Vlády údajne odpočúvajú SSL komunikáciu pomocou falošných certfikátov

DSL.sk, 25.3.2010

Vlády údajne odpočúvajú komunikáciu zabezpečenú protokolom SSL pomocou falošných certfikátov.

V stredu vydanej správe to tvrdia Christopher Soghoian a Sid Stamm na základe získaných informácií o zariadení predávanom vládam, ktoré je určené na takéto odpočúvanie.

Zariadenie spoločnosti Packet Forensics umožňuje realizovať man-in-the-middle útok, pri ktorom používa technicky platný SSL certifikát pre odpočúvanú doménu a vydáva sa za webový server prevádzkujúci zabezpečenú stránku navštívenú odpočúvaným užívateľom.

Aby zariadenie mohlo fungovať nepozorovane s ohľadom na kontroly v dnešných prehliadačoch, musí mať samozrejme k dispozícii k verejnému kľúču z certfikátu aj zodpovedajúci privátny kľúč. Teoreticky môže byť zariadenie použité s originálnym certifikátom a kľúčom poskytnutým dobrovoľne alebo nedobrovoľne prevádzkovateľom zabezpečenej stránky, podľa Soghoiana a Stamma sa ale používa aj s falošnými certifikátmi.

"CEO spoločnosti Packet Forensics nám potvrdil tvrdenia z marketingových materiálov. Vládni zákazníci prinútili certifikačné autority vydať certifikáty používané pri odpočúvaní," uvádza sa v správe.

Zariadenia boli predané v USA aj mimo USA. Vzhľadom na platné zákony musí výrobca informovať o exporte tohto zariadenia Ministerstvo obchodu USA. Autori správy sa na základe zákona o slobodnom prístupe k informáciám pokúsili získať zoznam krajín, do ktorých bolo zariadenie exportované, Ministerstvo obchodu USA im ale informácie neposkytlo.

Súčasné prehliadače obsahujú veľké množstvo koreňových certifikátov od množstva certifikačných autorít. Autori správy upozorňujú, že viacero z týchto zahrnutých CA je priamo kontrolovaných vládami, svoju CA v prehliadačoch majú napríklad Rakúsko, Slovinsko, Francúzsko, Švajčiarsko, Japonsko, India aj USA.

Spoločnosť VeriSign, ktorej patrí aj certifikačná autorita Thawte a je najväčším poskytovateľom certifikátov, podľa svojich vyjadrení pre americké médiá nikdy nevydala žiadny falošný SSL certifikát.

Správu je možné sťahovať tu (PDF).


Najnovšie články:



Diskusia:

Sledovačka Od: Admin123 | Pridané: 25.3.2010 10:32 Treba sledovať všetko :ako sa človek narodí až po smrť,a ako je to málo spraví sa sčítanie ľudí kde v otázkach máte všetko čo im chýba či máte PC,farebný televízor,chladničku,prístup k internetu Atď. Na internete či ste nebol náhodou na tej alebo onej stránke. Odpovedať Známka: 10.0 Hodnotiť:

Re: Sledovačka Od: ==Kuko== | Pridané: 25.3.2010 10:36 To náš pravdu keď bude sčítanie tak si pozriem tie ich nepovinné otázky ==OK== Odpovedať Známka: 10.0 Hodnotiť:

Re: Sledovačka Od: sdfsfsdsddsd | Pridané: 25.3.2010 10:51 kapitalizmus, komunizmus a neviem este aky *izmus vsetko je to jedno ... ja v tom nevidim skoro ziadny rozdiel co sa tohto tyka .. ano komunizmus bol zly len na rozdiel od kapitalizmu sa sledovanim ludi netajil ( vid stb ) ja si osobne myslim ze v dnesnej dobe nam vladne HYIENIZMUS ! a nech si hovori kto chce cio chce ... vsetci sme ludia, len na rozlicnych spolocenskych urovniach a vsetci sme zvedavi ... od tych najjednoduchsich ludi az po kadre vo vladach .... Odpovedať Známka: 10.0 Hodnotiť:

Re: Sledovačka Od: rouen | Pridané: 25.3.2010 12:14 niekde som videl zaujimavu myslienku.. od isteho casu vo svete uz vobec neexistuju systemy ako kapitalizmus alebo komunizmus, prakticky univerzalnym systemom je monetarizmus (moc = peniaze). Ak sa zamyslis, je to skutocne tak, vsetky "vladne" rozhodnutia na svete, v akomkolvek politickom systeme, su vyhradne podriadene moznostiam ich mecenasov zarobit na tom Odpovedať Známka: 9.0 Hodnotiť:

Re: Sledovačka Od: hdfghdjs | Pridané: 25.3.2010 12:15 mame co sme chceli... mozeme jest peniaze Odpovedať Známka: 10.0 Hodnotiť:

Re: Sledovačka Od: Deer | Pridané: 25.3.2010 16:01 Odkial beries istotu, ze ja to kcem. Mozno kcem zit ako vo filme "backk to the wild", len som sa narodil do *-izmu. Odpovedať Známka: -6.7 Hodnotiť:

aaaaaa Od: Ja. | Pridané: 25.3.2010 10:58 ci pána... Odpovedať Známka: 8.5 Hodnotiť:

Re: aaaaaa Od: karol co ti ho do ... | Pridané: 25.3.2010 11:22 opera je pan! Odpovedať Známka: -7.1 Hodnotiť:

Re: aaaaaa Od: Kapitan Bomba | Pridané: 25.3.2010 18:42 A tvoja matka, to chuj. Odpovedať Známka: -1.1 Hodnotiť:

tor offline.... Od: ubx | Pridané: 25.3.2010 11:04 To v podstate cini veci ako Tor viac-menej neucinnymi. Ze sa tie gerety dostany do ruk aj Cinanom a dalsim, pred ktorymi ma Tor chranit, je ista vec a je vymalovano. V podstate tie "najdemokratickejsie" vlady sveta konecne naplnaju sny tych najvacsich komunistov. grrr :-( Odpovedať Známka: 8.7 Hodnotiť:

Re: tor offline.... Od reg.: cinko | Pridané: 25.3.2010 11:12 stale mozes pouzit ssh tunnel/https proxy na server mimo krajiny (self signed certifikat samozrejme). Odpovedať Známka: 8.2 Hodnotiť:

Re: tor offline.... Od: ubx | Pridané: 25.3.2010 11:16 pruser je, ze ta nakoniec bude tak ci tak nejaka krajina odpocuvat. a kedze nikto netusi, ako su poprepajane dratiky cez rozne krajiny, moze sa stat, ze to pojde zasa tade, kade by si nechcel. Odpovedať Známka: 8.0 Hodnotiť:

Re: tor offline.... Od reg.: cinko | Pridané: 25.3.2010 11:36 mozno budes mat stastie a krajina cez ktoru pojdes nebude mat na tom zariadeni potrebne certifikaty :) Odpovedať Známka: 7.1 Hodnotiť:

Re: tor offline.... Od: ubx | Pridané: 25.3.2010 11:41 len si tak sedis doma a dufas a dufas a v tom sa ozve klopklopklop a tichym hlaskom: mate doma psicka? :-) zvysok vtipu uz poznas :-) Odpovedať Známka: 10.0 Hodnotiť:

Re: tor offline.... Od: Admin123 | Pridané: 25.3.2010 11:42 neboj sa každá krajina sleduje a odpočúva . Odpovedať Známka: 8.0 Hodnotiť:

Re: tor offline.... Od reg.: cinko | Pridané: 25.3.2010 11:44 heh no na slovensku by som tomu moc neveril (vzhladom na "uroven" IT v statnej sprave) Odpovedať Známka: 4.5 Hodnotiť:

Re: tor offline.... Od: ubx | Pridané: 25.3.2010 11:55 Neboj sa, aj vlada si vie zaplatit zopar ludi a externych firiem... To nesuvisi s poloadminom na urade v hornej dolnej, ktory zdviha telefonaty na recepcii, umyva podlahu a meni pasky v zahadnej ciernej krabici na rohu 2. poschodia. Odpovedať Známka: 10.0 Hodnotiť:

Re: tor offline.... Od reg.: cinko | Pridané: 25.3.2010 12:09 na slovensku nevie. schopny ludia nedostanu bezpecnostnu previerku a teda nic take im nedovolia. slovensko je krajina predrazenych tendrov zverenych neschopnym firmam. naozaj by som sa toho nebal - pozri si stranky roznych ministerstiev, pripad nbu a vlastne akejkolvek pocitacovej kriminality (chalanov chcu usvedcit na zaklade icq logu? mjch). slovensko ako stat je co sa tyka IT sto rokov za opicami... Odpovedať Známka: 10.0 Hodnotiť:

Re: tor offline.... Od: ubx | Pridané: 25.3.2010 12:19 nbu je nbu. nikto ich nepotrebuje, tak na nich vlada kasle. su na stemplovanie papierov, nie na riesenie realnej bezpecnosti. poznam ludi z nases a kludne by som ich bral do firmy. kazdopadne si treba na uvod uvedomit jednu vec: vlada potrebuje drzat moc. a kedze na to aktualne treba aj taketo veci, tak si ich zabezpeci. aj keby to posunula amikom. ale zabezpeci si to. vies si predstavit hocijakeho politika (nemusi to byt zrovna mufti s hranolom), ktoremu povies, ze sa da spehovat prevadzka na internete a on to strci do suflika? Odpovedať Známka: 7.8 Hodnotiť:

Re: tor offline.... Od: quix_ | Pridané: 25.3.2010 18:30 ja viem :)) Odpovedať Hodnotiť:

Re: tor offline.... Od: zippy | Pridané: 26.3.2010 8:39 moment. A ako ma bude vlada odpocuvat, ked budem pouzivat svoje kluce - rozumej na serveri si vytvorim svoj vlastny kluc a na klientovi tiez (prihlasovanie klucom, nie heslom) a zakazem "vladne" sifrovacie algoritmy (DES, 3DES)? Odpovedať Známka: 3.3 Hodnotiť:

Re: tor offline.... Od: viva la fico | Pridané: 25.3.2010 19:03 Cinania tie gerety nepotrebuju, tam spolupracuje provider a v takom pripade nie je problem spiskat MIM utok na SSL na priemernom HW. Odpovedať Známka: 10.0 Hodnotiť:

Youtube Od: Nejde YOUTUBE | Pridané: 25.3.2010 12:21 funguje vam youtube ? Odpovedať Známka: -2.0 Hodnotiť:

Jutub Od: youtube | Pridané: 25.3.2010 12:22 Http/1.1 Service Unavailable Odpovedať Známka: 6.7 Hodnotiť:

Sú to špiny Od: Psycholog | Pridané: 25.3.2010 12:25 toto si v SIS-ke rozpráva každé ráno každý zamestnanec pred zrkadlom : "Jmenuju se závist a zlost, nazývej mne jak chceš Sem ďábel delám to pro radost..." Odpovedať Známka: 10.0 Hodnotiť:

thawte Od: hahiho | Pridané: 25.3.2010 13:59 hlavne ze verisign tie certifikaty nedava vlade ale zato ich da tomu kto si ich vyziada (staci si spomenut na kauzu tusim z addons.mozilla.com ked niekomu kto napisal mail v ich mene poskytli privatny kluc) myslim ze to bol verisign ak nie tak sa ospravedlnujem :D Odpovedať Známka: 3.3 Hodnotiť:

Re: thawte Od: blablabla | Pridané: 25.3.2010 22:25 Pokial viem ako certifikaty funguju, na utok man-in-midlle treba mat znalost privatneho kluca. Ale bezpecnostna podmienka je ze certifikacna autorita nesmie vediet privatny kluc(iba drzitel certifikatu). Robi sa to tak, ze clovek podpise spravu so svojim privatnym klucom, ktory si vygeneruje dvojicu privatneho a verejneho kluca . Verejny kluc zverejni, a autorita vytvori asociaciu verejny kluc <-> drzitel certifikatu.(to ako reakcia na tvoj nezmysel ze verisign ma znalost privatneho kluca, neviem o takej praxi zeby CA drzala privatny kluc) Odpovedať Známka: 3.3 Hodnotiť:

Re: thawte Od: blablabla | Pridané: 25.3.2010 22:26 PRIVAROK :) Je ocividne jasne, ze znalost privatneho kluca pre domenu znamena napichnut sa medzi komunikujucich ucasnikov tak ze s ucasnikom budem pouzivat fake-ovany certifikat, a ten normalny certifikat so serverom. Avsak z celkovej architektury certifikatov nikto nepredpoklada ze CA vyda pre jednu identitu dva rozne certifikaty a jeden z nich podsunie tretej strane. Vzdy tu bude otazka dovery v CA, preto je to autorita, ak autorita nie je doveryhodna pre komunikujucich , potom nikdy nie je jasne kto je na druhej strane. Odpovedať Hodnotiť:

clanok Od reg.: loginlogin | Pridané: 25.3.2010 15:56 Hm, to ale nie je sprava, ale vedecky clanok. Odpovedať Známka: 2.0 Hodnotiť:

Re: clanok Od: jupiii | Pridané: 25.3.2010 16:33 Co na tom nerozumies? Obycajna odborna terminologia ohladom sietovych spojeni chranenych sifrovanim na zaklade certifikatov. Autor mohol na zaciatku clanku niekolko vyrazov vysvetlit aj pre laikov, alebo aspon dat odkazy. Aj tak chvalim autora za clanok. Odpovedať Známka: 10.0 Hodnotiť:

Re: clanok Od reg.: loginlogin | Pridané: 25.3.2010 17:39 Looooool, ty si totalne mimo, toto nema s vedeckym clankom nic spolocne. Asi ze ide o to pdf na konci, ktore oznacuju ako spravu. Odpovedať Známka: 10.0 Hodnotiť:

Re: clanok Od: jupiii | Pridané: 25.3.2010 23:05 oki nepochopil som, uz rozumiem co si tym myslel. Odpovedať Hodnotiť:

Riesenie Od: viva la fico | Pridané: 25.3.2010 18:54 Skoda len ze zmienka o skutocnosti ze autori spravy navrhli aj riesenie (sekcia 7) daneho problemu a vyvinuli add-on pre prehliadac ktoreho cielom je uzivatela v pripade takehoto utoku varovat sa do clanku uz nedostala. Odpovedať Známka: 10.0 Hodnotiť:

Re: Riesenie Od: m__ | Pridané: 26.3.2010 11:15 a mozes sem hodit tu linku na ten add-on ? d. Odpovedať Hodnotiť:

Mna to neprekvapuje Od: adfhjlk | Pridané: 30.3.2010 1:05 To by ste sa este divili co vsetko EU o nas vie. V Bruseli je velmi vykonny superpocitac ktory je prepojeny so vsetkymi satelitmi. Vsetko je sledovane. Vdaka tomuto sledovaniu sa napr. vie ze Admin123 mal dnes oblecene ruzove slipy, ==Kuko== obtazoval chlapcov v jeho triede, rouen bol na obrovskej gay party, Deer sa pokakal v noci, Kapitan Bomba bol pohlavne zneuzity jeho vlastnym psom, ubx si 6x vyhonil nad fotkou Pamely Anderson, cinko pouzil novy analny vibrator, quix_ sa bozkaval so svojim bratom, zippy si lestil vtaka ked pozoroval kamaratov v sprche a viva la fico pretiahol macku. Odpovedať Hodnotiť:

Pridať komentár