The Register - Ameriški overitelj Trustwave se je zapletel v neprijeten indicident, ker so še neimenovanemu ameriškemu podjetju izdali začasni CA certifikat z možnostjo nadaljnje izdaje certifikatov za poljubne domene.

Tovrstni certifikati (subordinate root certificates) seveda niso na voljo v "prosti prodaji" in služijo zelo specifičnim namenom, predvsem nadzoru zaposlenih. Če podjetje sumi, da ti s pomočjo interneta ven pošiljajo poslovne skrivnosti, lahko začne preverjati vsebino njihove spletne komunikacije (prikrito prisluškovanje oz. sniffing), kar je mogoče, ker zaposlenemu zagotavljajo internetno povezavo in ves njegov promet gre čez njihove usmerjevalnike. Širšim rešitvam za omenjeni problem se pravi Data Loss Prevention sistemi oz. DLP sistemi.

Takšno...

SecurityWeek - Po septembrskem fiasku nizozemskega centralnega overitelja certifikatov (CA) DigiNotar, ki so ga napadli hekerji in izkoristili za izdajo lažnih certifikatov, zaradi česar je bil po odkritju izločen z vseh seznamov zaupanja vrednih CA-jev, kar je podjetje prignalo v stečaj, ima težave še en nizozemski CA. To pot so hekerji napadli Gemnet, a naj bi bila škoda omejena javni del strani in nekaj javno nedostopnih podatkovnih baz, ki pa niso imele povezave z oddelkom za izdajo certifikatov.

Kot lahko preberemo v nizozemskih časnikih, so napadalci zlorabili pomanjkljive nastavitve nameščenega PHPMyAdmina na strežnikih, ki je omogočal dostop brez vnosa gesla. Tudi izbrano administratorsko...

Network World - Nizozemsko podjetje DigiNotar, ki se ukvarja z izdajanjem certifikatov SSL ter je prejšnji mesec postalo svetovno znano zaradi vdora in izdaje več kot petsto lažnih certifikatov, bo prenehalo poslovati. Kmalu po javnem razkritju vdora, ki se je zgodil že junija, podjetje pa je od julija do konca avgusta o njem molčalo, se je začelo zgražanje javnosti nad početjem podjetja. Nizozemska vlada je prenehala sodelovati s podjetjem, ki je bilo do tedaj glavni CA zanje, vse DigiNotarjeve certifikate so brskalniki odstranili s seznamov zaupanja vrednih certifikatov, od podjetja pa se je distanciral tudi večinski lastnik...

The H - Po seriji alarmantnih vdorov v korenske overitelje (root CA) Comodo, DigiNotar in potencialno še v GlobalSign, imajo ponudniki brskalnikov počasi dovolj "popravljanja za nazaj" z brisanjem spornih certifikatov iz svoje baze zaupanja vrednih overiteljev. Med samim vdorom in izbrisom lahko namreč mine kar nekaj časa in ves ta čas so uporabniki potencialno izpostavljeni vdoru ali nadzoru v njihove priljubljene servise. To pa uničuje zaupanje, ki je nujno za delovanje internetne ekonomije in ki so ga dolga leta le počasi vzpostavljali.

Mozilla je zdaj poslala nujni poziv vsem overiteljem, ki so vključeni v njihovo bazo (okoli 50). Poziv jih prosi, da takoj izvedejo obsežno varnostno...

threatpost - Ta teden je overitelj digitalnih potrdil (CA) GlobalSign začasno prenehal izdajati certifikate, ker so imeli razloge, da verjamejo navedbam napadalca CA-ja DigiNotar, da je kompromitirana tudi infrastruktura GlobalSigna. Gre za hekerja z vzdevkom Comodohacker, ki je pridobil dostop tudi Comodoja v začetku leta. Sedaj se je izkazalo, da je bila kompromitirana zgolj spletna stran GlobalSigna, medtem ko CA ni bil.

Preiskava, ki jo za GlobalSign vodi Fox-IT, še ni končana, a takšni so preliminarni izsledki, saj niso našli nobenih dokazov o vdoru v CA. Vdor je bil izoliran na spletni strežnik www.globalsign.com, čeprav je Comodohacker trdil drugače, in sicer da ima dostop do celotnega strežnika, varnostnih kopij podatkovnih baz in celo privatni ključ za njihovo domeno. Zato bo GlobalSign že jutri začel obnavljati nekatere svoje overiteljske storitve, tekom tedna pa naj bi začeli z...

BBC - Zgodba o zaupanja vrednih overiteljih digitalnih potrdil (CA), ki so to zaupanje zaradi vdorov in nezavednega izdajanja ponarejenih certifikatov izgubili, dobiva nove razsežnosti. Že več kot teden dni je na tapeti nizozemski registrar DigiNotar, ki so ga napadli neznani hekerji (najverjetneje Iranci) in ga izkoristili za izdajo lažnih certifikatov. Sprva je bil odkrit le Googlov, kasneje pa se je število povzpelo na vsaj 531. DigiNotar je seveda izgubil vso kredibilnost in mesto v seznamu...

The H -

No anti-virus, a single Windows domain for many CA servers, an easily brute-forced password and a tempest proof server room accessible from the management LAN: DigiNotar's security was full of holes.

Nizozemska vlada je pripravila vmesno poročilo z naslovom Črni tulipan (pdf) o varnostni situciji pri njihovi 'črni ovčki'; SSL overitelju DigiNotar. Kot smo že poročali v zadnjih dneh, so vanj enkrat poleti vdrli nepridipravi in si izdali ponarejene, a povsem legitimno izgledajoče certifikate za več deset domen visoke vrednosti, npr. za Google Mail ali določene varnostne službe. S temi certifikati je mogoče izvajati man-in-the-middle napade na lokalnih omrežjih ali - v skrajnem primeru - celo na posamezni državi.

Napadalci bi v strežnik prišli skozi neposodobljen spletni vmesnik. Nad tem naj bi bdel IDS (intrusion detection system), ki je sicer tekel, a naj ne bi bil ustrezno konfiguriran. Zatem so uspeli uganiti administratorsko geslo za Windows domeno, ki naj bi bilo pretirano...

Heise - Napad na nizozemskega overitelja digitalnih potrdil DigiNotar je obširnejši in resnejši, kot je kazalo na začetku. Sprva se je odkril le lažni certifikat za Googlove strežnike, kasneje je bilo potrjenih več deset, sedaj pa se je število odkritih lažnih certifikatov povzpelo na 532.

Nizozemska vlada je skrbnikom omrežja Tor (uporablja se za anonimni dostop do interneta) izročila seznam vseh lažnih certifikatov, ki so bili izdani in podpisani v DigiNotarjevem imenu (Excelova datoteka s...

PC World - Včeraj smo poročali o lažnem SSL-certifikatu za Googlove strani, ki so ga nepridipravi izdali in podpisali kot DigiNotarjev certifikat, kar so uporabili za prisluškovanje iranskim uporabnikom Gmaila. Danes je znanih že več podrobnosti, med drugim tudi to, da je šlo za več strani.

DigiNotar, podružnica podjetja Vasco Data Security International, je izdala uradno izjavo javnost, v kateri so navedli nekaj pojasnil. Dejali so, da žal ni bil izdan le lažni certifikat za Google, ampak še za nekaj...

Slashdot - Ponovila se je marčevska zgodba, ko so zlikovci pridobili nadzor nad izdajateljem spletnih certifikatov (CA) in izdali veljavne certifikate za lažne strani. To pot je žrtev nizozemski CA DigiNotar, saj so napadalci pridobili veljavne certifikate za lažne strani, ki se pretvarjajo, da so Googlove (certifikat je wildcard, kar pomeni da velja za vse Googlove strežnike in podstrani). Prva poročila o napadu so se pojavila včeraj, certifikat pa je že na listi blokiranih.

Na Mozillinih straneh so...

Slo-Tech - Varnost komunikacije po spletu se zagotavlja s protokolom SSL/TSL, njegova srčika pa je veriga zaupanja, udejanjena s certifikati. Ko se povežemo na npr. https://addons.mozilla.org, da bi prišli do zadnje kopije AdBlocka, nam njihov strežnik najprej ponudi svoj certifikat. Certifikat v osnovi ni nič drugega kot javni ključ za addons.mozilla.org, digitalno podpisan s strani CA (Certificate Authority) - podjetja, ki je tako ali drugače preverilo, da je za certifikat dejansko zaprosila Fondacija Mozilla. Ker zaupamo CA-ju in matematiki za podpisi, zaupamo tudi Mozilli in brskalnik nam njeno domeno obarva zeleno. Zatem se začne prenos podatkov, tako kot pri HTTP.

Problem nastopi, ko zlikovcem uspe pridobiti nadzor (zasebni ključ) nad katerim od CA-jev. Potem si lahko sami izdajo certifikat pod tujim imenom in mi bomo mu zaupali. Novo pridobljeni certifikat lahko potem...

Slo-Tech - Konec julija je Moxie Marlinspike na konferenci BlackHat 09 in Defconu 17 predstavil nov napad na SSL in TLS certifikate. Gre za tim. napad z ničelno predpono (ang. null prefix attack), ki izkorišča ranljivosti pri obravnavi SSL in TLS certifikatov. Marlinspike je namreč odkril, da je mogoče registrirati certifikate v obliki www.banka.si\0zlonamernastran.si. CA (Certificate Authority) bo vse znake pred "\0" ignoriral in brez težav podpisal certifikat za zlonamernastran.si, saj bo lastnik zlonamerne strani svojo identiteto in lastništvo strani seveda brez težav dokazal.

Izkaže pa se, da pri uporabi takega certifikata brskalnik certifikat prepozna kot veljaven tudi, če je uporabljen na domeni www.banka.si. Tako ustvarjen zlonamerni certifikat je torej mogoče uporabiti pri prestrezanju s posrednikom (ang. man-in-the-middle napad). Napadalec, ki uspe prestreči komunikacije žrtve (za ta namen je bilo (za okolje Linux) razvito posebno orodje SSLsniff), le-tej sedaj podtakne lažen...