Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

Skompromitowano 9 certyfikatów Comodo

Pierwszy mój wpis na blogu, więc przepraszam za błędy :) Ale do rzeczy...

Na wielu stronach wczoraj i dziś pojawiła się dość istotna informacja na temat skompromitowania 9 certyfikatów wydanych przez Comodo, a dotyczących 7 domen:
• login.live.com
• mail.google.com
• www.google.com
• login.yahoo.com (3 certyfikaty)
• login.skype.com
• addons.mozilla.org
• "Global Trustee"
Sprawa wygląda na poważną, ponieważ jak stwierdza jeden z komentarzy może to skutkować atakami podobnymi do ubiegłorocznych ataków Stuxneta, który podszywał się pod certyfikaty Realteka"This is similar to the Stuxnet outbreak from last year, in which the private key compromise of hardware vendor Realtek enabled fraudsters to spread malware having a valid digital signature.
In that case, by issuing the certificate to Realtek, the certificate authority was similarly not only trusting Realtek to sign legitimate software themselves, but also trusting them to protect this power from abuse."
Comodo już wyjaśniło sprawę na swoim blogu podając szczegółową charakterystykę skompromitowanych certyfikatów, przypuszczalne źródło ataku...Iran...oraz informację, że wszystkie one zostały natychmiast wycofane.
http://www.comodo.com/Comodo-Fraud-Incident-2011-03-23.html
Niemniej zaleca się do zainstalowania poprawki Microsoftu uwzględniającej te sfałszowane certyfikaty bądź zaktualizowanie Firefoxa do wersji 4 lub IE do 9...poniżej cytat z ciekawego i obszernego artykułu na ten temat"Fortunately in this case, Comodo certificates support OCSP revocation, so Firefox users (including Firefox 4) as well as IE9 users will be protected by default, where as IE8 users will have to enable this setting, if they have not already. "i cały artykuł http://nakedsecurity.sophos.com/2011/03/24/fraudulent-certificates-issued-by-comodo-is-it-time-to-rethink-who-we-trust/
Microsoft opublikował już specjalna poprawkę (KB2524375), w której uwzględniono następującą listę niezaufanych certyfikatów

Microsoft Security Advisory (2524375) http://www.microsoft.com/technet/security/advisory/2524375.mspx
Poprawka KB2524375 http://support.microsoft.com/kb/2524375 

Komentarze

0 nowych
  #1 24.03.2011 12:55

Nie pierwszy i chyba nie ostatni problem z certyfikatami Comodo :) Sensowność ich używania stoi pod wielkim znakiem zapytania.

ichito   11 #2 24.03.2011 13:23

@marsellus...
nooo...chyba nie muszę się już kamuflować...w końcu ten sama avatar, co gdzie indziej :) Ale tak serio...nie zniechęcam do Comodo, choć mam o nim raczej wyrobioną opinię. Sprawa certyfikatów Comodo, którymi "obdziela" się przeróżnych dostawców ciągnie się za nimi od kilku lat i nijak tego smrodu pozbyć się nie mogą...wtedy poszło głównie o JEDEN certyfikat, teraz mowa o 9...jak z tego wyjdą i na ile pozostaną wiarygodni - trudno powiedzieć. Tym bardziej, że skompromitowano naprawdę poważne domeny i nawet wypuszczono poprawkę do Windowsów na te okazję. Tak sobie myślę, że społeczność producentów producentów oprogramowania, jego użytkowników oraz wszyscy korzystający z sieci dłuuugo im tego nie zapomną.

ichito   11 #3 24.03.2011 13:46

@marsellus...
masz rację, że Comodo samo do siebie zniechęca...za dużo niejasności w ich polityce prywatności...niezamierzone aczkolwiek nieco zawinione zamieszanie w sprawie certyfikatów...mnóstwo softu, który jak się w użytkowaniu okazuje jest niedopracowany...to wszystko w większości za darmo i przy tym z szumną reklamą....trudno mi to zrozumieć. Wygląda jak jakaś ekspansja bez ładu i składu przy ogromnej ilości błędnych posunięć, która nie prowadzi do niczego poza niesmakiem bardziej sceptycznych użytkowników.

ichito   11 #4 25.03.2011 03:45

Pilocie Pirxie...
czy zarzut językowy jest jedynym sensem twojej wypowiedzi? Szkoda, że tylko tyle...ale odpowiem. Cytaty z oryginalnych artykułów są po moich słowach...jak zauważyłeś zapewne - w języku polskim...na dany temat i służą tylko do udokumentowania ważnych informacji czyli kiedy mówię o podobieństwie do Stuxneta i kiedy mówię o tym, które przeglądarki zostały załatane. Polskojęzyczny blog nie oznacza, że zabrania się cytowania zwłaszcza w dziedzinie zabezpieczeń, kiedy niestety gro informacji ze świata jest w j, angielskim.

Damian_L   2 #5 25.03.2011 16:25

Obawiam się, że cały model certyfikatów od PKI to jedna wielka dziura bezpieczeństwa.
Popatrzmy na ośrodki certyfikujące (szczególnie te mniejsze), mają one niemały konflikt interesów: im taniej, szybciej, mniej "upierdliwych procedur" tym bardziej zadowoleni klienci.
A bezpieczeństwo całego systemu jest równa rzetelności najgorszej z dopuszczonych do interesu firm. Tak więc wolny rynek działa tu niestety na niekorzyść :/

Na wiki a szczególnie przypisach jest dużo ciekawych rzeczy.
http://en.wikipedia.org/wiki/X.509#Security

Hitm3n   7 #6 25.03.2011 23:33

"Tak to wygląda w polskojęzycznych książkach, magazynach, pracach naukowych." - no faktycznie, blog jest jedną z tych form ;)

A ponoć Comodo to taaaaka dobra firma dla co poniektórych ^^

morphiusz1   5 #7 26.03.2011 09:49

@HitM3n

A coś więcej?
Rozwiń wypowiedź.
To, że zostały odkryte klucze dowodzi tylko,że pozio9m zabezpieczeń oferowanych na dzień dzisiejszy jest niewystarczający i obojętnie jaki wystawca certyfikatów to był to i tak zostałyby skompromitowane.
+ dla Comodo za szybkie zdemaskowanie ataku, odkrycie atakujących oraz szybkie działania - tj. anulowanie certyfikatów, anulowanie konta i nagłośnienie sprawy + dalsze działania zabezpieczające w postaci zapewnienia DNS CAA.
Akurat Comodo w tej kwestii wydaje mi się rzetelną firmą, a to, że mają większą część rynku certyfikatów to naturalne, że wpadki będą się zdarzały (miał już 2):
-gdy reseler był nieuczciwy i odsprzedał certyfikat firmie o małym stopniu zaufania,
- teraz, gdzie zorganizowany atak finansowany przez rząd wykorzystujący słabości DNSów - ale nie Comodo.
Warto też wspomnieć, że reakcja była szybka i tylko 1 z 9 certyfikatów faktycznie egzystował q internecie.
Te 8 pozostałych nie było widzianych :).

Shaik   4 #8 26.03.2011 17:45

@Pirx
"...wstawianie tak dużych i istotnych partii tekstu wyłącznie w języku angielskim jest chyba nie na miejscu na polskojęzycznym blogu". Dokładnie.

morphiusz1   5 #9 26.03.2011 21:00

"@morphiusz1
Szybkie działanie, chyba wydawców przeglądarek i MS(co dziwne).
No chyba że Comodo's Hero's wiedzą więcej."

Znasz sprawę dokładnie czy tak się wypowiadasz po naczytaniu postów jakiegoś usera?

Tą rangę Comodo's Hero to dostaje każdy po napisaniu iluś tam postów więc wiesz.

Comodo jako pierwsze wykryło to działanie więc ono pierwsze podjęło działania - anulowało certyfikaty i konto atakującego.

ichito   11 #10 27.03.2011 06:21

Panowie od czystości i poprawności językowej...nie rozumiem wcale, o co kruszycie kopie...
- w całym artykule są TRZY zdania w oryginalnym angielskim brzmieniu, a jaka była tego rola już tłumaczyłem
- portal DP nie portalem dla lingwistów, ale miejscem wymiany informacji na temat szeroko pojętego IT, gdzie podstawowym i najszerzej stosowanym językiem jest angielski
- oryginalne i ważne treści powinny być w przekazywane w dosłownym brzmieniu w języku, którym zostały pierwotnie napisane, ponieważ jakiekolwiek tłumaczenie jest tylko subiektywnym odzwierciedleniem pierwotnej treści dokonanej przez przez osoby trzecie...nie wspominam nawet o programach do translacji
- używanie argumentu wieku i związanego z tym mniejszego lub większego doświadczenia akurat w dziedzinie, o której tu mówimy jest nie na miejscu i świadczy o protekcjonalnym podejściu do rozmówcy, a tym samym braku szacunku dla jego stanowiska oraz niego samego
- ponieważ artykuł jest stricte...czy to słowo też będzie niepoprawnie?...o dziedzinie odległej od lingwistyki, literatury, pracy dyplomowej, książki, artykułu prasowego - do wyboru...a tylko na ten temat się wypowiedzieliście, proszę darujcie sobie Wasze zapędy "naprawcze" i skierujcie Wasz zapał w stronę zupełnie innej dziedziny.
Morphiusz...z całym szacunkiem...Comodo pierwsze to odkryło - OK, ale ich informacja nie trafiła raczej do szerokiego grona - sam o tym wiesz, była to tylko informacja niemal "wewnętrzna", a opinie o takim sposobie opublikowania ważnej przecież informacji dla milionów użytkowników są raczej mało przyjazne dla Comodo. Całą sprawę tak naprawdę nakręcił i nagłośnił Jacob Appelbaum na swoim blogu i gdyby nie ta jego informacja, to nie sądzę by ktokolwiek tak szybko zareagował...nie chodzi o publikacje i analizy wtórne, ale o łatanie przeglądarek i systemu. Poza tym według analiz...na angielskojęzycznych portalach...na podstawie tych certyfikatów utworzono wiele nieznanych kont i zablokowanie jednego, o którym piszesz było jak "maść na szczura". Dalej...certyfikaty mimo swojej nielegalności i poprawkach przeciwko nim wcale nie muszą wykorzystane tylko w przeglądarce - mogą być zaimplementowane do programu "fake", a wtedy jak nie ma w systemie poprawki, to zwyczajnie "d**a". Jak wielu użytkowników załatało system?...pewnie nie za wielu w ogólnym rozrachunku, bo wygodniej...choć wcale nie szybciej...jest zainstalować nową wersję przeglądarki, a jakieś poprawki do systemu, "KB-ileśtam" i w ogóle Microsoft...

morphiusz1   5 #11 27.03.2011 16:40

Jak widać "Comodo advised Microsoft on March 16, 2011"
do tego Comodo opublikowało informacje na swojej stronie + Melih dodał wpis na blogu o tym...
Ewidentnie widać, że nie ukrywali sprawy i nie robili z tego jakiegoś 'wstydu'.

"The Threat Model is changing and Comodo had already initiated a proposal for new standards in 2010 which would help mitigate some of these attacks. We will make sure to double our efforts in getting industry wide acceptance to these much needed standards so that we can continue to defend our security and freedom."

Co oznacz mniej więcej to, że zostaną podjęte nowe działania i z podwójną siła będą się starali aby zapobiec takim atakom w przyszłości.
Jak już gdzieś wspomniałem głównym winowajcą jest tutaj dziurawa infrastruktura DNS, gdzie będzie można skorzystać z nowych standardów zabezpieczeń.(wprowadzanych przez comodo).

  #12 27.03.2011 21:22

"Autorze, napisałeś skrajnie nieciekawy, wtórny wpis informacyjny nie próbując w żaden sposób zgłębić tematu i poznać racji wielu stron."

Dokładnie, nic dodać nic ująć.

ichito   11 #13 29.03.2011 10:13

Drogi "komandorze" Pirxie...
podsumowując:
- nie był to artykuł analityczny a tylko informacyjny, więc nie jako taki nie nawet pretendował do zgłębiania "racji wielu stron"
- gdyby nawet próbował zgłębiać je w trakcie ewentualnie wywołanej dyskusji, to raczej nie w temacie, który proponujesz i namiętnie rozwijasz
- co do wtórności informacji przedstawionych...każda będzie wtórna poza źródłowymi publikacjami typu oficjalne komunikaty czy wywiady
- ponieważ jako zwykły użytkownik na portalu nie mam możliwości publikowania informacji na stronie głównej w aktualnościach, blog był jedyną formą poinformowania czytelników o skądinąd ważnym fakcie
- DP to nie jedyny portal, gdzie umieściłem informacje na temat certyfikatów Comodo, więc jakiś był pierwszym, a inny był tym ostatnim...nawiasem mówiąc DP opublikowały swoje info niemal 3 godziny po moim wpisie tutaj
- w związku z tym Twoje "analizy" w kontekście głównego tematu można niestety o "rozbić o kant"
- i nie mam zamiaru więcej wchodzić z Tobą w dyskusje na tematy, które poruszasz
- w podobnym stylu oceniam wypowiedzi Xani i Shaik, które poza słowem "dokładnie" nie mają w sobie żadnej treści
- "przepraszam" z pierwszego zdania nie usuwam i nawet nie mam zamiaru tego zrobić, ponieważ nic nie zmienia faktu, że jest to mój pierwszy wpis na blogu, a mimo wszystko szanuję użytkowników, którzy mają coś sensownego do powiedzenia.

Gdyby ktoś miał ochotę poczytać więcej na temat, proponuję informacje zawarte w tym wątku
http://forum.safegroup.pl/viewtopic.php?f=44&t=3873