информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Spanning Tree Protocol: недокументированное применениеСтрашный баг в WindowsВсе любят мед
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Microsoft обещает радикально усилить... 
 Ядро Linux избавляется от российских... 
 20 лет Ubuntu 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / site updates
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Турецкий CA случайно выдал сертификат для google.com 08.01.13 23:00  
Publisher: dl <Dmitry Leonov>
<"чистая" ссылка>
Турецкий CA случайно выдал сертификат для google.com
InfoWorld http://podcasts.infoworld.com/d/security/rogue-google-ssl-certificate-not-used-dishonest-purposes-turktrust-says-210146

Точнее, вместо обычного SSL-сертификата Turktrust полтора года назад выдал своим клиентам два так называемых subordinate CA-сертификата, которые позволяли своим владельцам в свою очередь раздавать сертификаты для любых доменов, которые принимались всеми, кто доверял "родительскому" сертификату. Что открывает очевидные возможности для атаки класса man-in-the-middle. Обнаружили это в Гугле, когда один из клиентов таки выдал сертификат для google.com.
По этому поводу Гугль, Mozilla и Microsoft уже обновили свои браузеры на предмет блокировки тех двух злополучных сертификатов, а Turktrust заверил, что сгенерированный сертификат для google.com не использовался для зловредных целей, мамой клянемся.


Полный текст
А ведь как красиво всё было задумано в теории ;) 11.01.13 09:08  
Автор: HandleX <Александр М.> Статус: The Elderman
<"чистая" ссылка>
Централизованные CA в качестве своей сильной фишки приводят в пример возможность отзыва по каким-либо причинам своих сертификатов, а тут инициатива идёт "снизу" — производители клиентского ПО лепят какие-то фильтры неугодных им сертификатов...

Забавно, куда катится этот мир? Всё идёт к децентрализации CA, чтобы тот, кого удостоверяет сертификат, сам же им и управлял, и только он.
К децентрализации идет ВСЕ 17.01.13 15:41  
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка>
Поскольку централизованными системами таких масштабов управлять не возможно. Вот, TCP-IP изначально концептуально децентрализован, теми силен. Пиринг децентрализован, потому и непобедим.
«Пиринг децентрализован... поэтому непобедим...» — очень хорошо. 17.01.13 23:42  
Автор: HandleX <Александр М.> Статус: The Elderman
Отредактировано 18.01.13 20:19  Количество правок: 3
<"чистая" ссылка>
Тот же namecoin, например, умеет децентрализованно хранить имена доменов и сертификаты... А bitcoin доказывает каждой своей транзакцией, что эту идею можно применять даже для такой серьёзной штуки, как платёжное средство.

Жаль только, namecoin неразвит. В отличие от биткоина, который прямо-таки порвал шаблон -)

шок сенсация panic buy ;)
"Шаблон", как раз-таки - децентрализация. 19.01.13 06:05  
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка>
TCP-IP и роутинг полностью децентрализованы, каждый роутер принимает решение о передаче пакета автономно. Потомувсе и работает в сетях любого масштаба и влюбом мало-мальски работоспособном состоянии. А централизованный ДНС, какизвестно, самое уязвимое звено.

Просто, у человека психоз централизации вопреки всякой логике. У меня давно сложилось такое впечатление, что большинство из нас подсознательно не считает себя разумными и способными принимать сознательные решения.
Я иногда тебя не понимаю. 20.01.13 01:52  
Автор: Den <Денис Т.> Статус: The Elderman
Отредактировано 20.01.13 01:52  Количество правок: 1
<"чистая" ссылка>
> TCP-IP и роутинг полностью децентрализованы, каждый роутер
> принимает решение о передаче пакета автономно. Потомувсе и
> работает в сетях любого масштаба и влюбом мало-мальски
> работоспособном состоянии. А централизованный ДНС,
> какизвестно, самое уязвимое звено.

Я иногда тебя не понимаю. Во-первых - где ты видел централизованный DNS? Такое существовало только в "младенчестве" проекта "DARPA". Сейчас DNS'ы не только децентрализованы, но и практически каждая организация, имеющая серьезную теле-инфокоммуникационную сеть, имеет свой DNS и не один.

> Просто, у человека психоз централизации вопреки всякой
> логике. У меня давно сложилось такое впечатление, что
> большинство из нас подсознательно не считает себя разумными
> и способными принимать сознательные решения.

Касательно CA это совсем не психоз, а вполне разумное решение. Всё просто... Скольким людям ты можешь доверять? Только себе и своим родителям, не так ли? Если тебе предоставляют документ или удостоверение гос.образца без признаков подделки, сколько у тебя оснований не верить предъявителю? Лично я считаю, что чем меньше удостоверяющих центров и чем они надежнее, тем лучше.
«Чем они надежнее, тем лучше» — кто будет мерять их надёжность и "более лучшесть"? ;) 20.01.13 11:53  
Автор: HandleX <Александр М.> Статус: The Elderman
Отредактировано 20.01.13 12:01  Количество правок: 1
<"чистая" ссылка>
Турки облажались... И наверное не потому, что турки или что рожей не вышли. Голландцы до этого тоже чудили, видимо трава там забористая. Причин компроментации может быть множество. Но! Складывается парадоксальная ситуация: приходится доверять CA как чёрным ящикам, только на основе статистики их предыдущей работы (т.н. "репутации"). А мы кликаем мышой по "доверенным" сайтам здесь и сейчас, абсолютно не зная текущую ситуацию в CA: болит ли голова у топа и он принял интересное решение, их недавно купили с потрохами безбашенные типы, и там сейчас везде ходят подозрительные рожи и т.п.

> Если тебе предоставляют документ или удостоверение гос.образца без признаков подделки, сколько у тебя оснований не верить предъявителю?
В нашем смишном мире что только не бывает — да блин на типографии гоззнака рабочий решил левака загнать ;) Вот реально, я ничему не удивляюсь, ничего святого. Деньги, деньги, деньги.

> Лично я считаю, что чем меньше удостоверяющих центров и чем они надежнее, тем лучше.
Нет абсолюта и не от чего отталкиваться... Кто будет мерять "надёжность" и более лучшесть? По каким критериям производители клиентского ПО (браузеров как яркий пример) включают поддержку того или иного CA: зачесалась левая пятка или занесли мешок бабла? До сих пор считаешь, что "им лучше знать"? Распределёнка снимала бы эти вопросы, устанавливала всем равные права и была бы абсолютно прозрачной. Ну и всё-таки, быть CA — это тяжкая ответственность, врагу не пожелаешь. И было бы прекрасней размазать эту ответственность тонким слоем по всем, кто заинтересован в работе такого CA, но самую жирную часть — на удостоверяемого!
"Прозрачна" только пустота. 22.01.13 04:11  
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка>
> Распределёнка снимала бы эти вопросы,
> устанавливала всем равные права и была бы абсолютно
> прозрачной. Ну и всё-таки, быть CA — это тяжкая
> ответственность, врагу не пожелаешь. И было бы прекрасней
> размазать эту ответственность тонким слоем по всем, кто
> заинтересован в работе такого CA, но самую жирную часть —
> на удостоверяемого!
Ниче не выйдет при таких объемах информации. Реально проанализировать все "за" и "против" не возможно. Нужно переходить к иной модели самогО поведения в сети: "Все ненадежно и равноопасно". Как известно, TCP-IP создавался именно на этом принципе как связь в условиях войны. Тем и жив.
Именн поэтому, ИМХО, выдавать сертификаты для доменов в... 21.01.13 03:37  
Автор: Den <Денис Т.> Статус: The Elderman
Отредактировано 21.01.13 09:39  Количество правок: 1
<"чистая" ссылка>
> Турки облажались... И наверное не потому, что турки или что
> рожей не вышли. Голландцы до этого тоже чудили, видимо
> трава там забористая. Причин компроментации может быть
> множество. Но! Складывается парадоксальная ситуация:
> приходится доверять CA как чёрным ящикам, только на основе
> статистики их предыдущей работы (т.н. "репутации"). А мы
> кликаем мышой по "доверенным" сайтам здесь и сейчас,
> абсолютно не зная текущую ситуацию в CA: болит ли голова у
> топа и он принял интересное решение, их недавно купили с
> потрохами безбашенные типы, и там сейчас везде ходят
> подозрительные рожи и т.п.

Именн поэтому, ИМХО, выдавать сертификаты для доменов в зонах COM, ORG, NET, EDU, MIL и т.д. должен надзирающий за всем инетом орган (пусть даже это будет IANA), а для зон разных стран - государственный орган. А не шараги, которые ни за что не отвечают, да еще и бабло за это стригут десятками тыщ североамериканских рублей.

> В нашем смишном мире что только не бывает — да блин на
> типографии гоззнака рабочий решил левака загнать ;) Вот
> реально, я ничему не удивляюсь, ничего святого. Деньги,
> деньги, деньги.

Если бы ты знал порядки на госзнаке, ты бы не сомневался. Это может сделать кто угодно и где угодно в цепочке оформления документов, но только не на госзнаке.

> Нет абсолюта и не от чего отталкиваться... Кто будет мерять
> "надёжность" и более лучшесть? По каким критериям
> производители клиентского ПО (браузеров как яркий пример)
> включают поддержку того или иного CA: зачесалась левая
> пятка или занесли мешок бабла? До сих пор считаешь, что "им
> лучше знать"? Распределёнка снимала бы эти вопросы,
> устанавливала всем равные права и была бы абсолютно
> прозрачной. Ну и всё-таки, быть CA — это тяжкая
> ответственность, врагу не пожелаешь. И было бы прекрасней
> размазать эту ответственность тонким слоем по всем, кто
> заинтересован в работе такого CA, но самую жирную часть —
> на удостоверяемого!

Если кто угодно сможет дать "ДОВЕРЕННЫЙ" сертификат на что угодно, какой тогда смысл в сертификатах? )) В этом случае они не будут доверенными.
Ценность доменных имен и зон постепенно уходит... 21.01.13 10:49  
Автор: HandleX <Александр М.> Статус: The Elderman
Отредактировано 21.01.13 10:59  Количество правок: 5
<"чистая" ссылка>
> Именн поэтому, ИМХО, выдавать сертификаты для доменов в
> зонах COM, ORG, NET, EDU, MIL и т.д. должен надзирающий за
> всем инетом орган (пусть даже это будет IANA), а для зон
> разных стран - государственный орган. А не шараги, которые
> ни за что не отвечают, да еще и бабло за это стригут
> десятками тыщ североамериканских рублей.
Ценность доменных имен постепенно уходит. «Роза пахнет розой, хоть розой назови её, хоть нет», как справедливо заметил Вильям наш, так сказать, Шекспир: он конечно не имел ввиду современные поисковые системы, но мы-то знаем -)

> Если бы ты знал порядки на госзнаке, ты бы не сомневался.
> Это может сделать кто угодно и где угодно в цепочке
> оформления документов, но только не на госзнаке.
Вот, т.е. красивый сертификат мало что значит. А в IT сертификат должен надёжно удостоверять агента на определённом домене, с чем централизованные CA в настоящее время не справляются. Что и подтверждают последние громкие случаи, и это только то, что всплыло! Сами владельцы CA будут всеми правдами и неправдами скрывать косяки, ибо "репутация" — ну, как банки, которые всегда "надёжны как скала" -))

> > Нет абсолюта и не от чего отталкиваться...
> > размазать эту ответственность тонким слоем по всем...
> Если кто угодно сможет дать "ДОВЕРЕННЫЙ" сертификат на что
> угодно, какой тогда смысл в сертификатах? )) В этом случае
> они не будут доверенными.
Здесь видимо есть непонимание уже существующих наработок навроде системы Nameсoin, например. Итак, будущий владелец домена покупает неймкоины. После этого покупает за них приглянувшееся ему название свободного в данный момент домена в псевдозоне .bit. Почему "псевдо"? Потому, что пока для резольва имён в этой зоне нужно обращаться или к публичным DNS серверам самого проекта namecoin, или поднимать у вас демона сети namecoin, который будет следить за namecoin-транзакциями, и резольвить ваши запросы исходя из его БД транзакций.
Всё эти действия — транзакции в сети, механизм их подтверждений — такой же, как в bitcoin, который пока не поломали, и дай Бог, не поломают долгое время, ибо сильная криптография. Владелец домена корректирует свои записи как ему угодно, добавляя туда записи А, АААА, MX и проч. После этого он может внедрить туда самоподписанный публичный сертификат для домена. Всё, до свидания CA, ответственность размазана, владелец домена — царь и бог, только он должен следить, чтобы у него не слямзили креденциалы управления доменом. И да, домены надо периодически продлять за неймкоины, если не продлять, то он разделегируется системой автоматически, и его может купить кто-то другой.
Такие дела, и смерть CA... и DNS не за горами. Серьёзный конкурент, чистая математика, которой чуждо понятие "репутация". Ей вообще чуждо всё человеческое: и хапнувший бабла судья, принимающий решение о блокировке неугодного конкурентам домена, политики, бандиты и прочая мишура — и эта бесчеловечная справедливость завораживает ;)
ну хз... внедряйте! 21.01.13 16:02  
Автор: Den <Денис Т.> Статус: The Elderman
<"чистая" ссылка>
Сисадмы виндовых служб DNS могут добавить "сервер условной пересылки" зоны .bit... 21.01.13 16:56  
Автор: HandleX <Александр М.> Статус: The Elderman
<"чистая" ссылка>
Сисадмы виндовых служб DNS могут добавить "сервер условной пересылки" зоны .bit на IP адрес DNS сервера проекта namecoin 178.32.31.41 (dns.dot-bit.org).

Там пока мало что полезного, сонмище киберсквоттеров... Но раз есть спекулянты — значит есть чем спекулировать! И таки да, sex.bit давно занят -))

Что интересно, yandex.bit занят, при попытке захода браузером на 80 порт получаем сonnection refused. Великий и могучий присматривается к этим нашим серым интернетам? ;)
Шутка, там IP-адрес PPPoE пула некоего ярославского прова.
Срочно сквотим google.bit, mail.bit, news.bit!!! 21.01.13 23:44  
Автор: Ustin <Ustin> Статус: Elderman
Отредактировано 21.01.13 23:46  Количество правок: 2
<"чистая" ссылка>
А кто сквотировал яндекс, забрал себе ещё и xxx.bit :)
Вот надо гугля попинать - пусть бы 8.8.8.8 в этот самый dns.bit стучался - тогда бы резко дело пошло. Предложить ему за содействие означенный google.bit
Меня? Или - просто не понимаешь? Потому и утрируешь до абсурда. 20.01.13 06:12  
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка>
Обращение к одному "сертификатору" не централизация, а монополизация. Он ведь ничем расперделенным не управляет и ни во что не вмешивается. Только сертификат выдает тому, кто обращается.

А ДНС - иерархия и в меру своей иерархичности он и уязвим.
Главная уязвимость DNS не в иерархичности, а в корневых... 21.01.13 03:41  
Автор: Den <Денис Т.> Статус: The Elderman
<"чистая" ссылка>
Главная уязвимость DNS не в иерархичности, а в корневых DNS.
Иерархичность и кеширование, это как раз спасение DNS ) Если ты понимаешь о чем речь.
Кто-нибудь предложил более действенную и менее уязвимую схему разыменования имени в IP? Ну а раз нет, то и говорить не о чем.
Тут, как я понял, кеширование по дефолту, а иерархичности нет - идёт обмен любого с любым 22.01.13 00:23  
Автор: Ustin <Ustin> Статус: Elderman
Отредактировано 22.01.13 00:25  Количество правок: 2
<"чистая" ссылка>
> Кто-нибудь предложил более действенную и менее уязвимую схему разыменования имени в IP? Ну а раз нет, то и говорить не о чем.
И как раз обмен любого с любым возможен за счёт того, что у любого должна быть trusted информация, иначе клиент её отвергнет. Ну, или обратится к третьей стороне, которых по теории пруд пруди по сравнению с количеством вышестоящих DNS-серверов для данного сервера.
Единственное, что может не нравиться в этой системе (предположим, там действительно неломаемая криптография) - это возможность наводнения интернетов левыми клиентами, которые будут отвергать трастовость "честных" данных и подтверждать трастовость "нечестных" (ещё раз - разговор именно про DNS). Но, в любом случае, цена такой атаки теоретически намного больше цены атаки на корневик.
Это слабость и неразвитость, здесь поддержу на все 100% 19.01.13 10:25  
Автор: HandleX <Александр М.> Статус: The Elderman
<"чистая" ссылка>
> Просто, у человека психоз централизации вопреки всякой
> логике. У меня давно сложилось такое впечатление, что
> большинство из нас подсознательно не считает себя разумными
> и способными принимать сознательные решения.
Этот "психоз централизации" один из этапов развития человека, остаток его детскости. "Психоз централизации" имеет другое название: "патернализм", где корень "папа" ;) Т.е. если не развивать человека, и потакать такому, этот синдром только усугубится.

А уже потом... анархобоязнь и патернализм будет использован для контроля быдла. Надетые на глаза шоры, пропущенное через ноздрю кольцо. С чем и борется тонкий слой осознающих это, всеми доступными им средствами, в том числе и созданием замечательных распределённых программных систем. ИМХО ;)
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach