Slo-Tech - Kot kaže, ima tudi Dell podoben problem z nezaželeno programsko opremo na svojih prenosnikih, kot je bil fiasko s Superfishem, ki si ga je privoščil Lenovo. Ameriški programer Joe Nord je na svojem novem prenosniku Dell Inspiron 5000, ki ga je kupil oktobra letos, odkril vrhovni certifikat eDellRoot (root certificate), ki je označen kot zaupanja vreden overitelj (CA). Poteče šele konec leta 2039 in je označen kot certifikat, ki se lahko uporablja za vse namene, torej podpisovanje vsega; in to ni običajno. Najbolj zaskrbljujoče pa je, da je na računalniku nameščen tudi zasebni ključ, ki ustreza temu certifikatu. Sicer ga uradno ni mogoče izvoziti (označen je kot non-exportable), a to seveda ne pomeni, da do njega ni moč priti.

Uporabniki na redditu ugotavljajo, da imajo tudi...

threatpost - Kaspersky poroča o še enem napadu na HTTPS (SSL/TSL) protokol, ki omogoča hitro in zanesljivo krajo uporabniških piškotkov.

Napad je delo argentinsko-vietnamskega dvojca Juliano Rizzo - Sobre Thai Duong, ki je lani tega časa predstavil podoben napad BEAST in s tem izzval kup nujnih popravkov s strani dobaviteljev brskalnikov. Slednji naj ne bi zares poskrbeli za odpravo napake, ampak so se ji zgolj skušali izogniti (workaround) s preklopom s TSL 1.0 na TSL 1.2, ter z zamenjavo šifrirnega algoritma EAS za RC4 v eni od faz vzpostavitve povezave. Rizzo in Duong sta vmes uspela prilagoditi napad, tako da deluje tudi v novem okolju. CRIME, kot mu zdaj pravita, bosta čez slaba dva tedna predstavila na varnostni konferenci

The Register - Ameriški overitelj Trustwave se je zapletel v neprijeten indicident, ker so še neimenovanemu ameriškemu podjetju izdali začasni CA certifikat z možnostjo nadaljnje izdaje certifikatov za poljubne domene.

Tovrstni certifikati (subordinate root certificates) seveda niso na voljo v "prosti prodaji" in služijo zelo specifičnim namenom, predvsem nadzoru zaposlenih. Če podjetje sumi, da ti s pomočjo interneta ven pošiljajo poslovne skrivnosti, lahko začne preverjati vsebino njihove spletne komunikacije (prikrito prisluškovanje oz. sniffing), kar je mogoče, ker zaposlenemu zagotavljajo internetno povezavo in ves njegov promet gre čez njihove usmerjevalnike. Širšim rešitvam za omenjeni problem se pravi Data Loss Prevention sistemi oz. DLP sistemi.

Takšno...

The H -

No anti-virus, a single Windows domain for many CA servers, an easily brute-forced password and a tempest proof server room accessible from the management LAN: DigiNotar's security was full of holes.

Nizozemska vlada je pripravila vmesno poročilo z naslovom Črni tulipan (pdf) o varnostni situciji pri njihovi 'črni ovčki'; SSL overitelju DigiNotar. Kot smo že poročali v zadnjih dneh, so vanj enkrat poleti vdrli nepridipravi in si izdali ponarejene, a povsem legitimno izgledajoče certifikate za več deset domen visoke vrednosti, npr. za Google Mail ali določene varnostne službe. S temi certifikati je mogoče izvajati man-in-the-middle napade na lokalnih omrežjih ali - v skrajnem primeru - celo na posamezni državi.

Napadalci bi v strežnik prišli skozi neposodobljen spletni vmesnik. Nad tem naj bi bdel IDS (intrusion detection system), ki je sicer tekel, a naj ne bi bil ustrezno konfiguriran. Zatem so uspeli uganiti administratorsko geslo za Windows domeno, ki naj bi bilo pretirano...

Heise - Prejšnji teden smo poročali, da so neznani napadalci uspeli pridobiti zasebni ključ overitelja digitalnih potrdil Comodo, kar jim je omogočilo izdajo ponarejenih varnostnih certifikatov. Takoj po odkritju je bil Comodo dodan na seznam preklicanih overiteljev (ARL, authority revocation list), Chrome in Firefox pa sta še dodatno blokirala certifikate, ki jih je podpisal omenjeni overitelj (kar se po osvežitvi baze ARL tako ali tako zgodi v vseh brskalnikih). Sumov, kdo stoji za napadom na Comodo, je bilo cel kup, nekateri pa so s prstom kazali na iransko vlado. Izkazalo se je, da so ga usmerili v pravo državo, ne pa v pravo organizacijo.

Včeraj je 21-letni heker iz Irana, poznan pod vzdevkom Comodohacker, prevzel odgovornost za napad z objavo izvlečkov na pastebin.com. Varnostni strokovnjaki priznavajo, da je njegov opis povsem mogoč in verjeten, dvomijo pa, da je...

Slo-Tech - Varnost komunikacije po spletu se zagotavlja s protokolom SSL/TSL, njegova srčika pa je veriga zaupanja, udejanjena s certifikati. Ko se povežemo na npr. https://addons.mozilla.org, da bi prišli do zadnje kopije AdBlocka, nam njihov strežnik najprej ponudi svoj certifikat. Certifikat v osnovi ni nič drugega kot javni ključ za addons.mozilla.org, digitalno podpisan s strani CA (Certificate Authority) - podjetja, ki je tako ali drugače preverilo, da je za certifikat dejansko zaprosila Fondacija Mozilla. Ker zaupamo CA-ju in matematiki za podpisi, zaupamo tudi Mozilli in brskalnik nam njeno domeno obarva zeleno. Zatem se začne prenos podatkov, tako kot pri HTTP.

Problem nastopi, ko zlikovcem uspe pridobiti nadzor (zasebni ključ) nad katerim od CA-jev. Potem si lahko sami izdajo certifikat pod tujim imenom in mi bomo mu zaupali. Novo pridobljeni certifikat lahko potem...

Slo-Tech - Pri varnem brskanju po spletu, ko moramo biti stoodstotno prepričani, da je obiskana stran res to, za kar se predstavlja, se uporablja certifikatsko podpisovanje. Gre za verigo zaupanja, kjer na vrhu najdemo tako imenovane overitelje digitalnih potrdil (CA). To so bila včasih velika in ugledna podjetja ali vladne ustanove, ki podjetjem izdajajo certifikate oziroma digitalna potrdila, s katerimi jamčijo za njihovo istovetnost. Pri deskanju po spletu brskalnik pogleda, kdo je strani izdal certifikat. Če je izdajatelj na seznamu zaupanja vrednih CA-jev, lahko verjamemo, da smo res tam, kjer želimo biti. Kurt Seifried pa si je v članku (PDF) za...

Slashdot - Predvčerajšnjim in včeraj so splet preplavile informacije o novo odkriti ranljivosti v šifrirnih protokolih SSL 3.0+ in TLS 1.0+. Gre za varnostno ranljivost, ki izkorišča napako v "pogajalskem procesu" protokola (tim. renegotiation phase), omogoča pa napade s posrednikom (tim. MITM napade) oziroma napade na HTTPS seje podpisane s certifikatom odjemalca.

Kot poročajo na SSL Shopper (analizo napada je na svojem blogu objavil Ivan Ristić) je težava v tem, da lahko nekdo nadzoruje en del šifrirane povezave pred ponovnim pogajanjem, nekdo drug pa po ponovnem pogajanju oz. izmenjavi sejnega ključa nadzoruje drugi del šifrirane povezave. Napadalec tako lahko odpre povezavo do SSL strežnika, pošlje nekaj podatkov, zahteva ponovno pogajanje in SSL strežniku prične pošiljati podatke, ki prihajajo od žrtve. Spletni strežniki (IIS in Apache) podatke, ki so prišli od napadalca in podatke, ki so prišli od žrtve nato povežejo, posledica česar je, da napadalec lahko SSL strežniku pošlje poljuben...

Slo-Tech - Konec julija je Moxie Marlinspike na konferenci BlackHat 09 in Defconu 17 predstavil nov napad na SSL in TLS certifikate. Gre za tim. napad z ničelno predpono (ang. null prefix attack), ki izkorišča ranljivosti pri obravnavi SSL in TLS certifikatov. Marlinspike je namreč odkril, da je mogoče registrirati certifikate v obliki www.banka.si\0zlonamernastran.si. CA (Certificate Authority) bo vse znake pred "\0" ignoriral in brez težav podpisal certifikat za zlonamernastran.si, saj bo lastnik zlonamerne strani svojo identiteto in lastništvo strani seveda brez težav dokazal.

Izkaže pa se, da pri uporabi takega certifikata brskalnik certifikat prepozna kot veljaven tudi, če je uporabljen na domeni www.banka.si. Tako ustvarjen zlonamerni certifikat je torej mogoče uporabiti pri prestrezanju s posrednikom (ang. man-in-the-middle napad). Napadalec, ki uspe prestreči komunikacije žrtve (za ta namen je bilo (za okolje Linux) razvito posebno orodje SSLsniff), le-tej sedaj podtakne lažen...

Slo-Tech - Kot na svojem blogu poroča Eddy Nigg, je tokrat Božiček hekerjem prinesel odlično darilo - popoln napad s posrednikom.

Napad s posrednikom, znan tudi pod imenom MITM (man-in-the-middle) napad, je posebna oblika napada, kjer napadalec skuša "prisluškovati" šifriranemu prometu med žrtvijo in spletnim (ali drugim) strežnikom. Deluje tako, da napadalec preko sebe preusmeri ves promet do nekega https strežnika, žrtvi podtakne lažen SSL certifikat, promet pa nato dešifrira in pošilja dalje do pravega strežnika.



Vendar pa se je do sedaj napade s posrednikom dalo zaznati na relativno enostaven način. Ker naj bi izdajatelji SSL certifikatov preverili identiteto oseb, ki se predstavljajo za upravitelje varnih spletnih strani, napadalec ne more dobiti s strani zaupanja...