Компьютерная команда экстренной готовности США (US-CERT) предупредила (https://www.us-cert.gov/ncas/current-activity/2019/01/10/DNS...) администраторов о выявлении массовых атак (https://www.fireeye.com/blog/threat-research/2019/01/global-...), проводимых через перенаправление трафика на подконтрольным злоумышленникам хост при помощи правки параметров DNS в интерфейсе регистратора или провайдера услуг DNS.
Для получения доступа к настройкам DNS (многие клиенты не запускают свой DNS-сервер, а пользуются сторонним сервисом, как правило предоставляемым регистратором) организаторы атаки подбирают или перехватывают пароль к учётной записи для входа в интерфейс регистратора. Например пароль может быть захвачен в результате внедрения троянских приложений на компьютеры жертв или вычислен пользуясь совпадениями с паролями из доступных баз учётных записей, захваченных в результате атаки на известные сервисы (многие пользователи используют один пароль на разных сайтах). В отчёте также отмечается выполнение подмены серверов DNS, в случае если пользователь поддерживает собственные DNS-серверы, а не использует DNS-сервис регистратора.
После получения доступа к параметрам DNS атакующие указывают для домена IP-адрес своего хоста, на котором запускают прокси, перенаправляющий весь трафик на легитимный сервер жертвы. В отличие от зафиксированных в прошлые годы подобных атак, злоумышленники получают рабочий SSL-сертификат, подтверждая контроль за доменом в автоматически выдающем сертификаты сервисе Let’s Encrypt. В результате HTTPS трафик на подставной хост воспринимается браузерами как корректный и не вызывает подозрения у пользователей.
Тот факт, что у сайта изменился IP-адрес зачастую остаётся незамеченным длительное время, так как сайт жертвы продолжает работать без изменений, за исключением небольшого увеличения времени отклика из-за дополнительного перенаправления трафика через сервер атакующих. На подконтрольном злоумышленникам сервере, работающем как прокси для совершения MITM-атаки, производится анализ всего транзитного трафика для захвата конфиденциальных данных, паролей и платёжной информации.Общий масштаб атаки пока не ясен. С учётом применения корректных SSL-сертификатов и изменений IP в DNS-сервисах (привязанные к домену DNS-серверы регистратора остаются не изменёнными) со стороны достаточно трудно выявить факт вмешательства злоумышленников. Среди скомпрометированных систем отмечаются некоторые коммуникационные компании, ISP, государственные организации и крупные коммерческие предприятия.
Для того чтобы не стать жертвой атаки владельцам доменов рекомендуется включить двухфакторную аутентификацию для входа в интерфейс регистратора или провайдера DNS, а также проверить соответствие выдаваемого для домена IP-адреса с фактическим адресом своего сервера, проанализировать логи на предмет поступления входящих запросов с разных IP и выполнить поиск дополнительных SSL-сертификатов, сгенерированных для своего домена.
URL: https://www.us-cert.gov/ncas/current-activity/2019/01/10/DNS...
Новость: https://www.opennet.ru/opennews/art.shtml?num=49937
Ну да - это тот самый случае, где летсенкрипт отсасывает, конечно. Платные сертификаты эти ребята стали бы покупать только в самых крайних случаях.
Это уже не проблемы letsencrypt.
В самом деле. Отсутствие идентификации персоны, получающей доверенный сертификат - не проблема центра сертификации. Напоминаю, что PKI - это в первую очередь chain of trust, без таковой PKI бесполезна.
Вообще же это может стать шагом к тому, что LE вынесут из браузеров.
Тут скорее проблема в DNS, решать проблемы dns/dnssec/DoH/DoT на уровне сертификата бесполезны с пробитым днс.
Если злоумышленник имеет контроль над доменом, почему центр сертификации не должен выдать ему Domain Validated сертификат? Такой сертификат подтверждает именно владение доменом. А злоумышленник имеет контроль над ним. Это не проблема центра. Внезапно, да?
https://habr.com/post/425261/
> EV-сертификаты мертвы
> Десять крупнейших в мире сайтов: нигде нет EV
> Остался аргумент с фишингом. Часто заявляется, что EV каким-то образом уменьшает его. Именно такое утверждается на слайде с презентации Entrust с начала этого года:
> Здесь целая куча подтасовок, и для анализа лучше всего почитайте этот тред от Райана Слеви. Он проанализировал исследование, на котором основан слайд.
> Райан — очень умный криптограф, работающий над Chromium, и у него отличная способность чётко выводить на чистую воду любую чушь. В конце концов он резюмирует ситуацию: «В общем, это плохая статья. Но что ещё хуже, они пытаются выдать её за исследование „на данных”. При этом используют ошибочную методологию и избирательный подход, чтобы поддержать бизнес-модель, которая опирается на пользователей, несущих всю ответственность за обнаружение изменений пользовательского интерфейса».
> То есть мы возвращаемся к тому, что EV будет эффективен только если люди меняют поведение из-за изменения UI. В реальности люди не знают, на что обращать внимание, а само это изменение вообще постепенно прекращает своё существование. Либо изменение слишком малозначительное, чтобы люди обращали на него внимание.И фишингу подвержен не только LE: https://news.netcraft.com/archives/2017/04/12/lets-encrypt-a...
Более того, при наличии взлома EV наоборот доставляет проблемы по быстрому устранению последствий. Процедура отзыва и так почти не работает, а EV ещё и задержки вносит.
> Что подводит меня ко второму пункту: обновление сертификата должно быть автоматизировано, и это то, что вы просто не можете сделать, если требуется проверка личности. С сертификатом DV автоматизация делается просто, она является краеугольным камнем Let's Encrypt и действительно важным атрибутом этого сервиса. Недавно я провёл некоторое время с командой разработчиков в крупном европейском банке, и они серьёзно подумывали о том, чтобы отказаться от EV именно по этой причине. На самом деле, не только по этой причине, был ещё риск, что им понадобится очень быстро получить новый сертификат (например, из-за компрометации ключей), что гораздо сложнее для EV, чем для DV. Кроме того, долгосрочные сертификаты фактически создают дополнительные риски из-за неработающей процедуры отзыва, поэтому быстрые итерации (например, сертификаты Let's Encrypt действуют 3 месяца) становятся преимуществом. Сертификаты, действующие два года — это не преимущество, разве что с точки зрения заработать на них…https://twitter.com/tomashala/status/1032969187789074433
> We have replaced EV cert by @letsencrypt on our payment portal for this reasons:
> - automatic renewal (no long and complicated manual process & reduces risk of expiration)
> - price
> - people don't care about cert type
> - shorter expiration=quicker restore from potential compromise
Ну, ооо "рога и копыта" у себя может хоть самоподписный сертификат на платёжке вешать, всем, кроме их полутора клиентов, строго фиолетово.
> Ну, ооо "рога и копыта" у себя может хоть самоподписный сертификат на платёжке вешатьони раньше так и делали. Но великие специалисты по безопасности, "работающие над хромом" позаботились, чтобы их полтора клиента не смогли зайти на сайт с самоподписанным сертификатом, и светили свои заходы гуглю.
А что такого сделали спкциалдистя с хромом, можно узнать ? А то вот совсем не наблюдаю проблем с корпоративными ресурсами сидящими на своем корпоративном ЦА. Да, однократно свой ЦА ставится в доверенные. (ну в виндовом домене сам, через политику, остальным руками). Вот нет проблем. совсем нет. Ни с хромом ни с мобил, ни с десктопов ни с каким другим браузером. (ествественно если сертификат своего ЦА не поставить, то ругается. Но это, как бы, ожидаемо).
> А что такого сделали спкциалдистя с хромом, можно узнать ?вам- нельзя.
научитесь читать и понимать прочитанное, потом приходите.
> Вот нет проблем. совсем нет. Ни с хромом ни с мобил, ни с десктопов ни с каким другим браузером.Есть такое мнение, мил человек, что ты балабол.
Вот неполный квест который огребает отдел системного администрирования при установке сертификата собственного ЦА на различные устройства:
- алло, а как поставить ваш сертификат на устройство фирмы триамбламмям? Инструкцию вы не написали! Те что есть не подходят! Какая ОС не знаю!
- алло, я выяснил, у меня андройд 4.2, как поставить ваш долбанный сертификат на мой андройд 4.2? Что значит рутнуть?
- алло, я/мне из-за вас купил/и новый неудобный смартфон и я поставил сертификат, как мне теперь снять пин? Что значит каждый раз вводить?!
- алло, я снял пин и у меня пропал и доступ к vpn и все мои зашифрованные документы и фото моей дочки и важные записки!! не делал я бекапа!! я не админ, это вы админы и должны были делать бекапы на моем телефоне!! верните документы!!
- алло, поставьте сертификат партнёру на другом континенте. Нет, он не говорит ни по-русски, ни по английски. Что за ОС хз, он говорит всё время разное. Но он приносит нам деньги - решите вопрос с его телефоном!
- алло, а ваш сертификат правильно работает? а как это проверить? Нет ошибки сертификата, просто вебсокет закрывается и всё тут.
- алло, а как проверить тестовый сайт снаружи, что значит корректно никак, выставите CRL вашего приватного ЦА в Инет! Ну или настройте OCSP. Да я срать хотел на ваши политики безопасности!
Только не надо начинать песни "а вот в нормальных конторах". Админы из нормальных контор это серьезные взрослые люди, в тексте выглядят, например, как человек под ником пох, но не как ты.
> Более того, при наличии взлома EV наоборот доставляет проблемы по быстрому устранению последствийи это тоже хорошо и правильно, потому что если у тебя взломали EV-защищенный сайт - надо не "быстро" замести крошки под ковер, а выключать сайт, рассылать клиентам письма счастья, и включать обратно не раньше, чем будет готов результат расследования как и что именно украдено и приняты меры.
> Процедура отзыва и так почти не работает
а вот за это спасибо скажи своим идолам из копро-рации правильных вещей с их великими "криптоспециалистами". Когда браузер постоянно лезет на миллион внешних сайтов за кучей ненужносписков, тебя не спрашивая, надо ли оно вообще и прямо сейчас, но crl мы грузить не будем, "они слишком большие" (что как раз говорит о том, что ими активно пользовались) и выбора пользователю тоже не предоставим, наш пользователь видится нам исключительно в виде огромной жопы с глазами и ушами чтоб жрать ими навоз.
> - shorter expiration=quicker restore from potential compromise
ну правильно, чего там париться - "все равно через два месяца протухнет". Всего-то два месяца, ага.
А вот возможность для пользователя который таки care about, заметить что серт не тот - эффективно ликвидирована следом за crl. Потому что он каждый раз новый. И pkp туда же.
Спасибо дорогому гуглю и его макакам - впрочем, опять же, при таких деньгах есть сомнения в действенности закона Хэнлона.
Потому что злоумышленнику ещё (ворованную) кредитку засветить придётся, а если там есть 3DSecure - возможно и номер (ворованного) телефона. Каждый засвет - риск.
> Райан — очень умный криптограф, работающий над Chromiumдальше можно не читать
завидовать - грех!
> Если злоумышленник имеет контроль над доменом, почему центр сертификации не должен выдать
> ему Domain Validated сертификат? Такой сертификат подтверждает именно владение доменом.
> А злоумышленник имеет контроль над ним. Это не проблема центра. Внезапно,
> да?А если злоумышленник имеет контроль над вашей квартирой? Его должны в ней прописать? >:-) Это внезапно не проблема... Думы?
В данном примере случае злоумышленник скорее имеет доступ к Росреестру, и может выдать себе свидетельство ЕГРН, на основании которого в паспортном столе его пропишут в вашей квартире. А еще он может пойти к нотариусу и оформить продажу вашей квартиры, причем нотариус, проверив собственника в ЕГРН по своим каналам, спокойно заверит договор продажи. Это не проблема паспортного стола или нотариуса.
> Его должны в ней прописать? >:-) Это внезапно не проблема... Думы?Неправильная аналогия. Путаешь технологии. Аналогом сертификата https будет вставка своего замка в дверь. А прописка в квартире, это юридическое владение доменом. Оно никуда не девалось у тех, кого взломали. И они могут вернуть контроль над квартирой, хотя на самом деле и не теряли даже, т.к. получается не смена замка на старой двери, а новая отдельная дверь у злоумышленника (только с замком/сертом злоумышленника временная техническая проблема из-за неработающего отзыва, особенно в хроме).
Так что да, это внезапно не проблема тех мужиков, кто ставит двери/замки в квартиры (или кто просто продаёт их, если где-то таки требуют проверять документы при установке мастером). Вызывайте полицию и выпиливайте дверь и злоумышленника.
> Отсутствие идентификации персоны, получающей доверенный сертификатВо-первых, Let's Encrypt не выдаёт EV-сертификаты, идентификация каких бы то ни было *персон* не требуется. А во-вторых, если злоумышленники получили доступ к админке сервера для изменения настроек DNS, то оригинальный владелец уже и не совсем владелец, ответственность за это несёт либо владелец (если логин-пароль увели), либо регистратор/хостер (если базу учёток стырили), но никак не центр выдачи сертификатов.
Если что, оплата услуги - это тоже своего рода идентификация. Да, кредитку можно свистнуть, но риск палева для конечного исполнителя-школотрона увеличивается в разы.
Да уж прям возрастает!
В 15м году Симантек ничтоже сумняшеся выпустил wildcard на домены моих знакомых. По тыреной карточке, ага. Управление доменами и днс вернули быстро, а вот те перевыпущеные сертификаты так и были валидны до конца их срока действия (год). Саппорт на запросы об отзыве вообще не реагировал. Точнее, один раз написали на индлише что-то типа «вы не наш клиент — пойдите вон». Entrust, у которого мои друзья покупали домены, ответил что-то вроде «так это ж не мы выпустили — отозвать не можем». Вот и вся защита интырпрайз уровня.
И правильно, надо было купить у них серт тогда бы они вам помогли. А с фига ли они должны отзывать сертификат своего клиента, по просьбе анонима?
Потому что они выпустили сертификат НЕ своего клиента?
как это не своего? Он им деньги заплатил. Причем они честно-честно провели эту самую "DV" - все ок, все сошлось.и да, желаю вам успехов в попытках заблокировать такой же dv LE.
P.S. отдельный вопрос - что это был за ентер-прайс такой, прочавкавший одновременно и сайт и dns, чтоб ненароком не дать ему данные своей кредитки.
Ну я отзывал для своего тестового домена полгода назад. Хотел проверить, как оно работает. Процедура не очень сложная. В течение дня начала показываться плашка «revoked».
Я не писал про энтерпрайз. Это был небольшой НЕайтишный бизнес. Сертификат у ентраста взяли по рекомендации аутсорсинговой конторы, которая делала всё айти незадолго до описанных событий. Подозреваю, что рекомендация была не за просто так, учитывая цены ентраста.
Угон dns открывает много путей для махинаций. В описанном мной случае, сам домен и сайт никто не угонял — подменили A-записи всех поддоменов и честно проксили всё, кроме платёжной формы. Доступность и работоспособность процесса покупки проверялась снаружи селениумом два раза в сутки. Но всё равно узнали по звонкам возмущенных клиентов.
> Я не писал про энтерпрайз. Это был небольшой НЕайтишный бизнес. Сертификат у
> ентраста взяли по рекомендации аутсорсинговой конторы, которая делала всё айти незадолго
> до описанных событий. Подозреваю, что рекомендация была не за просто так,
> учитывая цены ентраста.ну же, ну же, разоблачайте так у ж до конца - сколько же составила эта ГРОМАДНАЯ сумма - долларов 40 в год(это ж аж на пиво хватило "незапростотак", ага?) Если бы взяли ev - то это стоило бы аж $300 по нынешним ценам, и аж прям ужасные 700 до эпохи дерьма зато нахаляву.
ребята, если это для вас "сириозные деньги" - я не дам вам данных своей кредитки.
кстати, рекомендация-то правильная, учитывая что ентраст жив-здоров а покупателям симантеки светит превращение их серта в тыкву.
причем вовсе не за то что они неправильно валидировали dv, а за то что мешали правильным пацанам вести правильный бизнес.
Ещё один любитель выквзывать позицию энтерпрайзов? Олоэ, включи логику! К тебе обратился владелец домена на который ты выдал сертификат. Обратился с утверждением того, что сертификат был выпущен незаконно (после привозаконного действия в отношении владельца домена), а ты вместо того чтобы инициировать повторный validation (или даже отзыв на время разбирательства), просто отвечаешь — не мои проблемы. Искренне желаю тебе, чтобы подобный сервис ожидал тебя везде.
> Ещё один любитель выквзывать позицию энтерпрайзов? Олоэ, включи логику! К тебе обратился
> владелец домена на который ты выдал сертификат.паспорт и данные принес? За валидацию (ручную, потому что это как раз EV) - заплатил? А если нет - с чего я должен ему верить что он владелец, а не как раз только что угнал dns? Или бесплатно оказывать юридическую услугу.
> что сертификат был выпущен незаконно (после привозаконного действия в отношении владельца
но ни справку из полиции, ни решение суда не принес. То есть официально действовать не стал. Потому что не умеет или потому что сам жулик? А как мне это понять?
> домена), а ты вместо того чтобы инициировать повторный validation (или даже
> отзыв на время разбирательства), просто отвечаешь — не мои проблемы. Искреннеи тем самым подставить свой бизнес в угоду чужому счастью, потому что взяв три копейки за этот dv ты вообще-то обязался кое-что предоставлять, и никакого мелкого шрифта на тему "вдруг неведомый хрен с горы пытается опротестовать вполне кошерно проведенную dv" не предусмотрел?
> желаю тебе, чтобы подобный сервис ожидал тебя везде.
я в общем, желаю "не айтишным бизнесам", сэкономившим три копейки на нормальном админе или не желавшим его слушать, поскорее обанкротиться.
Она и так бесполезна, с кучей мало кому известных центров сертификации которым авторы браузеров заставляют доверять по умолчанию.
а все известные мы уже позаблокировали
> Отсутствие идентификации персоны, получающей доверенный сертификат - не проблема центра сертификацииЭто его обязанность.
Откуда ж вы такие лезете?!
Нет, нет и ещё раз нет. Идентификация личности нужна только для случая PV сертификата. Даже EV требует проверки ОРГАНИЗАЦИИ и, опционально, наличия у запрашивающего разрешения на такое действие от руководителя организации.
> PKI - это в первую очередь chain of trust, без таковой PKI бесполезна.Теория -- это такая штука... Лучший способ её употребления -- сворачивать в трубочку, наполнять чем-нибудь сознание меняющим, и курить. Если теория не меняет сознание, то значит эта теория не стоит выеденного яйца.
Но это присказка была. Подумай о доверии. Что это такое? Проверка сертификата -- это ведь лишь способ проверить что-то. Так же как ключ от двери, которой авторизует для входа, но ведь на деле замок лишь проверяет, что входящая персона имеет при себе подходящий ключ, он не проверяет личность. Системы с отпечатками пальцев или распознавания по лицу лучше, но они проверяют лишь то, что человек может оставить подходящий отпечаток пальца или выглядеть достаточно похоже. Эти системы можно обмануть, потому что они проверяют не наличие реально интересующего нас свойства (быть именно тем самым Васей, которому мы разрешили входить), а других свойств которые коррелируют со свойством "быть Васей".
Так какое именно свойство сайта мы хотим проверить. Проверку какого свойства мы подменяем проверкой сертификата? В большинстве случаев, мы хотим проверить, что это "тот самый сайт". Тот самый, это в смысле что именно тот, который мы посещали вчера. Или именно тот, о котором нам сообщила подруга. Или именно тот, который имел в виду человек, который прислал нам ссылку. Так ведь?
То есть, ситуация примерно следующая. Когда-то в прошлом интернете появился сайт. Он развивался, зарабатывал себе репутацию, и столкнувшись с сайтом мы хотим проверить, что это именно он. Так? Но как это реализовать? Есть два способа. Первый -- это работать с сайтом и проверять, действительно ли это тот сайт. Выглядит не очень практично, но именно через этот способ сайт зарабатывает себе репутацию: человек приходит на незнакомый доселе сайт, находит на нём какую-то полезнейшую для него функциональность, и говорит "это то, что я искал". Второй способ -- это DNS. У первого есть косяк в том, что другой сайт может закосить под наш, и мы можем этого не заметить. DNS делает эти вещи резко сложнее. Доменное имя -- это специальное такое свойство сайта, которое позволяет его идентифицировать. Интернет был построен на гиперссылках, и ключевая часть гиперссылки -- доменное имя. Но доменного имени недостаточно -- возможны же всякие там MitM, так ведь? Вот тут на помощь приходит letsencrypt.
Описанное выше -- не всегда удовлетворительная схема. Иногда я не готов доверять регистраторам имён, потому что они могут подложить свинью под давлением правительства (нашего или чужого) или общественного мнения. Иногда я хочу связаться не с "тем самым сайтом", а с "той самой организацией" или "с тем самым человеком", а сайт для меня лишь интерфейс, и может быть один из многих. Такие случаи менее распространены, но на такие случае есть другие механизмы. От "того самого человека" ты можешь получить сертификат на дискетке, из рук в руки (после того как ты авторизуешь его по внешности, голосу, манере двигаться, может быть задашь ему несколько контрольных вопросов, пароль-отзыв...), и установить его в свой браузер. Или сайт может использовать какие-то внешние центры авторизации -- скажем платные сертификаты от доверенного центра (от того, которому вы оба доверяете). Способы могут быть разные, но я отмечу: нет ничего удивительного в том, что какая-то схема авторизации оказывается неприменимой в ситуациях, для которых она не создавалась. Для заурядного сайта совершенно нормально верить регистратору DNS. С letsencrypt, правда, приходится ещё доверять letsencrypt. Но альтернативой будет либо доверие платным центрам выдачи сертификатов, либо self-signed сертификаты: распространять сертификаты дискетками по почте вряд ли, завязывая авторизацию на почтовый адрес -- это вряд ли существенно лучшее решение.
Но ключевая, меняющая сознание штука -- это то, что ты всегда идентифицируешь "ту сторону" по *косвенным* признакам. Вопрос в том, насколько релевантные косвенные признаки ты используешь. Вопрос в том, удалось ли вам с "той стороной" создать действительно релевантные косвенные отличительные признаки. Всегда есть некое множество возможных значений для "той стороны" и тебе надо проверить по косвенным признакам, что фактическое значение именно то, которое ты хочешь.
И вот только когда вот эта мысль вcocётся можно начинать разговоры о цепочках доверии. Сначала надо понять что есть доверие и чему именно ты хочешь или не хочешь доверять, и только после этого можно говорить о цепочках доверия.
Че сказать то хотел?
это тот самый случае, где ононим отсасывает, конечноfixed
Это тот случай, где он недопилен пока - CT эту проблему вполне решает, но у letsencrypt его поддержка только в планах на 2019.
>CT эту проблему вполне решает, но у letsencrypt его поддержка только в планах на 2019.Гхм, гхм, вообщето не один СА не имеет право на существование если не стучит в СТ после того как StarCom был куплен китайцами и которые выдававали левые сертификаты, а LE один из первых подключился к certificate transparency
Ну вот судя по новости (и по источнику на сайте letsencrypt) это всё же в планах на 2019
Стоп, это я туплю. Там так:We are also planning to introduce a Certificate Transparency (CT) log in 2019. All certificate authorities like Let’s Encrypt are required to submit certificates to CT logs but there are not enough stable logs in the ecosystem. As such, we are moving forward with plans to run a log which all CAs will be able to submit to.
то есть CT сейчас не то чтобы сильно юзабельным выглядит?
Тезка, хорош туфту гнать если не в курсе.Иди суда:
https://www.entrust.com/ct-search/
или суда:
https://crt.sh/
и проверь любой сертификат выданный Letsencrypt-om
В планах у них завести СВОЙ ЦТ сервер. В чужие публичные СТ они все подписанные сертификаты льют с момента своего появления. С марта 2018 (или чуть ранее, не помню) они информацию о СТ, куда записали выданный сертификат вставляют в сам сертификат. Вы это всегла можете проверить, посмотрев сертификат. Примерно с тогоже марта это делать обязаны все подписывальщики сертификатов, иначе гугл их не будет трастить в своих браузерах, но по факту многие это далать начали сильно раньше.
> они информацию о СТ, куда записали выданный сертификат вставляют в сам сертификатКак посмотреть? На примере опеннетовского сертификата...
openssl s_client -showcerts -connect www.opennet.ru:443 </dev/null 2>/dev/null| openssl x509 -textCT Precertificate SCTs:
Signed Certificate Timestamp:
Version : v1 (0x0)
Log ID : 74:7E:DA:83:31:AD:33:10:91:21:9C:CE:25:4F:42:70:
C2:BF:FD:5E:42:20:08:C6:37:35:79:E6:10:7B:CC:56
Timestamp : Dec 9 20:15:37.927 2018 GMT
Extensions: none
Signature : ecdsa-with-SHA256
30:46:02:21:00:CB:27:C4:50:7B:4A:E2:39:FC:85:2B:
3E:43:F6:91:81:6B:39:9F:53:95:1F:74:90:A0:63:EB:
2F:00:B4:BF:53:02:21:00:BB:11:C7:C6:45:FD:79:77:
0E:01:48:96:02:61:D3:53:3F:6C:20:B4:38:DD:EF:7E:
1B:59:23:79:E1:68:72:21
Signed Certificate Timestamp:
Version : v1 (0x0)
Log ID : 29:3C:51:96:54:C8:39:65:BA:AA:50:FC:58:07:D4:B7:
6F:BF:58:7A:29:72:DC:A4:C3:0C:F4:E5:45:47:F4:78
Timestamp : Dec 9 20:15:37.512 2018 GMT
Extensions: none
Signature : ecdsa-with-SHA256
30:46:02:21:00:D1:9D:C9:36:B0:78:AE:9F:37:02:90:
D3:58:23:01:74:1D:3E:27:DD:E4:2F:8A:B1:CE:03:88:
39:DD:63:33:BD:02:21:00:EF:17:71:9F:63:C2:9C:CA:
3C:33:4C:45:09:76:62:85:4F:2E:4F:94:70:A4:9F:8C:
C5:24:B6:48:2D:C1:74:2E
дальше есть описание апи и списка публичных ЦТ, можно поискать чем дергать напрямую из указанных ЦТ, в гите имется несколько проектов для данных целей, Если слишком сложно, то можно сразу посомтреть в готовом виде собранное комодой наhttps://crt.sh/?id=1015175376
тут пресертификат, (для того чтобы можно было это вставить в готовый сертификат приходится его подписывать 2 раза, с добавленным, но незаполненным полем CT, потом заполнять поле полученными данными и подписывать еще раз. первый сертификат получается нерабочим, но во втором получается ссылка на его регистрацию, т.е имя и с-по, и прочие параметры сертификата 100% засвечено в СТ, потом они его еще траз льют в СТ, но это ужн не очень обязательно. тудаже сливает и гугл всех кого нашел своим кравлером, "на всякий пожарный")
https://crt.sh/?id=1015175244
тут сам сертификатТам же пожно посмотреть все, что есть действующего, на *.opennet.ru
https://crt.sh/?Identity=%25.opennet.ru&exclude=expired (тут не будет на сам домен, задание на дом, как посмотреть все что есть на просто opennet.ru)
ну или вообще все, что было выдано за последние года им, я там находил свои сертификаты аж за 2004 год, но добавляли их в 2016 в ЦТ, похоже некоторые ЦА слили в CT все, что ранее выдали.
https://crt.sh/?Identity=%25.opennet.ru
Я делал для своих целей собиралку по всем известным ЦТ напрямую (именно то что делают на crt.sh, но только по интересным мне доменам).. запущенная в начале августа сего года она по одному разу обходила все ЦТ до сердедины сентября. потом продолжая с того места, где остановилось, обходит за 10 минут гдето, если пускать раз в пол часа. (понятно, время обхода зависит о того, сколько успели сертификатов навыдовыать)
КН(Д)Р?
> корректных SSL-сертификатов
> рекомендуется включить двухфакторную аутентификациюКак двухфакторная аутенфикация поможет, если сертификат злоумышленника корректный?
Это советы не для юзеров, а для админов. Взламывают их.
Если ломанули пароль админа без 2FA то админ может и не знать что его поимели (если конечно совсем куку админ, который не установил оповещения о логинах в контрольную панель ДНС через мыло).
А с 2FA ему будет приходить на телефон код разблокировки в добавок к паролю к DNS админке
Certificate Transparency пишет логи всех сертификатов. А, например, Certspotter умеет алертать если увидит в логах левый сертификат для вашего домена.
Проблема в том, что масса доменов регается маленькими конторками, у которых своих спецов нет и пользуются услугами приходящих "компьютерщеков" и которые дерут бабки почасово и платить им за мониторинг - жаба, а у "приходящих спецов" нет стимула хрячить бесплатно, да и в большинстве своем, у них менталитет -"чем чаще вызывают, тем больше бабла". А хозяева доменов как правило особо не парятся со сложными паролями, отсюда - описанный эффект.
Там кулхацкеры, сям кулхацкеры... Их бы потуги, да в мирное русло пустить, глядишь что-то полезное для общества сделали, а то сродни фабрике троллей, только ломать и манупулировать могут, мамкины анархисты.
"Хакер в столовой".Но, справедливости ради, если бы не хакеры, то корпорации писали бы софт так, что он ломался бы при любой случайности. А вину валили бы на пользователей.
Это заблуждение сродни тому, что в некоторых конторах админы политиками закрывают сеть (делая себе лазейку даже в очень как бы защищенной сети), надеясь на них, но не защищая каждый компьютер. В результате вешают себе над головой Дамоклов меч (взломали контроллер домена либо даже одну рабочую станцию - сети и компьютеров в конторе нет). Любой домашний компьютер или смартфон защищен лучше такой рабочей станции, ибо они изначально рассчитаны на работу в агрессивной информационной среде.
Что полезного для общества делают немамкины кулхацкеры из АНБ, ФСБ, всякие китайско-корейские госхакеры и прочие уродцы на службе у толстосумов?
попытка пропихнуть dns-over-чо-то-там?
закручивание гаек по типу борьбы с терроризмом
Нет. Враги захватывают учётку на регистраторе, а не мужика посередине сажают.
Интересно, как они заставляют провайдера обратиться к "подставному" DNS? Другое дело если провели "инекцию", хотя это не просто и выражается определённой активностью. Можно, конечно, заставить всех пользователей развёртывать собственный кеширующий, но провайдер для того и нужен, чтобы предоставлять сервис. А вот чтобы ломали крупных провайдеров давно не слышал, тем более массово. Печаль пряма.
Уводят учётку, получают доступ к панели управления доменом, вписывают туда свои авторитативные dns сервера. Или может вписывают dns сервера провайдера, и проставляют AAAA, который им удобно.> чтобы ломали крупных провайдеров давно не слышал, тем более массово
Не было никаких поломанных крупных провайдеров, речь о другом:
"организаторы атаки подбирают или перехватывают пароль к учётной записи для входа в интерфейс регистратора/DNS-сервиса. Например пароль может быть захвачен в результате внедрения троянских приложений на компьютеры жертв или вычислен, пользуясь совпадениями с паролями из доступных баз учётных записей, захваченных в результате атаки на известные сервисы (многие пользователи используют один пароль на разных сайтах)."
ты отстал от жизни, сейчас немодно "свои dns сервера".
Уводят учетку, прямо в той панели меняют A запись, сервера БЕСПЛАТНО предоставляет сам регистратор, их менять не надо, и палева, кстати, меньше.
> ты отстал от жизни, сейчас немодно "свои dns сервера".
> ты отстал от жизниНе удивительно, я лет десять не имел дела со скрипткиддисами.
> Уводят учетку, прямо в той панели меняют
Да, читать ты умеешь, я вижу. Молодец.
причем тут скрипткиддисы? Ты десять лет походу домены не регистрировал - там нынче опция "свои dns сервера" не у всех с первой попытки вообще находится.
> причем тут скрипткиддисы?При том, что увод паролей -- это деятельность для скрипткиддиса.
> Ты десять лет походу домены не регистрировал - там
> нынче опция "свои dns сервера" не у всех с первой попытки
> вообще находится.И чё? Думаешь скрипткиддис не в состоянии её найти? Они может ничего не понимают в том, как система работает, но уж с гуями они справляются без особых проблем.
> И чё? Думаешь скрипткиддис не в состоянии её найти?говорю ж - не надо ему. Он прям в том же интуитивно-приятном интефрейсе поменяет одну запись, на том самом dns, на котором оно штатно и лежало всю жизнь. И палева меньше, и уметь ничо не надо.
Предлагают поменять одну проблему на другую. Появится больше кривонастроенных днс серверов и отказоустойчивость будет не такая. Описанную проблему в новости даже проблемой можно не считать, если увели пароль, поменяли ип у сайта и ты этого не заметил, то так ли нужен этот домен за которым не следишь
Ты знаешь, существует довольно много бизнесов из 2-3 человек, которые заказали сайт-магазин за сто баксов. Платёжка от какого-нибудь яндкс или платипалкой. Заказы приходят по емейлу и в целом всё хорошо. Пока вдруг не начинаются жалобы от покупателей на двойные списания или владелец бизнеса не обнаруживает на счету ноль вместо ожидаемых тысяч.
А вот потом выясняется, что студия, которая клепала этот магазин, еле дышит и из ит персонала там остался один инженер поддержки.P.S. Риальне история моих друзей из Бразилии.
Чем второй фактор поможет, при наличии у товарищ майора HTTP/HTTPS канала (MITM) и SMS (SS7)?
его отсутствие сильно поможет тебе меньше подпрыгивать на бутылочке.
Товарищ майор не будет утруждать себя ни mitm, ни какими-то там sms. Он насадит тебя на бутылку, и ты сам, добровольно и с песней, все поменяешь как надо, и все пользовательские логины-пароли-адреса ему выложишь удобно и красиво.мы _так_ работаем, а ты фильмов про шпионов насмотрелся. Ты бы еще индийские смотрел, и думал, что мы тебе песни петь будем.
Ты лично только языком работаешь. Любитель бутылок.
Где вы там товарища майора увидели?
А чё тебя это зацепило?
SMS это не самый хороший выбор второго фактора. Есть например TOTP.
коммуникационные компании, isp, dns сервер "у регистратора" с паролем 123.Пааанятна...
дайте, пожалуйста, другой глобус.
IPFS, же
Очень похоже на начало информационной атаки на Letsencrypt.
Не удивлюсь, если в скором времени появятся новости с заголовками типа "нужно перестать доверять сертификатам Letsencrypt для увеличения безопасности"
И будет совершенно не удивительно. LE придётся добавить идентификацию клиента таки, не по кредитке, так по мобильнику. Вот только их недоношенная трёхмесячная автоматика с этим жить будет плохо.
не, они это не для того затевали.
Не придётся, ибо такая проверка излишня, а значит дорога и вредна. Для того, чтобы сделать описанное тобой, надо очень много присесть и не наступить на всякие *-DSS и GDPR. А это пиceц как сложно. Да и не будет этого никто делать — не стоИт перед проектом задачи превратиться в «классического» провайдера ssl.
В противном случае их просто потихоньку - по мере увеличения доли участия их сертификатов в таких атаках - вынесут из браузеров, и всё.
Ты платиновых спонсоров LE видел, дурачок? Там Google и Mozilla. Они и организовывали вместе с другими создание LE и оплачивают работу. Зачем им выкидывать из браузеров?
И даже если зачем-то выкинут/закроют, то добавят LE2 быстро.
> организаторы атаки подбирают или перехватывают пароль к учётной записи для входа в интерфейс регистратора/DNS-сервисаОчередной взлом сервера с помощью пароля на root?
Вообще мимо...
Вы домены когда нибудь покупали? Что такое гегистрар в курсе?
Новость о том, что левые люди получают доступ к административной панели ДНС, где меняют поинтер на ИП адрес подставного сервака. Причина - в безалаберном отношении к паролям и ничего больше.
И в отсутствии у многих регистраторов двухфауторки до недавних пор. У большинства она до сих пор опциональна.
> И в отсутствии у многих регистраторов двухфауторки до недавних пор. У большинства
> она до сих пор опциональна.2FA это тоже не панацея, уже было много случаев, когда взломы происходят используя имеено 2FA.
К тому же многие провайдеры, кроме как 2FA от гугла вообще не понимают
Ничо вы, на самом деле, не понимаете за "цепочку доверия".
"Цепочка доверия" должна состоять не в том, что Comodo (Кто такой Студебе^w Comodo? Это ваш родственник Comodo? Папа ваш Comodo?) своим корневым сертификатом заверяет промежуточный сертификат, а этим промежуточным сертификатом - сертификат сайта. Правильная цепочка доверия - это когда вы в том отделении банка, где получали карточку, спрашиваете у операционистки, которая вам её выдала, где сидят их компьютерщики, идёте к ним и просите распечатать вам на бумажке правильеый сертификат их интернет-банка. И при этом смотрите, как этот сотрудник себя ведёт. Если он, с недоумением пожав плечами, при вас открывает сайт и берёт серт оттуда - вам стОит всерьёз задуматься о банке, в котором it-персонал столь легкомысленно относится к секретности. А вот если он открывает папочку "сертификаты" и распечатывает сертификат оттуда - с этим банком можно иметь дело.
кто вы, чтобы сдавать вам компьютерщиков? да, при первом использовании карточки пин не подойдет, наберете захара петровича, скажете пин и вас активируют, мужчина или берите что дают или не задерживайте очередь.
это тоже немодно, это только в вашем спёрбанке так.
У правильных пацанов клиента такой фигней не вынуждают заниматься - наберите хорошо известный номер телефона на карте, пропищите в тоновом режиме номер карты, теперь пропищите ваш пин - поздравляем, карта активирована.
Кстати, вы сможете тем же способом этот пин поменять, не зная его.В качестве дополнительной меры безопасТносте - мы можем иногда попросить вас пропищать еще и номер-дату-выдачи паспорта.
Васян, записывающий ваш dtmf (если вы из офиса это сделали, ему его даже специально распознавать не надо, он отдельно прямо цифрами пишется), будет за это отдельно вам признателен - еще и кредитец на вас возьмет.Это не шутка, это Ситибанк. Европейский уровень безопастносте как он есть.
Понятно, спасибо. Девушка, я хочу аннулировать карточку и расторгнуть договор. Нет, остаток средств, пожалуйста, по расходному кассовому ордеру.
В том же Сбере можно было без проблем пройти в отдел автоматизации на свежим дистром клиент-банка и новыми ключами (когда я работал в фирме, имевшей р/с в СБ).
Без проблем. Нужна ваша подпись вот здесь, и ещё вот здесь. Секундочку, вот ваш ордер на две тысячи сто одиннадцать рублей 50 копеек, пожалуйста, присаживайтесь, ожидайте вызова вашего номера в кассу, всегодоброгодосвидания.
> Правильная цепочка доверия - это когда вы в том отделении банкану только совершенно необязательно ТАК через задницу - вполне годится прямо на этой карточке печатать fingerprint сертификата (и для ленивых рядом 3d-код) - но для этого надо чтобы браузер его умел спросить, причем заставляя в ответ просканировать код/набрать все цифры вручную, а не 'ok', не читая.
А "цепочки доверия" через комоду можно оставить на _крайний_ случай, когда доступ нужен и ты готов пойти на определенные риски. Но он должен быть таким же сложным, неудобным, заставляющим читать мелкий шрифт, как сейчас оверрайд "неправильного" сертификата сделан.
Проблема в том, что у гуглезилы совершенно противоположные задачи.
К сожалению, нас, параноиков, меньшинство. Но это ещё пол-беды - на нас денег сделать затруднительно, вот в чём основная беда.
ну тыж понимаешь, юзверь будет делать ровно то, что его заставят. Сейчас его заставляют НЕ ходить на сайты с сертификатами, неподконторольными гуглю.> Но это ещё пол-беды - на нас денег сделать затруднительно
ну казалось бы LE тоже должен быть изначально убыточным проектом, но, похоже,нас таки сумели кому-то продать, оптом, недорого.
а денег можно было и сделать - ну, скажем, продавая сервисы этих самых "траспаренсий", и сотрудничая с тем же startssl, а не топя его. Но, похоже, господин полковник велел иначе.
> Если он, с недоумением пожав плечами, при
> вас открывает сайт и берёт серт оттуда - вам стОит всерьёз
> задуматься о банке, в котором it-персонал столь легкомысленно относится к секретности.
> А вот если он открывает папочку "сертификаты" и распечатывает сертификат оттуда
> - с этим банком можно иметь дело.Э... Что за подход?
Особенно если сайт на сервере в соседней стойке жужжит... С папочкой. Ну конечно пожимать плечами ему следует без лишнего недо умения...
Но и идти к собственно занятым безопасностью эникеям за сертификатом должно быть незачем. ("операционистки" достаточно; или даже без неё)...
Если через стенку и он на него заходит по адресу из rfc1918, то да, а если это филиал, а сервер в Москве, и у админа настроено заходить не по VPN, а через Интернет, и разрешение DNS через сервера провайдера - специально, чтобы видеть, как у клиентов, и тогда он тоже подвержен спуфингу? А если он вообще не в помещениях самого банка, а где-нибудь в EC2? Я допускаю такое, потому что в своё время знал товарища, который с пеной у рта доказывал, что держать собственное железо и собственных админов чуть ли не неприлично, что ни одна серьёзная организация не захочет иметь дело с такими отсталыми людьми, которые не понимают, что надо всё переносить на хостинг и отдавать на отсосинг.
Если же операционистке дадут инструкцию, в какой папочке на внутренней файлопомойке взять сертификат, если вдруг кто-то спросит - ну это ж самое лучшее, что может быть. Только операционистки, когда я их об этом спрашивал, переадресовывали вопрос в службу поддержки онлайн-банкинга, который, внезапно, работает на сайте того же банка в режиме чата (не, ну можно ещё позвонить, узнать, что звонок очень важен и послушать музычку).
it под колпаком, совместимо с честью на уровне занавески для борделя, компромат фабрикуется своевременно, но сертификаты и оптимизм это хорошо, да
Это ж насколько надо быть буратиной, чтобы месяцами не замечать одинаковый remote addr в логах.
логи скомпрометированы ночной сменой и touch, ээ-то не показатель)
Новость - провокация, имеющая целью вынудить "владельцев" таких DNS засветить свой номер телефона и т.п.