The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

07.09.2011 20:34  GlobalSign временно приостановил выдачу SSL-сертификатов из-за возможной компрометации

Удостоверяющий центр GlobalSign сообщил об инициировании внутренней проверки безопасности в связи с появлением в сети анонимного заявления, в котором от имени инициаторов атаки утверждается, что кроме взлома DigiNotar, удалось получить доступ еще к 4 удостоверяющим центрам, среди которых StartCom и GlobalSign. Также утверждается, что несмотря на широкий резонанс после взлома удостоверяющего центра Comodo, у атаковавших еще остался доступ к системам некоторых реселлеров Comodo.

Информация голословна и ничем не подтверждена, но GlobalSign в качестве меры предосторожности временно приостановил выдачу сертификатов до завершения полного аудита, к проведению которого привлечены эксперты, участвовавшие в разборе инцидента DigiNotar.

Кроме того можно отметить, публикацию предварительного отчета с результатами первой стадии расследования атаки на DigiNotar. Исследование показало, что в DigiNotar абсолютно не обращали внимание на безопасность: занимающиеся генерацией сертификатов критически важные серверы были размещены в общей локальной сети, не имели антивирусного ПО (серверы работали под Windows), входили в общий домен Windows (на сервер мог зайти любой у кого есть параметры учетной записи), пароли доступа были пригодны для подбора, установленные на публичный web-сервер программы устарели и давно не обновлялись, не практиковалось безопасное ведение логов.

  1. Главная ссылка к новости (http://www.globalsign.com/comp...)
  2. OpenNews: Опубликован полный список обманных SSL-сертификатов. В списке ЦРУ и МИ-6
  3. OpenNews: Атака на регистраторов доменов привела к перенаправлению крупнейших сайтов
  4. OpenNews: Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и Tor
  5. OpenNews: Обнаружен обманный SSL-сертификат для сервисов Google (дополнение: осуществлен взлом CA)
  6. OpenNews: Взлом аккаунта в удостоверяющем центре Comodo привёл к генерации 9 обманных SSL-сертификатов
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: cert, ssl
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 22:36, 07/09/2011 [ответить] [смотреть все]     [к модератору]
  • +2 +/
    Из отчёта Хочется плакать D 4 4 Current network infrastructure at DigiNotar... весь текст скрыт [показать]
     
     
  • 2.2, anonymous, 23:36, 07/09/2011 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Винда, OK.
     
     
  • 3.7, alikd, 11:48, 08/09/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Точно Безумие в отношении к безопасности сертификационным центром -ами Можно ... весь текст скрыт [показать]
     
     
  • 4.8, alikd, 11:49, 08/09/2011 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    сори. отвечал на пост ниже:
    > this is madness
     
  • 2.3, rain87, 00:12, 08/09/2011 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +2 +/
    this is madness
     
  • 2.4, umbr, 00:46, 08/09/2011 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Зато physically very securely placed in a tempest proof environment Г... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.5, Аноним, 03:29, 08/09/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    В результате хаксор по сети влез в очень укрепленное окружение Вообще, судя п... весь текст скрыт [показать]
     
     
  • 4.6, тролль, 10:55, 08/09/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    теперь замени в диалоге слово windows, на linux и отправь этот же диалог в ветку... весь текст скрыт [показать]
     
     
  • 5.9, Аноним, 13:32, 08/09/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • +4 +/
    Все просто, аноны Как говорил кто-то из великих, Безопасность не продукт, безо... весь текст скрыт [показать]
     
     
  • 6.12, Аноним, 20:03, 08/09/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    А тут как и в банковской индустрии Много лапши на ущи Много сертификаций, форм... весь текст скрыт [показать]
     
     
  • 7.16, Аноним, 13:37, 09/09/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Я-то реально в курсе Я пробовал создавать свой CA И знаю, что формально а что ... весь текст скрыт [показать]
     
  • 6.19, Аноним, 15:21, 09/09/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Как обычно http serverfault com questions 293217 our-security-auditor-is-an-i... весь текст скрыт [показать]
     
  • 5.11, Аноним, 19:59, 08/09/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    В линуксах поимение 1 машины обычно не ведет к разносу всего домена У кернелорг... весь текст скрыт [показать]
     
  • 5.13, antitroll, 21:49, 08/09/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    и в правду, тролль головного мозга читай про pass-the-hash поснифал хэш НЕ ПА... весь текст скрыт [показать]
     
     
  • 6.14, AdVv, 02:12, 09/09/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Вау Ты прям только что написал что kerberos придумали законченные идиоты Надо... весь текст скрыт [показать]
     
     
  • 7.15, admin, 13:27, 09/09/2011 [^] [ответить] [смотреть все]    [к модератору]  
  • –6 +/
    вы почитайте сначала про pass-the-hash а потом извинитесь, ок?
     
     
  • 8.17, Лютый хаксор, 14:21, 09/09/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Еще один юный читаль журнала akep Тут где-то в соседних ветках видел тебе под... весь текст скрыт [показать]
     
     
  • 9.23, admin, 19:51, 09/09/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    эта всё таки прочитайте и попробуйте у себя в сети 2 AdVv прочитайте сначал... весь текст скрыт [показать]
     
     
  • 10.25, Желающий быть учеником гуру, 20:00, 09/09/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Вопрос в лоб, лично ты таким способом сколько раз поимел админа в сетях с AD ... весь текст скрыт [показать]
     
     
  • 11.29, 1, 12:13, 10/09/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    статья УК РФ однако http oss coresecurity com pshtoolkit doc index html 1 з... весь текст скрыт [показать]
     
     
  • 12.30, 2, 12:45, 10/09/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Не работает Надо звать одмина что ли для установки трояна в систему Дык он ... весь текст скрыт [показать]
     
     
  • 13.31, 1, 13:10, 10/09/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    вышла новая версия http www ampliasecurity com research wcefaq html whatiswce ... весь текст скрыт [показать]
     
     
  • 14.32, Бородатый одмин, 13:37, 10/09/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Я так понимаю сам мистер Трепло-2011 даже не смотрел что он нашел D Цитата из ... весь текст скрыт [показать]
     
     
  • 15.33, 1, 13:59, 10/09/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    если всё таки внимательно прочесть тред, то станет понятно, что речь идёт о взло... весь текст скрыт [показать]
     
     
  • 16.35, Бородатый одмин, 14:13, 10/09/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    что речь идёт о взломе всей сети, взломав всего лишь одну машину домена ... весь текст скрыт [показать]
     
     
  • 17.36, 1, 22:02, 10/09/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    ну прям не знаю вы считаете что взломав одну машину из 1000 поиметь весь дом... весь текст скрыт [показать]
     
     
  • 18.38, 3, 05:06, 11/09/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Позвольте поинтересоваться уважаемый тролль вам слово OpenLDAP встречалось когда... весь текст скрыт [показать]
     
     
  • 19.39, Бородатый админ, 06:46, 11/09/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Ближе к вечеру прочитает об этом в гугле и напишет что админит такую Linux инфра... весь текст скрыт [показать]
     
  • 18.40, AdVv, 14:01, 12/09/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Я не бородатый, коротко подстрижен и соблюдаю все нормы СЭС Админю и винду и юн... весь текст скрыт [показать]
     
     
  • 19.42, MrClon, 12:51, 16/09/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    На сколько я понял тут речь идёт не о локальном логине, а о сетевом RDP и SMB т... весь текст скрыт [показать]
     
  • 15.34, 1, 14:08, 10/09/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    смотрел года 2 назад у нас весь IT отдел прифигел ... весь текст скрыт [показать]
     
  • 10.26, AdVv, 20:56, 09/09/2011 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > т.о. единственная взломанная машина в AD равняется всему взлому всей AD. ч.т.д.
    > ну шо, есть безопасность в AD? и тут у поклонников МС аргументы
    > заканчиваются.

    Господи какая чушь ... Открытие века, вход на затрояненную машину ведет к компрометации пароля ?! Нахер, простите, заморочки с хешем, его можно взять из формы логина или просто тупо считать ввод с клавиатуры. А что, под Линукс руткиты пароли красть не умеют ?! Видимо те , кто их пишут Торвальдса боятся ?
    Дай-ка срезюмирую: Если внедрить троян на машину админа, можно украть пароль, поэтому windows-домены в частности и Майкрософт в целом - дырявое барахло. Осталась собственно мелочь - внедрить троян и заставить админа домена ввести пароль - задача для третьикласника. Занавес, сполз под стол.

     
     
  • 11.28, 1, 12:02, 10/09/2011 [^] [ответить] [смотреть все]    [к модератору]  
  • –2 +/
    > Осталась собственно мелочь - внедрить троян

    опа, так это же в любой сети сплошь и рядом. куда ни плюнь антивирус скажет что у вас троян.а да, чаще не скажет ;)
    или вы скажите что затроянить одну из 1000 машин типовой компании трудно?
    1. уязвимости, к-ые майкрософт не закрывает месяц и не стесняется этого.
    2. соц. инженерия
    3. инсайдеры
    > и заставить админа домена ввести пароль

    вы машину в домен добавляя, разве не аутентифицируетесь?
    вы вообще админите? понаблюдайте сколько раз в день вы куда то логинитесь.
    и если вы логинитесь то всё таки чтобы что-то исправить и вам всё равно будут нужны права админа.
    думаю уже не так смешно? проблема очень большая.
    это признают любые эксперты по безопасности, но вы не такой ж)

     
     
  • 12.41, AdVv, 14:59, 12/09/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Если должным образом подкручены гайки в плане безопасности - трудно Достаточно ... весь текст скрыт [показать]
     
  • 8.20, AdVv, 15:32, 09/09/2011 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Да не нужно мне читать, я знаю о чем идет речь, потому и стебаюсь Эта техника м... весь текст скрыт [показать]
     
     
  • 9.24, admin, 19:56, 09/09/2011 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    я вам выше ответил, ваш коммент с матом всё равно удалят.


     
     
  • 10.27, Гога, 10:53, 10/09/2011 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Удалить бы как раз следовало твою бредятинку, а это нормальный ответ технически подкованного человека, пусть он в нем матюгнулся невзначай, но его ответ для читающих конференцию всяко полезней твоих необснованных диалогов о том что винда супердырявая система. Супердырявой она была 98-ом году, с тех пор много воды утекло.
     
  • 1.21, Fantomas, 17:03, 09/09/2011 [ответить] [смотреть все]    [к модератору]  
  • +/
    > занимающиеся генерацией сертификатов критически важные серверы были размещены в общей локальной сети, не имели антивирусного ПО (серверы работали под Windows), входили в общий домен Windows (на сервер мог зайти любой у кого есть параметры учетной записи), пароли доступа были пригодны для подбора, установленные на публичный web-сервер программы устарели и давно не обновлялись, не практиковалось безопасное ведение логов.

    нормальный творческий безпорядок.
    у меня на работе тоже-самое.
    главное, чтобы небыло инсайдеров.

     
     
  • 2.22, AdVv, 18:24, 09/09/2011 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    >> занимающиеся генерацией сертификатов критически важные серверы были размещены в общей локальной сети, не имели антивирусного ПО (серверы работали под Windows), входили в общий домен Windows (на сервер мог зайти любой у кого есть параметры учетной записи), пароли доступа были пригодны для подбора, установленные на публичный web-сервер программы устарели и давно не обновлялись, не практиковалось безопасное ведение логов.
    > нормальный творческий безпорядок.
    > у меня на работе тоже-самое.
    > главное, чтобы небыло инсайдеров.

    Бардак не просто способствует, он провоцирует к утечке.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor