurity.com/research/wcefaq.html#whatiswceнапоминает форум античата, где ребята клянчают ответы на все возможные вопросы. а как cmd запустить и всё такое.
ждём с нетерпением результатов.
Я так понимаю сам мистер Трепло-2011 даже не смотрел что он нашел. :DЦитата из README к новой версии:
"This tool requires administrator privileges to dump and add/delete/change NTLM credentials."Шел бы ту уже уроки делать "спЫциалист". И перестань читать "Хакер".
> Шел бы ту уже уроки делать "спЫциалист". И перестань читать "Хакер".если всё таки внимательно прочесть тред, то станет понятно, что речь идёт о взломе всей
сети, взломав всего лишь одну машину домена. да, на ней нужно получить админа.
сломал одну тачку, дождался логина админа, стал хозяином AD.
ЭТОГО УЖЕ МАЛО???! кажись это метание бисера. либо вы просто пришли потроллить.извинения за "трепло" принимаются. да и в общем такой стиль общения выдёт больше ваш возраст ^)
"что речь идёт о взломе всей сети, взломав всего лишь ***одну машину домена***"Этой своей писаниной ты только доказал, что ты AD в глаза то никогда не видел, смысла с тобой спорить действительно нету.
Прочти внимательно еще раз цитату:
"This tool requires ***administrator privileges*** to dump and add/delete/change NTLM credentials."Если ты по факту получил админа на всего лишь одной машине в AD, то ты уже админ. Не надо больше ничего ломать уважаемый специалист по безопасности.
Удачи в псевдовзломах Виндовсов.
ну прям не знаю.. вы считаете что взломав одну машину из 1000 = поиметь весь домен, это нормально?
есть ли смысл так защищать честь майкрософт(которой нет), если у них серьёзный промах в обходе аутентификации, то надо это признавать.
P.S. бородатый, я тоже бородатый, уже 8 лет админ AD, если что ;)
куда без AD то?
Позвольте поинтересоваться уважаемый тролль вам слово OpenLDAP встречалось когда-нибудь на вашей Бубунте?
Ближе к вечеру прочитает об этом в гугле и напишет что админит такую Linux инфраструктуру уже как 8 лет, и конечно же там получение рута на одной машине не привидет к взлому всей сети. Обычно Торвальдс в таких случаях через astarllib сам лично отыскивает взломщиков и жестко их карает. А в Red Hat Directory Server прямо со спутника лазером расстрел на месте. ;)
> ну прям не знаю.. вы считаете что взломав одну машину из 1000
> = поиметь весь домен, это нормально?
> есть ли смысл так защищать честь майкрософт(которой нет), если у них серьёзный
> промах в обходе аутентификации, то надо это признавать.
> P.S. бородатый, я тоже бородатый, уже 8 лет админ AD, если что
> ;)
> куда без AD то?Я не бородатый, коротко подстрижен и соблюдаю все нормы СЭС. Админю и винду и юниксы.
Еще раз пропишу для заторможенных, взломав одну машину в домене злоумышленник поимеет только эту машину. Если (1) он внедрит на нее троян, если (2) потом за нее сядет сисадмин, и если (3) введет логин и пароль пользователя с полномочиями Администратора домена, злоумышленник поимеет весь домен. Но это и так очевидно, он может хоть с затрояненного Linux, хоть с iPhone зайти, результат будет аналогичен. Причем тут Винда - совершенно неясно. Это то же самое что через плечо пароль подглядеть, но отчего-то подается с таким пафосом, как былинный провал.
Надо заметить, что админить рабочие станции не обязательно от имени администратора домена, можно это и под локальным администратором делать. Вот только придется на каждой машине сделать ему уникальный пароль, иначе затея теряет смысл. Зто очень неудобно, а сисадмины народ ленивый.
На сколько я понял тут речь идёт не о локальном логине, а о сетевом (RDP и SMB там всякие) и проблема заключается в том что переданный в процессе логина хэш пароля можно повторно использовать для входа на другие машины в AD. Т.е. хэш передаваемый клиентом при подключении к удалённому компу берётся просто от пароля, а не от пароля и ещё чего-то уникального для данной сессии.
> даже не смотрел что он нашел.смотрел. года 2 назад. у нас весь IT отдел прифигел.
> т.о. единственная взломанная машина в AD равняется всему взлому всей AD. ч.т.д.
> ну шо, есть безопасность в AD? и тут у поклонников МС аргументы
> заканчиваются.Господи какая чушь ... Открытие века, вход на затрояненную машину ведет к компрометации пароля ?! Нахер, простите, заморочки с хешем, его можно взять из формы логина или просто тупо считать ввод с клавиатуры. А что, под Линукс руткиты пароли красть не умеют ?! Видимо те , кто их пишут Торвальдса боятся ?
Дай-ка срезюмирую: Если внедрить троян на машину админа, можно украть пароль, поэтому windows-домены в частности и Майкрософт в целом - дырявое барахло. Осталась собственно мелочь - внедрить троян и заставить админа домена ввести пароль - задача для третьикласника. Занавес, сполз под стол.
> Осталась собственно мелочь - внедрить троянопа, так это же в любой сети сплошь и рядом. куда ни плюнь антивирус скажет что у вас троян.а да, чаще не скажет ;)
или вы скажите что затроянить одну из 1000 машин типовой компании трудно?
