Взлом аккаунта в удостоверяющем центре Comodo привёл к генерации 9 обманных SSL-сертифик

Тема в разделе "Новости информационной безопасности", создана пользователем Mila, 25 мар 2011.

  1. Mila
    Оффлайн

    Mila Команда форума Основатель

    Сообщения:
    4.970
    Симпатии:
    13.601
    Компания Comodo, спустя восемь дней с момента обнаружения проблемы, опубликовала заявление в котором обобщила суть инцидента, в результате которого злоумышленникам удалось получить девять валидных HTTPS-сертификатов для ряда известных web-ресурсов, сообщает opennet.ru. Используя данные сертификаты злоумышленники могли сформировать поддельный сайт, который был бы неотличим от настоящего и содержал не вызывающий подозрение SSL-сертификат. Перенаправить пользователя на подобные сайты можно используя, например, атаки man-in-middle или отравление DNS-кэша. По данным Comodo, 9 обманных сертификатов злоумышленникам удалось сгенерировать в результате взлома пользовательского аккаунта в одного из доверенных регистрирующих центров (RA, Registration Authority). Инфраструктура удостоверяющего центра (CA) и первичные сертификаты, хранимые в HSM-модулях (Hardware Security Modules), не были скомпрометированы. Сертификаты были выписаны для следующих сайтов: mail.google.com, www.google.com, login.yahoo.com, login.skype.com, addons.mozilla.org, login.live.com. Также был создан не привязанный доменам сертификат "глобального доверия" ("global trustee"). Все выписанные обманным путем сертификаты были сразу отозваны и занесены в черные списки web-браузеров Firefox, Chrome/Chromium и Internet Explorer. В связи с инцидентом критике подверглась используемая в настоящее время методика отзыва сертификатов, базирующаяся на оценке состояния списка отозванных сертификатов (CRL) или проверке статуса конкретных сертификатов с помощью протокола OCSP. Данные проверки выполняются путем обращения к специальному online-сервису, поддерживаемому каждым центром сертификации. Основная проблема связана с тем, что в случае невозможности осуществить проверочный запрос, браузеры не в состоянии определить отозван сертификат или нет, поэтому, в конечном счете, в случае сбоя проверки считают сертификат валидным. В ситуации когда злоумышленник в состоянии вклинится в трафик жертвы и подменить содержимое сайта, он с тем же успехом может блокировать проверочные CRL/OCSP запросы. Более того, такой инструмент перехвата и подмены SSL-трафика как sslstrip уже включает в себя поддержку подобного рода атак. Поэтому, в ситуации появления обманных SSL-сертификатов, производители браузеров вынуждены обновлять локальный черный список. В качестве одного из вариантов решения проблемы называется создание производителями браузеров собственных кэширующих OCSP-серверов, способных выполнить проверку в случае недоступности OCSP-сервера удостоверяющего центра, а также пересмотр подхода к выводу предупреждений в случае проблем с выполнением проверки. В случае, если бы злоумышленникам удалось получить закрытый ключ для сертификата UserTrust (UTN-USERFirst-Hardware) удостоверяющего центра Comodo, под угрозой оказалась бы безопасность более чем 85 тыс. сайтов, владельцам которых пришлось бы заново получать сертификаты. При таком развитии событий производители браузеров были бы поставлены перед непростой дилеммой: поместить в черный список все сертификаты скомпрометированного центра сертификации, нарушив нормальную работу десятков тысяч сайтов, или игнорировать проблему, сделав данные сайты потенциально уязвимыми. Подобное развитие событий не исключено в силу неумеренного разрастания сети центров сертификации. Например, в настоящее время насчитывается уже около 1500 CA-сертификатов, контролируемых примерно 650 разными организациями. При каждом HTTPS/TLS-сеансе пользователь изначально доверяет всем имеющимся центрам сертификации, компрометация одного из CA приведет к коллапсу всей системы. В качестве одного из способов защиты от такого развития событий называется разработка и внедрение методов перекрёстной сертификации.




    источник
     
  2. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.837
    Симпатии:
    8.591
    Неизвестные хакеры покусились на «святая святых» Интернета

    Неизвестные злоумышленники смогли получить полноценные сертификаты на восемь уже существующих и один вымышленный домен, используя данные партнерской учетной записи одного из уважаемых органов сертификации – компании Comodo Group. Как говорят специалисты по безопасности, атака состоялась 14 марта, а трассировка компьютера, с которого выполнялась атака, привела в Иран. Незаконное получение SSL-сертификатов может принести самые серьезные последствия, вплоть до похищения регистрационных данных у миллионов пользователей по всему миру.

    Сертификаты сегодня являются одним из фундаментальных механизмов Интернета – только благодаря им пользователи могут быть уверены в том, что заходят именно на те сайты, которые им нужны. На этот раз хакеры смогли получить собственные сертификаты на домены. В результате похитители могут создавать поддельные страницы, которые будут отображаться в браузере, как подлинные. Самое печальное, что при вводе своих данных на этих страницах пользователь вообще не поймет, что отправляет свои конфиденциальные сведения совершенно посторонним серверам.

    Еще один неприятный момент в незаконном получении сертификатов – атаки с помощью таких сертификатов могут быть самыми разными: от взлома небольшой точки доступа Wi-Fi и «угона» учетных записей до глобального перехвата магистральных каналов Интернета. Сами представители компании Comodo сравнивают этот инцидент с терактами 11 сентября, только в виртуальном пространстве. Исполнительный директор компании Мели Абдулайоглу (Melih Abdulhayoglu) считает, что сами по себе сертификаты бесполезны, если только их получатель не имеет прямого доступа к инфраструктуре службы DNS. Такие возможности (доступ к корневым серверам DNS) есть только у государственных структур, поэтому Абдулайоглу полагает, что инициатором взлома были спецслужбы некого государства. Нетрудно понять, что под «неким государством» американская компания Comodo имеет в виду Иран.

    По сведениям компании Comodo, из 9 сертификатов, которые удалось получить злоумышленникам, пока был использован только один. Как говорят представители Comodo, сертификат был протестирован с еще одного IP-адреса в Иране. На данный момент все скомпрометированные сертификаты отозваны, а компания Microsoft уже выпустила исправление, которое блокирует доступ к веб-сайтам, использующим эти сертификаты.

    Источник
     
  3. Mila
    Оффлайн

    Mila Команда форума Основатель

    Сообщения:
    4.970
    Симпатии:
    13.601
    Иранский хакер признался в подделке SSL-сертификатов Comodo

    Иранский хакер рассказал о непричастности государства к взлому системы выдачи SSL-сертификатов. Обращение хакера опубликовано на сайте Pastebin.com.

    Аноним взял на себя ответственность за несанкционированный выпуск девяти защищенных сертификатов, которые используются для удостоверения легальности интернет-сайтов. При этом он отметил, что действовал без поддержки со стороны "иранской киберармии" (Iranian Cyber Army).

    Корневой центр компании Comodo был атакован неизвестными 15 марта. Тогда злоумышленникам удалось взломать систему безопасности и выпустить в общей сложности девять SSL-сертификатов сайтов Google, Skype и Microsoft.

    После того, как компания обнародовала информацию о взломе, она высказала предположение, что за атакой стоят власти Ирана. В частности, специалистам Comodo удалось отследить, что взлом сети произошел именно из этой страны.

    По словам Comodo, несанкционированно выпущенные сертификаты были аннулированы вскоре после того, как компании стало известно о взломе. При этом она утверждала, что их выдача не привела к серьезной утечке информации данных пользователей.

    Тем не менее компания рекомендовала пользователям интернета обновить свои браузеры до последней версии, в которой выпущенные сертификаты будут помещены в "черные списки". В таком случае пользователи будут автоматически предупреждены о том, что сайты, снабженные этими сертификатами, являются ненадежными.



    источник
     

Поделиться этой страницей