Stále mám přístup k dalším CA, tvrdí útočník na DigiNotar

Jaroslav Pinkava 12. 9. 2011

Informace o aktivitách tzv. Comodohackera a o následně vzniklých problémech a také o hledání cest k jejich řešení zahltily média. Díky tomu vznikl tento článek. O hacknutí nizozemské CA DigiNotar jsme poměrně podrobně informovali již minulý týden. O čem nyní v těchto souvislostech píší články na internetu?

Comodohacker

Comodohacker (tak sám sebe označuje) se přihlásil k útoku na DigiNotar a tvrdí: stále mám přístup k dalším CA. Jmenoval také GlobalSign – Comodo hacker claims credit for DigiNotar attack. Dotyčný popisuje sám sebe jako 21letého íránského studenta. Mikko Hypponen (F-Secure) však říká, že je to záhada. Jak se od hacku jednotlivce dostaneme k odposlechu íránských občanů, který měl široký rozsah? Nejspíš to bude trochu jinak.

Jeho tvrzení na Pastebin o možnostech dalších útoků komentují články:

Hodnocení dopadů útoku se věnuje článek

Reakce prezidenta společnosti Comodo:

Společnosti, které spoléhají ve svém podnikání na SSL certifikáty, musí být připraveny na to nejhorší, zaznělo v článku Roberta Lemose:

Comodohacker na Pastebin:

Comodohacker na Twitteru:

Comodohacker odpovídá na otázky SC Magazine:

Komentář k jeho posledním hrozbám obsahuje článek – DigiNotar hacker threatens to expand spy attacks using stolen certificates.

DigiNotar

Hackers steal SSL certificates for CIA, MI6, Mossad – komu všemu byly ukradeny SSL certifikáty: CIA, MI6, Mossad… Podvržených certifikátů od DigiNotar je nyní napočítáno již přes 500. Jinak podle tvůrců prohlížečů DigiNotar má smůlu, jako důvěryhodná autorita skončil. 

Viz také komentáře:

Společnost F-Secure na svém blogu oznámila, že nalezla známky, že síť DigiNotar byla hacknuta již v roce 2009.

Jak nastalé problémy řeší nizozemská vláda – Dutch government struggles with DigiNotar hack.

Nizozemsko nyní zkoumá, zda nebyly hacknuty vládní weby – Dutch study possible Iran hacking of government web sites. Je analyzován možný podíl Íránu.

Probíhá audit DigiNotar – dostupná je částečná zpráva – DigiNotar audit – intermediate report available. Na této stránce je několik komentářů k jejímu obsahu. Poukázaných nedostatků není málo. Samotnou zprávu najdete zde.
Další komentář k této zprávě je zde – DigiNotar breach report reveals lousy security practices.

Komentáře k DigiNotar:

GlobalSign

GlobalSign zastavil prodej digitálních certifikátů:

Firma nebere oznámení (Comodo hacker) na lehkou váhu – GlobalSign stops issuing SSL certs, probes hacker claims. Better to do it and not need to than vice versa.

Comodohacker oznámil, že ukradl GlobalSignu velké množství dat – DigiNotar hacker says he stole huge GlobalSign cache. Má prý přístup k celému serveru, zálohám databází a konfiguracím systému této americké certifikační autority. Obdobně se mu podařilo získat přístupy k datům izraelské CA StartCom. Článek také obsahuje informaci, jak tento hacker popisuje zabezpečení podepisování certifikátů u DigiNotar: „HSM, or hardware security module, ran on the OpenBSD operating system and had only a single port open that was protected with RSA SecurID and SafeSign Token management systems“. Viz také:

A následovalo přiznání, GlobalSign oznámil průnik do svého systému – GlobalSign Acknowledges System Breach. Má se to však týkat pouze webového serveru, který je fyzicky oddělen od ostatní infrastruktury. Slouží pouze pro potřeby webu www.globalsign.com.

Stanovisko GlobalSignu z konce týdne – GlobalSign to relaunch services, as Mozilla warns other CAs off DigiNotar. O tom, kdy GlobalSign obnoví vydávání SSL certifikátů, však není nyní jasno (původně oznámil, že to spustí v pondělí 12. září).

Microsoft

Microsoft říká, že ukradené SSL certifikáty nemohou být použity k šíření malware prostřednictvím Windows Update – Microsoft: Stolen SSL certs can't be used to install malware via Windows Update. Viz také vyjádření (Jonathan Ness, Microsoft Security Response Center) na blogu Microsoftu – Protecting yourself from attacks that leverage fraudulent DigiNotar digital certificates. Situaci ohledně Windows Update rozebírá Gregg Keizer v článku Hacker claims he can exploit Windows Update.

Microsoft nastálo revokoval všechny nizozemské SSL certifikáty – Microsoft Permanently Revokes All Dutch CA´s SSL Certificates . Titulek trochu nepřesný, ve skutečnosti (jak objasní článek) se nejedná o jejich revokaci, ale o blokaci. Viz také – Microsoft flips ´kill switch´ on all DigiNotar certificates.

Google

Okolo 300 000 íránských IP adres bylo pravděpodobně kompromitováno – Nearly 300,000 Iranian IP addresses likely compromised. Oznámila to bezpečnostní firma Fox-it. Seznam adres byl předán společnosti Google s tím, že tato bude uživatele varovat (v kritické době mohly být jejich e-maily odchyceny).
Viz také:

Celou záležitost vyšetřuje nizozemská tajná služba – Dutch launch Iran IT hacking probe.
Společnost Google kontaktuje své íránské uživatele – Google contacts Iranian users to secure Gmail accounts, blog Google – Gmail account security in Iran.

Apple, Adobe

Na hlavu společnosti Apple se snášela kritika (nebyly vidět její reakce):

Oproti tomu Adobe reaguje – Adobe Says It Is Breaking Ties To Diginotar.

Ale nakonec – Apple strikes stolen SSL certificates from OS X – Apple reagovalo v třikrát kratší době než tomu bylo u hacku společnosti Comodo.

Symantec

Symantec oznamuje – naše SSL CA zůstávají bezpečné – Symantec responds to ‚panic‘ around DigiNotar hack. Společnost odpovídá na vzniklou „paniku“. Rooty VeriSignu, Thawte, GeoTrustu a RapidSSL zůstávají bezpečné.
Viz také komentář Diginotar hacker threatens SSL attacks in US, Europe and Israel, ve kterém je zmínka o nástroji užitečném pro obranu před podvrženými certifikáty – Convergence (Moxie Marlinspike). K tomuto nástroji se pak obrací vyjádření Google – Google: SSL alternative won´t be added to Chrome.

Mozilla

Mozilla chce, aby všechny CA, které má na svém seznamu důvěryhodných, prošly auditem – Burned by DigiNotar, Mozilla tells cert cops to audit security. Na programu Mozilly se podílí 54 certifikačních autorit s celkem 147 kořenovými certifikáty.
Komentář k situaci – GlobalSign: Hacker´s Claims ´Represent An Industry Wide Attack´

Chytré mobily a SSL certifikáty

Na chytrých mobilech se nedaří revokovat SSL certifikáty od DigiNotar – Google and Apple fail to revoke DigiNotar SSL certificates on smartphone. Ani tedy pro systémy s Androidem či pro iPhone. Microsoft má tu výhodu, že nezahrnul DigiNotar do svého seznamu důvěryhodných CA pro Microsoft Windows Phone.

Doporučení (uživatelům)

Jak se chránit před zloději certifikátů – How to Protect Yourself From Certificate Bandits. John P. Mello Jr. (PCWorld) uvádí tato doporučení:

  • Udržujte svůj prohlížeč v aktualizované podobě
  • Umožněte ve vašem prohlížeči revokaci certifikátů
  • Uzpůsobte seznam kořenových certifikátů ve vašem prohlížeči
  • Vždy se dívejte, zda se v adresovém řádku prohlížeče objeví zelená barva

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?
DigiZone.cz: ČRa hodnotí pilotní 4K vysílání

ČRa hodnotí pilotní 4K vysílání

120na80.cz: Cestovní nevolnost. Co pomůže?

Cestovní nevolnost. Co pomůže?

Lupa.cz: Vzali věc, která fungovala, a přidali internet

Vzali věc, která fungovala, a přidali internet

Podnikatel.cz: Babiš představil daňovou revoluci Moje daně

Babiš představil daňovou revoluci Moje daně

Měšec.cz: Udali ho na nelegální software a přišla Policie

Udali ho na nelegální software a přišla Policie

Lupa.cz: Facebook tlačí Moments a hrozí mazáním fotek

Facebook tlačí Moments a hrozí mazáním fotek

DigiZone.cz: Náhrada za nevrácená zařízení?

Náhrada za nevrácená zařízení?

Vitalia.cz: Jíme přesolené potraviny. Zrovna tyhle

Jíme přesolené potraviny. Zrovna tyhle

120na80.cz: Proč komáři létají hlavně večer?

Proč komáři létají hlavně večer?

Vitalia.cz: Epidemie: Klíšťová encefalitida po ovčím sýru

Epidemie: Klíšťová encefalitida po ovčím sýru

Lupa.cz: Nej aplikace? Vodafone, Mozkovna, Záchranka

Nej aplikace? Vodafone, Mozkovna, Záchranka

Lupa.cz: Jaké IoT tarify nabízejí mobilní operátoři?

Jaké IoT tarify nabízejí mobilní operátoři?

DigiZone.cz: Satelitní Flix TV vyráží do boje

Satelitní Flix TV vyráží do boje

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

DigiZone.cz: Noxon iRadio 1 W bude za pár měsíců

Noxon iRadio 1 W bude za pár měsíců

DigiZone.cz: Pardubicko: Výrazně posílen Mux 3

Pardubicko: Výrazně posílen Mux 3

Měšec.cz: Ceny PHM v Evropě. Finty na úspory

Ceny PHM v Evropě. Finty na úspory

DigiZone.cz: Robinsonův ostrov moderuje Novotný

Robinsonův ostrov moderuje Novotný

Podnikatel.cz: Výpadek internetu a #EET. Co s tím?

Výpadek internetu a #EET. Co s tím?

Vitalia.cz: 5 porcí ovoce a zeleniny: no ale jak na to?

5 porcí ovoce a zeleniny: no ale jak na to?