1. уязвимости, к-ые майкрософт не закрывает месяц и не стесняется этого.
2. соц. инженерия
3. инсайдеры
> и заставить админа домена ввести парольвы машину в домен добавляя, разве не аутентифицируетесь?
вы вообще админите? понаблюдайте сколько раз в день вы куда то логинитесь.
и если вы логинитесь то всё таки чтобы что-то исправить и вам всё равно будут нужны права админа.
думаю уже не так смешно? проблема очень большая.
это признают любые эксперты по безопасности, но вы не такой ж)
>> Осталась собственно мелочь - внедрить троян
> опа, так это же в любой сети сплошь и рядом. куда ни
> плюнь антивирус скажет что у вас троян.а да, чаще не скажет
> ;)
> или вы скажите что затроянить одну из 1000 машин типовой компании трудно?Если должным образом подкручены гайки в плане безопасности - трудно. Достаточно не пускать рядовых пользователей под административной учеткой, настроить автоматическое обновление системы и антивирусного ПО. Совершенно аналогично с Linux.
> 1. уязвимости, к-ые майкрософт не закрывает месяц и не стесняется этого.
> 2. соц. инженерия
> 3. инсайдеры
>> и заставить админа домена ввести пароль
> вы машину в домен добавляя, разве не аутентифицируетесь?
> вы вообще админите? понаблюдайте сколько раз в день вы куда то логинитесь.Когда я ввожу машину в домен на ней нет троянов, она развернута с эталонного образа. Для администрирования существует отдельный доменный пользователь, который входит в локальную группу "Администраторы" на рабочих станциях, но не входит в группу "Администраторы домена". Украв его пароль вы не получите доступа к серверам.
> и если вы логинитесь то всё таки чтобы что-то исправить и вам
> всё равно будут нужны права админа.
> думаю уже не так смешно? проблема очень большая.
> это признают любые эксперты по безопасности, но вы не такой ж)Я что, неясно излагаю свои мысли ? Винда тут каким боком ? Это не проблема домена, это вопрос компромиса между удобством и безопасностью. Либо централизованная аутентификация, либо толмут со списком пользователей/паролей на каждую машину индивидуально и гемморой с организацией общего доступа к разделяемым ресурсам, других вариантов нет. Что хуже в плане безопасности - это еще вопрос. Под Linux вообще нет инструмента хоты-бы частично приближенного по возможностям к Active Directory. Аналогов нет, одни костыли, даже сравнить не с чем. С ростом количества рабочих станций сложность администрирования растет линейно.
> вы почитайте сначала про pass-the-hash а потом извинитесь, ок?Да не нужно мне читать, я знаю о чем идет речь, потому и стебаюсь.
Эта техника может быть использована против устаревшего протокола NTLM, который еще в 2000 году заменили на kerberos. Да, в целях совместимости он еще используется в некоторых случаях, но такую ситуацию нужно еще суметь спровоцировать. А при повышенных требованиях к безопасности его использование можно (и нужно) вообще полностью запретить, о чем довольно недвусмысленно написано в документации.
Далее по поводу "снифить". Снифить у тебя получится на гламурном свиче DLink за 500 руб штука, и то не всегда. С нормальным управляемым свичем ничего, кроме собственного трафика ты не получишь.
Далее, заснифить тебе нужно не абы чей, а пароль администратора домена, который в сети вообще светиться не должен.
Это все элементарные азы компьютерной безопасности, которые должны соблюдаться на любом серьезном предприятии, что уж говорить о центре сертификации.
А данный же случае проблема не в Windows, а в сказочном долбоебизме и раздолбайском отношении к вопросам безопасности руководства и сотрудников центра, что и привело к очевидным последствиям.
я вам выше ответил, ваш коммент с матом всё равно удалят.
Удалить бы как раз следовало твою бредятинку, а это нормальный ответ технически подкованного человека, пусть он в нем матюгнулся невзначай, но его ответ для читающих конференцию всяко полезней твоих необснованных диалогов о том что винда супердырявая система. Супердырявой она была 98-ом году, с тех пор много воды утекло.
> занимающиеся генерацией сертификатов критически важные серверы были размещены в общей локальной сети, не имели антивирусного ПО (серверы работали под Windows), входили в общий домен Windows (на сервер мог зайти любой у кого есть параметры учетной записи), пароли доступа были пригодны для подбора, установленные на публичный web-сервер программы устарели и давно не обновлялись, не практиковалось безопасное ведение логов.нормальный творческий безпорядок.
у меня на работе тоже-самое.
главное, чтобы небыло инсайдеров.
>> занимающиеся генерацией сертификатов критически важные серверы были размещены в общей локальной сети, не имели антивирусного ПО (серверы работали под Windows), входили в общий домен Windows (на сервер мог зайти любой у кого есть параметры учетной записи), пароли доступа были пригодны для подбора, установленные на публичный web-сервер программы устарели и давно не обновлялись, не практиковалось безопасное ведение логов.
> нормальный творческий безпорядок.
> у меня на работе тоже-самое.
> главное, чтобы небыло инсайдеров.Бардак не просто способствует, он провоцирует к утечке.