» »

Znane podrobnosti v vdoru v DigiNotar

Znane podrobnosti v vdoru v DigiNotar

The H -

No anti-virus, a single Windows domain for many CA servers, an easily brute-forced password and a tempest proof server room accessible from the management LAN: DigiNotar's security was full of holes.


Nizozemska vlada je pripravila vmesno poročilo z naslovom Črni tulipan (pdf) o varnostni situciji pri njihovi 'črni ovčki'; SSL overitelju DigiNotar. Kot smo že poročali v zadnjih dneh, so vanj enkrat poleti vdrli nepridipravi in si izdali ponarejene, a povsem legitimno izgledajoče certifikate za več deset domen visoke vrednosti, npr. za Google Mail ali določene varnostne službe. S temi certifikati je mogoče izvajati man-in-the-middle napade na lokalnih omrežjih ali - v skrajnem primeru - celo na posamezni državi.

Napadalci bi v strežnik prišli skozi neposodobljen spletni vmesnik. Nad tem naj bi bdel IDS (intrusion detection system), ki je sicer tekel, a naj ne bi bil ustrezno konfiguriran. Zatem so uspeli uganiti administratorsko geslo za Windows domeno, ki naj bi bilo pretirano preprosto in enostavno zlomljivo s preizkušanjem (brute force), npr. 'hannover3000'. Ker so bili v isto domeno priključeni vsi ključni računalniki, so imeli administratorski dostop do vseh. Končno so s posebnimi skriptami pripravili zahtevke za podpis certifikatov (CSR) in jih tudi podpisali.

Skupaj naj bi bilo podpisanih vsaj 531 ponarejenih certifikatov; lahko tudi več, ker od določene točke naprej dnevniški zapisi niso več na voljo.

Ponarejeni certifikati naj bi bili v rabi zlasti v Iranu, in to kar na 40 različnih univerzitetnih in ISP omrežjih, kar se ne sliši najbolj spodbudno. Napadalec naj bi sicer bil isti kot pri vdoru v konkurenčnega overitelja Comodo v začetku leta, na svojem pastebin računu (as you do) pa se je pohvalil, da nadzoruje še več 'visoko pomembnih' CA-jev, med drugim GlobalSign in izraelski nacionalni CA.

Ideja za sistemom certifikatov je, da je overitelj zaupanja vredna oseba (trusted third party), ki preveri pravo identiteto imetnika domene, preden mu izda SSL certifikat za to domeno. Že nekaj let številni opozarjajo, da ta preverjanja niso dovolj stroga, tazadnji primeri ka kažejo, da jih včasih sploh ni. Sicer imamo načine za preklic odkritih ponaredkov, ki pa v praksi očitno ne deluje dovolj dobro.

9 komentarjev

MrStein ::

Napadalci bi v strežnik prišli skozi neposodobljen spletni vmesnik.

To najprej sploh nisem razumel, ali gre za opis uporabe ponarejenih certifikatov, ali opis načina, kako so si jih izdelali.
Drugič, kaj je to "neposodobljen spletni vmesnik"?
Ne splošno dostopen CMS (ali podobno), ki ni bil zadnje verzije?

Ponarejeni certifikati naj bi bili v rabi zlasti v Iranu

V kaki "rabi" ? So "zastrupili" DNS in presmerjali promet na lažje serverje, ki so uporabljali te certifikate za ponarejanje spletnih strani? Nekaj tretjega?

Saj je kul novica, ampak malo nedodelana...
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

johanblond ::

hannover3000


kaj je tako posebnega na tem geslu, da je pogosto, ne vem pričakoval bi asdfghjk, kot enostavno in uganljivo geslo ne pa hannover3000

ales85 ::

johanblond geslo je "uganljivo" z brute force dictionary napadom.

BaToCarx ::

Hehe sveda windoze domain server ne dropne po par poskusih ne?

antonija ::

npr. 'hannover3000'
HPjevi computerji, a? >:D

Tale hannover3000 dela na presenetljivo velikem stevilu compov (username je ponavadi kar "admin" ali katera od izpeljank).

P.S.: Pa spet smo na tisti točki kjer nekdo, ki je dobro placan, skrbi za svojo varnost slabse kot pa soseda za svoj WLAN. Treba bo zacet kazensko odgovornost enforcat za take slamparije...
Statistically 3 out of 4 involved usually enjoy gang-bang experience.

Zgodovina sprememb…

  • spremenilo: antonija ()

win64 ::

BaToCarx je izjavil:

Hehe sveda windoze domain server ne dropne po par poskusih ne?


Katerikoli strežnik je lahko slabo konfiguriran.

MisterR ::

Kje je zdaj mojster, da začne predavat kako slabi smo študentje(prejšna novica o zmenkarijah)?

BaToCarx ::

win64 je izjavil:

BaToCarx je izjavil:

Hehe sveda windoze domain server ne dropne po par poskusih ne?


Katerikoli strežnik je lahko slabo konfiguriran.


Jst sprašujem o default konfiguraciji aka "slabi"

krho ::

Bolj zaskrbljujoče je to, da sta bila med certifikati tudi dva wildcard *.*.com in *.*.net
si.Mail odprto-kodni odjemalec elektronske pošte. - http://www.simail.si
Uredite si svojo zbirko filmov, serij in iger - http://xcollect.sf.net


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Kazahstan želi uzakoniti prisluškovanje z obvezno namestitvijo certifikata

Oddelek: Novice / Zasebnost
168051 (6449) ender
»

Trustwave izdajal man-in-the-middle SSL certifikate, bojda je to "stalna praksa"

Oddelek: Novice / Varnost
2610198 (7783) kunigunda
»

Še en nizozemski CA napaden

Oddelek: Novice / Varnost
115123 (4169) enadvatri
»

Mozilla korenskim overiteljem naložila obsežen varnostni pregled

Oddelek: Novice / Varnost
94405 (3518) win64
»

Nizozemski CA DigiNotar izdal lažen SSL-certifikat

Oddelek: Novice / Varnost
54318 (3510) Iatromantis

Več podobnih tem