The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

GlobalSign временно приостановил выдачу SSL-сертификатов из-за возможной компрометации

07.09.2011 20:34

Удостоверяющий центр GlobalSign сообщил об инициировании внутренней проверки безопасности в связи с появлением в сети анонимного заявления, в котором от имени инициаторов атаки утверждается, что кроме взлома DigiNotar, удалось получить доступ еще к 4 удостоверяющим центрам, среди которых StartCom и GlobalSign. Также утверждается, что несмотря на широкий резонанс после взлома удостоверяющего центра Comodo, у атаковавших еще остался доступ к системам некоторых реселлеров Comodo.

Информация голословна и ничем не подтверждена, но GlobalSign в качестве меры предосторожности временно приостановил выдачу сертификатов до завершения полного аудита, к проведению которого привлечены эксперты, участвовавшие в разборе инцидента DigiNotar.

Кроме того можно отметить, публикацию предварительного отчета с результатами первой стадии расследования атаки на DigiNotar. Исследование показало, что в DigiNotar абсолютно не обращали внимание на безопасность: занимающиеся генерацией сертификатов критически важные серверы были размещены в общей локальной сети, не имели антивирусного ПО (серверы работали под Windows), входили в общий домен Windows (на сервер мог зайти любой у кого есть параметры учетной записи), пароли доступа были пригодны для подбора, установленные на публичный web-сервер программы устарели и давно не обновлялись, не практиковалось безопасное ведение логов.

  1. Главная ссылка к новости (http://www.globalsign.com/comp...)
  2. OpenNews: Опубликован полный список обманных SSL-сертификатов. В списке ЦРУ и МИ-6
  3. OpenNews: Атака на регистраторов доменов привела к перенаправлению крупнейших сайтов
  4. OpenNews: Зафиксированы обманные SSL-сертификаты для Mozilla, Yahoo и Tor
  5. OpenNews: Обнаружен обманный SSL-сертификат для сервисов Google (дополнение: осуществлен взлом CA)
  6. OpenNews: Взлом аккаунта в удостоверяющем центре Comodo привёл к генерации 9 обманных SSL-сертификатов
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/31698-cert
Ключевые слова: cert, ssl
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (39) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 22:36, 07/09/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Из "отчёта". Хочется плакать. :D

    4.4
    Current network infrastructure at DigiNotar
    The successful hack implies that the current network setup and / or procedures at DigiNotar are not
    sufficiently secure to prevent this kind of attack.
    The most critical servers contain malicious software that can normally be detected by anti-virus software.
    The separation of critical components was not functioning or was not in place. We have strong indications
    that the CA-servers, although physically very securely placed in a tempest proof environment, were
    accessible over the network from the management LAN.
    The network has been severely breached. All CA servers were members of one Windows domain, which
    made it possible to access them all using one obtained user/password combination. The password was
    not very strong and could easily be brute-forced.
    The software installed on the public web servers was outdated and not patched.
    No antivirus protection was present on the investigated servers.
    An intrusion prevention system is operational. It is not clear at the moment why it didn‟t block some of
    the outside web server attacks. No secure central network logging is in place.

     
     
  • 2.2, anonymous (??), 23:36, 07/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Винда, OK.
     
     
  • 3.7, alikd (?), 11:48, 08/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Точно! Безумие в отношении к безопасности сертификационным центром(-ами). Можно предположить, что у компаний, чей профиль деятельности менее тесно связан с безопасностью, всё ещё печальней (пруф: недавний epic fail Sony).


     
     
  • 4.8, alikd (?), 11:49, 08/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    сори. отвечал на пост ниже:
    > this is madness
     
  • 2.3, rain87 (?), 00:12, 08/09/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    this is madness
     
  • 2.4, umbr (ok), 00:46, 08/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Зато "...physically very securely placed in a tempest proof environment..." :)
    Гламурный СА.
     
     
  • 3.5, Аноним (-), 03:29, 08/09/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В результате хаксор по сети влез в очень укрепленное окружение :)

    Вообще, судя по посту хакера и описанию от экспертов:
    [Манагеры]: мы тоже хотим пилить бабло на сертификатах! А ну, сделайте-ка нам зае...сь!
    [Сэйлзы-1]: А вот виндоус! Самый безопасный! Покупай!
    [Сэйлзы-2]: А вот супер-защита! Самая-самая! Покупай!
    [Сэйлзы-3]: А вот фенечки и прибамбасы для упрочнения вашей сети! Самые-самые!
    [haxor]:  whoami -> SYSTEM -> "security, eh? I'll show you security!"

    Если кто не знает, в винде, глубоко-глубоко в механизмах авторизации Active Directory AFAIK есть небольшая но забавная слабина. Если вы поломали машину на которую залогинен допустим администратор домена AD (получив там SYSTEM), вы в принципе можете представиться этим администратором. Проапгрейдив "локального админа" до "админа домена". В теории достаточно хакнуть машину с админом домена и после этого можно нагибать остальные машины в домене :D.

     
     
  • 4.6, тролль (?), 10:55, 08/09/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    теперь замени в диалоге слово windows, на linux и отправь этот же диалог в ветку про взлом kernel.org.

    правда там его быстро подчистит доблестный модератор, у него как и у тебя диагноз - "Linux головного мозга".

     
     
  • 5.9, Аноним (-), 13:32, 08/09/2011 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Все просто, аноны. Как говорил кто-то из великих, "Безопасность не продукт, безопасность - процесс".

    Я не пойму другого. Несколько лет назад корневые CA гнули пальцы, крича, какая у них охренительно сложная процедура получения авторизации на право быть CA и RA, какие нефигово укрепленные PKI нужно строить, как должны использоваться корневые CA для подписания и выдачи, бла-бла-бла. Это, собсссно, определяет документ, именуемый CPS.

    Согласно их собственным стандартам (CAшников), инфра, используемая для манипуляций с приватным ключом CA, имеет воздушный промежуток к интернету - сиречь физически не подключена к оному, админы в обязательном порядке подчиняются separation of duty, задействование корневого CA производится как запуск баллистических ракет, двумя аццкими одминами чуть ли не с предьявлением сетчатки глаза и под видеоконтролем, записи которого хранятся, как и логи, три года.


    А теперь скажите-ка мне, как получилось, что все эти благие порывы оказались тупо не выполненными?

     
     
  • 6.12, Аноним (-), 20:03, 08/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > А теперь скажите-ка мне, как получилось, что все эти благие порывы оказались
    > тупо не выполненными?

    А тут как и в банковской индустрии. Много лапши на ущи. Много сертификаций, формальной волокиты, бюрократии и какой там еще фигни. Много формальных требований. И что самое смешное - весь этот онанизм имеет крайне косвенное отношение к безопасности компьютерных систем. То-есть вы можете выполнить все формальные требования допустим предъявляемые к банковской процессинговой системе, но при этом по факту являться полнейшим рещетом. Хотя галочки в списке вроде как расставлены, за все уплачено и так далее. Просто хакерам пофиг на эти галочки и то что уплочено, они тестируют то что по факту. Кстати, это хорошо: санитары леса - тоже нужная роль, хоть и не всегда почетная.

     
     
  • 7.16, Аноним (-), 13:37, 09/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Я-то реально в курсе. Я пробовал создавать свой CA. И знаю, что формально а что реально. Просто удивляюсь, как PKI в очередной раз "мамой клянется", а в итоге доверять-то, собссно, нечему. Такие же, как и мы, в телогреечках сидят.
     
  • 6.19, Аноним (-), 15:21, 09/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > А теперь скажите-ка мне, как получилось, что все эти благие порывы оказались
    > тупо не выполненными?

    Как обычно. http://serverfault.com/questions/293217/our-security-auditor-is-an-idiot-how-

     
  • 5.11, Аноним (-), 19:59, 08/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > теперь замени в диалоге слово windows, на linux и отправь этот же
    > диалог в ветку про взлом kernel.org.

    В линуксах поимение 1 машины обычно не ведет к разносу всего домена. У кернелорга сломали только пару серверов. Но главное, ресурс касающийся вопросов доверия как то исходники линя - не пострадали в силу умной реализации системы контроля версий. Все-таки Торвальдс - это мозг, а не пиар-бредни галимых маркетологов о секурити.

    > правда там его быстро подчистит доблестный модератор, у него как и у
    > тебя диагноз - "Linux головного мозга".

    Я почему-то думал что у главного админа диагнозом является бсд головного мозга. Хотя совсем дубовым виндузятникам простительно путать эти системы, конечно.

     
  • 5.13, antitroll (?), 21:49, 08/09/2011 [^] [^^] [^^^] [ответить]  
  • –2 +/
    и в правду, тролль головного мозга. читай про pass-the-hash. поснифал хэш (НЕ ПАРОЛЬ!) и стал админом домена!!! вот тебе и супер безопасная венда. когда патчи выпустят свистни, может через несколько лет?
     
     
  • 6.14, AdVv (ok), 02:12, 09/09/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вау ! Ты прям только что написал что kerberos придумали законченные идиоты. Надо твой пост на нобелевку номинировать. В номинации "Трепло 2011".
     
     
  • 7.15, admin (??), 13:27, 09/09/2011 [^] [^^] [^^^] [ответить]  
  • –6 +/
    вы почитайте сначала про pass-the-hash а потом извинитесь, ок?
     
