Skompromitowane certyfikaty dla Google Inc.

[morphiusz]

30 sie 2011, 7:59

Yesterday, someone reported on a Google support site that when attempting to log in to Gmail the browser issued a warning for the digital certificate used as proof that the site is legitimate, according to this thread on a Google support forum site.

Wczoraj, ktoś zaraportował na stronie pomocy google, że przy próbie logowania przeglądarka ostrzegła go o niebezpiecznym certyfikacie dla strony logowania Gmail. Przeglądarką był Google Chrome, inne mogły o tym nie ostrzegać.

Today, when I tried to login to my Gmail account I saw a certificate warning in Chrome," someone using the screen name "alibo" wrote. "I think my ISP or my government did this attack (because I live in Iran and you may hear something about the story of Comodo hacker!)

Wystawcą certyfikatów był DigiNotar.
Odpowiedź Google o cały zdarzeniu:

A Google spokesman provided CNET with this statement: "A Chrome security feature warned the user of the invalid certificate and blocked them from visiting the attacker's site. We're pleased that the security measures in Chrome protected the user and brought this attack to the public's attention. While we investigate, we plan to block any sites whose certificates were signed by DigiNotar."

Poprawki wypuściła już Mozilla i Google dla swoich przeglądarek, teraz nie powinny ufać sfałszowanym certyfikatom:

http://blog.mozilla.com/security/2011/0 ... rtificate/

http://codereview.chromium.org/7795014

Sytuacja podobna do tej z marca, a dla ciekwostki zamieszczam komentarz Comodo:

Who were the naive idiots who said the Comodo reseller who got hacked in March was the job of one guy and had nothing to do with Iranian government?

Those idiots should not be in the security business...they rather believe a propoganda put out by the attackers than their fellow security professionals.

We should list those Idiot's names so that they know how stupid they have been!

Melih

Całość jest tutaj: http://news.cnet.com/8301-27080_3-20098 ... k/#addcomm

[eQuuS]

30 sie 2011, 8:27

Jestem użytkownikiem SRWare Iron (Google Chrome usunięty śledzący kod Google) i ta o to sytuacji napotkała mnie kilkadziesiąt razy. Na pocztę też nie mogę się zalogować za pomocą przeglądarki ponieważ strona zawiera za dużo przekierowań. Ktoś to zgłosił, ja myślałem, że są w trakcie naprawiania.

[morphiusz]

30 sie 2011, 11:57

Spoiler:

Poniżej znajduje się treść ukrytej wiadomości.

Widoczne tylko dla zarejestrowanych użytkowników.

wpis na dp.pl

[tommy504]

30 sie 2011, 12:20

Mam ten certyfikat. FF siedział cicho przy logowaniu do gmail.
W TB też był.

Ostatnio zmieniony 30 sie 2011, 12:43 przez tommy504, łącznie zmieniany 1 raz

[morphiusz]

30 sie 2011, 12:34

Pewnie jak by się włączyło sprawdzanie w OCSP certyfikatu to by krzyczał.
To chyba jedyna przeglądarka, która to samo, ale domyślnie odznaczone.
Daje to o wiele większą skuteczność niż posiłkowanie się listą certyfikatów odwołanych.
Comodo zamierza to wprowadzić z przyszłą wersją do Dragona, domyślnie zaznaczone

[morphiusz]

03 wrz 2011, 14:39

Okazało się, że certyfikaty nie były wystawione tylko dla Google, pełna lista:

*.10million.org
*.balatarin.com
*.google.com
*.logmein.com
*.microsoft.com
*.mossad.gov.il
*.skype.com
*.torproject.org
*.walla.co.il
*.wordpress.com
addons.mozilla.org
azadegi.com
DigiCert Root CA
Equifax Root CA
friends.walla.co.il
login.yahoo.com
Thawte Root CA
twitter.com
VeriSign Root CA
wordpress.com
http://www.cia.gov
http://www.facebook.com
http://www.sis.gov.uk

[Ratatui]

04 wrz 2011, 18:12

Lista wystawionych certyfikatów:

http://www.nrc.nl/nieuws/2011/09/04/gra ... anse-hack/

[morphiusz]

08 wrz 2011, 15:25

Okazuje się, że ten atak to największy Man In the middle w historii Internetu!

http://www.youtube.com/watch?feature=pl ... ZsWoSxxwVY

[Eugeniusz]

08 wrz 2011, 15:40

To chyba sprawka zachodnich wywiadów... znowu Iran.
Sprawa wydaje się poważna, najpierw Stuxnet, teraz te ataki. Ktoś nie chce by Iran miał broń nuklearną (ja też nie chcę, notabene).
Źle, nie ogarnąłem dobrze tematu. Przeczytałem jeszcze raz pierwszy post i nie wiem "w co się tu gra"...

[morphiusz]

08 wrz 2011, 15:42

Atak Man in the middle jest świetnie wyjaśniony tutaj, pokazuje jaką rolę odgrywają certyfikaty w tym ataku (które zostały wystawione nielegalnie tak, aby umożliwić ten atak, gdzie normalnie mają mu zapobiegać): http://pl.wikipedia.org/wiki/Atak_man_in_the_middle

[Eugeniusz]

08 wrz 2011, 15:46

O MiM wiem, nie wiem tylko w kogo jest wymierzony ten atak.

[ktostam]

21 wrz 2011, 9:50

Odświeżę może nieco temat, ponieważ jak wynika z najświeższych informacji, firma DigiNotar zbankrutowała.
Bezpośrednią przyczyną była zwyczajna kompromitacja - jak wykazał audyt bezpieczeństwa wykonany przez Fox-IT w firmie DigiNotar nie przestrzegano podstawowych zasad bezpieczeństwa IT, nie używano oprogramowania AV, brakowało krytycznych aktualizacji w systemach operacyjnych oraz oprogramowaniu oraz nie używano bezpiecznych haseł.
Również rząd holenderski, który wykupywał certyfikaty dla swoich stron WWW od DigiNotar, wycofał się ze współpracy z tą firmą.

Żródło: Wired

[lukasamd]

21 wrz 2011, 9:57

Firma z certyfikatami i żadnych zasad bezpieczeństwa? To było jawne proszenie się o problemy, zaś sama firma nigdy nie powinna uzyskać współpracy z innymi szanującymi się korporacjami czy tym bardziej rządem. Dlaczego teraz pomyślano o audycie, dopiero gdy coś się stało?