ZDNet - Včasih so imeli certifikati SSL, ki se uporabljajo za varovanje prometa prek HTTPS, privzeto osemletno življenjsko dobo. Kasneje se je ta skrčila na pet let in nato na tri in na zadnjega marca lani na dve leti. Proizvajalci brskalnikov si prizadevajo za čim krajšo življenjsko dobo, medtem ko so izdajatelji na drugem bregu. Lanska sprememba je tako kompromis med enoletnimi željami proizvajalcev brskalnikov in vztrajanjem izdajateljev pri treh letih. Poldrugo leto pozneje se vrača ideja o enoletni veljavnosti certifikatov.

Glavni zagovornik je Google, ki se je v preteklosti že neuspešno prizadeval za skrajšanje veljavnosti certifikatov. Sedaj predlaga, da bi ta znašala 397 dni,...

Slo-Tech - V sredo so kazahstanske oblasti začele prestrezati ves promet prek HTTPS v državi, s čimer želijo okrepiti nadzor nad internetom in početjem državljanov. Ponudniki dostopa do interneta so morali vzpostaviti posebne spletne strani, na katerih lahko uporabniki namestijo državne certifikate. Z namestitvijo certifikatov, ki jih je izdala kazahstanska vlada, bi imele oblasti možnost dešifrirati komunikacijo med uporabniki in strežniki HTTPS, jo prebrati in potem šifrirati ponovno ter poslati do končnega cilja. Gre torej za klasični napad MITM.

ISP-ji uporabnike od včerajšnjega dne preusmerjajo na strani za namestitev certifikate, če tega še niso storili. Enaka obvestila so prejeli po...

Google - Googlov omrežni protokol SPDY ("speedy") prinaša kupček uporabnih prednosti pred sedaj standardnim spletnim protokolom HTTP: obvezno rabo SSL/TLS šifriranja, kompresijo tako za zaglavje kot vsebino zahtevka, ter multipleksiranje in prioritetizacijo dodatnih vsebin (javascript, slike, idr.) v istem zahtevku. Tako čez palec se šifrirana SPDY povezava vzpostavi enako hitro kot obstoječa nešifirana HTTP povezava, kar je očitno boljše. Da pa bi bil prehod lažji, so mislili tudi na združljivost: SPDY seja se sproži zgolj, če jo podpirata...

threatpost - Kaspersky poroča o še enem napadu na HTTPS (SSL/TSL) protokol, ki omogoča hitro in zanesljivo krajo uporabniških piškotkov.

Napad je delo argentinsko-vietnamskega dvojca Juliano Rizzo - Sobre Thai Duong, ki je lani tega časa predstavil podoben napad BEAST in s tem izzval kup nujnih popravkov s strani dobaviteljev brskalnikov. Slednji naj ne bi zares poskrbeli za odpravo napake, ampak so se ji zgolj skušali izogniti (workaround) s preklopom s TSL 1.0 na TSL 1.2, ter z zamenjavo šifrirnega algoritma EAS za RC4 v eni od faz vzpostavitve povezave. Rizzo in Duong sta vmes uspela prilagoditi napad, tako da deluje tudi v novem okolju. CRIME, kot mu zdaj pravita, bosta čez slaba dva tedna predstavila na varnostni konferenci

The Register - Ameriški overitelj Trustwave se je zapletel v neprijeten indicident, ker so še neimenovanemu ameriškemu podjetju izdali začasni CA certifikat z možnostjo nadaljnje izdaje certifikatov za poljubne domene.

Tovrstni certifikati (subordinate root certificates) seveda niso na voljo v "prosti prodaji" in služijo zelo specifičnim namenom, predvsem nadzoru zaposlenih. Če podjetje sumi, da ti s pomočjo interneta ven pošiljajo poslovne skrivnosti, lahko začne preverjati vsebino njihove spletne komunikacije (prikrito prisluškovanje oz. sniffing), kar je mogoče, ker zaposlenemu zagotavljajo internetno povezavo in ves njegov promet gre čez njihove usmerjevalnike. Širšim rešitvam za omenjeni problem se pravi Data Loss Prevention sistemi oz. DLP sistemi.

Takšno...

The H - Kot poroča H Onine, naj bi iranska vlada na večer na sredo na svojih izhodnih usmerjevalnikih vklopila blokado prometa po anonimizacijskem omrežju TOR (the Onion Router). Blokada je bila še isti dan odkrita in odpravljena, s čimer se delovanje omrežja počasi obnavlja.

TOR je anonimizacijsko omrežje, ki promet od uporabnika (izvor) pa do ciljnega strežnika (ponor, npr. mail.google.com) spelje skozi večje število posrednikov, imenovanih TOR relays. Relaye poganjajo uporabniki z odvečno internetno pasovno širino (zadostuje že 20KB/s). Uporabnikovi paketki vstopijo v...

The H -

No anti-virus, a single Windows domain for many CA servers, an easily brute-forced password and a tempest proof server room accessible from the management LAN: DigiNotar's security was full of holes.

Nizozemska vlada je pripravila vmesno poročilo z naslovom Črni tulipan (pdf) o varnostni situciji pri njihovi 'črni ovčki'; SSL overitelju DigiNotar. Kot smo že poročali v zadnjih dneh, so vanj enkrat poleti vdrli nepridipravi in si izdali ponarejene, a povsem legitimno izgledajoče certifikate za več deset domen visoke vrednosti, npr. za Google Mail ali določene varnostne službe. S temi certifikati je mogoče izvajati man-in-the-middle napade na lokalnih omrežjih ali - v skrajnem primeru - celo na posamezni državi.

Napadalci bi v strežnik prišli skozi neposodobljen spletni vmesnik. Nad tem naj bi bdel IDS (intrusion detection system), ki je sicer tekel, a naj ne bi bil ustrezno konfiguriran. Zatem so uspeli uganiti administratorsko geslo za Windows domeno, ki naj bi bilo pretirano...

Slo-Tech - Varnost komunikacije po spletu se zagotavlja s protokolom SSL/TSL, njegova srčika pa je veriga zaupanja, udejanjena s certifikati. Ko se povežemo na npr. https://addons.mozilla.org, da bi prišli do zadnje kopije AdBlocka, nam njihov strežnik najprej ponudi svoj certifikat. Certifikat v osnovi ni nič drugega kot javni ključ za addons.mozilla.org, digitalno podpisan s strani CA (Certificate Authority) - podjetja, ki je tako ali drugače preverilo, da je za certifikat dejansko zaprosila Fondacija Mozilla. Ker zaupamo CA-ju in matematiki za podpisi, zaupamo tudi Mozilli in brskalnik nam njeno domeno obarva zeleno. Zatem se začne prenos podatkov, tako kot pri HTTP.

Problem nastopi, ko zlikovcem uspe pridobiti nadzor (zasebni ključ) nad katerim od CA-jev. Potem si lahko sami izdajo certifikat pod tujim imenom in mi bomo mu zaupali. Novo pridobljeni certifikat lahko potem...

Slo-Tech - Konec julija je Moxie Marlinspike na konferenci BlackHat 09 in Defconu 17 predstavil nov napad na SSL in TLS certifikate. Gre za tim. napad z ničelno predpono (ang. null prefix attack), ki izkorišča ranljivosti pri obravnavi SSL in TLS certifikatov. Marlinspike je namreč odkril, da je mogoče registrirati certifikate v obliki www.banka.si\0zlonamernastran.si. CA (Certificate Authority) bo vse znake pred "\0" ignoriral in brez težav podpisal certifikat za zlonamernastran.si, saj bo lastnik zlonamerne strani svojo identiteto in lastništvo strani seveda brez težav dokazal.

Izkaže pa se, da pri uporabi takega certifikata brskalnik certifikat prepozna kot veljaven tudi, če je uporabljen na domeni www.banka.si. Tako ustvarjen zlonamerni certifikat je torej mogoče uporabiti pri prestrezanju s posrednikom (ang. man-in-the-middle napad). Napadalec, ki uspe prestreči komunikacije žrtve (za ta namen je bilo (za okolje Linux) razvito posebno orodje SSLsniff), le-tej sedaj podtakne lažen...

Slo-Tech - Kot na svojem blogu poroča Eddy Nigg, je tokrat Božiček hekerjem prinesel odlično darilo - popoln napad s posrednikom.

Napad s posrednikom, znan tudi pod imenom MITM (man-in-the-middle) napad, je posebna oblika napada, kjer napadalec skuša "prisluškovati" šifriranemu prometu med žrtvijo in spletnim (ali drugim) strežnikom. Deluje tako, da napadalec preko sebe preusmeri ves promet do nekega https strežnika, žrtvi podtakne lažen SSL certifikat, promet pa nato dešifrira in pošilja dalje do pravega strežnika.



Vendar pa se je do sedaj napade s posrednikom dalo zaznati na relativno enostaven način. Ker naj bi izdajatelji SSL certifikatov preverili identiteto oseb, ki se predstavljajo za upravitelje varnih spletnih strani, napadalec ne more dobiti s strani zaupanja...