Slo-Tech - V Kazahstanu se ponavlja leto 2019, ko so oblasti skušale prisluškovati internetnemu prometu tako, da so državljane prisilile v namestitev državnega certifikata, kar je v praksi omogočalo izvedbo napadov MITM. Kakor tedaj, so se tudi letošnjem poizkusu odločno uprli proizvajalci brskalnikov.

Google, Mozilla, Apple in Microsoft, torej vsi najpomembnejši proizvajalci brskalnikov, so sporočili, da bodo naredili vse, da preprečijo kazahstanske nakane. Podjetja so že izdala posodobitve brskalnikov, ki kazahstanski korenski samopodpisani certifikat, ki ga oblasti vsiljujejo uporabnikom, uvrščajo na seznam preklicanih. Dodajajo, da je tako početje v nasprotju s standardi, saj ima lahko zasebne ključe certifikata le upravljavec domene, za katero je certifikat izdan.

Certifikat se je pojavil 6. decembra, z njim pa želijo šifrirati promet do vseh najpomembnejših zahodnih strani, med njimi Google, YouTube, Facebook, Gmail in tudi nekaj drugih, denimo VK in OK.ru. Vsem uporabnikom zato...

Microsoft - Microsoft je sporočil, da bo konec junija prenehal ponujati certifikate MCSA (Microsoft Certified Solutions Associate), MCSD (Microsoft Certified Solutions Developer) in MCSE (Microsoft Certified Solutions Expert), s katerimi so lahko posamezniki izkazovali svojo usposobljenost za delo z Microsoftovimi rešitvami. Tedaj bodo ukinili tudi vrsto izpitov, ki so bili pogoj za pridobitev teh certifikatov in ki jih je Microsoft izvajal. Kdor certifikate ima oziroma bi jih pridobil do konca junija, mu bodo normalno veljali do poteka, torej dve leti.

V podjetju pojasnjujejo, da so septembra 2018 začeli prehod na usposabljanje in certificiranje glede na vloge, ne več na izdelke. Odtlej so dodali 34 novih certifikate, ko pokrivajo Azure, Modern Workplace in Business Aplications. Certifikatov za nova Windows Server 2019 in SQL Server 2019 pa naprimer ne bo, temveč bo to znanje vključeno v certifikate za Azure Apps & Infrastructure in Data & AI solution.

Konkretno gre za certifikate MCSA: BI...

ZDNet - Včasih so imeli certifikati SSL, ki se uporabljajo za varovanje prometa prek HTTPS, privzeto osemletno življenjsko dobo. Kasneje se je ta skrčila na pet let in nato na tri in na zadnjega marca lani na dve leti. Proizvajalci brskalnikov si prizadevajo za čim krajšo življenjsko dobo, medtem ko so izdajatelji na drugem bregu. Lanska sprememba je tako kompromis med enoletnimi željami proizvajalcev brskalnikov in vztrajanjem izdajateljev pri treh letih. Poldrugo leto pozneje se vrača ideja o enoletni veljavnosti certifikatov.

Glavni zagovornik je Google, ki se je v preteklosti že neuspešno prizadeval za skrajšanje veljavnosti certifikatov. Sedaj predlaga, da bi ta znašala 397 dni,...

Slo-Tech - Aktualna prekinitev financiranja in s tem delovanja nenujnih delov ameriške vlade sega že v 23. dan, s čimer je postala najdaljša v zgodovini. To pot ima prvikrat vpliv tudi na internet, saj nekatere državne službe zaradi prekinitve niso obnovile certifikatov svojih spletnih strani. Doslej je poteklo že več kot 80 certifikatov TLS za domene .gov - nekatere so dostopne z opozorilom, druge pa zaradi poostrenih varnostnih ukrepov sploh niso.

Primer so na primer podstrani ministrstva za pravosodje (https://ows2.usdoj.gov/), ki jim je certifikat potekel 17. decembra, ali podstrani NASE (https://rockettest.nasa.gov/), ki imajo neveljaven certifikat od 5. januarja. Dokler se vladne službe ponovno ne zaženejo, certifikati ne bodo obnovljeni.

Večino teh...

Slo-Tech - Spet je tisti dan, ko moram državnim biričem nakazati desetino polovico svojih mesečnih prihodkov – oziroma, kot oni temu pravijo, plačati moram davke. Mesečni ritual se začne s pregledom eDavkov, ali država želi od mene še kaj razen običajnih davkov in prispevkov. In, kot vsakokrat, me brskalnik spet prijazno opozori, da spletna stran eDavki ne zagotavlja minimalnih varnostnih zahtev. Roka zadrhti, že tako razredčeni lasje štejejo nove žrtve in možgani preračunavajo, kaj mi država nudi za skoraj 1000 evrov plačanih davkov vsak mesec. Očitno niti varnosti na internetih ne.

Nič, dvignem telefon in v slabi uri sedim na kavi skupaj s tremi ljudmi, ki se imajo za etične hekerje. Prepričam jih, da svoje znanje usmerijo na spletne dacarje in mi pomagajo ugotoviti,...

Vice - Kazahstanska vlada si želi nadzor nad internetnimi komunikacijami svojih državljanov, pri čemer se ne želijo ubadati z zapletenimi ali celo prikritimi metodami za dosego tega cilja. Kitajci imajo veliki požarni zid, a to je drago početje. Zato so se v Kazahstanu odločili, da bodo uporabnikom interneta preprosto predpisali, da jim morajo to dovoliti. Od 1. januarja bodo morali uporabniki obvezno namestiti vladni certifikat, ki bo omogočal branje nešifriranih in šifriranih komunikacij. Sporočilo so v angleščini objavili na spletnih straneh državnega telekoma, a je po nekaj dneh skrivnostno izginilo.

Spomnimo, da je Lenovo na svoje računalnike nameščal certifikat s sumljivimi nameni, Dell pa je po neumnem uporabnike...

Google Online Security Blog - Google je odkril lažne certifikate za svoje strežnike, ki jih je izdalo egiptovsko podjetje MCS Holdings. Ker je MCS Holdings vmesni certifikatni urad (intermediate CA), ki ga je kot zaupanja vrednega proglasil kitajski CNNIC, mu zaupajo vsi brskalniki. Firefox in Chrome sicer omenjenih certifikatov za dostop do Googlovih strani nista uporabljala, ker upoštevata public key pinning. Vseeno je početje podjetja MCS Holdingsa hud prekršek, zaradi česar so njihove certifikate proizvajalci brskalnikov takoj po odkritju uvrstili na listo neveljavnih.

CNNIC je potrdil, da so z MCS Holdings sklenili pogodbo, ki jim je dovoljevala le izdajo certifikatov za domene, ki jih imajo registrirane. Kot kaže, je MCS Holdings svoj zasebni...

Ars Technica - Ponavlja se zgodba, ki se je DigiNotarju zgodila leta 2011, le da z novimi igralci. Neznani napadalci so pridobili dostop do NIC (National Informatics Centre), ki deluje pod okriljem indijskega CCA (Controller of Certifying Authorities), in izdali vsaj štiri lažne certifikate za Google in Yahoo, kar je povzročilo precej težav zlasti uporabnikom operacijskega sistema Windows in brskalnika Internet Explorer.

CCA sicer trdi, da so lažni certifikati le štirje, a Googlov Adam Langley trdi, da imajo dokaze o večjem številu izdanih lažnih certifikatov. CCA je sicer takoj razveljavila vse certifikate, ki jih je izdal NIC, a uvrstitev na listo neveljavnih (revocation list) ni stoodstotna rešitev.

Windows in IE sta posebej prizadeta, ker je...

Heise - Napad na nizozemskega overitelja digitalnih potrdil DigiNotar je obširnejši in resnejši, kot je kazalo na začetku. Sprva se je odkril le lažni certifikat za Googlove strežnike, kasneje je bilo potrjenih več deset, sedaj pa se je število odkritih lažnih certifikatov povzpelo na 532.

Nizozemska vlada je skrbnikom omrežja Tor (uporablja se za anonimni dostop do interneta) izročila seznam vseh lažnih certifikatov, ki so bili izdani in podpisani v DigiNotarjevem imenu (Excelova datoteka s...

PC World - Včeraj smo poročali o lažnem SSL-certifikatu za Googlove strani, ki so ga nepridipravi izdali in podpisali kot DigiNotarjev certifikat, kar so uporabili za prisluškovanje iranskim uporabnikom Gmaila. Danes je znanih že več podrobnosti, med drugim tudi to, da je šlo za več strani.

DigiNotar, podružnica podjetja Vasco Data Security International, je izdala uradno izjavo javnost, v kateri so navedli nekaj pojasnil. Dejali so, da žal ni bil izdan le lažni certifikat za Google, ampak še za nekaj...

Slashdot - Ponovila se je marčevska zgodba, ko so zlikovci pridobili nadzor nad izdajateljem spletnih certifikatov (CA) in izdali veljavne certifikate za lažne strani. To pot je žrtev nizozemski CA DigiNotar, saj so napadalci pridobili veljavne certifikate za lažne strani, ki se pretvarjajo, da so Googlove (certifikat je wildcard, kar pomeni da velja za vse Googlove strežnike in podstrani). Prva poročila o napadu so se pojavila včeraj, certifikat pa je že na listi blokiranih.

Na Mozillinih straneh so...

Slo-Tech - Kot na svojem blogu poroča Eddy Nigg, je tokrat Božiček hekerjem prinesel odlično darilo - popoln napad s posrednikom.

Napad s posrednikom, znan tudi pod imenom MITM (man-in-the-middle) napad, je posebna oblika napada, kjer napadalec skuša "prisluškovati" šifriranemu prometu med žrtvijo in spletnim (ali drugim) strežnikom. Deluje tako, da napadalec preko sebe preusmeri ves promet do nekega https strežnika, žrtvi podtakne lažen SSL certifikat, promet pa nato dešifrira in pošilja dalje do pravega strežnika.



Vendar pa se je do sedaj napade s posrednikom dalo zaznati na relativno enostaven način. Ker naj bi izdajatelji SSL certifikatov preverili identiteto oseb, ki se predstavljajo za upravitelje varnih spletnih strani, napadalec ne more dobiti s strani zaupanja...