информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Где водятся OGRыАтака на InternetСетевые кракеры и правда о деле Левина
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Простое пробивание рабочего/провайдерского... 
 400 уязвимостей в процессорах Snapdragon 
 Яндекс неуклюже оправдался за установку... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / RSN / архив / 2013 / январь
2013
главная
январь
февраль
март
апрель
май
июнь
июль
август
сентябрь
октябрь
ноябрь
декабрь





Турецкий CA случайно выдал сертификат для google.com
dl // 08.01.13 23:00
Точнее, вместо обычного SSL-сертификата Turktrust полтора года назад выдал своим клиентам два так называемых subordinate CA-сертификата, которые позволяли своим владельцам в свою очередь раздавать сертификаты для любых доменов, которые принимались всеми, кто доверял "родительскому" сертификату.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2013/01/05.html]
Что открывает очевидные возможности для атаки класса man-in-the-middle. Обнаружили это в Гугле, когда один из клиентов таки выдал сертификат для google.com.

По этому поводу Гугль, Mozilla и Microsoft уже обновили свои браузеры на предмет блокировки тех двух злополучных сертификатов, а Turktrust заверил, что сгенерированный сертификат для google.com не использовался для зловредных целей, мамой клянемся.

Источник: InfoWorld      
теги: leak  |  предложить новость  |  обсудить  |  все отзывы (16) [3215]
назад «  » вперед

аналогичные материалы
Microsoft сообщила о 44 миллионах аккаунтов, использующих утекшие пароли // 07.12.19 01:30
ЛК нашла бэкдор в ASUS Live Update // 25.03.19 22:09
Facebook хранил часть пользовательских паролей в открытом виде // 22.03.19 10:13
Попасть под лошадь // 27.07.18 14:39
Twitter просит пользователей срочно поменять пароли // 04.05.18 17:53
Крупная утечка исходников Microsoft // 24.06.17 20:02
Взлом менеджера паролей OneLogin // 01.06.17 22:58
 
последние новости
Простое пробивание рабочего/провайдерского NAT с помощью Tailscale // 20.08.20 03:02
400 уязвимостей в процессорах Snapdragon // 08.08.20 08:08
Яндекс неуклюже оправдался за установку Теледиска // 29.07.20 17:09
Infosec-сообщество не поддержало отказ от термина black hat // 04.07.20 18:50
Расово верная чистка IT-терминологии // 16.06.20 18:03
ГПБ vs TV // 06.06.20 21:47
Число обнародованных уязвимостей упало на 20% // 30.05.20 02:21

Комментарии:

А ведь как красиво всё было задумано в теории ;) 11.01.13 09:08  
Автор: HandleX <Александр Майборода> Статус: The Elderman
<"чистая" ссылка>
Централизованные CA в качестве своей сильной фишки приводят в пример возможность отзыва по каким-либо причинам своих сертификатов, а тут инициатива идёт "снизу" — производители клиентского ПО лепят какие-то фильтры неугодных им сертификатов...

Забавно, куда катится этот мир? Всё идёт к децентрализации CA, чтобы тот, кого удостоверяет сертификат, сам же им и управлял, и только он.
К децентрализации идет ВСЕ 17.01.13 15:41  
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка>
Поскольку централизованными системами таких масштабов управлять не возможно. Вот, TCP-IP изначально концептуально децентрализован, теми силен. Пиринг децентрализован, потому и непобедим.
«Пиринг децентрализован... поэтому непобедим...» — очень хорошо. 17.01.13 23:42  
Автор: HandleX <Александр Майборода> Статус: The Elderman
Отредактировано 18.01.13 20:19  Количество правок: 3
<"чистая" ссылка>
Тот же namecoin, например, умеет децентрализованно хранить имена доменов и сертификаты... А bitcoin доказывает каждой своей транзакцией, что эту идею можно применять даже для такой серьёзной штуки, как платёжное средство.

Жаль только, namecoin неразвит. В отличие от биткоина, который прямо-таки порвал шаблон -)

шок сенсация panic buy ;)
"Шаблон", как раз-таки - децентрализация. 19.01.13 06:05  
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка>
TCP-IP и роутинг полностью децентрализованы, каждый роутер принимает решение о передаче пакета автономно. Потомувсе и работает в сетях любого масштаба и влюбом мало-мальски работоспособном состоянии. А централизованный ДНС, какизвестно, самое уязвимое звено.

Просто, у человека психоз централизации вопреки всякой логике. У меня давно сложилось такое впечатление, что большинство из нас подсознательно не считает себя разумными и способными принимать сознательные решения.
Я иногда тебя не понимаю. 20.01.13 01:52  
Автор: Den <Denis> Статус: The Elderman
Отредактировано 20.01.13 01:52  Количество правок: 1
<"чистая" ссылка>
> TCP-IP и роутинг полностью децентрализованы, каждый роутер
> принимает решение о передаче пакета автономно. Потомувсе и
> работает в сетях любого масштаба и влюбом мало-мальски
> работоспособном состоянии. А централизованный ДНС,
> какизвестно, самое уязвимое звено.

Я иногда тебя не понимаю. Во-первых - где ты видел централизованный DNS? Такое существовало только в "младенчестве" проекта "DARPA". Сейчас DNS'ы не только децентрализованы, но и практически каждая организация, имеющая серьезную теле-инфокоммуникационную сеть, имеет свой DNS и не один.

> Просто, у человека психоз централизации вопреки всякой
> логике. У меня давно сложилось такое впечатление, что
> большинство из нас подсознательно не считает себя разумными
> и способными принимать сознательные решения.

Касательно CA это совсем не психоз, а вполне разумное решение. Всё просто... Скольким людям ты можешь доверять? Только себе и своим родителям, не так ли? Если тебе предоставляют документ или удостоверение гос.образца без признаков подделки, сколько у тебя оснований не верить предъявителю? Лично я считаю, что чем меньше удостоверяющих центров и чем они надежнее, тем лучше.
«Чем они надежнее, тем лучше» — кто будет мерять их надёжность и "более лучшесть"? ;) 20.01.13 11:53  
Автор: HandleX <Александр Майборода> Статус: The Elderman
Отредактировано 20.01.13 12:01  Количество правок: 1
<"чистая" ссылка>
Турки облажались... И наверное не потому, что турки или что рожей не вышли. Голландцы до этого тоже чудили, видимо трава там забористая. Причин компроментации может быть множество. Но! Складывается парадоксальная ситуация: приходится доверять CA как чёрным ящикам, только на основе статистики их предыдущей работы (т.н. "репутации"). А мы кликаем мышой по "доверенным" сайтам здесь и сейчас, абсолютно не зная текущую ситуацию в CA: болит ли голова у топа и он принял интересное решение, их недавно купили с потрохами безбашенные типы, и там сейчас везде ходят подозрительные рожи и т.п.

> Если тебе предоставляют документ или удостоверение гос.образца без признаков подделки, сколько у тебя оснований не верить предъявителю?
В нашем смишном мире что только не бывает — да блин на типографии гоззнака рабочий решил левака загнать ;) Вот реально, я ничему не удивляюсь, ничего святого. Деньги, деньги, деньги.

> Лично я считаю, что чем меньше удостоверяющих центров и чем они надежнее, тем лучше.
Нет абсолюта и не от чего отталкиваться... Кто будет мерять "надёжность" и более лучшесть? По каким критериям производители клиентского ПО (браузеров как яркий пример) включают поддержку того или иного CA: зачесалась левая пятка или занесли мешок бабла? До сих пор считаешь, что "им лучше знать"? Распределёнка снимала бы эти вопросы, устанавливала всем равные права и была бы абсолютно прозрачной. Ну и всё-таки, быть CA — это тяжкая ответственность, врагу не пожелаешь. И было бы прекрасней размазать эту ответственность тонким слоем по всем, кто заинтересован в работе такого CA, но самую жирную часть — на удостоверяемого!
"Прозрачна" только пустота. 22.01.13 04:11  
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка>
> Распределёнка снимала бы эти вопросы,
> устанавливала всем равные права и была бы абсолютно
> прозрачной. Ну и всё-таки, быть CA — это тяжкая
> ответственность, врагу не пожелаешь. И было бы прекрасней
> размазать эту ответственность тонким слоем по всем, кто
> заинтересован в работе такого CA, но самую жирную часть —
> на удостоверяемого!
Ниче не выйдет при таких объемах информации. Реально проанализировать все "за" и "против" не возможно. Нужно переходить к иной модели самогО поведения в сети: "Все ненадежно и равноопасно". Как известно, TCP-IP создавался именно на этом принципе как связь в условиях войны. Тем и жив.
Именн поэтому, ИМХО, выдавать сертификаты для доменов в... 21.01.13 03:37  
Автор: Den <Denis> Статус: The Elderman
Отредактировано 21.01.13 09:39  Количество правок: 1
<"чистая" ссылка>
> Турки облажались... И наверное не потому, что турки или что
> рожей не вышли. Голландцы до этого тоже чудили, видимо
> трава там забористая. Причин компроментации может быть
> множество. Но! Складывается парадоксальная ситуация:
> приходится доверять CA как чёрным ящикам, только на основе
> статистики их предыдущей работы (т.н. "репутации"). А мы
> кликаем мышой по "доверенным" сайтам здесь и сейчас,
> абсолютно не зная текущую ситуацию в CA: болит ли голова у
> топа и он принял интересное решение, их недавно купили с
> потрохами безбашенные типы, и там сейчас везде ходят
> подозрительные рожи и т.п.

Именн поэтому, ИМХО, выдавать сертификаты для доменов в зонах COM, ORG, NET, EDU, MIL и т.д. должен надзирающий за всем инетом орган (пусть даже это будет IANA), а для зон разных стран - государственный орган. А не шараги, которые ни за что не отвечают, да еще и бабло за это стригут десятками тыщ североамериканских рублей.

> В нашем смишном мире что только не бывает — да блин на
> типографии гоззнака рабочий решил левака загнать ;) Вот
> реально, я ничему не удивляюсь, ничего святого. Деньги,
> деньги, деньги.

Если бы ты знал порядки на госзнаке, ты бы не сомневался. Это может сделать кто угодно и где угодно в цепочке оформления документов, но только не на госзнаке.

> Нет абсолюта и не от чего отталкиваться... Кто будет мерять
> "надёжность" и более лучшесть? По каким критериям
> производители клиентского ПО (браузеров как яркий пример)
> включают поддержку того или иного CA: зачесалась левая
> пятка или занесли мешок бабла? До сих пор считаешь, что "им
> лучше знать"? Распределёнка снимала бы эти вопросы,
> устанавливала всем равные права и была бы абсолютно
> прозрачной. Ну и всё-таки, быть CA — это тяжкая
> ответственность, врагу не пожелаешь. И было бы прекрасней
> размазать эту ответственность тонким слоем по всем, кто
> заинтересован в работе такого CA, но самую жирную часть —
> на удостоверяемого!

Если кто угодно сможет дать "ДОВЕРЕННЫЙ" сертификат на что угодно, какой тогда смысл в сертификатах? )) В этом случае они не будут доверенными.
Ценность доменных имен и зон постепенно уходит... 21.01.13 10:49  
Автор: HandleX <Александр Майборода> Статус: The Elderman
Отредактировано 21.01.13 10:59  Количество правок: 5
<"чистая" ссылка>
> Именн поэтому, ИМХО, выдавать сертификаты для доменов в
> зонах COM, ORG, NET, EDU, MIL и т.д. должен надзирающий за
> всем инетом орган (пусть даже это будет IANA), а для зон
> разных стран - государственный орган. А не шараги, которые
> ни за что не отвечают, да еще и бабло за это стригут
> десятками тыщ североамериканских рублей.
Ценность доменных имен постепенно уходит. «Роза пахнет розой, хоть розой назови её, хоть нет», как справедливо заметил Вильям наш, так сказать, Шекспир: он конечно не имел ввиду современные поисковые системы, но мы-то знаем -)

> Если бы ты знал порядки на госзнаке, ты бы не сомневался.
> Это может сделать кто угодно и где угодно в цепочке
> оформления документов, но только не на госзнаке.
Вот, т.е. красивый сертификат мало что значит. А в IT сертификат должен надёжно удостоверять агента на определённом домене, с чем централизованные CA в настоящее время не справляются. Что и подтверждают последние громкие случаи, и это только то, что всплыло! Сами владельцы CA будут всеми правдами и неправдами скрывать косяки, ибо "репутация" — ну, как банки, которые всегда "надёжны как скала" -))

> > Нет абсолюта и не от чего отталкиваться...
> > размазать эту ответственность тонким слоем по всем...
> Если кто угодно сможет дать "ДОВЕРЕННЫЙ" сертификат на что
> угодно, какой тогда смысл в сертификатах? )) В этом случае
> они не будут доверенными.
Здесь видимо есть непонимание уже существующих наработок навроде системы Nameсoin, например. Итак, будущий владелец домена покупает неймкоины. После этого покупает за них приглянувшееся ему название свободного в данный момент домена в псевдозоне .bit. Почему "псевдо"? Потому, что пока для резольва имён в этой зоне нужно обращаться или к публичным DNS серверам самого проекта namecoin, или поднимать у вас демона сети namecoin, который будет следить за namecoin-транзакциями, и резольвить ваши запросы исходя из его БД транзакций.
Всё эти действия — транзакции в сети, механизм их подтверждений — такой же, как в bitcoin, который пока не поломали, и дай Бог, не поломают долгое время, ибо сильная криптография. Владелец домена корректирует свои записи как ему угодно, добавляя туда записи А, АААА, MX и проч. После этого он может внедрить туда самоподписанный публичный сертификат для домена. Всё, до свидания CA, ответственность размазана, владелец домена — царь и бог, только он должен следить, чтобы у него не слямзили креденциалы управления доменом. И да, домены надо периодически продлять за неймкоины, если не продлять, то он разделегируется системой автоматически, и его может купить кто-то другой.
Такие дела, и смерть CA... и DNS не за горами. Серьёзный конкурент, чистая математика, которой чуждо понятие "репутация". Ей вообще чуждо всё человеческое: и хапнувший бабла судья, принимающий решение о блокировке неугодного конкурентам домена, политики, бандиты и прочая мишура — и эта бесчеловечная справедливость завораживает ;)
ну хз... внедряйте! 21.01.13 16:02  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
Сисадмы виндовых служб DNS могут добавить "сервер условной пересылки" зоны .bit... 21.01.13 16:56  
Автор: HandleX <Александр Майборода> Статус: The Elderman
<"чистая" ссылка>
Сисадмы виндовых служб DNS могут добавить "сервер условной пересылки" зоны .bit на IP адрес DNS сервера проекта namecoin 178.32.31.41 (dns.dot-bit.org).

Там пока мало что полезного, сонмище киберсквоттеров... Но раз есть спекулянты — значит есть чем спекулировать! И таки да, sex.bit давно занят -))

Что интересно, yandex.bit занят, при попытке захода браузером на 80 порт получаем сonnection refused. Великий и могучий присматривается к этим нашим серым интернетам? ;)
Шутка, там IP-адрес PPPoE пула некоего ярославского прова.
Срочно сквотим google.bit, mail.bit, news.bit!!! 21.01.13 23:44  
Автор: Ustin <Ustin> Статус: Elderman
Отредактировано 21.01.13 23:46  Количество правок: 2
<"чистая" ссылка>
А кто сквотировал яндекс, забрал себе ещё и xxx.bit :)
Вот надо гугля попинать - пусть бы 8.8.8.8 в этот самый dns.bit стучался - тогда бы резко дело пошло. Предложить ему за содействие означенный google.bit
Меня? Или - просто не понимаешь? Потому и утрируешь до абсурда. 20.01.13 06:12  
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка>
Обращение к одному "сертификатору" не централизация, а монополизация. Он ведь ничем расперделенным не управляет и ни во что не вмешивается. Только сертификат выдает тому, кто обращается.

А ДНС - иерархия и в меру своей иерархичности он и уязвим.
Главная уязвимость DNS не в иерархичности, а в корневых... 21.01.13 03:41  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
Главная уязвимость DNS не в иерархичности, а в корневых DNS.
Иерархичность и кеширование, это как раз спасение DNS ) Если ты понимаешь о чем речь.
Кто-нибудь предложил более действенную и менее уязвимую схему разыменования имени в IP? Ну а раз нет, то и говорить не о чем.
Тут, как я понял, кеширование по дефолту, а иерархичности нет - идёт обмен любого с любым 22.01.13 00:23  
Автор: Ustin <Ustin> Статус: Elderman
Отредактировано 22.01.13 00:25  Количество правок: 2
<"чистая" ссылка>
> Кто-нибудь предложил более действенную и менее уязвимую схему разыменования имени в IP? Ну а раз нет, то и говорить не о чем.
И как раз обмен любого с любым возможен за счёт того, что у любого должна быть trusted информация, иначе клиент её отвергнет. Ну, или обратится к третьей стороне, которых по теории пруд пруди по сравнению с количеством вышестоящих DNS-серверов для данного сервера.
Единственное, что может не нравиться в этой системе (предположим, там действительно неломаемая криптография) - это возможность наводнения интернетов левыми клиентами, которые будут отвергать трастовость "честных" данных и подтверждать трастовость "нечестных" (ещё раз - разговор именно про DNS). Но, в любом случае, цена такой атаки теоретически намного больше цены атаки на корневик.
Это слабость и неразвитость, здесь поддержу на все 100% 19.01.13 10:25  
Автор: HandleX <Александр Майборода> Статус: The Elderman
<"чистая" ссылка>
> Просто, у человека психоз централизации вопреки всякой
> логике. У меня давно сложилось такое впечатление, что
> большинство из нас подсознательно не считает себя разумными
> и способными принимать сознательные решения.
Этот "психоз централизации" один из этапов развития человека, остаток его детскости. "Психоз централизации" имеет другое название: "патернализм", где корень "папа" ;) Т.е. если не развивать человека, и потакать такому, этот синдром только усугубится.

А уже потом... анархобоязнь и патернализм будет использован для контроля быдла. Надетые на глаза шоры, пропущенное через ноздрю кольцо. С чем и борется тонкий слой осознающих это, всеми доступными им средствами, в том числе и созданием замечательных распределённых программных систем. ИМХО ;)
<добавить комментарий>


анонимность клоуны конференции спам уязвимости .net acrobat activex adobe android apple beta bgp bitcoin blaster borland botnet chrome cisco crypto ctf ddos dmca dnet dns dos dropbox eclipse ecurrency eeye elcomsoft excel facebook firefox flash freebsd gnome google gpl hp https ibm icq ie intel ios iphone java javascript l0pht leak linux livejournal mac mcafee meltdown microsoft mozilla mysql netware nginx novell ny open source opera oracle os/2 outlook password patch php powerpoint pwn2own quicktime rc5 redhat retro rip router rsa safari sco secunia server service pack shopping skype smb solaris sony spyware sql injection ssl stuff sun symantec torrents unix virus vista vmware vpn wikipedia windows word xp xss yahoo yandex youtube



Rambler's Top100
Рейтинг@Mail.ru



  Copyright © 2001-2020 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach