The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

07.09.2011 20:34  GlobalSign временно приостановил выдачу SSL-сертификатов из-за возможной компрометации

Удостоверяющий центр GlobalSign сообщил об инициировании внутренней проверки безопасности в связи с появлением в сети анонимного заявления, в котором от имени инициаторов атаки утверждается, что кроме взлома DigiNotar, удалось получить доступ еще к 4 удостоверяющим центрам, среди которых StartCom и GlobalSign. Также утверждается, что несмотря на широкий резонанс после взлома удостоверяющего центра Comodo, у атаковавших еще остался доступ к системам некоторых реселлеров Comodo.

Информация голословна и ничем не подтверждена, но GlobalSign в качестве меры предосторожности временно приостановил выдачу сертификатов до завершения полного аудита, к проведению которого привлечены эксперты, участвовавшие в разборе инцидента DigiNotar.

Кроме того можно отметить, публикацию предварительного отчета с результатами первой стадии расследования атаки на DigiNotar. Исследование показало, что в DigiNotar абсолютно не обращали внимание на безопасность: занимающиеся генерацией сертификатов критически важные серверы были размещены в общей локальной сети, не имели антивирусного ПО (серверы работали под Windows), входили в общий домен Windows (на сервер мог зайти любой у кого есть параметры учетной записи), пароли доступа были пригодны для подбора, установленные на публичный web-сервер программы устарели и давно не обновлялись, не практиковалось безопасное ведение логов.

  1. Главная ссылка к новости (http://www.globalsign.com/comp...)
  2. OpenNews: Опубликован полный список обманных SSL-сертификатов. В списке ЦРУ и МИ-6
  3. OpenNews: Атака на регистраторов доменов привела к перенаправлению крупнейших сайтов
  4. OpenNews: Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и Tor
  5. OpenNews: Обнаружен обманный SSL-сертификат для сервисов Google (дополнение: осуществлен взлом CA)
  6. OpenNews: Взлом аккаунта в удостоверяющем центре Comodo привёл к генерации 9 обманных SSL-сертификатов
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: cert, ssl
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 22:36, 07/09/2011 [ответить] [показать ветку] [···]     [к модератору]
  • +2 +/
    Из отчёта Хочется плакать D 4 4 Current network infrastructure at DigiNotar... весь текст скрыт [показать]
     
     
  • 2.2, anonymous (??), 23:36, 07/09/2011 [^] [ответить]    [к модератору]  
  • +/
    Винда, OK.
     
     
  • 3.7, alikd (?), 11:48, 08/09/2011 [^] [ответить]     [к модератору]  
  • +/
    Точно Безумие в отношении к безопасности сертификационным центром -ами Можно ... весь текст скрыт [показать]
     
     
  • 4.8, alikd (?), 11:49, 08/09/2011 [^] [ответить]    [к модератору]  
  • +/
    сори. отвечал на пост ниже:
    > this is madness
     
  • 2.3, rain87 (?), 00:12, 08/09/2011 [^] [ответить]    [к модератору]  
  • +2 +/
    this is madness
     
  • 2.4, umbr (ok), 00:46, 08/09/2011 [^] [ответить]    [к модератору]  
  • +/
    Зато "...physically very securely placed in a tempest proof environment..." :)
    Гламурный СА.
     
     
  • 3.5, Аноним (-), 03:29, 08/09/2011 [^] [ответить]     [к модератору]  
  • +1 +/
    В результате хаксор по сети влез в очень укрепленное окружение Вообще, судя п... весь текст скрыт [показать]
     
     
  • 4.6, тролль (?), 10:55, 08/09/2011 [^] [ответить]     [к модератору]  
  • –1 +/
    теперь замени в диалоге слово windows, на linux и отправь этот же диалог в ветку... весь текст скрыт [показать]
     
     
  • 5.9, Аноним (-), 13:32, 08/09/2011 [^] [ответить]     [к модератору]  
  • +4 +/
    Все просто, аноны Как говорил кто-то из великих, Безопасность не продукт, безо... весь текст скрыт [показать]
     
     
  • 6.12, Аноним (-), 20:03, 08/09/2011 [^] [ответить]     [к модератору]  
  • +/
    А тут как и в банковской индустрии Много лапши на ущи Много сертификаций, форм... весь текст скрыт [показать]
     
     
  • 7.16, Аноним (-), 13:37, 09/09/2011 [^] [ответить]     [к модератору]  
  • +/
    Я-то реально в курсе Я пробовал создавать свой CA И знаю, что формально а что ... весь текст скрыт [показать]
     
  • 6.19, Аноним (-), 15:21, 09/09/2011 [^] [ответить]     [к модератору]  
  • +/
    Как обычно http serverfault com questions 293217 our-security-auditor-is-an-i... весь текст скрыт [показать]
     
  • 5.11, Аноним (-), 19:59, 08/09/2011 [^] [ответить]     [к модератору]  
  • +/
    В линуксах поимение 1 машины обычно не ведет к разносу всего домена У кернелорг... весь текст скрыт [показать]
     
  • 5.13, antitroll (?), 21:49, 08/09/2011 [^] [ответить]     [к модератору]  
  • –2 +/
    и в правду, тролль головного мозга читай про pass-the-hash поснифал хэш НЕ ПА... весь текст скрыт [показать]
     
     
  • 6.14, AdVv (ok), 02:12, 09/09/2011 [^] [ответить]    [к модератору]  
  • +1 +/
    Вау ! Ты прям только что написал что kerberos придумали законченные идиоты. Надо твой пост на нобелевку номинировать. В номинации "Трепло 2011".
     
     
  • 7.15, admin (??), 13:27, 09/09/2011 [^] [ответить]    [к модератору]  
  • –6 +/
    вы почитайте сначала про pass-the-hash а потом извинитесь, ок?
     
     
  • 8.17, Лютый хаксор (?), 14:21, 09/09/2011 [^] [ответить]     [к модератору]  
  • +/
    Еще один юный читаль журнала akep Тут где-то в соседних ветках видел тебе под... весь текст скрыт [показать]
     
     
  • 9.23, admin (??), 19:51, 09/09/2011 [^] [ответить]     [к модератору]  
  • +/
    эта всё таки прочитайте и попробуйте у себя в сети 2 AdVv прочитайте сначал... весь текст скрыт [показать]
     
     
  • 10.25, Желающий быть учеником гуру (?), 20:00, 09/09/2011 [^] [ответить]    [к модератору]  
  • +/
    Вопрос в лоб, лично ты таким способом сколько раз поимел админа в сетях с AD? :)
    И где надо кОчать твоих троянов, чтобы запустить на своих серверах. Мне не терпится это сделать. :)
     
     
  • 11.29, 1 (??), 12:13, 10/09/2011 [^] [ответить]     [к модератору]  
  • +/
    статья УК РФ однако http oss coresecurity com pshtoolkit doc index html 1 з... весь текст скрыт [показать]
     
     
  • 12.30, 2 (?), 12:45, 10/09/2011 [^] [ответить]    [к модератору]  
  • +/
    Не работает. :( Надо звать одмина что ли для установки трояна в систему? Дык он не захочет ведь. :(
     
     
  • 13.31, 1 (??), 13:10, 10/09/2011 [^] [ответить]    [к модератору]  
  • –1 +/
    вышла новая версия
    http://www.ampliasecurity.com/research/wcefaq.html#whatiswce

    напоминает форум античата, где ребята клянчают ответы на все возможные вопросы. а как cmd запустить и всё такое.

    ждём с нетерпением результатов.

     
     
  • 14.32, Бородатый одмин (?), 13:37, 10/09/2011 [^] [ответить]    [к модератору]  
  • +/
    Я так понимаю сам мистер Трепло-2011 даже не смотрел что он нашел. :D

    Цитата из README к новой версии:
    "This tool requires administrator privileges to dump and add/delete/change NTLM credentials."

    Шел бы ту уже уроки делать "спЫциалист". И перестань читать "Хакер".

     
     
  • 15.33, 1 (??), 13:59, 10/09/2011 [^] [ответить]    [к модератору]  
  • –1 +/
    > Шел бы ту уже уроки делать "спЫциалист". И перестань читать "Хакер".

    если всё таки внимательно прочесть тред, то станет понятно, что речь идёт о взломе всей
    сети, взломав всего лишь одну машину домена. да, на ней нужно получить админа.
    сломал одну тачку,  дождался логина админа, стал хозяином AD.
    ЭТОГО УЖЕ МАЛО???! кажись это метание бисера. либо вы просто пришли потроллить.

    извинения за "трепло" принимаются. да и в общем такой стиль общения выдёт больше ваш возраст ^)

     
     
  • 16.35, Бородатый одмин (?), 14:13, 10/09/2011 [^] [ответить]    [к модератору]  
  • +/
    "что речь идёт о взломе всей сети, взломав всего лишь ***одну машину домена***"

    Этой своей писаниной ты только доказал, что ты AD в глаза то никогда не видел, смысла с тобой спорить действительно нету.

    Прочти внимательно еще раз цитату:
    "This tool requires ***administrator privileges*** to dump and add/delete/change NTLM credentials."

    Если ты по факту получил админа на всего лишь одной машине в AD, то ты уже админ. Не надо больше ничего ломать уважаемый специалист по безопасности.


    Удачи в псевдовзломах Виндовсов.

     
     
  • 17.36, 1 (??), 22:02, 10/09/2011 [^] [ответить]    [к модератору]  
  • –2 +/
    ну прям не знаю.. вы считаете что взломав одну машину из 1000 = поиметь весь домен, это нормально?
    есть ли смысл так защищать честь майкрософт(которой нет), если у них серьёзный промах в обходе аутентификации, то надо это признавать.
    P.S. бородатый, я тоже бородатый, уже 8 лет админ AD, если что ;)
    куда без AD то?
     
     
  • 18.38, 3 (?), 05:06, 11/09/2011 [^] [ответить]    [к модератору]  
  • +/
    Позвольте поинтересоваться уважаемый тролль вам слово OpenLDAP встречалось когда-нибудь на вашей Бубунте?
     
     
  • 19.39, Бородатый админ (?), 06:46, 11/09/2011 [^] [ответить]    [к модератору]  
  • +/
    Ближе к вечеру прочитает об этом в гугле и напишет что админит такую Linux инфраструктуру уже как 8 лет, и конечно же там получение рута на одной машине не привидет к взлому всей сети. Обычно Торвальдс в таких случаях через astarllib сам лично отыскивает взломщиков и жестко их карает. А в Red Hat Directory Server прямо со спутника лазером расстрел на месте. ;)
     
  • 18.40, AdVv (ok), 14:01, 12/09/2011 [^] [ответить]    [к модератору]  
  • +/
    > ну прям не знаю.. вы считаете что взломав одну машину из 1000
    > = поиметь весь домен, это нормально?
    > есть ли смысл так защищать честь майкрософт(которой нет), если у них серьёзный
    > промах в обходе аутентификации, то надо это признавать.
    > P.S. бородатый, я тоже бородатый, уже 8 лет админ AD, если что
    > ;)
    > куда без AD то?

    Я не бородатый, коротко подстрижен и соблюдаю все нормы СЭС. Админю и винду и юниксы.
    Еще раз пропишу для заторможенных, взломав одну машину в домене злоумышленник поимеет только эту машину. Если (1) он внедрит на нее троян, если (2) потом за нее сядет сисадмин, и если (3) введет логин и пароль пользователя с полномочиями Администратора домена, злоумышленник поимеет весь домен.  Но это и так очевидно, он может хоть с затрояненного Linux, хоть с iPhone зайти, результат будет аналогичен. Причем тут Винда - совершенно неясно. Это то же самое что через плечо пароль подглядеть, но отчего-то подается с таким пафосом, как былинный провал.
    Надо заметить, что админить рабочие станции не обязательно от имени администратора домена, можно это и под локальным администратором делать. Вот только придется на каждой машине сделать ему уникальный пароль, иначе затея теряет смысл. Зто очень неудобно, а сисадмины народ ленивый.

     
     
  • 19.42, MrClon (?), 12:51, 16/09/2011 [^] [ответить]    [к модератору]  
  • +/
    На сколько я понял тут речь идёт не о локальном логине, а о сетевом (RDP и SMB там всякие) и проблема заключается в том что переданный в процессе логина хэш пароля можно повторно использовать для входа на другие машины в AD. Т.е. хэш передаваемый клиентом при подключении к удалённому компу берётся просто от пароля, а не от пароля и ещё чего-то уникального для данной сессии.
     
  • 15.34, 1 (??), 14:08, 10/09/2011 [^] [ответить]    [к модератору]  
  • +/
    > даже не смотрел что он нашел.

    смотрел. года 2 назад. у нас весь IT отдел прифигел.

     
  • 10.26, AdVv (ok), 20:56, 09/09/2011 [^] [ответить]    [к модератору]  
  • +/
    > т.о. единственная взломанная машина в AD равняется всему взлому всей AD. ч.т.д.
    > ну шо, есть безопасность в AD? и тут у поклонников МС аргументы
    > заканчиваются.

    Господи какая чушь ... Открытие века, вход на затрояненную машину ведет к компрометации пароля ?! Нахер, простите, заморочки с хешем, его можно взять из формы логина или просто тупо считать ввод с клавиатуры. А что, под Линукс руткиты пароли красть не умеют ?! Видимо те , кто их пишут Торвальдса боятся ?
    Дай-ка срезюмирую: Если внедрить троян на машину админа, можно украть пароль, поэтому windows-домены в частности и Майкрософт в целом - дырявое барахло. Осталась собственно мелочь - внедрить троян и заставить админа домена ввести пароль - задача для третьикласника. Занавес, сполз под стол.

     
     
  • 11.28, 1 (??), 12:02, 10/09/2011 [^] [ответить]    [к модератору]  
  • –2 +/
    > Осталась собственно мелочь - внедрить троян

    опа, так это же в любой сети сплошь и рядом. куда ни плюнь антивирус скажет что у вас троян.а да, чаще не скажет ;)
    или вы скажите что затроянить одну из 1000 машин типовой компании трудно?
    1. уязвимости, к-ые майкрософт не закрывает месяц и не стесняется этого.
    2. соц. инженерия
    3. инсайдеры
    > и заставить админа домена ввести пароль

    вы машину в домен добавляя, разве не аутентифицируетесь?
    вы вообще админите? понаблюдайте сколько раз в день вы куда то логинитесь.
    и если вы логинитесь то всё таки чтобы что-то исправить и вам всё равно будут нужны права админа.
    думаю уже не так смешно? проблема очень большая.
    это признают любые эксперты по безопасности, но вы не такой ж)

     
     
  • 12.41, AdVv (ok), 14:59, 12/09/2011 [^] [ответить]     [к модератору]  
  • +/
    Если должным образом подкручены гайки в плане безопасности - трудно Достаточно ... весь текст скрыт [показать]
     
  • 8.20, AdVv (ok), 15:32, 09/09/2011 [^] [ответить]    [к модератору]  
  • +/
    > вы почитайте сначала про pass-the-hash а потом извинитесь, ок?

    Да не нужно мне читать, я знаю о чем идет речь, потому и стебаюсь.
    Эта техника может быть использована против устаревшего протокола NTLM, который еще в 2000 году заменили на kerberos. Да, в целях совместимости он еще используется в некоторых случаях, но такую ситуацию нужно еще суметь спровоцировать. А при повышенных требованиях к безопасности его использование можно (и нужно) вообще полностью запретить, о чем довольно недвусмысленно написано в документации.
    Далее по поводу "снифить". Снифить у тебя получится на гламурном свиче DLink за 500 руб штука, и то не всегда. С нормальным управляемым свичем ничего, кроме собственного трафика ты не получишь.
    Далее, заснифить тебе нужно не абы чей, а пароль администратора домена, который в сети вообще светиться не должен.
    Это все элементарные азы компьютерной безопасности, которые должны соблюдаться на любом серьезном предприятии, что уж говорить о центре сертификации.
    А данный же случае проблема не в Windows, а в сказочном долбоебизме и раздолбайском отношении к вопросам безопасности руководства и сотрудников центра, что и привело к очевидным последствиям.

     
     
  • 9.24, admin (??), 19:56, 09/09/2011 [^] [ответить]    [к модератору]  
  • +/
    я вам выше ответил, ваш коммент с матом всё равно удалят.


     
     
  • 10.27, Гога (?), 10:53, 10/09/2011 [^] [ответить]    [к модератору]  
  • +/
    Удалить бы как раз следовало твою бредятинку, а это нормальный ответ технически подкованного человека, пусть он в нем матюгнулся невзначай, но его ответ для читающих конференцию всяко полезней твоих необснованных диалогов о том что винда супердырявая система. Супердырявой она была 98-ом году, с тех пор много воды утекло.
     
  • 1.21, Fantomas (??), 17:03, 09/09/2011 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    > занимающиеся генерацией сертификатов критически важные серверы были размещены в общей локальной сети, не имели антивирусного ПО (серверы работали под Windows), входили в общий домен Windows (на сервер мог зайти любой у кого есть параметры учетной записи), пароли доступа были пригодны для подбора, установленные на публичный web-сервер программы устарели и давно не обновлялись, не практиковалось безопасное ведение логов.

    нормальный творческий безпорядок.
    у меня на работе тоже-самое.
    главное, чтобы небыло инсайдеров.

     
     
  • 2.22, AdVv (ok), 18:24, 09/09/2011 [^] [ответить]    [к модератору]  
  • +/
    >> занимающиеся генерацией сертификатов критически важные серверы были размещены в общей локальной сети, не имели антивирусного ПО (серверы работали под Windows), входили в общий домен Windows (на сервер мог зайти любой у кого есть параметры учетной записи), пароли доступа были пригодны для подбора, установленные на публичный web-сервер программы устарели и давно не обновлялись, не практиковалось безопасное ведение логов.
    > нормальный творческий безпорядок.
    > у меня на работе тоже-самое.
    > главное, чтобы небыло инсайдеров.

    Бардак не просто способствует, он провоцирует к утечке.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor