Azet.sk vymenil SSL certifikát, opäť za kompromitovaný

DSL.sk, 29.5.2008

Po dnešnom článku servera DSL.sk o dva týždne známej chybe v OpenSSL knižnici v linuxovej distribúcii Debian a odvodených distribúciách, ktorá má vážne bezpečnostné následky, vymenil certifikát zatiaľ jediný z vlastníkov 27 slovenských SSL certifikátov kompromitovaných chybou.

Bol ním portál Azet.sk, u ktorého bol kompromitovaný certifikát používaný okrem iného pri prihlasovaní užívateľov. Certifikát bol nahradený novým s platnosťou oddnes.

Z nepochopiteľných príčin je ale kompromitovaný aj RSA kľúč nového certifikátu, ako vyplýva z testu nástrojmi od Debianu a Ubuntu openssl-vulnkey a dowkd.pl a ich databáz.

Do času publikovania článku sa nám nepodarilo od prevádzkovateľa portálu získať stanovisko k tomu, čo bolo príčinou použitia kompromitovaného kľúča.

Chyba v OpenSSL knižnici prítomná viac ako rok v distribúcii Debian spôsobila, že knižnica generovala na danej platforme iba 32 768 rozličných postupností náhodných čísel. Napríklad v prípade generovania RSA kľúčov danej dĺžky bol tak každý kľúč z úzkej množiny 32 768 kľúčov a u každého takéhoto kľúča je tak možné podľa verejného kľúča nájsť privátny.

U SSL komunikácie zabezpečenej takýmto spôsobom kompromitovaným certifikátom je jej bezpečnosť prakticky na úrovni nezabezpečenej komunikácie, keď SSL komunikáciu je možné rozšifrovať, respektíve je možné použiť man-in-the-middle útok.


Najnovšie články:



Diskusia:

snaha sa ceni Od reg.: .heh. | Pridané: 29.5.2008 23:14 ako sa vravi, snaha sa ceni, ale tiez si mohli novy certifikat najprv overit a nespoliehat sa len na slova: uz to mate v poriadku ;) Odpovedať Známka: 1.4 Hodnotiť:

a to akoze chcu povedat ze Od: aha | Pridané: 29.5.2008 23:25 moja mara neni ozaj moja mara? Odpovedať Známka: -3.3 Hodnotiť:

Re: a to akoze chcu povedat ze Od reg.: Lubo Hrobar | Pridané: 29.5.2008 23:38 to akoze muj tata neni muj tata? Odpovedať Známka: 0.0 Hodnotiť:

apt-get upgrade Od: ratatata | Pridané: 29.5.2008 23:50 niekto zabudol spustit pred vyhenerovanim noveho kluca apg-get update apt-get upgrade :)) Odpovedať Známka: 2.5 Hodnotiť:

Re: apt-get upgrade Od: asdfg | Pridané: 30.5.2008 9:41 keby to bolo take jednoduche ... vsak Odpovedať Známka: 10.0 Hodnotiť:

Re: apt-get upgrade Od reg.: piXus | Pridané: 30.5.2008 10:15 Je to take jednoduche. Toto mali spustit na PC, kde ten certifikat generovali. A ak maju produkcny server na debian-based distribucii, tak to mali spustit aj tam, po update server nebude trustovat certifikaty, ktore su z infikovanych. Odpovedať Známka: 0.0 Hodnotiť:

haaha Od: REVUCKA MAFIA | Pridané: 30.5.2008 8:33 to je vtip azet haha uz ake tajne informacie tam maju uzivatelia. tie uchylne profily uzivatelov, sexisticke fotografie alebo ta trapna posta (email) uz horsi je len post. Odpovedať Známka: 5.2 Hodnotiť:

Re: haaha Od: paza man | Pridané: 30.5.2008 9:43 keby zivot mal spocivat na post.sk a sme.sk tak sme davno v pazi Odpovedať Známka: 5.6 Hodnotiť:

Re: haaha Od: no joke! | Pridané: 30.5.2008 11:32 a na com spociva, o velky mudrc? Odpovedať Známka: 0.0 Hodnotiť:

Re: haaha Od: aleluja | Pridané: 30.5.2008 13:13 a v com nespociva, ú velky mudrc ? Odpovedať Známka: 3.3 Hodnotiť:

gjjkklkjô Od: 4567343 | Pridané: 30.5.2008 9:17 tak post.sk je nozaj to najhoršie čo múže byť, občas sa stracaju maily, nedá sa prihlasiť, alebo mail, ktorý ste dostali pred týždnom sa zobrazí medzi prijatou správou až zajtra. A to ešte si pýtaju prachy za podporu pop3. Odpovedať Známka: 6.7 Hodnotiť:

Re: gjjkklkjô Od reg.: QVadrant | Pridané: 30.5.2008 9:42 mas ohladom postu vela info, este dodaj ze ho aj pouzivas a vyhravas the best joke of the year :) Odpovedať Známka: -6.0 Hodnotiť:

Re: gjjkklkjô Od: deviruchi | Pridané: 30.5.2008 17:19 Ja ho osobne pouzivam ako spamovy kos, zide sa :)..Ale niektore registracie webov chodia fakt v uctihodnych dlhych intervaloch. Odpovedať Hodnotiť:

man-in-the-middle Od: frejhytej | Pridané: 30.5.2008 10:19 Man-in-the-middle utok je mozne pouzit vzdy. V tomto pripade vsak uzivatel dostane rovnaky certifikat ako keby komunikoval zo serverom priamo kdezto v klasickom pripade dostane podvrhnuty certifikat, ktory je zistitelny. Odpovedať Hodnotiť:

Re: man-in-the-middle Od reg.: Redakcia DSL.sk | Pridané: 30.5.2008 10:29 :) Pri takejto definícii man-in-the-middle by tento termín stratil význam. Odpovedať Hodnotiť:

Re: man-in-the-middle Od: 32362 | Pridané: 30.5.2008 15:57 wikipedia.org/wiki/Secure_Sockets_Layer#Security To protect against Man-in-the-middle attacks, the client compares the actual DNS name of the server to the DNS name on the certificate Odpovedať Hodnotiť:

na azete Od: prdoch | Pridané: 30.5.2008 12:08 to uz je opravene :) Odpovedať Známka: 3.3 Hodnotiť:

Azet je azet... Od: Miki6 | Pridané: 30.5.2008 16:45 Co ktomu povedat... azet je azet... jedna velka diera. Odpovedať Známka: 10.0 Hodnotiť:

Azet podvod Od: objektivny | Pridané: 8.6.2008 0:07 neviem naco treba azetu SSL, ved nerobia i-banking a ani nic podobne. A navyse databazy hesiel zverejnuju ich interny zamestnanci na internete a kazdy si potom pozera zamknute albumy. Na to, ze nesifruju hesla v databaze (md5, sha), ale ukladaju ich ako plain text, sa nevyjadrujem. No ved kto by mal potom zaujem o 30 az 40 znakovy hash, ze? S heslami alá plain text sa da lepsie kseftovat. Azet nie je spolocnost, ktorej by som mohol doverovat. Odpovedať Hodnotiť:

Pridať komentár