The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Обнаружен обманный SSL-сертификат для сервисов Google (дополнение: осуществлен взлом CA)

30.08.2011 16:32

В сети зафиксирован факт использования для организации атаки "man-in-the-middle" (MITM) обманного SSL-сертификата, действующего для доменов *.google.com. Обманный сертификат был выдан удостоверяющим центром DigiNotar, т.е. формально для пользователя сессия выглядела полностью валидной.

Используя данный сертификат была предпринята попытка перенаправления трафика иранских пользователей Google через промежуточный узел, выдающий пользователям обманный сертификат, после чего организующий перехват трафика с его прозрачной трансляцией на оригинальные серверы Google. Работа через поддельный сайт ничем не отличалась от прямого обращения к серверу Google, браузеры считали HTTPS-сессию валидной и не выдавали предупреждения (за исключением браузера Chrome, который позволил распознать неладное, так как в нем производятся дополнительные проверки сертификатов Google). Атака могла быть использована для контроля за перепиской, перехвата параметров аутентификации или для внедрения вредоносного ПО от чужого имени.

В настоящее время удостоверяющий центр DigiNotar уже отозвал проблемный сертификат и инициировал разбирательство, каким образом было произведено его создание. До окончания расследования, так как имеется вероятность того что было сгенерировано несколько обманных SSL-сертификатов, разработчики браузеров Chrome, Firefox, SeaMonkey и Internet Explorer приняли решение временно удалить корневой сертификат DigiNotar из поставки. Изменение будет применено в ближайшем обновлении (например, в Firefox 6.0.1). Проблема усугубляется еще и тем, что имея возможность перенаправить трафик пользователей через подставной хост, атакующие могут заблокировать выполнение проверочных CRL/OCSP запросов. В случае невозможности осуществить проверочный запрос браузеры не в состоянии определить отозван сертификат или нет и могут полагаться только на локальный черный список.

Организация EFF (Electronic Frontier Foundation), ранее проводившая несколько исследований состояния SSL-сертификатов в сети, считает, что опасность ситуации хуже, чем это может показаться на первый взгляд. В последние два года была зафиксирована дюжина случаев, когда мошенникам удавалось получить у центров сертификации сертификаты для чужих сайтов. В настоящее время насчитывается уже около 1500 центров сертификации, контролируемых примерно 650 разными организациями. Так как при каждом HTTPS/TLS-сеансе пользователь изначально доверяет всем имеющимся центрам сертификации, компрометация одного из них приведет к возможности сгенерировать валидный сертификат для любого сайта в сети, независимо от того каким центром сертификации выдан оригинальный SSL-сертификат.

По мнению EFF громкие уличения центров сертификации - это лишь вершина айсберга. Даже для такого известного домена как google.com обманный сертификат был выявлен только спустя почти два месяца с момента его выдачи (сертификат выдан 10 июля 2011 года). Вполне вероятно, обманные сертификаты для менее известных ресурсов могут годы существовать незамеченными. EFF также отмечает, что отозванный DigiNotar сертификат является первым, который был выявлен не в процессе внутреннего аудита, а был зафиксирован в "диком виде", т.е. в процессе использования злоумышленниками.

Дополнение: Появилась информация, что обманный сертификат был получен в результате взлома инфраструктуры удостоверяющего центра DigiNotar. Вторжение в инфраструктуру Certificate Authority (CA) было зафиксировано 19 июля, в результате чего атакующим удалось сгенерировать поддельные сертификаты для ряда доменов, включая google.com. Расследование инцидента еще не завершено и результаты внешнего аудита последствий взлома пока не приданы огласке. Компания DigiNotar заявила, что все сгенерированные в результате инцидента сертификаты были сразу отозваны из обращения, но случай с сертификатом Google указывает на то, что как минимум один обманный сертификат не был отозван.

