Microsoft отзывает корневой сертификат DigiNotar

Тема в разделе "Новости информационной безопасности", создана пользователем Mila, 30 авг 2011.

  1. Mila
    Оффлайн

    Mila Команда форума Основатель

    Сообщения:
    4.970
    Симпатии:
    13.601
    Вчера Microsoft выпустила уведомление безопасности SA 2607712 , в котором сообщается, что компания удалила DigiNotar из списка доверенных корневых сертификатов. Причиной этому послужило обнаружение сертификата, затрагивающего все домены и поддомены google.com. Злоумышленники могут воспользоваться сертификатом, подписанным DigiNotar, для подмены контента, проведения фишинг-атак и атак «человек посередине».

    По словам Роэля Шувенберга (Roel Schouwenberg), сотрудника «Лаборатории Касперского», SSL-сертификат является действенным и был выдан DigiNotar, голландским центром сертификации. DigiNotar был приобретен в начале этого года чикагской компанией Vasco, которая позиционирует себя как «мировой лидер в области строгой аутентификации». Представители Vasco отказались комментировать инцидент с похищенным сертификатом.

    Исследователи отмечают, что, так как сертификат является действенным, то web-браузер не будет выдавать предупреждающее уведомление, если пользователь заходит на сайт, подписанный сертификатом.

    Пока неясно, как злоумышленники заполучили сертификат - из-за недостаточно высокого уровня безопасности в компании DigiNotar, или с помощью взлома сайта, на котором выдают сертификаты. Шувенберг призвал DigiNotar предоставить более подробную информацию о хищении сертификата как можно скорее.

    «Учитывая связи компании с правительством и финансовыми структурами, очень важно вычислить масштаб взлома как можно скорее», - заявил Шувенберг.

    Ситуация с сертификатом DigiNotar напомнила об инциденте, связанном с хищением сертификатов к сайтам Google, Gmail, Microsoft, Skype и Yahoo иранским хакером .



    источник
     
  2. Mila
    Оффлайн

    Mila Команда форума Основатель

    Сообщения:
    4.970
    Симпатии:
    13.601
    Масштабы хищения SSL-сертификатов у компании DigiNotar растут

    В компании Mozilla говорят, что по их данным общее количество похищенных цифровых SSL-сертификатов из хранилища голландского эмитента цифровых сертификатов DigiNotar превышает 500. Среди похищенных сертификатов не только те, что принадлежат компаниям Google, Mozilla и другим, но и сертификаты ЦРУ США, британской службы MI-6, а также израильской разведки Моссад.

    Согласно данным, представленным в блоге Mozilla, общее количество украденных сертификатов составляет как минимум 531. Разработчик Mozilla Corp Гервас Маркхам говорит, что его компания сотрудничает с DigiNotar в рамках расследования, связанного с кражей сертификатов неизвестными хакерами.

    Ранее стало известно о том, что в рамках данной атаки в руках злоумышленников оказались сертификаты компаний Yahoo, Skype, Facebook, Twitter, сервиса Microsoft Windows Update и других. По словам Маркхама, сейчас стало также очевидно, что похищены сертификаты от сайтов CIA.gov и сайтов других разведывательных ведомств. Впрочем, специалисты по информационной безопасности пока не видят особой выгоды в том, как можно было бы использовать SSL-сертификаты от сайтов того же ЦРУ.

    В самой компании Mozilla говорят, что уже отказались от использования сертификатов DigiNotar как от доверенного средства авторизации. То же самое уже сделала компания Google, выпустив в субботу новую версию браузера Chrome и обновив сертификаты на сайтах.

    В финской антивирусной компании F-Secure отмечают, что их специалисты также принимают участие в расследовании и уже установили, что первые признаки компрометации сети DigiNotar были еще в мае 2009 года.

    Отдельная порция критики выдается и за то, что компания Diginotar так до сих пор не установила, когда именно была произведена кража. Очевидно, что все или почти все SSL-сертификаты были выпущены после 10 июля, а последняя ревизия проводилась 26 июля, то есть кража была совершена где-то между 26 июля и 27 августа. В самой DigiNotar говорят, что у них на сегодня нет никаких свидетельств того, что краденные сертификаты были как-то использованы на практике.

    На прошлой неделе ряд изданий сообщили о том, что сертификаты изначально были похищены, якобы, хакерами из Ирана и основной целью кражи были именно сертификаты Google. Предположительно в Иране должны были быть созданы поддельные серверы Gmail, которые могли бы стать своего рода ловушкой для политических оппозиционеров президента Махмуда Ахмадинежада. Официально эти сведения пока не нашли подтверждения.



    источник
     
  3. Mila
    Оффлайн

    Mila Команда форума Основатель

    Сообщения:
    4.970
    Симпатии:
    13.601
    Около 300 000 ip-адресов из Ирана обратились к защищенной странице google.com, используя

    Согласно данным анализа ИТ-компании Fox-IT, около 300 000 ip-адресов из адресного пространства Ирана обратились к защищенной странице google.com, используя поддельный сертификат, выпущенный компанией DigiNotar. Поддельный SSL-сертификат был выпущен 10 июля и аннулирован 29 августа. В Fox-IT сообщили, что 300 000 адресов - это гарантированный минимум, который уже точно был подтвержден, однако на практике таких адресов может быть больше.

    В Fox-IT говорят, что полученный ими список адресов будет передан Google, которая может проинформировать конкретных пользователей о том, что они обращались к сервисам компании по фальшивому сертификату и, возможно, поддельному адресу. На практике это означает, что данные действия могли привести к перехвату логинов и паролей от социальной сети Google+ или почтового ящика на Gmail.

    Эксперты говорят, что потенциальные хакеры при помощи краденного сертификата в срок до 29 августа также могли перехватить и cookie-файлы, хранящиеся на компьютере пользователя и получить доступ к пользовательским данным на других сервисах, например на Facebook. "Cookie на вход в интернет-сервисы, как правило, остаются действительными в течение длительного срока. Со стороны пользователей в Иране было бы разумно как минимум закрыть все ранее открытые сессии, а лучше - сменить пароли", - говорят в Fox-IT.

    Согласно данным анализа OCSP (Online Certificate Status Protocol), на сегодня в Иране крайне мало пользователей работают в интернете через открытые IP-адреса. Структура интернет-доступа в стране организована таким способом, что подавляющее большинство пользователей работают через прокси-серверы, VPN или TOR-узлы. TOR представляет собой распределенную анонимную сеть, используемую для блокировки слежения за пользователями.

    В Fox-IT говорят, что судя по направлению активности, можно говорить, что кража SSL-сертификатов производилась некими злоумышленниками, которые были заинтересованы именно в атаке на иранский сегмент интернета.

    Ранее стало известно, что из хранилища голландского эмитента SSL-сертификатов DigiNotar был похищен как минимум 531 сертификат, в том числе сертификаты, принадлежащие Google, Mozilla, ЦРУ США, британской контрразведке MI-6, израильской спецслужбе Моссад и другим.

    Разработчик Mozilla Corp Гервас Маркхам говорит, что его компания сотрудничает с DigiNotar в рамках расследования, связанного с кражей сертификатов неизвестными хакерами. По словам Маркхама, сейчас стало также очевидно, что похищены сертификаты от сайтов CIA.gov и сайтов других разведывательных ведомств. Впрочем, специалисты по информационной безопасности пока не видят особой выгоды в том, как можно было бы использовать SSL-сертификаты от сайтов того же ЦРУ. Также злоумышленники украли SSL-сертификаты от torproject.org - некоммерческого проекта, позволяющего людям анонимно связываться друг с другом. Tor Project распространен в странах, руководство которых практикует интернет-цензуру.

    Еще на прошлой неделе ряд изданий сообщили о том, что сертификаты изначально были похищены хакерами из Ирана и основной целью кражи были именно сертификаты Google. Предположительно в Иране должны были быть созданы поддельные серверы Gmail, которые могли бы стать своего рода ловушкой для политических оппозиционеров президента Махмуда Ахмадинежада. Официально эти сведения пока не нашли подтверждения.


    источник
     
  4. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.837
    Симпатии:
    8.591
    Взломщики DigiNotar "показали уши"

    Финский производитель антивирусных решений, компания F-Secure, опубликовала в своём официальном онлайновом дневнике интересную информацию о возможном организаторе взлома голландского центра сертификации DigiNotar. Следствием, как вы знаете, явился выпуск ряда фальшивых сертификатов, которые использовались в различных мошеннических схемах.

    Как и предполагали специалисты F-Secure, существует прямая связь произошедшего недавно инцидента (из-за которого ряду производителей пришлось экстренно выпускать новые версии web-браузеров) со взломом в марте этого года ещё одного удостоверяющего центра (Certification authority, или CA) - Comodo. Тогда иранские хакеры, один из которых идентифицировал себя позднее как ComodoHacker (а также открыл свой микроблог в Twitter под ником "ich sun" - @ichsunx2) выписали себе фальшивые сертификаты mail.google.com, login.live.com, google.com, login.yahoo.com, login.skype.com и др.

    Чтобы доказать свою причастность к недавнему взлому DigiNotar, иранский киберспреступник ComodoHacker указал администраторский пароль к сети голландского центра сертификации: Pr0d@dm1n.

    Ну, а меня интересует вопрос - как же удалось взломать удостоверяющий центр, выписывающий сертификаты? Похоже, что в случае с DigiNotar хакеры смогли, как и при инциденте с Comodo в марте, добыть пароль одного из партнёров центра сертификации (поэтому Google пришлось выпускать ещё одно обновление Chrome, дабы заблокировать и этот возможный вектор атаки). Видимо, пароль либо хранился на одной из скомпрометированных систем в открытом виде, либо его выудили методом социальной инженерии. Увы, в наше время вопросам информационной безопасности следует уделять первостепенное значение, поскольку кибервойны и киберпреступления - давно уже не экзотика, а самая настоящая повседневная реальность..

    Источник
     
    1 человеку нравится это.
  5. Mila
    Оффлайн

    Mila Команда форума Основатель

    Сообщения:
    4.970
    Симпатии:
    13.601
    ComodoHacker заявил о взломе еще нескольких центров сертификации

    Хакер, который взял на себя ответственность за взлом голландской компании DigiNotar, заявил, что ему удалось получить незаконный доступ еще к 4 центрам сертификации.

    ComodoHacker опубликовал сообщение на Pastebin , в котором он утверждает, что атака на DigiNotar осуществлялась с целью мести за резню мусульман в Сребренице во время Боснийской войны 16 лет назад.

    «Голландское правительство должно ответить за убийство 8000 мусульман, которых Голландия обменяла на 30 своих военнослужащих. Ничего не изменилось спустя 16 лет. 13 миллионов долларов, которые голландское правительство заплатило за DigiNotar, теперь отправятся прямиком в мусорное ведро. Я был уверен, что после того как я использую поддельные сертификаты компании, ее сразу же закроют. А компании Comodo просто повезло».

    Хакер также упомянул об еще одной своей жертве, компании GlobalSign. В ответ на заявления хакера, GlobalSign прекратила выдачу сертификатов на время проверки систем компании на возможный взлом. Представители GlobalSign заявили, что они очень серьезно восприняли заявления хакера. «В настоящее время мы проводим расследование. Как ответственный центр сертификации, наша компания временно прекратила выдачу сертификатов до получения результатов проверки».

    Пока неясно, относится ли компания Comodo к тем 4 центрам сертификации, о которых сообщает хакер. Таким образом, остается еще 2 или 3 компании, сертификаты которых, могут оказаться фальшивыми.

    Несмотря на то, что компания DigiNotar отозвала свои сертификаты, пользователи, которые не установили обновления безопасности или те, которые используют мобильные устройства (смартфоны и планшеты) все еще подвержены риску, так количество скомпрометированных центров сертификации увеличивается.



    источник
     
  6. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.837
    Симпатии:
    8.591
    Apple так и не отозвала фальшивые SSL-сертификаты DigiNotar

    Исследователь в области безопасности, работающий на компанию Lumension, Пол Генри (Paul Henry) раскритиковал Apple за то, что компания до сих пор не выпустила обновления для Mac OS X.

    В отличие от компании Microsoft, которая выпустила обновления безопасности операционной системы Windows для блокировки поддельных SSL-сертификатов, выданных голландской компанией DigiNotar, Apple до сих пор медлит с обновлениями для Mac OS X.

    Напомним, что центр сертификации DigiNotar 30 августа признал, что еще в июле его серверы были скомпрометированы. Хакеры получили доступ к 531 сертификату, многие из которых использовались голландским правительством, службами Google, Microsoft, Yahoo! и пр.

    Помимо Microsoft, другие разработчики web-обозревателей (Google, Mozilla и Opera) также опубликовали обновления безопасности для того, чтобы ограничить пользователям доступ к сайтам, подлинность которых обеспечивается сертификатами DigiNotar.

    Пользователи браузера Safari на базе Mac OS X до сих пор могут быть подвержены риску атак «человек посередине». «Пользователи операционной системы Mac находятся в состоянии неопределенности», - заявляет Генри.

    Apple должна немедленно выпустить обновления для Mac OS X, так как Safari основана на Mac OS X, и именно операционная система указывает браузеру, какие сертификаты были отменены или же полностью запрещены.

    Генри отмечает, что он не удивлен замедленной реакцией Apple. «Нет, после случая с Comodo меня это не удивляет», - заявляет исследователь, ссылаясь на взлом еще одного центра сертификации в марте прошлого года. Однако взлом DigiNotar является намного масштабней хакерской атаки, нацеленной на Comodo.

    Напомним, что в понедельник ответственность за атаку на DigiNotar взял на себя ComodoHacker. Позже он сообщил о взломе еще нескольких центров сертификации.

    «Если заявления хакера о взломе еще четырех центров сертификации правдивы, то в ближайшем времени нас ждут огромные неприятности. Мы будем играть в догонялки. Но для Apple вести игру будет намного сложнее, чем для Microsoft, Google и Mozilla», - сообщает Генри.

    Генри также отметил, что ни один производитель программного обеспечения для смартфонов не заявил о выпуске обновлений безопасности. Ни Apple, ни Google не сообщили о планах обновлять iOS или Android. Компании отказались от каких либо комментариев.

    Источник
     
    1 человеку нравится это.

Поделиться этой страницей