neprihlásený Nedeľa, 24. októbra 2021, dnes má meniny Kvetoslava
Sofistikovaní hackeri získali SSL certifikáty pre Gmail, Google, Yahoo, Skype, Windows Live

V utorok 15. marca sa zatiaľ neznámym hackerom podarilo vytvoriť platné a všetkými webovými prehliadačmi akceptované SSL certifikáty napríklad pre viacero domén využívaných pri prihlasovaní k viacerým najpopulárnejším webovým službám. Certifikačná autorita Comodo, ktorej koreňový certifikát bol pre ich vytvorenie použitý, poukazuje na Irán a útok považuje za štátom podporovaný útok.

DSL.sk, 24.3.2011


V utorok 15. marca sa zatiaľ neznámym hackerom podarilo vytvoriť platné a všetkými webovými prehliadačmi akceptované SSL certifikáty pre viacero domén využívaných viacerými najpopulárnejšími webovými službami.

Po týždni dohadov po objavení sa prvých indícií, napríklad v podobe vydania novej verzie Chrome s viacerými zneplatnenými certifikátmi, to v stredu oficiálne potvrdila certifikačná autorita Comodo, ktorej koreňový certifikát bol použitý pre podpísanie hackermi vytvorených certifikátov.

Platný SSL certifikát pre danú doménu umožňuje jeho držiteľovi, ktorý pozná privátny kľúč k verejnému kľúču nachádzajúcemu sa v certifikáte, prevádzkovať zabezpečené HTTPS stránky na tejto doméne akceptované webovými prehliadačmi samozrejme bez upozornenia na bezpečnostný problém.

SSL certifikáty na tento účel je možné získať iba u certifikačných autorít, ktoré majú svoj koreňový certifikát zahrnutý v jednotlivých webových prehliadačoch. Tieto certifikačné autority žiadateľovi po overení jeho práv k doméne vytvoria pre jeho kľúč certifikát obsahujúci digitálny podpis vytvorený privátnym kľúčom certifikačnej autority.

Podľa informácií Comodo si útočníci vytvorili celkom deväť SSL certifikátov pre sedem domén respektíve názvov subjektov, mail.google.com, www.google.com, login.yahoo.com, login.skype.com, addons.mozilla.org, login.live.com a "global trustee". Pre doménu login.yahoo.com boli vytvorené celkom tri rozličné certifikáty.

Domény www.google.com, login.yahoo.com a login.live.com sú používané pri bezpečnom prihlasovaní k trom najpoužívanejším webovým službám na svete okrem Facebooku, Google, Yahoo a Windows Live, doména mail.google.com pri bezpečnom prístupe k Gmailu, doména addons.mozilla.org pri sťahovaní rozšírení pre Firefox ale zrejme tiež aktualizácií rozšírení a doména login.skype.com minimálne pri prihlasovaní k webu Skype.

Vytvorené certifikáty majú zmysel len pre útočníkov, ktorí buď dokážu manipulovať DNS a presmerovávať svoje ciele na nimi ovládané IP adresy alebo priamo presmerovávať IP dátovú prevádzku. V takomto prípade môžu svojim cieľom poskytovať falošné ale technicky korektné bezpečné napríklad prihlasovacie stránky pre služby, pre ktoré získali certifikáty, bez bezpečnostných upozornení prehliadača.

Comodo poukazuje v súvislosti s útokom na Irán. Z IP adresy v Iráne bol uskutočnený prvý útok a zároveň v Iráne bol prevádzkovaný jeden server, na ktorom bol použitý vytvorený certifikát pre login.yahoo.com. Útočníci samozrejme ale mohli pochádzať z inej krajiny a za Irán sa iba maskovať.

Zároveň sa Comodo práve pre potrebu manipulácie DNS alebo priamo IP trafficu domnieva, že za útokom musí byť niektorý štát. Explicitné dôkazy o tom, že za útokom stojí Irán, ale Comodo zatiaľ nezverejnilo.

Útočníkom sa certifikáty podarilo vyrobiť pomocou prihlasovacích údajov, ktoré zatiaľ neznámym spôsobom získali od jedného z partnerov tejto certifikačnej autority v Južnej Európe. To im umožnilo prístup do systému Comodo a vytvorenie certifikátov aj pre domény, ktoré nevlastnia.

Útok bol podľa tvrdenia Comodo detekovaný do niekoľkých hodín a certifikáty boli zneplatnené. Webové prehliadače, ktoré sú nastavené na kontrolu zoznamu zneplatnených certifikátov, na tieto certifikáty v súčasnosti upozornia ako na neplatné. Tieto kontroly je možné ale pri kontrole nad sieťovou infraštruktúrou znefunkčniť.

Tvorcovia webových prehliadačov preto začali od minulého týždňa postupne vydávať nové verzie svojich webových prehliadačov, ktoré majú deväť minulý týždeň hackermi získaných certifikátov napevno zneplatnených a ktoré si je odporúčané čo najskôr nainštalovať.

Chrome ich obsahuje od verzie 10.0.648.151, Firefox 4 od RC2 verzie, ktorá bola vydaná kvôli týmto certifikátom, a od verzií 3.6.16 a 3.5.18. Microsoft vydal aktualizáciu, ktorú je možné manuálne stiahnuť alebo nechať nainštalovať cez automatické aktualizácie.

Podľa Comodo bolo zatiaľ na Internete zaznamenané použitie len jedného zo získaných certifikátov, pre login.yahoo.com. Comodo o incidente informuje tu, tu a tu.


      Zdieľaj na Twitteri


Kontrolujete vždy pri zadávaní prihlasovacích údajov do webových služieb, či ste na zabezpečenej stránke a na správnej doméne? (hlasov: 577)

Áno      58%
Nie      42%


Najnovšie články:

Nedostatok čipov bude aj podľa Intelu pokračovať až do 2023
Na Internete môžu byť zajtra problémy s časom, kvôli chybe v softvéri GPSD
Intel nekupuje tvorcu RISC-V procesorov, nedohodli sa
Starship by mala byť pripravená na orbitálny let v novembri
Telekom dá po problémoch jeden deň dáta zadarmo
Let na Marse s vyššou rýchlosťou vrtúľ by sa mal uskutočniť zajtra
Problémy s výkonom Windows 11 na AMD CPU opravené
Antik pokryl rodinné domy v Prešove gigabitovým pripojením
Boeing poletí do vesmíru s posádkou možno až v 2023
Panasonic ukončí v Česku výrobu TV


Diskusia:
                               
 

Tak odstránime Comodo z dôveryhodných certifikačných autorít z browseru.
Odpovedať Známka: -2.6 Hodnotiť:
 

Ja mam pocit ze to je cele len PR stunt. Marketing.
Odpovedať Známka: -2.9 Hodnotiť:
 

To je to iste Comodo, ktore ma ten freewarovsky firewall?
Pomaly ma zacina hnevat, lebo stale ma upozornuje na novu verziu firewallu. Ked akceptujem, nieco instaluje a potom chce restart. No a po restarte znova, ze je nova verzia a chce ju nainstalovat (pritom to je ta ista, ktoru akoze instaloval pred par minutami)
Odpovedať Známka: -4.7 Hodnotiť:
 

Načo instalovať firewall ? Ak máš firewall na routri/modeme tak v tvojích windowsoch ti bohate postačuje ten firewall čo už vo windowse je.
Odpovedať Známka: -2.5 Hodnotiť:
 

Ty si ale naivny :-D...A ked ides mimo svoj router? Myslis ze ta WinFirewall ochrani ? Alebo ze ta vobec firewall ochrani ? Jedinou ochranou je vypnut sietove rozhranie(iked pri dnesnych postrannych kanaloch si uz ani tym nemozes byt isty)
Odpovedať Známka: 0.8 Hodnotiť:
 

jasne jasne.. a pred kym by ma mal chranit ten moj firewall? nebodaj pred susedmi :D
ziadny NORMALNY clovek co sa trochu rozumie problematike nepotrebuje iny ako napr. win7 standardny firewall. ak potrebuje nejake extra pokrocile obmedzovania tak jasne ale na beznu pracu v pohode staci integrovany. a myslim si ze v domacnosti za routrom sa netreba obavat nejakych "hackerskych" utokov. ovela horsi je napriklad taky phishing a vsetky ostatne metody ktore platia na velku cast obyvatelstva ktori si myslia ze internet je ta ikonka na ploche.

a preco vlastne rozoberame firewall? ved clanok je o SSL certifikatoch :D
Odpovedať Známka: 5.2 Hodnotiť:
 

Niektori z nas chcu mat aj prehlad nad outgoing spojeniami. V poslednych rokoch je strasne vela softveru, ktory sa chce pripojit domov a prenasat udaje, o ktorych nikto netusi co obsahuju. Naco im to zbytocne dovolovat?
Odpovedať Známka: 8.5 Hodnotiť:
 

to ale musi byt otrava pri kazdej stranke, ktoru chces navstivit, potvrdzovat vynimku. Ak mas vynimku na port 80 a teda nepotvrdzujes, tak ti je filtrovanie outgoing trafficu nanic.
Odpovedať Známka: -4.3 Hodnotiť:
 

ked nevies ako taky inteligentny firewall funguje neozyvaj sa...interaktivny mod...urcita aplikacia cez urcity port prvykrat zacne nieco chciet, povolis, povolis docasne, alebo natrvalo...vpodstate vsetko je zablokovane okrem toho co povolis...sracky co chcu komunikovat a zbytocne vyzierat hocikedy linku permanentne zakazes a nikdy sa ti nestane ze by sa k tebe dostala nejaka nova prichadzajuca komunikacia bez upozornenia a pozdrzania na tvoju reakciu ci povolis alebo nie....... taky firewall zmysel ma ..
Odpovedať Známka: 6.4 Hodnotiť:
 

ja viem ako funguje firewall. Problem je v tom, ze filtrovanie na zaklade PID nestaci. Ak totiz nejakej aplikacii povolis odchodzie spojenie, aj tak nemas kontrolu nad tym, kam co posiela. A pri closed-source si to ani nemas moznost skontrolovat. Napr. povolis odchodzie spojenia pre Skype, a on ti len tak mimochodom precita informacie z BIOSu a posle ich. Mna by to nahnevalo. Vo vseobecnosti - ak je aplikacia trojsky kon, ty ju v dobrej viere povolis a uz jej nezabranis aby neposielala informacie inam nez vtedy, ked si ju povolil. Jedine, ze by si povoloval kazdu destinaciu zvlast. Ale to sme vlastne tam, kde som uz pisal ....
Odpovedať Známka: 5.6 Hodnotiť:
 

z toho ako pises, je evidentne ze o moznostiach firewallov vies len tolko ako bezny domaci sprtal, t.j. max. zapnut a vypnut a o zbytku netusis ...

a s tym BIOSom si to zaklincoval ... co take sosbne mas v biose ? rodne cislo ? alebo len seriove cislo a ine velmi dolezite udaje ? :-))))
Odpovedať Známka: -1.4 Hodnotiť:
 

A ako chces kontrolovat odchadzajuce spojenia?
Odpovedať Známka: -5.6 Hodnotiť:
 

jasne ze firewallom, ale to neznamena ze ta ochrani pred tymi prichadzajucimi !!
Odpovedať Známka: -3.3 Hodnotiť:
 

..a naco by som to robil? :)) Vsadzam radsej na prevenciu a tiez je vhodne poznat, ako blika modem v "normalnom" stave :).
Odpovedať Známka: 3.3 Hodnotiť:
 

lebo v dnesnej dobe sa kazdy druhy soft pripaja na servery vyrobcu, aj ked s netom nema nic spolocne. Tak sup sup mu to pekne zakazat. Napr. na iphone sa snad kazda aplikacia pripaja na net. Esteze to mozem firewallom elegantne zamedzit :)
Odpovedať Známka: 8.2 Hodnotiť:
 

Jasné, treba masírovať verejnosť a hľadať si ďalšie zámienky aby sa ospravedlnil ďalší útok "spojencov" na Irán.

Lebo ako sa vraví: " Americkí geológovia objavili nad ložiskom ropy neznámu arabskú krajinu."
Odpovedať Známka: 6.8 Hodnotiť:
 

A potom ta svist balil do folie..
Odpovedať Známka: -3.0 Hodnotiť:
 

A potom si sa zobudil s rukou v serbli..
Odpovedať Známka: 8.8 Hodnotiť:
 

Jasné, lalo, toto vravíte už dva roky a nejako furt sa ten útok nie a nie začať :)

Ale je super, že irán si v podstate môže teraz robiť čo sa mu zachce, veď my si to sami potom označíme za masírovanie.
Odpovedať Známka: 0.0 Hodnotiť:
 

nie je to nahodou naopak, ako s tymi udajnymi jadrovymi zbranami, 10 rokov sa uz hladaju a nic sa nenaslo, zachvilu koli takym ako ty, ktovie ci tupcom alebo konspiratorom, ich budu asi dalsich 10 rokov hladat u Iranu, a popri tom cerpat ropu, aby nahodou nevysla na zmar... (aj ked tam asi viac ide o to, ze odporuju)
Odpovedať Známka: 3.3 Hodnotiť:
 

"Ale je super, že irán si v podstate môže teraz robiť čo sa mu zachce" uf takze iran teraz utoci na okolite krajiny alebo nebodaj ma stovky vojenskych zakladni po celej planete :D ty uz si po vyplachu ze?
Odpovedať Známka: 3.3 Hodnotiť:
 

Co, toto? To len chalani z SAV testli ich prototyp kvantoveho PC.
Odpovedať Známka: 7.5 Hodnotiť:
 

Uz chapem, ze preco mi za posledne dni prisiel kadejaky doposial neexistujuci SPAM :) ... esteze to tak rychlo odhalili a opravili ;)
Odpovedať Známka: -6.9 Hodnotiť:
 

Sionisti nemaju dobru zamienku na utok na Iran tak vymyšlaju hovadiny aby oblbli cely svet

NO NEKUP TO!!!
Odpovedať Známka: -2.2 Hodnotiť:
 

Takto sa to robi chlapci :)

Kolko asi bolo takychto utokov, co neboli zverejnene? Tiez nepochybujem o tom, ze FBI a spol. maju priamu linku na certifikacne autority.
Odpovedať Známka: 0.0 Hodnotiť:
 

www.microsoft.com /technet/security/advisory/2524375.mspx

Enjoy the fun.
Odpovedať Hodnotiť:
 

0
Odpovedať Hodnotiť:
 

tu, tu a tu.
Odpovedať Známka: 10.0 Hodnotiť:
 

Samozrejme, Iránska islamská republika je 1 z posledných ostrovov slobody mimo vplyvu diktátu zločineckých amerických vydieračských kapitalistov.

Škoda len, že je signatárkou Zmluvy o nešírení jadrových zbraní, a teda že na rozdiel od Spojených štátov agresívnych využíva jadrovú energiu iba na mierové účely.

Odpovedať Známka: 7.5 Hodnotiť:
 

tak sup sup amici, rychlo spustite humanitne bombardovanie iranu, ved o to vam ide, teraz mate super vykonstruovanu zamienku.
Odpovedať Známka: 10.0 Hodnotiť:
 

To ze bol utok urobeny z Iranskeho servru (ssh ? telnet ?) nijak nenaznacuje ze by sa koli tomu malo zacat bombardovanie. Tento clanok je k inej teme, ale kedze niektory ludia jej vobec nerozumeju tak radsej idu nadavat na to na co nadavaju uz dlho. Vyhlasili snad spojene staty ze budu niekde nieco bombardovat ? Skuste sa vyjadrit k teme ale radsej mlcte...
Odpovedať Hodnotiť:
 

Jedine slovo.....iptables...
Odpovedať Hodnotiť:

Pridať komentár