  1. Главная ссылка к новости (http://googleonlinesecurity.bl...)
  2. OpenNews: Взлом аккаунта в удостоверяющем центре Comodo привёл к генерации 9 обманных SSL-сертификатов
  3. OpenNews: Злоумышленникам удалось получить поддельные SSL-сертификаты (дополнено)
  4. OpenNews: В OpenSSL и GnuPG обнаружены серьезные уязвимости
  5. OpenNews: Исследование состояния SSL-сертификатов в сети
  6. OpenNews: В протоколах SSL/TLS найдена критическая уязвимость
Лицензия: CC-BY
Тип: Интересно / Проблемы безопасности
Короткая ссылка: https://opennet.ru/31635-ssl
Ключевые слова: ssl, crypt, google, cert
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (91) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.5, Аноним (-), 18:05, 30/08/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > В случае невозможности осуществить проверочный запрос браузеры не в состоянии определить отозван сертификат или нет и могут полагаться только на локальный черный список.

    Мало того что в самой идеи SSL (куча непонятных левых центров сертификации непонятно как и кем контролируемых) содержится проблема, так ещё и в большинстве приложений поддержка SSL реализована не корректно. Полный провал...

     
     
  • 2.8, Аноним (-), 18:39, 30/08/2011 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Да ладно вам, SSL сертификаты оперируют доверием. А значит человеческий фактор никуда не девается. Зато репутация тех кто выдал сертификаты кому попало - упадет ниже плинтуса и никакого доверия им не будет. Собственно, из списка доверяемых центр вынесли, что логично вроде. Естественный отбор центров сертификации.
     
     
  • 3.59, ЬТЛ (?), 12:04, 31/08/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    не соглашусь, точнее соглашусь, но не во всем... их слишком много (центров сертификации), сегодня мі узнали что нельзя доверять конкретно этому центру, а они завтра делают ребрендинг и опять на рынке. при таком количестве мы этого не заметим :-(
     
     
  • 4.63, Аноним (-), 12:50, 31/08/2011 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Шиза косила наши ряды А уж сколько много человеков Вот Васе я доверяю, а Пе... большой текст свёрнут, показать
     
  • 2.84, Аноним (-), 00:08, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Вот-вот, нужно было сделать один центральный центр сертификации при цк кпсс, и чтобы сертификаты выдавал лично сам Сталин.
     
     
  • 3.96, www2 (??), 14:00, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И чтобы при взломе этого центра сертификации вообще весь SSL накрывался медным тазом и больше никто и никому не доверял.
     
     
  • 4.103, Аноним (-), 16:34, 11/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    А он и накрылся, если ты не понял. Коллапс деревьев доверия, предсказанный Брюсом - он уже начался.
     

  • 1.6, Аноним (-), 18:16, 30/08/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Непонятно вообще зачем поставляют эти гигантские списки корневых сертификатов центров сертификации. Допустим я хожу по SSL в офис, в гугл и в банк, спрашивается - зачем браузер доверяет остальным 1500 сертификатам которые я никогда не буду использовать? Похоже специально только что бы была возможность делать дырки M-in-M...

    Нужно по умолчанию делать список доверенных CA пустым и что бы пользователь сам решал кому он верит.

     
     
  • 2.9, Аноним (-), 18:40, 30/08/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Нужно по умолчанию делать список доверенных CA пустым и что бы пользователь
    > сам решал кому он верит.

    Select all -> delete, или как-то так? :)))

     
     
  • 3.46, Пронин (?), 04:36, 31/08/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >> Нужно по умолчанию делать список доверенных CA пустым и что бы пользователь сам решал кому он верит.
    >Select all -> delete, или как-то так? :)))

    Нет, не так.
    Add -> select trusted -> ok

     
     
  • 4.64, Аноним (-), 12:51, 31/08/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Нет, не так.
    > Add -> select trusted -> ok

    Имелось в виду как действовать в современных реалиях. Ну не нравится вам пачка сертификатов - выпните ее :)

     
  • 2.10, Frank (ok), 18:43, 30/08/2011 [^] [^^] [^^^] [ответить]  
  • +/
    И какой тогда вообще будет смысл в центрах сертификации? Стирайте их из вашего локального хранилища и сами решайте, доверять или нет каждому сертификату! Вперёд и с песней...
    Сплю и вижу, как вы будете проверять, например, каждый ssl сертификат в интегрированной рекламе на посещаемых вами страницах.
     
     
  • 3.12, Аноним (-), 18:52, 30/08/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > И какой тогда вообще будет смысл в центрах сертификации?

    Сайт который не может обеспечить проверку подписи по отдельному каналу будет использовать центр сертификации, а я буду решать верить этому центру или нет.

    > Стирайте их из вашего локального хранилища и сами решайте, доверять или нет каждому сертификату! Вперёд и с песней... Сплю и вижу, как вы будете проверять, например, каждый ssl сертификат в интегрированной рекламе на посещаемых вами страницах.

    Спите дальше, я не собираюсь получать рекламу по SSL следовательно и проверять её не буду. Это должно быть удобно. И все удалённые сертификаты после обновления не должны обратно добавляться.

     
  • 3.24, Аноним (-), 19:29, 30/08/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > И какой тогда вообще будет смысл в центрах сертификации? Стирайте их из
    > вашего локального хранилища и сами решайте, доверять или нет каждому сертификату!
    > Вперёд и с песней...
    > Сплю и вижу, как вы будете проверять, например, каждый ssl сертификат в
    > интегрированной рекламе на посещаемых вами страницах.

    Какой рекламе? Сразу адблок, хотя ещё лучше если он и не понадобится, потому что браузер эту рекламу показывать не будет.

     
  • 3.26, Аноним (-), 20:52, 30/08/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Сплю и вижу, как вы будете проверять, например, каждый ssl сертификат в
    > интегрированной рекламе на посещаемых вами страницах.

    Ого! Сертифицированная реклама?! А может просто настроить AdBlockPlus с правильной подпиской и забыть о ней? :)

     
  • 2.13, umbr (ok), 18:55, 30/08/2011 [^] [^^] [^^^] [ответить]  
  • +/
    95% процентов населения придерживаются иного мнения.
     
     
  • 3.15, Аноним (-), 19:02, 30/08/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > 95% процентов населения придерживаются иного мнения.

    Они и сейчас не защищены. Какая разница?

     
  • 3.17, Аноним (-), 19:07, 30/08/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > 95% процентов населения придерживаются иного мнения.

    Ну будет у них красненький значёк гореть в адресной строке на всех SSL сайтах. Какая разница? Не хотят проверять - не надо. Зачем заставлять и навязывать _свои_ сертификаты? Что бы была иллюзия защищённости?

     
  • 3.25, анонимус (??), 20:10, 30/08/2011 [^] [^^] [^^^] [ответить]  
  • +14 +/
    >95% процентов населения придерживаются иного мнения.

    у 95% процентов населения нет своего мнения.

     
  • 2.41, ffirefox (?), 02:36, 31/08/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Непонятно вообще зачем поставляют эти гигантские списки корневых сертификатов центров
    > сертификации.

    А почему не сделать как в PGP, центры сертификации должны подписывать сертификаты друг друга? Хотя бы минимальная защита от взлома одного из центров сертификации.

     
     
  • 3.44, Аноним (-), 03:37, 31/08/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >> Непонятно вообще зачем поставляют эти гигантские списки корневых сертификатов центров
    >> сертификации.
    > А почему не сделать как в PGP, центры сертификации должны подписывать сертификаты
    > друг друга? Хотя бы минимальная защита от взлома одного из центров
    > сертификации.

    Да, как вариант. Меньше трёх валидных подписей разных CA — считать сертификат сайта не доверенным.

     
  • 3.74, Crazy Alex (ok), 15:03, 31/08/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Конкуренты, подписывающие сертификаты друг друга? Как вы это себе представляете?
     
     
  • 4.76, anonymous (??), 15:07, 31/08/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Конкуренты, подписывающие сертификаты друг друга? Как вы это себе представляете?

    а зачем на этом вообще какой-то бизнес строили? ну, что строили, на то и напоролись. Невидимая Рука Рынка ведь.

