The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"Атакующие получили 27 сертификатов, скомпрометировав ПК сотрудников удостоверяющего центра Digicert"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Атакующие получили 27 сертификатов, скомпрометировав ПК сотрудников удостоверяющего центра Digicert"  +/
Сообщение от opennews (??), 06-Май-26, 14:46 
Удостоверяющий центр Digicert раскрыл информацию об инциденте с безопасностью, в результате которого злоумышленники смогли получить  сертификаты, пригодные для формирования цифровых подписей  к драйверам и приложениям для платформы Windows. Атакующие смогли организовать выполнение своего кода на двух компьютерах сотрудников Digicert, отправив в чат службы поддержки сообщения о проблеме c приложением ZIP-архива со скриншотами. Внутри архива был размещён исполняемый файл в формате scr,  содержащий вредоносный код...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=65383

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Атакующие получили 27 сертификатов, скомпрометировав ПК сотр..."  +10 +/
Сообщение от Аноним (1), 06-Май-26, 14:46 
безопасность на уровне!
Ответить | Правка | Наверх | Cообщить модератору

6. "Атакующие получили 27 сертификатов, скомпрометировав ПК сотр..."  +2 +/
Сообщение от Аноним (6), 06-Май-26, 15:10 
Это молодая компания на рынке, ей всё простительно.
Ответить | Правка | Наверх | Cообщить модератору

37. "Атакующие получили 27 сертификатов, скомпрометировав ПК сотр..."  +/
Сообщение от Аноним (37), 06-Май-26, 18:27 
> Атакующие смогли организовать выполнение своего кода на двух компьютерах сотрудников Digicert

И эти люди "заслуживают доверия" при выдаче сертификатов? Как и все остальные ЦА.

Ответить | Правка | Наверх | Cообщить модератору

4. Скрыто модератором  +13 +/
Сообщение от пох. (?), 06-Май-26, 15:09 
Ответить | Правка | Наверх | Cообщить модератору

17. Скрыто модератором  –3 +/
Сообщение от Аноним (17), 06-Май-26, 15:44 
Ответить | Правка | Наверх | Cообщить модератору

23. Скрыто модератором  +1 +/
Сообщение от Аноним (23), 06-Май-26, 16:12 
Ответить | Правка | Наверх | Cообщить модератору

28. Скрыто модератором  –1 +/
Сообщение от Аноним (17), 06-Май-26, 16:19 
Ответить | Правка | Наверх | Cообщить модератору

45. Скрыто модератором  +2 +/
Сообщение от Аноним (23), 06-Май-26, 19:44 
Ответить | Правка | Наверх | Cообщить модератору

5. "Атакующие получили 27 сертификатов, скомпрометировав ПК сотр..."  +1 +/
Сообщение от ryoken (ok), 06-Май-26, 15:09 
>>была скомпрометирована ещё одна рабочая станция аналитика, которая была установлена три года назад и не содержала ПО CrowdStrike, применяемое в Digicert для выявления и блокирования атак.

На кол аналитика и саппорт.

Ответить | Правка | Наверх | Cообщить модератору

11. "Атакующие получили 27 сертификатов, скомпрометировав ПК сотр..."  +1 +/
Сообщение от Аноним (11), 06-Май-26, 15:26 
Как он вообще подключился к рабочей сети без должной конфигурации и ПО?
Ответить | Правка | Наверх | Cообщить модератору

12. "Атакующие получили 27 сертификатов, скомпрометировав ПК сотр..."  +1 +/
Сообщение от пох. (?), 06-Май-26, 15:28 
проблема не в ан@л-итике и саппорте, им и положено быть л-ми, а в том что у этих персонажей ТОЧНО не должно быть доступа к сертификатам клиентов да еще и неконтролируемого - т.е. без загорания красной лампочки при первой же попытке что-то оттуда вытащить даже если для помощи клиенту на самом деле понадобилось.

Т.е. аудит (который по утверждениям мразиловцев абсолютно обязателен для попадания в списки) был либо для галочки, либо вообще проверял вещи не имеющие ни малейшего отношения к безопасности сертификатов.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

25. "Атакующие получили 27 сертификатов, скомпрометировав ПК сотр..."  +2 +/
Сообщение от Аноним (23), 06-Май-26, 16:14 
Как всегда нужно менять процессы, а не искать виноватого.
Ответить | Правка | Наверх | Cообщить модератору

30. "Атакующие получили 27 сертификатов, скомпрометировав ПК сотр..."  +/
Сообщение от пох. (?), 06-Май-26, 16:57 
виноватый очевидно есть - тот кто вот такие процессы и придумал и не запретил немедленно если унаследовал.
Но его не найдут потому что и не будут искать.

Ответить | Правка | Наверх | Cообщить модератору

60. "-"  +/
Сообщение от Аноним (60), 07-Май-26, 07:41 
Кому нужно? Виноватых нет.
Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

10. "Атакующие получили 27 сертификатов, скомпрометировав ПК сотр..."  +7 +/
Сообщение от Аноним (-), 06-Май-26, 15:26 
> отправив в чат службы поддержки сообщения о проблеме c приложением
> ZIP-архива со скриншотами. Внутри архива был размещён исполняемый
> файл в формате scr, содержащий вредоносный код

И поимели виндузеров для дальнейшего поимения виндузеров. При том хтонически древним вариантом скама, известным чуть ли не с момента Win95.

И вот это вот - называется certificate authority которая что-то там якобы удостоверяет. В основном удостоверили - свою махровую некомпетентность и уровень безопасности. За такие вещи этих мышевозил надо вынести из дефолтных сертов браузера.

Ответить | Правка | Наверх | Cообщить модератору

15. "Атакующие получили 27 сертификатов, скомпрометировав ПК сотр..."  +/
Сообщение от ryoken (ok), 06-Май-26, 15:35 
> И вот это вот - называется certificate authority которая что-то там якобы
> удостоверяет. В основном удостоверили - свою махровую некомпетентность и уровень безопасности.
> За такие вещи этих мышевозил надо вынести из дефолтных сертов браузера.

Мнээ... Не помню какой именно центр сертификации был, давно читал. Так его и вовсе бомбанули атаками на UDP-порт, который по идее вовсе ничем никак и должен был быть не то что закрыт по определению, а просто не работать. ЦС был на вантузе, да :).

Ответить | Правка | Наверх | Cообщить модератору

42. "Атакующие получили 27 сертификатов, скомпрометировав ПК сотр..."  +/
Сообщение от Аноним (42), 06-Май-26, 18:58 
На самом деле это выдумка, такого не было.
Ответить | Правка | Наверх | Cообщить модератору

27. "Атакующие получили 27 сертификатов, скомпрометировав ПК сотр..."  +1 +/
Сообщение от Rev (ok), 06-Май-26, 16:19 
> При том хтонически древним вариантом скама, известным чуть ли не с момента Win95.

Так сейчас у них в саппорте сидят зумеры, которые только тикток листать умеют, а что такое .scr и вовсе не знают.

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

13. "Атакующие получили 27 сертификатов, скомпрометировав ПК сотр..."  +1 +/
Сообщение от Аноним (-), 06-Май-26, 15:29 
> Данные коды были использованы для получения сертификатов от имени клиентов.
> Часть сертификатов атакующие успели применить для заверения цифровой подписью вредоносного ПО семейства "Zhong Stealer".

Когда-то за подписи зловредов внёс в черный список:
  JMicron
  Realtek
  Asus
Но тогда все молчали. Никто не сознавался, что их поламали и ключи вынесли...

Ответить | Правка | Наверх | Cообщить модератору

16. "Атакующие получили 27 сертификатов, скомпрометировав ПК сотр..."  +3 +/
Сообщение от Аноним (17), 06-Май-26, 15:40 
https://opennet.ru/41694-ssl
Ответить | Правка | Наверх | Cообщить модератору

62. "Атакующие получили 27 сертификатов, скомпрометировав ПК сотр..."  +/
Сообщение от Аноним (62), 07-Май-26, 08:45 
В случае Lenovo явно их вина.

В случае JMicron, Realtek есть вопросы.

"The malware has both user mode and kernel mode rootkit ability under Windows,[75] and its device drivers have been digitally signed with the private keys of two public key certificates that were stolen from separate well-known companies, JMicron and Realtek, both located at Hsinchu Science Park in Taiwan.[47][73] The driver signing helped it install kernel mode rootkit drivers successfully without users being notified, and thus it remained undetected for a relatively long period of time.[79] Both compromised certificates have been revoked by Verisign."
https://en.wikipedia.org/wiki/Stuxnet

1. При заверении сеота УД передается только публичный ключ? Verisign точно не генерала им ключи?

2. Тайвань могли использовать как прокси, чтобы не подставлять свои компании. Надавили на политиков и те отжали ключи в JMicron, Realtek.

Ответить | Правка | Наверх | Cообщить модератору

63. "Атакующие получили 27 сертификатов, скомпрометировав ПК сотр..."  +/
Сообщение от Аноним (63), 07-Май-26, 08:59 
Можете добавить в ваш список Atheros и Take-Two. Их сертификаты гуляют по интернетам и никто не мешает ими подписать что угодно (хоть они и просрочены, но с самопальным сервером таймштампов их можно "оживить" задним числом).
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

20. "Атакующие получили 27 сертификатов, скомпрометировав ПК сотр..."  +4 +/
Сообщение от Аноним (23), 06-Май-26, 16:08 
Ой как случайно. Торговали сертами направо и налево, а когда взяли за одно место, это всё злоумышленники, это не мы. Цирк.
Ответить | Правка | Наверх | Cообщить модератору

24. "Атакующие получили 27 сертификатов, скомпрометировав ПК сотр..."  +/
Сообщение от Аноним (24), 06-Май-26, 16:13 
> подтверждённых, но ещё не выданных клиентам.

тов. майору сделаем заранее, чтобы было оперативно все :))) Раскрывать этих клиентов конечно же не будем, ну и "хакеры" думаю это не раскроют, ибо это их коллЭги :)))

Ответить | Правка | Наверх | Cообщить модератору

29. "Атакующие получили 27 сертификатов, скомпрометировав ПК сотр..."  +/
Сообщение от Аноним (29), 06-Май-26, 16:51 
>отправив в чат службы поддержки сообщения о проблеме c приложением ZIP-архива со скриншотами

Пока у вас есть "чат техподдержки", куда любой может отправить непонятные архивы, такое будет продолжаться. Проблема буквально в том, что манагеры и маркетологи настаивают на существовании всего такого, хотя для всеобщего блага надо требовать, чтобы все обращения были через тикетницу. Ну, как говорится, вольному воля.

Ответить | Правка | Наверх | Cообщить модератору

31. "Атакующие получили 27 сертификатов, скомпрометировав ПК сотр..."  +/
Сообщение от Аноним (31), 06-Май-26, 17:11 
> и не содержала ПО CrowdStrike

Это не те, кто хотел бы прорекламировать себя для восстановления прибылей и доверия со стороны мистера капрала после мирового миккимауснетинга?

Ответить | Правка | Наверх | Cообщить модератору

32. "Атакующие получили 27 сертификатов, скомпрометировав ПК сотр..."  +/
Сообщение от Аноним (32), 06-Май-26, 17:41 
>ещё одна рабочая станция аналитика, которая была установлена три года назад и не содержала ПО CrowdStrike, применяемое в Digicert для выявления и блокирования атак

"мы небольшая организация, ни кому не интересны" либо чел которому ничего не доверяли за 3 года получил повышение и доступы)))

Ответить | Правка | Наверх | Cообщить модератору

33. "Атакующие получили 27 сертификатов, скомпрометировав ПК сотр..."  +/
Сообщение от Аноним (33), 06-Май-26, 17:48 
А сертификаты Асуса уже отозвали? А то чёт малварь ими подписана была и все сделали вид, что всё нормально. Ещё у Леновы похожее было, но там вообще митм.
Ответить | Правка | Наверх | Cообщить модератору

38. "Атакующие получили 27 сертификатов, скомпрометировав ПК сотр..."  +1 +/
Сообщение от Аноним (37), 06-Май-26, 18:30 
заносить все серты этого ЦА в стоплист, естественно, не будут.
Ответить | Правка | Наверх | Cообщить модератору

40. "Атакующие получили 27 сертификатов, скомпрометировав ПК сотр..."  +1 +/
Сообщение от Аноним (40), 06-Май-26, 18:46 
Почему бы не отказаться от повсеместного HTTPS и оставить его там где он действительно нужен чтобы пользователь самостоятельно добавлял нужные сертификаты? Заходишь на сайт банка а браузир спрашивает добавлять ли такой-то сертификат от того-то и того в хранилище сертификатов.
Ответить | Правка | Наверх | Cообщить модератору

41. "Атакующие получили 27 сертификатов, скомпрометировав ПК сотр..."  –2 +/
Сообщение от Аноним (41), 06-Май-26, 18:47 
А я такой (на крыше в твой провод врезался) МУАХАХАХА, доверяй мне.

Привет товарищ Майор ;)

Ответить | Правка | Наверх | Cообщить модератору

50. "Атакующие получили 27 сертификатов, скомпрометировав ПК сотр..."  +/
Сообщение от Аноним (37), 06-Май-26, 20:27 
Клаудфляра передаёт тебе привет - попробуй обойти её врезку.
Ответить | Правка | Наверх | Cообщить модератору

52. "Атакующие получили 27 сертификатов, скомпрометировав ПК сотр..."  –2 +/
Сообщение от Аноним (17), 06-Май-26, 21:03 
Есть репутация, а сейчас ты вынужден платить деньги за то, что Cloudflare предлагал бесплатно т.к. может себе позволить из-за масштаба.
А у нас нет вообще таких "аналогов", услуги хуже ещё и за большие деньги.
Ответить | Правка | Наверх | Cообщить модератору

55. "Атакующие получили 27 сертификатов, скомпрометировав ПК сотр..."  +/
Сообщение от Анон1110м (?), 06-Май-26, 22:23 
HTTPS is not secure. The simple fact that Google claims HTTPS to be secure does not make it so. It does not make it so from a political point of view, since the "secureness" property of HTTPS only extends as far as Google's own political arm can reach… It also does not make it so from a technical point of view, despite the so-called "experts" having you believe it "just works". No, it doesn't, and for some very specific reasons.

…let us define what "security" means in this context. From a purely theoretical point of view, the TLS family of protocols have been designed to give their users three properties: confidentiality (communication over a given medium cannot be easily intercepted), integrity (data cannot be easily tampered with or otherwise corrupted) and authenticity (the source of given data is verifiable). The first property is enforced through encryption; the second is enforced through sealing (which for our purposes is equivalent to encryption); while the third is enforced through signing.

Distributed communication systems are fraught with many problems, two of them being: the meta-problem of authenticating the instruments of authentication (i.e. the keys, and more importantly, their owners) and the problem of invalidating said instruments (i.e. key revocation). The two problems are unresolvable. Let me explain what I mean by this: "unresolvable" means "not solvable using technical means", which means that so far science has given us no sound solution, and searching for one is not so different from looking for a solution to the P vs. NP problem or for a device that can reverse entropy.

Having said that, TLS, and thus HTTPS, proceeds to solve this unresolvable problem; and it does this using two of the worst possible approaches.

The first approach is to make the protocol's implementation a hack, with the purpose of (as much as possible) providing "universal support": support all the key exchanges algorithms, all the encryption algorithms, the newest, the latest, the greatest (if possible) algorithms. All this bloat and clutter is what has spawned what you may know as Heartbleed; or DROWN; or BEAST; or many, many other attacks on faulty implementations which are anything but maintainable.

The second approach is to base the protocol upon a centralized model of key generation, exchange and revocation, the Public Key Infrastructure model. The model is, granted, attractive to socialists, because it follows from the basic assumption that Alice and Bob are not able to own their keys, so someone needs to own them for them, to distribute them and revoke them in case of incidents6. This, like all socialist systems, has (among others) the problem that it creates single points of failure. This is how you got the DigiNotar compromise, the VeriSign compromise and others.

Thus we can claim that not only TLS, and thus HTTPS, is not secure; we can claim that it is antithetical to security. To be clear: I don't claim that they don't "just work". They do "just work", to the degree a shabby hut works: at the first earthquake or thunderstorm wind, it will fall; and when it does, it will fall hard, à la the "too big to fail" nonsense. And when it does, the first to suffer will not be the gang of idiot programmers, Google engineers or IETF bureaucrats; it will be the "users" of this fragile construction.

http://thetarpit.org/2017/https-war-declaration

Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

46. "Атакующие получили 27 сертификатов, скомпрометировав ПК сотр..."  +4 +/
Сообщение от Аноним (46), 06-Май-26, 19:44 
Private keys должны был в cold/offline storage, а подписанные ключи должны переноситься вручную.

Сто раз это обсасывали. Все серьёзные компании так уже больше 10 лет делают.

Ответить | Правка | Наверх | Cообщить модератору

56. "Атакующие получили 27 сертификатов, скомпрометировав ПК сотр..."  +/
Сообщение от Аноним (56), 06-Май-26, 22:29 
Digicert после этого провала похоже закончился
Ответить | Правка | Наверх | Cообщить модератору

57. "Атакующие получили 27 сертификатов, скомпрометировав ПК сотр..."  +1 +/
Сообщение от Виктор (??), 06-Май-26, 23:24 
Вроде зараза в scr это  что-то из 2012 но нет. Т.е. винда по прежнему открывает по двойному клику да уж. Я думал они отключилм с автораном сменных накопителей, но нет они с пуском 15 лет балуются. Идиоты
Ответить | Правка | Наверх | Cообщить модератору

59. "Атакующие получили 27 сертификатов, скомпрометировав ПК сотр..."  +/
Сообщение от Анонимный татарин (?), 07-Май-26, 00:18 
autorun.inf
Ответить | Правка | Наверх | Cообщить модератору

61. "-"  +/
Сообщение от Стабильность (?), 07-Май-26, 07:43 
autoexec.bat
Ответить | Правка | Наверх | Cообщить модератору

58. "Атакующие получили 27 сертификатов, скомпрометировав ПК сотр..."  +1 +/
Сообщение от FSA (ok), 07-Май-26, 00:02 
А это как-то связано с новостью и от 4 мая на Хабре, что антивирус Microsoft стал помечать сертификаты DigiCert как небезопасные?
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2026 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру