» »

V napadu na DigiNotar izdanih več deset lažnih certifikatov

V napadu na DigiNotar izdanih več deset lažnih certifikatov

PC World - Včeraj smo poročali o lažnem SSL-certifikatu za Googlove strani, ki so ga nepridipravi izdali in podpisali kot DigiNotarjev certifikat, kar so uporabili za prisluškovanje iranskim uporabnikom Gmaila. Danes je znanih že več podrobnosti, med drugim tudi to, da je šlo za več strani.

DigiNotar, podružnica podjetja Vasco Data Security International, je izdala uradno izjavo javnost, v kateri so navedli nekaj pojasnil. Dejali so, da žal ni bil izdan le lažni certifikat za Google, ampak še za nekaj deset drugih spletnih strani, ki pa jih niso imenovali. Omenjeni certifikat za Google, ki je bil prvi odkrit, je resda veljal od 10. julija dalje, a je bil na spletu šele od nedelje. V ponedeljek je Vasco Data Security prejel obvestilo od Dutch Computer Emergency Response Team, da je certifikat ponarejen, tako da je bil 24 ur po uporabi že blokiran.

Kako so napadalci dobili dostop do DigiNotarja, še ni znano. V podjetju izvajajo izredno revizijo, ki bo prve izsledke ponudila v začetku prihodnjega tedna. Kljub temu so Microsoft, Google in Mozilla že izbrisali DigiNotar s seznama zaupanja vrednih CA-jev, kar pomeni, da bo pri kakršnikoli uporabi certifikatov, ki jih je podpisal DigiNotar, brskalnik dvignil varnostno zastavico. DigiNotar je zato že začel kontaktirati svoje stranke, s katerimi iščejo pot iz zagate - verjetno jim bodo priporočili, naj uporabijo drugega CA-ja, bržkone kar nizozemsko vlado. DigiNotar sicer ni veliko podjetje, saj so z izdajanjem certifikatov v prvih šestih mesecih letos zaslužili manj kot sto tisoč evrov.

1 komentar

ikeman ::

"Omenjeni certifikat za Google, ki je bil prvi odkrit, je resda veljal od 10. julija dalje, a je bil na spletu šele od nedelje. V ponedeljek je Vasco Data Security prejel obvestilo od Dutch Computer Emergency Response Team, da je certifikat ponarejen, tako da je bil 24 ur po uporabi že blokiran."


Seveda, če verjameš :))


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Vdor v indijski NIC na splet poslal lažne certifikate

Oddelek: Novice / Varnost
64565 (2844) s6c-gEL
»

Še en nizozemski CA napaden

Oddelek: Novice / Varnost
115109 (4155) enadvatri
»

Mozilla korenskim overiteljem naložila obsežen varnostni pregled

Oddelek: Novice / Varnost
94386 (3499) win64
»

Znane podrobnosti v vdoru v DigiNotar

Oddelek: Novice / Varnost
95856 (5283) krho
»

Nizozemski CA DigiNotar izdal lažen SSL-certifikat

Oddelek: Novice / Varnost
54296 (3488) Iatromantis

Več podobnih tem