Sofistikovaní hackeri získali SSL certifikáty pre Gmail, Google, Yahoo, Skype, Windows Live

V utorok 15. marca sa zatiaľ neznámym hackerom podarilo vytvoriť platné a všetkými webovými prehliadačmi akceptované SSL certifikáty napríklad pre viacero domén využívaných pri prihlasovaní k viacerým najpopulárnejším webovým službám. Certifikačná autorita Comodo, ktorej koreňový certifikát bol pre ich vytvorenie použitý, poukazuje na Irán a útok považuje za štátom podporovaný útok.

DSL.sk, 24.3.2011

V utorok 15. marca sa zatiaľ neznámym hackerom podarilo vytvoriť platné a všetkými webovými prehliadačmi akceptované SSL certifikáty pre viacero domén využívaných viacerými najpopulárnejšími webovými službami.

Po týždni dohadov po objavení sa prvých indícií, napríklad v podobe vydania novej verzie Chrome s viacerými zneplatnenými certifikátmi, to v stredu oficiálne potvrdila certifikačná autorita Comodo, ktorej koreňový certifikát bol použitý pre podpísanie hackermi vytvorených certifikátov.

Platný SSL certifikát pre danú doménu umožňuje jeho držiteľovi, ktorý pozná privátny kľúč k verejnému kľúču nachádzajúcemu sa v certifikáte, prevádzkovať zabezpečené HTTPS stránky na tejto doméne akceptované webovými prehliadačmi samozrejme bez upozornenia na bezpečnostný problém.

SSL certifikáty na tento účel je možné získať iba u certifikačných autorít, ktoré majú svoj koreňový certifikát zahrnutý v jednotlivých webových prehliadačoch. Tieto certifikačné autority žiadateľovi po overení jeho práv k doméne vytvoria pre jeho kľúč certifikát obsahujúci digitálny podpis vytvorený privátnym kľúčom certifikačnej autority.

Podľa informácií Comodo si útočníci vytvorili celkom deväť SSL certifikátov pre sedem domén respektíve názvov subjektov, mail.google.com, www.google.com, login.yahoo.com, login.skype.com, addons.mozilla.org, login.live.com a "global trustee". Pre doménu login.yahoo.com boli vytvorené celkom tri rozličné certifikáty.

Domény www.google.com, login.yahoo.com a login.live.com sú používané pri bezpečnom prihlasovaní k trom najpoužívanejším webovým službám na svete okrem Facebooku, Google, Yahoo a Windows Live, doména mail.google.com pri bezpečnom prístupe k Gmailu, doména addons.mozilla.org pri sťahovaní rozšírení pre Firefox ale zrejme tiež aktualizácií rozšírení a doména login.skype.com minimálne pri prihlasovaní k webu Skype.

Vytvorené certifikáty majú zmysel len pre útočníkov, ktorí buď dokážu manipulovať DNS a presmerovávať svoje ciele na nimi ovládané IP adresy alebo priamo presmerovávať IP dátovú prevádzku. V takomto prípade môžu svojim cieľom poskytovať falošné ale technicky korektné bezpečné napríklad prihlasovacie stránky pre služby, pre ktoré získali certifikáty, bez bezpečnostných upozornení prehliadača.

Comodo poukazuje v súvislosti s útokom na Irán. Z IP adresy v Iráne bol uskutočnený prvý útok a zároveň v Iráne bol prevádzkovaný jeden server, na ktorom bol použitý vytvorený certifikát pre login.yahoo.com. Útočníci samozrejme ale mohli pochádzať z inej krajiny a za Irán sa iba maskovať.

Zároveň sa Comodo práve pre potrebu manipulácie DNS alebo priamo IP trafficu domnieva, že za útokom musí byť niektorý štát. Explicitné dôkazy o tom, že za útokom stojí Irán, ale Comodo zatiaľ nezverejnilo.

Útočníkom sa certifikáty podarilo vyrobiť pomocou prihlasovacích údajov, ktoré zatiaľ neznámym spôsobom získali od jedného z partnerov tejto certifikačnej autority v Južnej Európe. To im umožnilo prístup do systému Comodo a vytvorenie certifikátov aj pre domény, ktoré nevlastnia.

Útok bol podľa tvrdenia Comodo detekovaný do niekoľkých hodín a certifikáty boli zneplatnené. Webové prehliadače, ktoré sú nastavené na kontrolu zoznamu zneplatnených certifikátov, na tieto certifikáty v súčasnosti upozornia ako na neplatné. Tieto kontroly je možné ale pri kontrole nad sieťovou infraštruktúrou znefunkčniť.

Tvorcovia webových prehliadačov preto začali od minulého týždňa postupne vydávať nové verzie svojich webových prehliadačov, ktoré majú deväť minulý týždeň hackermi získaných certifikátov napevno zneplatnených a ktoré si je odporúčané čo najskôr nainštalovať.

Chrome ich obsahuje od verzie 10.0.648.151, Firefox 4 od RC2 verzie, ktorá bola vydaná kvôli týmto certifikátom, a od verzií 3.6.16 a 3.5.18. Microsoft vydal aktualizáciu, ktorú je možné manuálne stiahnuť alebo nechať nainštalovať cez automatické aktualizácie.

Podľa Comodo bolo zatiaľ na Internete zaznamenané použitie len jedného zo získaných certifikátov, pre login.yahoo.com. Comodo o incidente informuje tu, tu a tu.





Najnovšie články:



Diskusia:

Comodo Od: Stevko_ | Pridané: 24.3.2011 9:59 Tak odstránime Comodo z dôveryhodných certifikačných autorít z browseru. Odpovedať Známka: -2.6 Hodnotiť:

Re: Comodo Od: rms_ | Pridané: 24.3.2011 10:47 Ja mam pocit ze to je cele len PR stunt. Marketing. Odpovedať Známka: -2.9 Hodnotiť:

povinny titulok Od: kocka1 | Pridané: 24.3.2011 10:37 To je to iste Comodo, ktore ma ten freewarovsky firewall? Pomaly ma zacina hnevat, lebo stale ma upozornuje na novu verziu firewallu. Ked akceptujem, nieco instaluje a potom chce restart. No a po restarte znova, ze je nova verzia a chce ju nainstalovat (pritom to je ta ista, ktoru akoze instaloval pred par minutami) Odpovedať Známka: -4.7 Hodnotiť:

Re: povinny titulok Od: meff | Pridané: 24.3.2011 10:44 Načo instalovať firewall ? Ak máš firewall na routri/modeme tak v tvojích windowsoch ti bohate postačuje ten firewall čo už vo windowse je. Odpovedať Známka: -2.5 Hodnotiť:

Re: povinny titulok Od: kicrak | Pridané: 24.3.2011 10:55 Ty si ale naivny :-D...A ked ides mimo svoj router? Myslis ze ta WinFirewall ochrani ? Alebo ze ta vobec firewall ochrani ? Jedinou ochranou je vypnut sietove rozhranie(iked pri dnesnych postrannych kanaloch si uz ani tym nemozes byt isty) Odpovedať Známka: 0.8 Hodnotiť:

Re: povinny titulok Od: muld3r | Pridané: 24.3.2011 20:24 jasne jasne.. a pred kym by ma mal chranit ten moj firewall? nebodaj pred susedmi :D ziadny NORMALNY clovek co sa trochu rozumie problematike nepotrebuje iny ako napr. win7 standardny firewall. ak potrebuje nejake extra pokrocile obmedzovania tak jasne ale na beznu pracu v pohode staci integrovany. a myslim si ze v domacnosti za routrom sa netreba obavat nejakych "hackerskych" utokov. ovela horsi je napriklad taky phishing a vsetky ostatne metody ktore platia na velku cast obyvatelstva ktori si myslia ze internet je ta ikonka na ploche. a preco vlastne rozoberame firewall? ved clanok je o SSL certifikatoch :D Odpovedať Známka: 5.2 Hodnotiť:

Re: povinny titulok Od: ja. | Pridané: 25.3.2011 15:12 Niektori z nas chcu mat aj prehlad nad outgoing spojeniami. V poslednych rokoch je strasne vela softveru, ktory sa chce pripojit domov a prenasat udaje, o ktorych nikto netusi co obsahuju. Naco im to zbytocne dovolovat? Odpovedať Známka: 8.5 Hodnotiť:

Re: povinny titulok Od: zippy | Pridané: 26.3.2011 11:23 to ale musi byt otrava pri kazdej stranke, ktoru chces navstivit, potvrdzovat vynimku. Ak mas vynimku na port 80 a teda nepotvrdzujes, tak ti je filtrovanie outgoing trafficu nanic. Odpovedať Známka: -4.3 Hodnotiť:

Re: povinny titulok Od: ................ | Pridané: 27.3.2011 22:04 ked nevies ako taky inteligentny firewall funguje neozyvaj sa...interaktivny mod...urcita aplikacia cez urcity port prvykrat zacne nieco chciet, povolis, povolis docasne, alebo natrvalo...vpodstate vsetko je zablokovane okrem toho co povolis...sracky co chcu komunikovat a zbytocne vyzierat hocikedy linku permanentne zakazes a nikdy sa ti nestane ze by sa k tebe dostala nejaka nova prichadzajuca komunikacia bez upozornenia a pozdrzania na tvoju reakciu ci povolis alebo nie....... taky firewall zmysel ma .. Odpovedať Známka: 6.4 Hodnotiť:

Re: povinny titulok Od: zippy | Pridané: 28.3.2011 16:57 ja viem ako funguje firewall. Problem je v tom, ze filtrovanie na zaklade PID nestaci. Ak totiz nejakej aplikacii povolis odchodzie spojenie, aj tak nemas kontrolu nad tym, kam co posiela. A pri closed-source si to ani nemas moznost skontrolovat. Napr. povolis odchodzie spojenia pre Skype, a on ti len tak mimochodom precita informacie z BIOSu a posle ich. Mna by to nahnevalo. Vo vseobecnosti - ak je aplikacia trojsky kon, ty ju v dobrej viere povolis a uz jej nezabranis aby neposielala informacie inam nez vtedy, ked si ju povolil. Jedine, ze by si povoloval kazdu destinaciu zvlast. Ale to sme vlastne tam, kde som uz pisal .... Odpovedať Známka: 5.6 Hodnotiť:

Re: povinny titulok Od: jojojojoo | Pridané: 1.4.2011 8:47 z toho ako pises, je evidentne ze o moznostiach firewallov vies len tolko ako bezny domaci sprtal, t.j. max. zapnut a vypnut a o zbytku netusis ... a s tym BIOSom si to zaklincoval ... co take sosbne mas v biose ? rodne cislo ? alebo len seriove cislo a ine velmi dolezite udaje ? :-)))) Odpovedať Známka: -1.4 Hodnotiť:

Re: povinny titulok Od: ahl | Pridané: 24.3.2011 10:55 A ako chces kontrolovat odchadzajuce spojenia? Odpovedať Známka: -5.6 Hodnotiť:

Re: povinny titulok Od: kicrak | Pridané: 24.3.2011 10:58 jasne ze firewallom, ale to neznamena ze ta ochrani pred tymi prichadzajucimi !! Odpovedať Známka: -3.3 Hodnotiť:

Re: povinny titulok Od: Baklazan | Pridané: 24.3.2011 15:43 ..a naco by som to robil? :)) Vsadzam radsej na prevenciu a tiez je vhodne poznat, ako blika modem v "normalnom" stave :). Odpovedať Známka: 3.3 Hodnotiť:

Re: povinny titulok Od: g33k | Pridané: 24.3.2011 17:07 lebo v dnesnej dobe sa kazdy druhy soft pripaja na servery vyrobcu, aj ked s netom nema nic spolocne. Tak sup sup mu to pekne zakazat. Napr. na iphone sa snad kazda aplikacia pripaja na net. Esteze to mozem firewallom elegantne zamedzit :) Odpovedať Známka: 8.2 Hodnotiť:

Prispievajte do diskusií ako prihlásený užívateľ. Od: meff | Pridané: 24.3.2011 10:42 Jasné, treba masírovať verejnosť a hľadať si ďalšie zámienky aby sa ospravedlnil ďalší útok "spojencov" na Irán. Lebo ako sa vraví: " Americkí geológovia objavili nad ložiskom ropy neznámu arabskú krajinu." Odpovedať Známka: 6.8 Hodnotiť:

Re: Prispievajte do diskusií ako prihlásený užívateľ. Od: 456464 | Pridané: 24.3.2011 12:28 A potom ta svist balil do folie.. Odpovedať Známka: -3.0 Hodnotiť:

Re: Prispievajte do diskusií ako prihlásený užívateľ. Od: ..... | Pridané: 24.3.2011 17:12 A potom si sa zobudil s rukou v serbli.. Odpovedať Známka: 8.8 Hodnotiť:

Re: Prispievajte do diskusií ako prihlásený užívateľ. Od: Element2 | Pridané: 25.3.2011 11:01 Jasné, lalo, toto vravíte už dva roky a nejako furt sa ten útok nie a nie začať :) Ale je super, že irán si v podstate môže teraz robiť čo sa mu zachce, veď my si to sami potom označíme za masírovanie. Odpovedať Známka: 0.0 Hodnotiť:

Re: Prispievajte do diskusií ako prihlásený užívateľ. Od: tu,tu a tu | Pridané: 25.3.2011 11:46 nie je to nahodou naopak, ako s tymi udajnymi jadrovymi zbranami, 10 rokov sa uz hladaju a nic sa nenaslo, zachvilu koli takym ako ty, ktovie ci tupcom alebo konspiratorom, ich budu asi dalsich 10 rokov hladat u Iranu, a popri tom cerpat ropu, aby nahodou nevysla na zmar... (aj ked tam asi viac ide o to, ze odporuju) Odpovedať Známka: 3.3 Hodnotiť:

Re: Prispievajte do diskusií ako prihlásený užívateľ. Od: quix_ | Pridané: 25.3.2011 17:42 "Ale je super, že irán si v podstate môže teraz robiť čo sa mu zachce" uf takze iran teraz utoci na okolite krajiny alebo nebodaj ma stovky vojenskych zakladni po celej planete :D ty uz si po vyplachu ze? Odpovedať Známka: 3.3 Hodnotiť:

SAV testlo kvantove PC Od: lostapacket | Pridané: 24.3.2011 10:48 Co, toto? To len chalani z SAV testli ich prototyp kvantoveho PC. Odpovedať Známka: 7.5 Hodnotiť:

preto ten SPAM .. Od: Koumak | Pridané: 24.3.2011 10:49 Uz chapem, ze preco mi za posledne dni prisiel kadejaky doposial neexistujuci SPAM :) ... esteze to tak rychlo odhalili a opravili ;) Odpovedať Známka: -6.9 Hodnotiť:

Vojna Od: Vojna | Pridané: 24.3.2011 16:58 Sionisti nemaju dobru zamienku na utok na Iran tak vymyšlaju hovadiny aby oblbli cely svet NO NEKUP TO!!! Odpovedať Známka: -2.2 Hodnotiť:

Sofistikovaní hackeri získali SSL certifikáty pre Gmail, Google, Yahoo, Skype, Windows Live Od: prihlásený užívateľ | Pridané: 25.3.2011 3:07 Takto sa to robi chlapci :) Kolko asi bolo takychto utokov, co neboli zverejnene? Tiez nepochybujem o tom, ze FBI a spol. maju priamu linku na certifikacne autority. Odpovedať Známka: 0.0 Hodnotiť:

Ms Update KB2524375 Od: Mir | Pridané: 25.3.2011 11:23 www.microsoft.com /technet/security/advisory/2524375.mspx Enjoy the fun. Odpovedať Hodnotiť:

00000 Od: užívateľ. | Pridané: 25.3.2011 23:16 0 Odpovedať Hodnotiť:

tu, tu a tu. Od: tutut | Pridané: 27.3.2011 17:26 tu, tu a tu. Odpovedať Známka: 10.0 Hodnotiť:

Sláva slobode z Iránu! Od: MuadDib | Pridané: 28.3.2011 23:26 Samozrejme, Iránska islamská republika je 1 z posledných ostrovov slobody mimo vplyvu diktátu zločineckých amerických vydieračských kapitalistov. Škoda len, že je signatárkou Zmluvy o nešírení jadrových zbraní, a teda že na rozdiel od Spojených štátov agresívnych využíva jadrovú energiu iba na mierové účely. Odpovedať Známka: 7.5 Hodnotiť:

Iranom podporovany utok Od: martin z martina | Pridané: 30.3.2011 13:30 tak sup sup amici, rychlo spustite humanitne bombardovanie iranu, ved o to vam ide, teraz mate super vykonstruovanu zamienku. Odpovedať Známka: 10.0 Hodnotiť:

Re: Iranom podporovany utok Od: obcan | Pridané: 1.5.2011 10:01 To ze bol utok urobeny z Iranskeho servru (ssh ? telnet ?) nijak nenaznacuje ze by sa koli tomu malo zacat bombardovanie. Tento clanok je k inej teme, ale kedze niektory ludia jej vobec nerozumeju tak radsej idu nadavat na to na co nadavaju uz dlho. Vyhlasili snad spojene staty ze budu niekde nieco bombardovat ? Skuste sa vyjadrit k teme ale radsej mlcte... Odpovedať Hodnotiť:

Hmmmmmmm Od: Lolekov brat | Pridané: 22.5.2011 8:50 Jedine slovo.....iptables... Odpovedať Hodnotiť:

Pridať komentár