Stále mám přístup k dalším CA, tvrdí útočník na DigiNotar

Jaroslav Pinkava 12. 9. 2011

Informace o aktivitách tzv. Comodohackera a o následně vzniklých problémech a také o hledání cest k jejich řešení zahltily média. Díky tomu vznikl tento článek. O hacknutí nizozemské CA DigiNotar jsme poměrně podrobně informovali již minulý týden. O čem nyní v těchto souvislostech píší články na internetu?

Comodohacker

Comodohacker (tak sám sebe označuje) se přihlásil k útoku na DigiNotar a tvrdí: stále mám přístup k dalším CA. Jmenoval také GlobalSign – Comodo hacker claims credit for DigiNotar attack. Dotyčný popisuje sám sebe jako 21letého íránského studenta. Mikko Hypponen (F-Secure) však říká, že je to záhada. Jak se od hacku jednotlivce dostaneme k odposlechu íránských občanů, který měl široký rozsah? Nejspíš to bude trochu jinak.

Jeho tvrzení na Pastebin o možnostech dalších útoků komentují články:

Hodnocení dopadů útoku se věnuje článek

Reakce prezidenta společnosti Comodo:

Společnosti, které spoléhají ve svém podnikání na SSL certifikáty, musí být připraveny na to nejhorší, zaznělo v článku Roberta Lemose:

Comodohacker na Pastebin:

Comodohacker na Twitteru:

Comodohacker odpovídá na otázky SC Magazine:

Komentář k jeho posledním hrozbám obsahuje článek – DigiNotar hacker threatens to expand spy attacks using stolen certificates.

DigiNotar

Hackers steal SSL certificates for CIA, MI6, Mossad – komu všemu byly ukradeny SSL certifikáty: CIA, MI6, Mossad… Podvržených certifikátů od DigiNotar je nyní napočítáno již přes 500. Jinak podle tvůrců prohlížečů DigiNotar má smůlu, jako důvěryhodná autorita skončil. 

Viz také komentáře:

Společnost F-Secure na svém blogu oznámila, že nalezla známky, že síť DigiNotar byla hacknuta již v roce 2009.

Jak nastalé problémy řeší nizozemská vláda – Dutch government struggles with DigiNotar hack.

Nizozemsko nyní zkoumá, zda nebyly hacknuty vládní weby – Dutch study possible Iran hacking of government web sites. Je analyzován možný podíl Íránu.

Probíhá audit DigiNotar – dostupná je částečná zpráva – DigiNotar audit – intermediate report available. Na této stránce je několik komentářů k jejímu obsahu. Poukázaných nedostatků není málo. Samotnou zprávu najdete zde.
Další komentář k této zprávě je zde – DigiNotar breach report reveals lousy security practices.

Komentáře k DigiNotar:

GlobalSign

GlobalSign zastavil prodej digitálních certifikátů:

Firma nebere oznámení (Comodo hacker) na lehkou váhu – GlobalSign stops issuing SSL certs, probes hacker claims. Better to do it and not need to than vice versa.

Comodohacker oznámil, že ukradl GlobalSignu velké množství dat – DigiNotar hacker says he stole huge GlobalSign cache. Má prý přístup k celému serveru, zálohám databází a konfiguracím systému této americké certifikační autority. Obdobně se mu podařilo získat přístupy k datům izraelské CA StartCom. Článek také obsahuje informaci, jak tento hacker popisuje zabezpečení podepisování certifikátů u DigiNotar: „HSM, or hardware security module, ran on the OpenBSD operating system and had only a single port open that was protected with RSA SecurID and SafeSign Token management systems“. Viz také:

A následovalo přiznání, GlobalSign oznámil průnik do svého systému – GlobalSign Acknowledges System Breach. Má se to však týkat pouze webového serveru, který je fyzicky oddělen od ostatní infrastruktury. Slouží pouze pro potřeby webu www.globalsign.com.

Stanovisko GlobalSignu z konce týdne – GlobalSign to relaunch services, as Mozilla warns other CAs off DigiNotar. O tom, kdy GlobalSign obnoví vydávání SSL certifikátů, však není nyní jasno (původně oznámil, že to spustí v pondělí 12. září).

Microsoft

Microsoft říká, že ukradené SSL certifikáty nemohou být použity k šíření malware prostřednictvím Windows Update – Microsoft: Stolen SSL certs can't be used to install malware via Windows Update. Viz také vyjádření (Jonathan Ness, Microsoft Security Response Center) na blogu Microsoftu – Protecting yourself from attacks that leverage fraudulent DigiNotar digital certificates. Situaci ohledně Windows Update rozebírá Gregg Keizer v článku Hacker claims he can exploit Windows Update.

Microsoft nastálo revokoval všechny nizozemské SSL certifikáty – Microsoft Permanently Revokes All Dutch CA´s SSL Certificates . Titulek trochu nepřesný, ve skutečnosti (jak objasní článek) se nejedná o jejich revokaci, ale o blokaci. Viz také – Microsoft flips ´kill switch´ on all DigiNotar certificates.

Google

Okolo 300 000 íránských IP adres bylo pravděpodobně kompromitováno – Nearly 300,000 Iranian IP addresses likely compromised. Oznámila to bezpečnostní firma Fox-it. Seznam adres byl předán společnosti Google s tím, že tato bude uživatele varovat (v kritické době mohly být jejich e-maily odchyceny).
Viz také:

Celou záležitost vyšetřuje nizozemská tajná služba – Dutch launch Iran IT hacking probe.
Společnost Google kontaktuje své íránské uživatele – Google contacts Iranian users to secure Gmail accounts, blog Google – Gmail account security in Iran.

Apple, Adobe

Na hlavu společnosti Apple se snášela kritika (nebyly vidět její reakce):

Oproti tomu Adobe reaguje – Adobe Says It Is Breaking Ties To Diginotar.

Ale nakonec – Apple strikes stolen SSL certificates from OS X – Apple reagovalo v třikrát kratší době než tomu bylo u hacku společnosti Comodo.

Symantec

Symantec oznamuje – naše SSL CA zůstávají bezpečné – Symantec responds to ‚panic‘ around DigiNotar hack. Společnost odpovídá na vzniklou „paniku“. Rooty VeriSignu, Thawte, GeoTrustu a RapidSSL zůstávají bezpečné.
Viz také komentář Diginotar hacker threatens SSL attacks in US, Europe and Israel, ve kterém je zmínka o nástroji užitečném pro obranu před podvrženými certifikáty – Convergence (Moxie Marlinspike). K tomuto nástroji se pak obrací vyjádření Google – Google: SSL alternative won´t be added to Chrome.

Mozilla

Mozilla chce, aby všechny CA, které má na svém seznamu důvěryhodných, prošly auditem – Burned by DigiNotar, Mozilla tells cert cops to audit security. Na programu Mozilly se podílí 54 certifikačních autorit s celkem 147 kořenovými certifikáty.
Komentář k situaci – GlobalSign: Hacker´s Claims ´Represent An Industry Wide Attack´

Chytré mobily a SSL certifikáty

Na chytrých mobilech se nedaří revokovat SSL certifikáty od DigiNotar – Google and Apple fail to revoke DigiNotar SSL certificates on smartphone. Ani tedy pro systémy s Androidem či pro iPhone. Microsoft má tu výhodu, že nezahrnul DigiNotar do svého seznamu důvěryhodných CA pro Microsoft Windows Phone.

widgety

Doporučení (uživatelům)

Jak se chránit před zloději certifikátů – How to Protect Yourself From Certificate Bandits. John P. Mello Jr. (PCWorld) uvádí tato doporučení:

  • Udržujte svůj prohlížeč v aktualizované podobě
  • Umožněte ve vašem prohlížeči revokaci certifikátů
  • Uzpůsobte seznam kořenových certifikátů ve vašem prohlížeči
  • Vždy se dívejte, zda se v adresovém řádku prohlížeče objeví zelená barva

Různé

Přehled vychází z průběžně publikovaných novinek na Crypto – News.

Našli jste v článku chybu?
Podnikatel.cz: Vyrábějí dětské knížky. Tady je příběh

Vyrábějí dětské knížky. Tady je příběh

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

Podnikatel.cz: Babiš: Článek Soukupa k EET je plný nesmyslů

Babiš: Článek Soukupa k EET je plný nesmyslů

Vitalia.cz: Tesco nabízí desítky tun jídla zdarma

Tesco nabízí desítky tun jídla zdarma

Lupa.cz: Proč jsou firemní počítače pomalé?

Proč jsou firemní počítače pomalé?

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

Podnikatel.cz: Tyto pojmy k #EET byste měli znát

Tyto pojmy k #EET byste měli znát

Lupa.cz: Jak levné procesory změnily svět?

Jak levné procesory změnily svět?

Vitalia.cz: Tohle jsou nejlepší česká piva podle odborníků

Tohle jsou nejlepší česká piva podle odborníků

Podnikatel.cz: ČSSZ posílá přehled o důchodovém kontě

ČSSZ posílá přehled o důchodovém kontě

120na80.cz: Galerie: Čínští policisté testují českou minerálku

Galerie: Čínští policisté testují českou minerálku

Vitalia.cz: Tradiční čínská medicína a rakovina

Tradiční čínská medicína a rakovina

Vitalia.cz: Jsou vegani a vyrábějí nemléko

Jsou vegani a vyrábějí nemléko

DigiZone.cz: Wimbledon na Nova Sport až do 2019

Wimbledon na Nova Sport až do 2019

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

DigiZone.cz: Světový pohár v přímém přenosu na ČT

Světový pohár v přímém přenosu na ČT