Kompromitované SSL certifikáty v SR vymenili len tri weby

DSL.sk, 7.6.2008

Viac ako tri týždne od publikovania informácií o vážnej chybe v knižnici OpenSSL v niektorých linuxových distribúciách boli vymenené len tri kompromitované certifikáty spomedzi 27 touto chybou kompromitovaných certifikátov pre slovenské domény, ktoré identifikoval server DSL.sk.

13. mája boli zverejnené informácie o chybe, vďaka ktorej v distribúcii Debian a v odvodených distribúciách viac ako rok generovala knižnica OpenSSL len 32 768 rozličných postupností náhodných čísiel.

V dôsledku toho napríklad knižnica generovala len menej ako celkovo 200 tisíc rozličných RSA kľúčov danej bitovej dĺžky na všetkých hardvérových platformách spolu. Všetky tieto RSA kľúče je tak potrebné považovať za kompromitované, pretože privátny kľúč k verejnému je možné nájsť jednoduchým vyhľadaním v množine predgenerovaných kľúčov.

Kompromitovaný RSA kľúč použitý v SSL certifikáte znižuje bezpečnosť zabezpečených HTTPS stránok prakticky na úroveň nezabezpečených stránok. Odchytávané prenášané dáta všetkými návštevníkmi takéhoto servera bez výnimky je možné dešifrovať, rovnako je možné rozšifrovať v minulosti zachytené dáta. Navyše je možné uskutočniť man-in-the-middle útok, tváriť sa ako dôveryhodný zabezpečený server.

O chybe sme detailne informovali v tomto článku 29. mája. To, že kompromitovaný kľúč bol do 13. mája používaný, samozrejme nie je znakom žiadneho bezpečnostného zlyhania. V deň zverejnenia informácií serverom DSL.sk, viac ako dva týždne od zverejnenia informácií o chybe Debianom, nemal vymenený certifikát ale ani jeden slovenský web, ktorý používal kompromitovaný certifikát.

Na druhý deň po publikovaní článku, 30. mája, si kompromitované certifikáty vymenili tri weby. Certifikáty s kompromitovanými RSA kľúčmi boli vymenené pre domény azet.sk, aj keď na druhý pokus, www.banner.sk a www.forplay.sk.

Stále tak zostáva na slovenskom webe používaných minimálne 24 kompromitovaných certifikátov, viac ako 6.5% všetkých platných dôveryhodných certifikátov. Ani jeden z kompromitovaných certifikátov nepoužíva banka alebo významná finančná inštitúcia. Sú medzi nimi ale certifikáty menšej poisťovne, významnej stávkovej kancelárie, veľkého predajcu elektroniky, aukčného servera a viacerých webhostingových spoločností.

Pre užívateľov prehliadača Firefox je k dispozíci rozšírenie, ktoré na kompromitované certifikáty upozorňuje. Odkaz na stiahnutie rozšírenia je možné nájsť v tomto článku DSL.sk.


Najnovšie články:



Diskusia:

zoznam Od: quix_ | Pridané: 7.6.2008 17:43 myslim ze by to na jednej strane pomohlo ludom a na strane druhej vytvorilo by to tlak na "weby" ktore pouzivaju taketo certifikaty, keby bol pekne niekde vyveseny ich zoznam ;) nieco ako listina hanby :D, verim tomu, ze by sa urychlene poponahlali s vytvorenim novych certifikatov :P Odpovedať Známka: 5.0 Hodnotiť:

Re: zoznam Od: hackerX | Pridané: 7.6.2008 23:52 ty si ale lol, to by sa potom aj hekeri a zlodeji poponahlali a tolko utokov by bolo ze az... to ti bol napad. Odpovedať Hodnotiť:

Re: zoznam Od reg.: .heh. | Pridané: 8.6.2008 13:12 lol si ty... myslis ze ked si to zistilo DSL tak si to nejaky hacker nezisti? Keby to bolo pre nich zaujimave, uz by si to davno zistili... Odpovedať Hodnotiť:

Re: zoznam Od: quix_ | Pridané: 9.6.2008 8:47 mno lol si ty, prosim ujasni si pouzivanu terminologiu.a clovek ktory na teba reagoval predomnou ma pravdu. "ti zli" by sa v pripade,ze by sa im to oplatilo, o tieto firmy zaujimali uz davno pred nejakym zverejnenim. ;) Odpovedať Hodnotiť:

nuze, zverejnite ich Od: certifikat | Pridané: 7.6.2008 19:53 Po takom case to uz hadam mohli vymenit, lajdaci. Nemozete ich zverejnit? Ved skuseni ####er uz o nich davno vie a keby ste ich takto zverejnili, tak by bolo vidiet inaksie fofry s tym ako ich vymenia. Okrem toho by to bola ta spravna reklama a clovek by videl komu sa vyhybat. Uz napr. aj ten Azet ... na druhy pokus, ach jaj... no asponze to dali do poriadku. Odpovedať Hodnotiť:

Azet - podvod Od: objektivny | Pridané: 7.6.2008 23:58 neviem naco treba azetu SSL, ved nerobia i-banking a ani nic podobne. A navyse databazy hesiel zverejnuju ich interny zamestnanci na internete a kazdy si potom pozera zamknute albumy. Na to, ze nesifruju hesla v databaze (md5, sha), ale ukladaju ich ako plain text, sa nevyjadrujem. No ved kto by mal potom zaujem o 30 az 40 znakovy hash, ze? S heslami alá plain text sa da lepsie kseftovat. Azet nie je spolocnost, ktorej by som mohol doverovat. Odpovedať Známka: 10.0 Hodnotiť:

Pridať komentár