     
  • 3.78, Andrey Mitrofanov (?), 15:24, 31/08/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Никакой минимальной защиты это не даёт Мозила и Гугль, и Опера, и Мысы, и ... большой текст свёрнут, показать
     
     
  • 4.87, upyx (ok), 08:35, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Рядом человек предложил другую идею подписывать сертификат не одним CA, а неско... большой текст свёрнут, показать
     
     
  • 5.104, Аноним (-), 16:37, 11/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Это бы работало при одном условии - если не принимается один подписавший CA - не... большой текст свёрнут, показать
     

  • 1.7, umbr (ok), 18:25, 30/08/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Забавно, что в норвежском браузере Opera нет корневого сертификата норвежского же удостоверяющего центра DigiNotar :)
     
  • 1.14, Аноним (-), 18:56, 30/08/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > за исключением браузера Chrome, который позволил распознать неладное, так как в нем производятся дополнительные проверки сертификатов Google

    Еще один повод "за".

     
     
  • 2.16, Аноним (-), 19:04, 30/08/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >> за исключением браузера Chrome, который позволил распознать неладное, так как в нем производятся дополнительные проверки сертификатов Google
    > Еще один повод "за".

    Сертификатов Google.

     
  • 2.19, umbr (ok), 19:12, 30/08/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Дополнительные проверки - прерогатива IE.
     
     
  • 3.22, Олег (??), 19:22, 30/08/2011 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Дополнительные проверки "достаточно ли исказил верстку или еще можно подломать"? :)
     
  • 3.27, Аноним (-), 20:55, 30/08/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Дополнительные проверки - прерогатива IE.

    Да, они очень забавно дополнительно НеПроверяли подписи активиксов в свое время. Выглядело архиэпично - хакер мог просто загрузить и запустить свою программу, вообще не заморачиваясь подписями :))). Впрочем, хакер - это больно громкое название при таком методе взлома.

     

  • 1.18, анонимус (??), 19:10, 30/08/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Похоже кто-то хочет жестко скопрометировать текущий вариант с SSL/PKI/X.509 и внедрить что-то свое ... не гугл ли это случайно ? И подозрения от себя отвели забавно - мол наш домен использовали и мы пострадальцы :)
     
     
  • 2.20, umbr (ok), 19:14, 30/08/2011 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Для внедрения чего-то своего Гуглу не нужны такие хитрые планы.
     
     
  • 3.33, ДФ (ok), 23:09, 30/08/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не скажите - в сертификатном бизнесе большие акулы плавают, и если у них БЕЗ ПРИЧИНЫ попробуют увести безнес - они будут явно сопротивляться, и у Гугла могут пропасть еще много сертификатов - чтоб не повадно было.
     

  • 1.21, тоже Аноним (ok), 19:16, 30/08/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Злоумышленники взломали надежную защиту, маскировались под Сам Великий Гугль, и только браузер Самого Великого Гугля смог их обнаружить. Да, все серьезно и международно, а еще в новости фигурирует Иран, правда, не весь, а только тот, который пользовался Самим Великим Гуглем и горя не знал.
    Как-то чересчур похоже на пиар-акцию, вопрос только, чью...
     
     
  • 2.31, ДФ (ok), 22:39, 30/08/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Англосаксы, однозначно. Сейчас они всем миром борются за срыв запуска АЭС в Бушере. Не забыли еще про супер-профессиоанльную хакерскую атаку на компы Бушера, на которую способны только сильные мира сего? Ни Китай же с Россией себе в ногу стреляли!
    Если АЭС запустят, у Ахмадинижада вырастет рейтинг среди населения. Поэтому западу надо выходить на контакт с оппозицией, зазывать в свои ряды новых иранских "Навальных", чтобы они навалились на президента Ирана в нужный момент. В открытую запад не может это делать, поэтому все средства хороши - нанимают контору, которой "нечаянно сливают" SSL сертификат, и она перехватывает тыщи иранских юзеров-лузеров, забрасывая их агитацией против кровавого режима, или еще как-нибудь тонко троллят.
     
     
  • 3.45, ABC (??), 03:55, 31/08/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Перехватывать трафик, чтобы "забрасывать агитацией"? Отличная трава!
     
     
  • 4.68, ДФ (ok), 13:11, 31/08/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Для того чтобы переманить иранца к себе, троллям надо знать его интересы, семейные дела, психологический портрет, контакты и тд, которые можно выловить из его почтового ящика. А троллить без разведки - это крайне неэффективно, а иногда даже контр-продуктивно.
     
     
  • 5.70, тоже Аноним (ok), 13:21, 31/08/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Подозреваю, среднестатистического иранца дешевле тупо подкупить, чем провести такое расследование и эффективно работать с его результатами.
     
     
  • 6.79, ДФ (ok), 15:29, 31/08/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Там нунжы идейные люди, которые будут творить революцию и верить в ее победу. Типа наших "правозащитников" и "навальных". За деньги талант не купишь - максимум массовку постоять с флажком, которая разбежится при первой возможности. Поэтому, кроме денег нужно что-то еще...
     
  • 3.98, Avator (ok), 05:21, 02/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Не проще у гугла спросить. Уверен что гугл с удовольствием такой информацией поделится с госдепом США и прочими ведомствами =))
     

  • 1.28, Аноним (-), 21:38, 30/08/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    Надо этот DigiNotar из всех CA bundles во всех дистрибутивах нафиг отозвать. И чтобы так было с каждым.
     
     
  • 2.40, bircoph (ok), 01:31, 31/08/2011 [^] [^^] [^^^] [ответить]  
  • +3 +/
    В связи с потерей доверия ©
     
     
  • 3.105, Аноним (-), 16:38, 11/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > В связи с потерей доверия ©

    В x509 эта процедура не предусмотрена. Курить надо матчасть, прежде, чем кидаться умными идеями.

     

  • 1.29, Аноним (-), 21:49, 30/08/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а что ктото на эти сертификаты внимание обращает разве ????
     
     
  • 2.30, taheer (?), 22:22, 30/08/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > а чо ктото на эти сертификаты внимание обращает разве ????

    Ну, если человек покупает авиабилеты, например, а ему в процессе оплаты выскакивает предупреждение о невозможности проверки сертификата... По моему, только весьма недалекий человек не почувствует неладное. Ну а потеря денег (особенно своих:)) весьма быстро приучает задумываться о таких вопросах.

     
     
  • 3.50, Аноним (-), 09:21, 31/08/2011 [^] [^^] [^^^] [ответить]  
  • +/
    и что ты будешь делать ? поедешь в аэропорт за билетами ???
     
     
  • 4.51, PereresusNeVlezaetBuggy (ok), 09:44, 31/08/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Пойдёт к другом агентству по продаже билетов, вот и всё.
     
     
  • 5.61, bircoph (ok), 12:42, 31/08/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Ну не совсем, на тот же скай или S7 купить в инете можно только в одном месте, если без переплаты посредникам.
     
  • 4.97, Аноним (-), 00:19, 02/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > и что ты будешь делать ? поедешь в аэропорт за билетами ???

    Не, ну можно и второй раз бабки прое... :).

    "Только бледнолицый брат может встать 2 раза на одни и те же грабли".

     
  • 4.99, Avator (ok), 05:25, 02/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Можно просто в авиакомпанию или в банк, чей сертификат не валиден позвонить. Уверен что служба безопасности быстро с вопросом разберется.
    А я лично, если например у сайта банка будет не валидный сертификат, не буду логинится в "банк-клиент" или покупать биллеты. А если выясниться, что сертификат невалиден по недосмотру сотрудников банка/авиакомпании серьезно задумаюсь о том чтобы поменять банк/перестать пользоваться услугами этой авиакомпании.
     
     
  • 5.100, PereresusNeVlezaetBuggy (ok), 10:10, 02/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Эх, если б всё было так просто А вот когда с банком фирма уже давно работает, и... большой текст свёрнут, показать
     
     
  • 6.101, Avator (ok), 03:18, 03/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Да уж... сочувствую. Но тем не менее тревогу можно забить.
    И кроме того, хотя бы то что, как частное лицо я могу выбирать уже хорошо.
    PS Слава богу еще ни разу не видел что у банка был просроченный сертификат или подписанный неизвестно кем.


     

  • 1.35, Аноним (-), 23:47, 30/08/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Потому что надо чтобы сертификат был подписан несколькими CA.
     
     
  • 2.38, AdVv (ok), 01:08, 31/08/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Потому что надо чтобы сертификат был подписан несколькими CA.

    Разве такая возможность заложена в стандарт ? Пруф можно ?

     
     
  • 3.43, Аноним (-), 03:29, 31/08/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Разве такая возможность заложена в стандарт ? Пруф можно ?

    Какой пруф? Это предложение.

     
     
  • 4.54, Аноним (-), 10:31, 31/08/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Стандарт бы почитали, прежде, чем трындеть. Есть такое понятие как RA.

    PS. Матчасть читать до просветления перед озарениями.

     

  • 1.48, Аноним (-), 06:15, 31/08/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    была предпринята попытка перенаправления трафика иранских пользователей - ЦРУ не спит.
     
     
  • 2.49, Pahanivo (ok), 06:53, 31/08/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > была предпринята попытка перенаправления трафика иранских пользователей - ЦРУ не спит.

    ну хоть один заметил собственно цель атаки ))
    все срутся по поводу дырок SSL - но тут ведь надо еще где-то в середине поставить оборудование на сотни килобаксов чтобы осуществить "перенаправления трафика иранских пользователей "

     
     
  • 3.53, AdVv (ok), 10:21, 31/08/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >> была предпринята попытка перенаправления трафика иранских пользователей - ЦРУ не спит.
    > ну хоть один заметил собственно цель атаки ))
    > все срутся по поводу дырок SSL - но тут ведь надо еще
    > где-то в середине поставить оборудование на сотни килобаксов чтобы осуществить "перенаправления
    > трафика иранских пользователей "

    Это верно. Но и взлом инфраструктуры доверенного центра тоже задачка не для кул хацкера. Если припомнить червя с двумя 0-day уязвимостями, который дестабилизировал установки по обогащению урана... Как и было обещано война переместилась в сеть.

     
     
  • 4.71, Pahanivo (ok), 14:03, 31/08/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Это верно. Но и взлом инфраструктуры доверенного центра тоже задачка не для
    > кул хацкера. Если припомнить червя с двумя 0-day уязвимостями, который дестабилизировал
    > установки по обогащению урана... Как и было обещано война переместилась в
    > сеть.

    по сравнению с затратами на оборудование для прослушки трафика в масштабах страны (причем  шифрованного) - хак удостоверяющего центра представляется чем-то чуть сложнее чем забрать конфету у ребенка, там более терморектальный криптоанализ еще никто не отменил )))

     
  • 4.81, ДФ (ok), 18:13, 31/08/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Как и было обещано война переместилась в сеть.

    А кто обещал? Намек от наших был http://www.youtube.com/watch?v=oIhcdi3leqE чтоб морально готовились , но пока ответственные политики молчат.

     
     
  • 5.83, AkexYeCu (?), 00:03, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Рисовка красивая и интересная, а закадровый текст вызывает зевоту. Стать откровением или источником страхов такой ролик может лишь для очень недалёкого субъекта, не прочитавшего в жизни и пары строчек.
     
  • 2.62, umbr (ok), 12:47, 31/08/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Вы имеете ввиду иранское ЦРУ?
    :)
     
  • 2.82, Nxx (ok), 18:22, 31/08/2011 [^] [^^] [^^^] [ответить]  
  • +/
    ЦРУ и так может все узнать через официальный запрос к гуглю. Думаю, атака от израильских хакеров.
     

  • 1.55, Аноним (-), 10:47, 31/08/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    второй взлом за год ? оригинальненько..
    Сначала Commodo, теперь DigiNotar
     
     
  • 2.66, Аноним (-), 12:54, 31/08/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > второй взлом за год ? оригинальненько..
    > Сначала Commodo, теперь DigiNotar

    Естественный отбор. Лузеры не способные защищаться должны вымереть.

     
  • 2.106, Аноним (-), 16:40, 11/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > второй взлом за год ? оригинальненько..
    > Сначала Commodo, теперь DigiNotar

    Писал бы без ошибок. COMODO, собственно. И они, вообще, славятся своими разработками в области безопасности, в отличие от тебя, тащемта.

     

  • 1.57, Аноним (57), 11:29, 31/08/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    http://convergence.io
    присоединяйтесь к нам товарищи, нужны тестеры.
    пока пилим поддержку клиентом ff6+, сервера стабильно работают. )
     
     
  • 2.73, anonymous (??), 14:30, 31/08/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > http://convergence.io
    > присоединяйтесь к нам товарищи, нужны тестеры.
    > пока пилим поддержку клиентом ff6+, сервера стабильно работают. )

    по «details» рекламное тра-та-та. нормального технического описания «влёт» не увидел. вёрстка вырвиглазная. не пойду туда больше, очередной пиар-пузырь.

     
     
  • 3.75, Crazy Alex (ok), 15:07, 31/08/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Непонятно, но выглядит интересно. Древовидная система CA - зло.
     
     
  • 4.77, anonymous (??), 15:09, 31/08/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Непонятно, но выглядит интересно. Древовидная система CA - зло.

    я лично так и не понял, что оно такое. маркетинг буллшит я на автомате пропускаю, а технических описаний не нашёл.

    что, конечно, не отменяет идиотичности современной системы.

     
     
  • 5.90, Аноним (57), 10:39, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >> Непонятно, но выглядит интересно. Древовидная система CA - зло.
    > я лично так и не понял, что оно такое. маркетинг буллшит я
    > на автомате пропускаю, а технических описаний не нашёл.
    > что, конечно, не отменяет идиотичности современной системы.

    Про техническую имплементацию можно послушать либо на ютубе - http://www.youtube.com/watch?v=Z7Wl2FW2TcA
    либо почитать в исходниках на гитхабе.

     
     
  • 6.93, anonymous (??), 10:46, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Про техническую имплементацию можно послушать либо на ютубе - http://www.youtube.com/watch?v=Z7Wl2FW2TcA

    что-то меня не тянет слушать. я хочу техническую документацию, с пояснениями идей и реализации, чтобы вдумчиво помедитировать.

    > либо почитать в исходниках на гитхабе.

    то есть, нормальной документации нет. благодарю, всё ясно: лихим кавалерийским наскоком, с развевающимися пионерскими галстуками. not interested, несерьёзно это всё. детский сад, штаны на лямках.

     
     
  • 7.107, Аноним (-), 16:41, 11/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >> Про техническую имплементацию можно послушать либо на ютубе - http://www.youtube.com/watch?v=Z7Wl2FW2TcA
    > что-то меня не тянет слушать. я хочу техническую документацию, с пояснениями идей
    > и реализации, чтобы вдумчиво помедитировать.
    >> либо почитать в исходниках на гитхабе.
    > то есть, нормальной документации нет. благодарю, всё ясно: лихим кавалерийским наскоком,
    > с развевающимися пионерскими галстуками. not interested, несерьёзно это всё. детский сад,
    > штаны на лямках.

    Гугли "архитектура PKI", "X500", "X509" до просветления.

     
  • 3.89, Аноним (57), 10:37, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >> http://convergence.io
    >> присоединяйтесь к нам товарищи, нужны тестеры.
    >> пока пилим поддержку клиентом ff6+, сервера стабильно работают. )
    > по «details» рекламное тра-та-та. нормального технического описания «влёт»
    > не увидел. вёрстка вырвиглазная. не пойду туда больше, очередной пиар-пузырь.

    очень хотелось ответить "kthxbye", но http://www.youtube.com/watch?v=Z7Wl2FW2TcA Мокси веселый мужик - послушайте его ) для любителей чтива - http://blog.thoughtcrime.org/ssl-and-the-future-of-authenticity
    проект еще даже не в бете, что бы не писали на конвергенс ио, так что вот.

     
     
  • 4.94, anonymous (??), 10:50, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > очень хотелось ответить «kthxbye», но http://www.youtube.com/watch?v=Z7Wl2FW2TcA Мокси
    > веселый мужик — послушайте его )

    я не аудиал.

    > для любителей чтива — http://blog.thoughtcrime.org/ssl-and-the-future-of-authenticity

    чтиво унылое, из разряда «Капитан Очевидность спешит на помощь».

    > проект еще даже не в бете, что бы не писали на конвергенс
    > ио, так что вот.

    тем более надо сделать нормальную техдокументацию. пока, как я писал выше, оно всё выглядит совершенно пионерским «а мы сделаем своё! не знаем точно, что, но крутое!»

    впрочем, я подозреваю, что участники проекта сочтут желание видеть вменяемые техдоки за «троллинг» или «обгаживание».

     

  • 1.60, ызусефещк (?), 12:35, 31/08/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Что-то спецслужбы недооценили гугловые проверки в хроме. Обычно всё у них нормально проходит. Вот статья на эту тему - "Сертифицированная ложь" :
    http://www.pgpru.com/biblioteka/statji/certifiedlies
     
  • 1.65, MrClon (?), 12:52, 31/08/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Проблемы, на сколько я понимаю, не столько в архитектуре SSL, сколько в реализации (до чёрта центров сертификации).
     
     
  • 2.80, Pahanivo (ok), 16:15, 31/08/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Проблемы, на сколько я понимаю, не столько в архитектуре SSL, сколько в
    > реализации (до чёрта центров сертификации).

    человеческий фактор будет всегда

     
  • 2.108, Аноним (-), 16:42, 11/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Проблемы, на сколько я понимаю, не столько в архитектуре SSL, сколько в
    > реализации (до чёрта центров сертификации).

    Проблема именно в архитектуре SSL. Погугли "OCSP".

     

  • 1.67, centosuser (ok), 13:03, 31/08/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    я просто больше не доверяю этому центру сертификации. Поставил галочку - не доверять.
     
  • 1.69, Wormik (ok), 13:12, 31/08/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Количество пользователей браузера Chrome резко возрасло
     
  • 1.72, anonymous (??), 14:17, 31/08/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    (задумчиво) а я давно говорю, что это ваше SSL — распиареный мыльный пузырь. идея хорошая, реализация — как всегда.

    для дотошных: да, я могу предложить другие методы. только нафига? внедрять их всё равно никто не будет.

     
     
  • 2.91, Аноним (57), 10:42, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > (задумчиво) а я давно говорю, что это ваше SSL — распиареный мыльный
    > пузырь. идея хорошая, реализация — как всегда.
    > для дотошных: да, я могу предложить другие методы. только нафига? внедрять их
    > всё равно никто не будет.

    Идея как раз порочна

     
     
  • 3.92, anonymous (??), 10:43, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Идея как раз порочна

    идея иметь шифрованые соединения — хороша. а вот всё остальное…

     

  • 1.85, dmi3s (ok), 03:57, 01/09/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    DigiNotar соизволила рассказать про некоторые другие сайты, вошедшие в те "несколько дюжин", для которых были выданы левые сертификаты.

    Под раздачу попали (по крайней мере) addons.mozilla.org, Yahoo.com, Tor Project, WordPress и иранский Baladin. Сертификаты были выданы 10 июля, отозваны 29 августа, сколько их реально использовали - неизвестно. Как неизвестно, и какие еще сайты затронуты (пока лишь есть информация, что в вышедшем во вторник Chromium прошитый список заблокированных сертификатов увеличился на 247 позиций).

    Отсюда: http://bugtraq.ru/rsn/archive/2011/09/01.html

     
  • 1.88, Аноним (-), 08:44, 01/09/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    У нас все центры проходт через ФэЭсБэ - соот эти ребята тоже могут наступить на айца местный СА довольно просто. Так что у нас подобная ситуация чуть больше чем возможна.
     
     
  • 2.95, ызусефещк (?), 13:48, 01/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Эта ситуация возможна в любой стране. Более того - давно уже происходит. Каждое государство может выпустить в своих центрах сертификаты для зарубежных организаций и пользователи ничего не заметят, потому как СА легальны. Я выше давал ссылку на статью http://www.pgpru.com/biblioteka/statji/certifiedlies .
     

  • 1.102, Акроним (?), 12:50, 03/09/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Про этот удостоверяющий центр уже писали, что это типо очередная подставная фирмочка ЦРУ, каким счёту нет, проводила сбор информации в Иране в целях подготовки ведения военных действий там. Дело в том, что по законам любого штата США, общей сложившейся обстановке и судебной практике на ЦРУ наехать невозможно, поэтому они и творят, что хотят, всё шито-крыто.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру