The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

05.09.2011 19:27  Опубликован полный список обманных SSL-сертификатов. В списке ЦРУ и МИ-6

В блоге разработчиков проекта Tor опубликован полный список параметров обманных SSL-сертификатов, сгенерированных злоумышленниками в результате компрометации удостоверяющего центра DigiNotar. Список был получен благодаря содействию правительства Нидерландов, которое инициировало проведение полного аудита удостоверяющего центра DigiNotar. В списке присутствует 531 сертификат, в то время как изначально сообщалось о создании 247 обманных сертификатов. 283 сертификата создано 10 июля, 128 - 18 июля и 125 - 20 июля. Т.е. фактически были предприняты три атаки.

Сертификаты были сгенерированы как для крупных компаний, таких как Yahoo!, Google, Mozilla, Microsoft (включая сертификаты для службы Windows Update), Skype, Facebook и Twitter, так и для доменов спецслужб, например, для сайтов ЦРУ (cia.gov), МИ-6 (sis.gov.uk) и Моссад (mossad.gov.il). Особый интерес представляют сертификаты созданные для доменов с маской "*.*.com" и "*.*.org", а также сертификаты с именами других удостоверяющих центров, например, 'VeriSign Root CA' и 'Thawte Root CA'.

В списке также числится сертификат для несуществующего домена RamzShekaneBozorg.com с мета-данными "OU=Sare Toro Ham Mishkanam,L=Tehran,O=Hameye Ramzaro Mishkanam". Если данные выражения воспринять как текст на фарси, то перевод будет означать "RamzShekaneBozorg" - "великий взломщик", "Hameyeh Ramzaro Mishkanam" - "я взломаю все шифрование" и "Sare Toro Ham Mishkanam" - "тебя тоже взломаю".

В настоящее время насчитывается уже около 1500 первичных CA-сертификатов, контролируемых примерно 650 разными организациями. При каждом HTTPS/TLS-сеансе пользователь изначально доверяет всем имеющимся центрам сертификации. Компрометация одного из центров сертификации (CA - Certificate Authority) может привести к коллапсу всей системы, так как никто не запрещает сгенерировать сертификат для любого домена, независимо от того от какого удостоверяющего центра получен сертификат.

В качестве одного из способов защиты называется разработка и внедрение методов перекрёстной сертификации. Компания Google реализовала в браузере Chrome другой метод защиты. Начиная с Chromium 13 в браузер интегрирован дополнительный список привязки доменов к центрам сертификации. Изначально в данном списке присутствовали заслуживающие доверие центры сертификации для сервисов Google, но позднее стала приниматься информация о привязке к CA и для других доменов.

Дополнение: Центр сертификации GlobalSign сообщил об инициировании внутренней проверки безопасности в связи с появлением в сети анонимного заявления, в котором утверждается, что кроме взлома DigiNotar, удалось получить доступ еще к 4 удостоверяющим центрам, среди которых Comodo, StartCom и GlobalSign. Информация голословна и ничем не подтверждена, но GlobalSign в качестве меры предосторожности временно приостановил выдачу сертификатов до завершения полного аудита, к проведению которого привлечены эксперты, участвовавшие в разборе инцидента DigiNotar.

  1. Главная ссылка к новости (https://blog.torproject.org/bl...)
  2. OpenNews: Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и Tor
  3. OpenNews: Обновление Chrome 13.0.782.218, Firefox 6.0.1, 3.6.21, SeaMonkey 2.3.2 и Opera 11.51
  4. OpenNews: Обнаружен обманный SSL-сертификат для сервисов Google (дополнение: осуществлен взлом CA)
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: ssl, cert, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.2, Zenitur, 19:58, 05/09/2011 [ответить] [смотреть все]
  • +4 +/
    Стопудово американским СМИ велят молчать о последнем.
     
     
  • 2.22, Аноним, 22:39, 05/09/2011 [^] [ответить] [смотреть все] [показать ветку]
  • +3 +/
    Или наоборот орать во все рупоры, для организации бомбардировок этих чертовых т... весь текст скрыт [показать] [показать ветку]
     
  • 1.4, alltiptop, 20:17, 05/09/2011 [ответить] [смотреть все]  
  • +1 +/
    ждём пополнения на wikileaks?
     
  • 1.5, anonymous, 20:30, 05/09/2011 [ответить] [смотреть все]  
  • +/
    > При каждом HTTPS/TLS-сеансе пользователь изначально доверяет всем имеющимся центрам сертификации

    ССЗБ.

     
     
  • 2.16, Аноним, 22:04, 05/09/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Скорее, это недоработка HTTPS TLS механизма сертификата что один сертификат може... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.18, anonymous, 22:07, 05/09/2011 [^] [ответить] [смотреть все]  
  • +/
    этот механизм не 171 недоработан 187 , а ущербен от начала до конца, вот и ве... весь текст скрыт [показать]
     
     
  • 4.23, Аноним, 22:41, 05/09/2011 [^] [ответить] [смотреть все]  
  • +1 +/
    Ну так другой то никто не сделал Вы же не выскакиваете на белом коне с готовым ... весь текст скрыт [показать]
     
     
  • 5.24, anonymous, 22:44, 05/09/2011 [^] [ответить] [смотреть все]  
  • –3 +/
    более того даже не собирался никогда потому что внедрять это никто не станет, ... весь текст скрыт [показать]
     
  • 5.30, all_glory_to_the_hypnotoad, 00:22, 06/09/2011 [^] [ответить] [смотреть все]  
  • –3 +/
    Другой сделать можно легко Но вся проблема в том, что никто его не будет исполь... весь текст скрыт [показать]
     
     
  • 6.39, AHAHAC, 03:51, 06/09/2011 [^] [ответить] [смотреть все]  
  • –2 +/
    Ёптыть, я уже сто раз говорил - сертификат выдавать надо не организации, а руко... весь текст скрыт [показать]
     
     
  • 7.45, Аноним, 05:41, 06/09/2011 [^] [ответить] [смотреть все]  
  • +2 +/
    А может проще сразу в концлагерь, чтоб не сбежал И банальных зондов с цианидом ... весь текст скрыт [показать]
     
  • 7.53, all_glory_to_the_hypnotoad, 10:08, 06/09/2011 [^] [ответить] [смотреть все]  
  • +/
    Сейчас в общем так и делают, CA выдаёт его лично конкретному человеку Но пробле... весь текст скрыт [показать]
     
  • 7.63, szh, 00:01, 07/09/2011 [^] [ответить] [смотреть все]  
  • +/
    вред экономике ты оплатишь За всю жизнь не отработаешь ... весь текст скрыт [показать]
     
     ....нить скрыта, показать (9)

  • 1.6, Нанобот, 20:31, 05/09/2011 [ответить] [смотреть все]  
  • +1 +/
    >Особый интерес представляют сертификаты созданные для доменов с маской "*.*.com" и "*.*.org"

    уже б не мелочились, сгенерировали бы для "*.*.*"...

     
  • 1.7, ыыыыыыыыыы, 20:41, 05/09/2011 [ответить] [смотреть все]  
  • +/
    Не, ну сертификаты *.*.com, *.*.org, *.*.any  можно хардкорно блокировать в браузере без всяких проверок подписей. Ясен пень кто-то умный балуется.
     
     
  • 2.20, Клыкастый, 22:25, 05/09/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Да причём если сертификат не самоподписаный лично у меня на автомате следует ег... весь текст скрыт [показать] [показать ветку]
     
  • 1.8, umbr, 21:03, 05/09/2011 [ответить] [смотреть все]  
  • +/
    На эти сертификаты кто-нибудь обращает внимание? Браузер не ругается – значит всё в порядке, или типа того.
     
     
  • 2.65, Пр0х0жий, 04:27, 07/09/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Почему не ругается, ругается Спрашивает подтверждать сертификат или нет Ну а е... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.67, umbr, 13:37, 07/09/2011 [^] [ответить] [смотреть все]  
  • +1 +/
    Ругается, только если корневого сертификата нет в списке доверенных.
     
  • 1.10, pinkpiton, 21:18, 05/09/2011 [ответить] [смотреть все]  
  • +/
    ждём пополнения
    в списке присутствуют www.digicert.com и www.globalsign.com
    может и ещё какие СА
    эти просто кинулись в глаза при беглом просмотре
     
  • 1.19, umbr, 22:12, 05/09/2011 [ответить] [смотреть все]  
  • –2 +/
    Может это кто-то готовит почву для массового перехода на IPv6?
     
     
  • 2.21, Аноним, 22:31, 05/09/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    Это-то при чём?!
     
  • 1.34, Pilat, 01:16, 06/09/2011 [ответить] [смотреть все]  
  • +1 +/
    Вот что непонятно. В фирме было пиратом выпущено больше сертификатов, чем сама фирма выпустила за всю свою историю. И этого никто не заметил? Не верю.
     
     
  • 2.36, Diden05, 02:56, 06/09/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Никто ни чего не мониторил, админам пофигу, менагерам тоже, как то как, обычная ... весь текст скрыт [показать] [показать ветку]
     
  • 1.37, Анонимаев, 03:42, 06/09/2011 [ответить] [смотреть все]  
  • +/
    я давным давно уже говорил что эти сертификаты туфта полная!!!!
     
  • 1.41, Аноним, 04:22, 06/09/2011 [ответить] [смотреть все]  
  • –1 +/
    А почему сертификаты подписываются только одним CA, который, очевидно, может быт... весь текст скрыт [показать]
     
  • 1.43, Pers, 04:57, 06/09/2011 [ответить] [смотреть все]  
  • +7 +/
    >"Sare Toro Ham Mishkanam" - "я ненавижу ваше правительство".

    Мой родной язык фарси, но последнее предложение переводится как
    "Тебя тоже взломаю"
    и делайте выводы почему специально так перевели.

     
     
  • 2.49, anonymous, 09:32, 06/09/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    да потому что в комментариях к исходному посту какой-то анонимус так перевёл а ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.62, zazik, 16:27, 06/09/2011 [^] [ответить] [смотреть все]  
  • +2 +/
    Требую перекрёстного перевода Чтобы вариант совпадал не менее, чем у трёх анони... весь текст скрыт [показать]
     
  • 2.50, Sergey722, 09:36, 06/09/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Да, вообще, всё это может быть провокацией ЦРУшников...
     
  • 1.48, Nxx, 09:23, 06/09/2011 [ответить] [смотреть все]  
  • +/
    Зачем тогда вообще сертификаты нужны, если это все обман.
     
     
  • 2.51, Аноним, 09:51, 06/09/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    чтобы за них платили.
     
  • 2.57, Аноним, 10:52, 06/09/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Это бизнес, детка Одна из основополагающих хотелок пирамиды Маслоу эксплуатируе... весь текст скрыт [показать] [показать ветку]
     
  • 2.64, szh, 00:04, 07/09/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    чтобы себестоимость обмана в была не 100 , а 1000000 С каким вариантом ты пред... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.66, Аноним, 11:36, 07/09/2011 [^] [ответить] [смотреть все]  
  • +/
    Сам-то понял, что сказал Ни один нормальный вменяемый бизнес не будет ратовать ... весь текст скрыт [показать]
     
     
  • 4.70, anonymous, 17:51, 07/09/2011 [^] [ответить] [смотреть все]  
  • +/
    а при чём тут себестоимость? речь о прибыли.
     
  • 1.68, mauser, 13:58, 07/09/2011 [ответить] [смотреть все]  
  • +/
    >"Sare Toro Ham Mishkanam" - "я ненавижу ваше правительство".

    Если перевесьти дословно то получится "Я взломаю/поломаю и твою голову". Фарси мой родной язык.

     
     
  • 2.69, anonymous, 14:51, 07/09/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    > Фарси мой родной язык.

    о. третий. богат опеннет талантами. %-)

     
  • 2.71, Pers, 07:40, 08/09/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Дословно Гугл тоже переведет на любой язык, но какой результат будет все знают ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.72, Filosof, 19:27, 08/09/2011 [^] [ответить] [смотреть все]  
  • +/
    а мне гугл не предложил язык фарси Правда есть персидский, но такой транслит не... весь текст скрыт [показать]
     
  • 1.73, Filosof, 19:29, 08/09/2011 [ответить] [смотреть все]  
  • +/
    Это всё пиар-акция! просто Логитек заходит на Иранский рынок, и хочет прадавть клавы на фарси по всему миру! -:)
    Вот язык и пиарят. А с сертификатами всё ок, никому они не нужны -:)
     
     
  • 2.74, умная, 10:32, 30/11/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    совсем ты дурачок что ли. или так приворяетшься искуссно.
     
     
  • 3.75, Filosof, 16:41, 03/12/2011 [^] [ответить] [смотреть все]  
  • +/
    [sarcasm]
           |
           |
           |

    (c)Big Bang

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor TopList