»

Rusija bo izdajala svoje certifikate TLS

Slo-Tech - Ker zaradi zahodnih sankcij ruske spletne strani ne morejo dobiti novih certifikatov oziroma obnavljati starih po izteku - nekateri izdajatelji so jim celo preklicali še veljavne certifikate -, je Rusija ustanovila centralnega overitelja (CA), ki bo stranem izdajal lastne certifikate. Ministrstvo za digitalni razvoj ponuja brezplačno domačo alternativo za potekle certifikate, ki jo lahko lastniki ruskih domen po zaprosilu dobijo v petih dneh, so zapisali na uradnem portalu.

To je sicer res, vendar pa to še vedno ni rešitev, dokler ti certifikati niso v verigi zaupanja, zato bodo brskalniki še vedno prikazovali opozorila. Rusija zato svoje državljane poziva, naj v brskalnike ročno dodajo novega overitelja, ali pa naj presedlajo na lokalna brskalnika Yandex ali Atom, ki jih podpirata že tovarniško. Ni pričakovati, da bi Chrome, Firefox in Edge te certifikate kaj kmalu dodali med zaupanja vredne. Nekatere spletne strani so nove certifikate že začele uporabljati, denimo Sberbank, VTB...

26 komentarjev

Uporaba interneta na delovnem mestu koristna

The Wall Street Journal - Rezultati študije Impact of Cyberloafing on Psychological Engagement, ki so jo izvedli na Nacionalni univerzi v Singapurju, kažejo, da uporaba interneta na delovnem mestu povečuje storilnost, tudi kadar interneta ne uporabljamo zgolj v službene namene.

Raziskovalci so se do teh ugotovitev dokopali z dvema eksperimentoma. V prvem so 96 dodiplomskih študentov menedžmenta razdelili v tri skupine - kontrolno skupino, skupino z določenimi odmori in skupino s prostim deskanjem po spletu. Skupine so morale prvih 20 minut barvati vse ponovitve črke e v besedilu, nakar jih je čakalo 10 minut predaha. Prva skupina je ta čas izpolnjevala drugo nalogo, druga skupina je počivala, tretja pa je smela brskati po spletu. Ko so se vrnili...

8 komentarjev

Zlikovci pridobili nadzor nad Comodo CA-jem, izdali ponarejene certifikate

COMODO CA, kompromitirani izdajatelj certifikatov iz Velike Britanije, je močno prisoten tudi na ameriškem trgu

vir: Wikipedia
Slo-Tech - Varnost komunikacije po spletu se zagotavlja s protokolom SSL/TSL, njegova srčika pa je veriga zaupanja, udejanjena s certifikati. Ko se povežemo na npr. https://addons.mozilla.org, da bi prišli do zadnje kopije AdBlocka, nam njihov strežnik najprej ponudi svoj certifikat. Certifikat v osnovi ni nič drugega kot javni ključ za addons.mozilla.org, digitalno podpisan s strani CA (Certificate Authority) - podjetja, ki je tako ali drugače preverilo, da je za certifikat dejansko zaprosila Fondacija Mozilla. Ker zaupamo CA-ju in matematiki za podpisi, zaupamo tudi Mozilli in brskalnik nam njeno domeno obarva zeleno. Zatem se začne prenos podatkov, tako kot pri HTTP.

Problem nastopi, ko zlikovcem uspe pridobiti nadzor (zasebni ključ) nad katerim od CA-jev. Potem si lahko sami izdajo certifikat pod tujim imenom in mi bomo mu zaupali. Novo pridobljeni certifikat lahko potem...

30 komentarjev

Nekaj gnilega je v deželi certifikatski

Seznam zaupanja vrednih CA v Operi

Slo-Tech - Pri varnem brskanju po spletu, ko moramo biti stoodstotno prepričani, da je obiskana stran res to, za kar se predstavlja, se uporablja certifikatsko podpisovanje. Gre za verigo zaupanja, kjer na vrhu najdemo tako imenovane overitelje digitalnih potrdil (CA). To so bila včasih velika in ugledna podjetja ali vladne ustanove, ki podjetjem izdajajo certifikate oziroma digitalna potrdila, s katerimi jamčijo za njihovo istovetnost. Pri deskanju po spletu brskalnik pogleda, kdo je strani izdal certifikat. Če je izdajatelj na seznamu zaupanja vrednih CA-jev, lahko verjamemo, da smo res tam, kjer želimo biti. Kurt Seifried pa si je v članku (PDF) za...

8 komentarjev

Bo Mozilla zaupala kitajskemu CA?

Slashdot - Med razvijalci Mozille poteka zanimiva debata, ali naj kitajski CNNIC ostane na seznamu zaupanja vrednih overiteljev digitalnih potrdil (CA-jev) ali ne. CA-ji so pomemben steber varnosti na internetu, saj brez njih komunikacija po varnih kanalih s šifriranjem ne bi bila varna. Ko se brskalnik poveže na neko stran, ki uporablja šifrirano komunikacijo (s predpono https), bo strežnik najprej pokazal, da pozna določen ključ za enkripcijo. V drugi fazi pa bo moral dokazati svojo istovetnost, kar se stori z digitalnim certifikatom (cert), ki ga podeli eden izmed zaupanja vrednih CA-jev. Če zaupamo CA-ju, potem ta jamči, da je strežnik res, za kogar se predstavlja, in da ključ ni poznan nikomur drugemu. V nasprotnem primeru je povezava res lahko varna, a kaj ko je na drugi strani lažna stran.

Od lanskega oktobra je v seznamu zaupanja vrednih CA-jev v Mozilli tudi kitajski CNNIC (China Internet Network Information Center). Mnogi so takrat uvrstitvi CNNIC-a v to elitno druščino...

13 komentarjev

Napad z ničelno predpono na SSL/TLS certifikate že "v divjini"

Slo-Tech - Konec julija je Moxie Marlinspike na konferenci BlackHat 09 in Defconu 17 predstavil nov napad na SSL in TLS certifikate. Gre za tim. napad z ničelno predpono (ang. null prefix attack), ki izkorišča ranljivosti pri obravnavi SSL in TLS certifikatov. Marlinspike je namreč odkril, da je mogoče registrirati certifikate v obliki www.banka.si\0zlonamernastran.si. CA (Certificate Authority) bo vse znake pred "\0" ignoriral in brez težav podpisal certifikat za zlonamernastran.si, saj bo lastnik zlonamerne strani svojo identiteto in lastništvo strani seveda brez težav dokazal.

Izkaže pa se, da pri uporabi takega certifikata brskalnik certifikat prepozna kot veljaven tudi, če je uporabljen na domeni www.banka.si. Tako ustvarjen zlonamerni certifikat je torej mogoče uporabiti pri prestrezanju s posrednikom (ang. man-in-the-middle napad). Napadalec, ki uspe prestreči komunikacije žrtve (za ta namen je bilo (za okolje Linux) razvito posebno orodje SSLsniff), le-tej sedaj podtakne lažen...

41 komentarjev

Izvedba popolnega MITM napada

Prikaz MITM napada, (CC) Open Web Application Security Project

Slo-Tech - Kot na svojem blogu poroča Eddy Nigg, je tokrat Božiček hekerjem prinesel odlično darilo - popoln napad s posrednikom.

Napad s posrednikom, znan tudi pod imenom MITM (man-in-the-middle) napad, je posebna oblika napada, kjer napadalec skuša "prisluškovati" šifriranemu prometu med žrtvijo in spletnim (ali drugim) strežnikom. Deluje tako, da napadalec preko sebe preusmeri ves promet do nekega https strežnika, žrtvi podtakne lažen SSL certifikat, promet pa nato dešifrira in pošilja dalje do pravega strežnika.



Vendar pa se je do sedaj napade s posrednikom dalo zaznati na relativno enostaven način. Ker naj bi izdajatelji SSL certifikatov preverili identiteto oseb, ki se predstavljajo za upravitelje varnih spletnih strani, napadalec ne more dobiti s strani zaupanja...

116 komentarjev

Microsoft zaupa slovenskim internetnim certifikatom

Microsoft - Microsoft je pred nekaj dnevi sporočil da je uvrstil državne certifikate, izdane pod okriljem ministrstva za javno upravo preko agencij SIGEN-CA in SIGOV-CA, skupaj z agencijami AC NLB in Halcom na seznam zaupanja vrednih ponudnikov, ki izpolnjujejo najvišje varnostne zahteve. Za domačega uporabnika to pomeni, da nas bo po namestitvi popravka brskalnik nehal spraševati ali res zaupamo certifikatom zgoraj naštetih agencij.

18 komentarjev