     
  • 8.17, Лютый хаксор (?), 14:21, 09/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Еще один юный читаль журнала akep Тут где-то в соседних ветках видел тебе под... текст свёрнут, показать
     
     
  • 9.23, admin (??), 19:51, 09/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    эта всё таки прочитайте и попробуйте у себя в сети 2 AdVv прочитайте сначал... текст свёрнут, показать
     
     
  • 10.25, Желающий быть учеником гуру (?), 20:00, 09/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Вопрос в лоб, лично ты таким способом сколько раз поимел админа в сетях с AD ... текст свёрнут, показать
     
     
  • 11.29, 1 (??), 12:13, 10/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    статья УК РФ однако http oss coresecurity com pshtoolkit doc index html 1 з... текст свёрнут, показать
     
     
  • 12.30, 2 (?), 12:45, 10/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Не работает Надо звать одмина что ли для установки трояна в систему Дык он ... текст свёрнут, показать
     
     
  • 13.31, 1 (??), 13:10, 10/09/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    вышла новая версия http www ampliasecurity com research wcefaq html whatiswce ... текст свёрнут, показать
     
     
  • 14.32, Бородатый одмин (?), 13:37, 10/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Я так понимаю сам мистер Трепло-2011 даже не смотрел что он нашел D Цитата из ... текст свёрнут, показать
     
     
  • 15.33, 1 (??), 13:59, 10/09/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    если всё таки внимательно прочесть тред, то станет понятно, что речь идёт о взло... текст свёрнут, показать
     
     
  • 16.35, Бородатый одмин (?), 14:13, 10/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    что речь идёт о взломе всей сети, взломав всего лишь одну машину домена ... текст свёрнут, показать
     
     
  • 17.36, 1 (??), 22:02, 10/09/2011 [^] [^^] [^^^] [ответить]  
  • –2 +/
    ну прям не знаю вы считаете что взломав одну машину из 1000 поиметь весь дом... текст свёрнут, показать
     
     
  • 18.38, 3 (?), 05:06, 11/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Позвольте поинтересоваться уважаемый тролль вам слово OpenLDAP встречалось когда... текст свёрнут, показать
     
     
  • 19.39, Бородатый админ (?), 06:46, 11/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Ближе к вечеру прочитает об этом в гугле и напишет что админит такую Linux инфра... текст свёрнут, показать
     
  • 18.40, AdVv (ok), 14:01, 12/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Я не бородатый, коротко подстрижен и соблюдаю все нормы СЭС Админю и винду и юн... текст свёрнут, показать
     
     
  • 19.42, MrClon (?), 12:51, 16/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    На сколько я понял тут речь идёт не о локальном логине, а о сетевом RDP и SMB т... текст свёрнут, показать
     
  • 15.34, 1 (??), 14:08, 10/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    смотрел года 2 назад у нас весь IT отдел прифигел ... текст свёрнут, показать
     
  • 10.26, AdVv (ok), 20:56, 09/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Господи какая чушь Открытие века, вход на затрояненную машину ведет к компро... текст свёрнут, показать
     
     
  • 11.28, 1 (??), 12:02, 10/09/2011 [^] [^^] [^^^] [ответить]  
  • –2 +/
    опа, так это же в любой сети сплошь и рядом куда ни плюнь антивирус скажет что ... текст свёрнут, показать
     
     
  • 12.41, AdVv (ok), 14:59, 12/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Если должным образом подкручены гайки в плане безопасности - трудно Достаточно ... текст свёрнут, показать
     
  • 8.20, AdVv (ok), 15:32, 09/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Да не нужно мне читать, я знаю о чем идет речь, потому и стебаюсь Эта техника м... текст свёрнут, показать
     
     
  • 9.24, admin (??), 19:56, 09/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    я вам выше ответил, ваш коммент с матом всё равно удалят ... текст свёрнут, показать
     
     
  • 10.27, Гога (?), 10:53, 10/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Удалить бы как раз следовало твою бредятинку, а это нормальный ответ технически ... текст свёрнут, показать
     

  • 1.21, Fantomas (??), 17:03, 09/09/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > занимающиеся генерацией сертификатов критически важные серверы были размещены в общей локальной сети, не имели антивирусного ПО (серверы работали под Windows), входили в общий домен Windows (на сервер мог зайти любой у кого есть параметры учетной записи), пароли доступа были пригодны для подбора, установленные на публичный web-сервер программы устарели и давно не обновлялись, не практиковалось безопасное ведение логов.

    нормальный творческий безпорядок.
    у меня на работе тоже-самое.
    главное, чтобы небыло инсайдеров.

     
     
  • 2.22, AdVv (ok), 18:24, 09/09/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >> занимающиеся генерацией сертификатов критически важные серверы были размещены в общей локальной сети, не имели антивирусного ПО (серверы работали под Windows), входили в общий домен Windows (на сервер мог зайти любой у кого есть параметры учетной записи), пароли доступа были пригодны для подбора, установленные на публичный web-сервер программы устарели и давно не обновлялись, не практиковалось безопасное ведение логов.
    > нормальный творческий безпорядок.
    > у меня на работе тоже-самое.
    > главное, чтобы небыло инсайдеров.

    Бардак не просто способствует, он провоцирует к утечке.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру