Názory k článku
Stále mám přístup k dalším CA, tvrdí útočník na DigiNotar

Jen ze zvědavosti, nevíte prosím, co se stalo v systémech Linux Foundation? Hledal jsem dneska nějaké informace kolem LSB (Desktop) a vyskočila na mě lakonická správa, že 8 září zjistily bezpečnostní průnik a od té doby provádí údržbu. Není prosím někde nějaké přesnější info?

Zatím jsem našel jen tento komentář - Security breach at Linux Foundation.

Dále - Hackers attack Linux Foundation site anew a Linux Foundation & Linux.com multiple server compromised.

Diky.

Mozno ma pristup, ale ja by som sa ho az tak nebal.
Vsetky systemy, kam sa dostal (az na ten jeden s OpenBSD) mali OS Windows a vyzera to tak, ze ma len nejaky privilege escalation exploit; nic viac. Ten jeden otvoreny port u OpenBSD bol 80 alebo 443 s L7 filtrom na http. Potom pouzil dieru vo webovej aplikacii a chvalil sa tym, aky je dobry, ze ho nezastavil L7 filter (pritom mna napada niekolko moznosti, ako by to islo obist). Tu si viem predstavit utok, pri ktorom neboli treba prava roota, takze exploit na OpenBSD mozno ani nema.
Okrem toho si trochu vymysla a dost precenuje zlozitost toho, co spravil. Pise o tom, ze "zlomil SSL", ale od toho ma jeho prienik daleko. Pisal, ze spravil nejaku lepsiu faktorizaciu, ale pri otazke, ci zverejni paper odpovedal, ze na tom len pracuje a ked to dokonci, tak to zverejni.
Takze to nevyzera na nejakeho velmi dobreho utocnika.

Hlavne je dost nerealne, ze to je "21-lety iransky student".

Na druhou stranu, pokud by za tím stály íránské vládní složky, tak by se asi nevychloubaly přes pastebin a mlčely by, ne? Moc by si samy nepomohly, kdyby ohlásily, že byl hacknut GlobalSign, když ty certifikáty používají na šmírování.

Přijde mi, že se mohutně na všech stranách vrtí psem :)

Napadají mě hned tři možnosti, jak a proč k tomu prozrazení mohlo dojít:

1. Írán se chce předvést, že je v IT schopný (až nebezpečný), o špehování občanů jde až ve druhé řadě. Mohlo by jít o odvetu za Stuxnet. Stejně jako se CIA oficiálně nikdy nepřiznala k vytvoření Stuxnetu (pokud ho tedy vytvořila, Írán to tak ale velmi pravděpodobně vidí), Írán se oficiálně nepřizná k těmto útokům. Podle mě velmi pravděpodobné.
2. To oznámení nebylo schválené a mají někde security breach. Jde o únik ve stylu WikiLeaks. Docela pravděpodobné.
3. Je jen otázkou času, kdy by se přišlo na to, že hackli GlobalSign. A protože momentálně mají někoho, koho chtějí odsoudit, tak si takhle vytvořili výbornou záminku, jak ho odsoudit. Jako bonus (alespoň oficiálně) očistí své tajné služby. Moc pravděpodobné to není, ale Sověti tohle občas taky dělali.

Trochu mi v článku (sobecky) chybí zmínka o DANE WG, která by přesně tomuhle žonglování s CA měla zabránit.

no vyzera to ze tato technologia (SSL) sa bude pouzivat tak ako bola navrhnuta,
to znamena verit len vlastnym certifikatom.

aha, ze byste duveroval jen vlastnim serverum.. taky reseni (:

Mám jiné rady:

1.) Smažte všechny CA v prohlížeči. U Mozilly/Firefoxu je to docela problém, protože jsou zadrátované natvrdo. Ačkoli všechny smažete, objeví se zpátky. Sice jsou jako nedůvěryhodné, ale to není na první pohled vidět. S každou aktualizací prohlížeče mazání opakujte, protože v rámci aktualizace nejspíš získáte další balík "důvěryhodných" CA.

2.) Stáhněte si certifikáty CA, kterým opravdu důvěřujete (já např. Postsignum). Zkontrolujte si hash někde jinde (MVČR). Použijte Tor, stáhněte si certifikáty z různých exit nodů a porovnejte je. Opakujte za týden znovu a porovnejte. Pokud vše sedí, nainstalujte si je do prohlížeče.

3.) Pokud se v adresním řádku na stránce vaší banky objeví zelená barva, zbystřete pozornost na maximum a prozkoumejte důkladně certifikát. Znamená to totiž, že byl vydán některou z "důveryhodných" CA, které vám vnucuje výrobce prohlížeče. V pohodě jste tehdy, pokud se v adresním řádku objeví MODRÁ, nikoli ZELENÁ barva (Firefox).

4.) Mobily vůbec neřešte a nepoužívejte na kritické operace. Z mnohých se nedají certifikáty smazat ani revokovat jinak než úpravou firmware.

Někdo mě doplní ?

Petr

A neznamena nahodou zelena barva EV certifikat a modra certifikat "obycejny" bez ohledu na to, zda je podepsat autoritou dodanou tvurcem prohlizece ci uzivatelem ?

Znamená. Ne všechno, co je v televizi (komentářích), je pravda :)

Aha, díky, s tou EV jsem to nevěděl. Tak jsem teď vyzkoušel - zatímco Comodo hezky v zelené barvě a tedy "důvěryhodný", všechny české QCA nejenže ve Firefoxu vůbec nejsou, ale ani nenabízí EV certifikáty. Firefox 6.0.2

Mně tedy tato informace říká, že EV je prakticky k ničemu. Alespoň v českých podmínkách.

České poště bych nedůvěřoval už z principu :-). Když vidím, jak se chovají k zákazníkům, hovada... Navíc nechápu, jak si „bezpečně“ stáhnete ten certifikát :-)

Ja si velmi vazim ze pan Pinkava pise clanky pre root a verim ze je odbornik.
Vadi mi ale ta hromada odkazov na zdroje priamo v clanku. To skor vypada ako vypis z googlu.

Ja z toho osobne nic nemam. Aby som skakal po odkazoch a postupne cital desiatky stranok v pdf to pre mna nieje. Uvital by som naozaj neaky "vycuc", kludne aj s komentarom autora, alebo jeho subjektivnym hodnotenim.

Dakujem

Mně ty odkazy vůbec nevadí - v podstatě jde o uvádění zdrojů informací a na tom není nic špatného. Spíš ta druhá věc: v článku by toho mohlo být víc, to máte pravdu.

Nějaká čeština:

* na hlavu společnosti Apple se kritika asi snášela (ne vznášela)
* John P. Mello Jr. (PCWorld) uvádí *tato* doporučení... (ne tyto)

Stručný výcuc je např. zde: http://www.cleverandsmart.cz/diginotar-operation-black-tulip/. Mimochodem, považujete GlobalSign stále za důvěryhodnou certifikační autoritu? Údajně byl hacknut jen website, ale dá se tomu potom všem ještě věřit?

To jsme dva. Taky mě to množství odkazů ruší.

Už je na čase přejít na jiný systém ochrany než jsou certifikáty které jsou podepsány certifikační autoritou.

Každý subjekt přeci musí jednat sám za sebe.

Celá tato ochrana je nesmyslná a bylo jen otázkou doby kdy toto začne , a už se stalo. Důvěřovat se nedá nikomu a ničemu.

jak byste si ten system predstavoval? ja to podobne jako byste rikal "zrusme obcanky, kazdy musi jednat sam za sebe", to mi moc logiku nedava..

Jednoduše. :-)

Předpokládejme, že si platím certifikát, který má něco garantovat.
Ten kdo mi vydává certifikát se odvolává:
- na výše stojící autoritu a platí za to
- sám na sebe (tedy svoji autoritu) a to je v ceně

---

Pak se domnívám, že není od věci chtít po někom, kdo mi garantuje něco certifikátem, chtít vymáhat odpovědnost za to co mi poskytuje. A to včetně úhrady vzniklých škod.

---

Podíváme-li se na věc tak trochu ze strany, pak vidíme, že model "být odpovědný za to co poskytuji" ve smyslu zdola hore má něco do sebe.
Argumenty ohledně cen a vymlouvání se na něco dnes již beru jako mlžení a maskování odpovědnosti vydavatelů, potažmo provozovatelů něčeho s vydanými certifikáty.

Shrnuto - není důležité, jak si systém představuji či představujeme.
Důležité je, co mi systém garantuje a jaká je odpovědnost toho kterého článku v systému.

Proto mírně souhlasím s tím co říkáte o občankách, ale pozor. Pokud systém jako celek staví na předpokladu garance poskytování (občanem) pravdivých informací o své entitě. Pak opravdu občanky nepotřebujeme.
Pokud poskytnuté údaje nejsou pravdivé, musí jejich poskytovtel nést plnou odpovědnost.

Jak jednoduché.

To je přece jednoduchý. Stejně jako u SSH. Při prvním připojení zkontrolujete otisk nezávislým kanálem, u banky ve smlouvě, kterou jste osobně dostal. U připojení na firemni webmail vám otisk dá admin. Otisky vládních webů mohou např. občas vyjít v novinách nebo být na stránkách v teletextu. A pak už si to prohlížeč pamatuje.

A ty méně důležité, jako nějaký freemail nebo paypal? Tam vám stačí, že je otisk klíč stejný při připojení z různých míst, a je stejný, jako když jste tam šel poprvé.

Obojí je bezpečnější, naž když prohlížeč považuje za důvěryhodný kterýkoliv site s certifikátem od celého dlouhý seznam CA z podivných zemí. Doména cpoj.cz podepsaná čínskou autoritou tak projde bez povšimnutí.

To už je možné dělat teď a reálná zkušenost je taková, že uživatel bez mrknutí oka kliká na "souhlasím a už mě neotravuj", protože se tam chce dostat. Bohužel není možné lidi donutit, aby něco ověřovali, když to není bezpodmínečně nutné k fungování té věci. Tady je třeba být proaktivní a myslet za uživatele.

Netvrdím, že aktuální systém je dokonalý, právě naopak. Ale navrhovaná úprava na "každý si ověří sám" je nepoužitelná a v důsledku mnohem nebezpečnější.

Plus je tu velký problém s distribucí certifikátů. Klíč v teletextu i novinách lze velmi snadno podvrhnout. Navíc těžko vyřešit přenos těch informací do počítače. Chcete je ručně přepisovat, mít u každého počítače scanner, nebo dokonce TV tuner?

PayPal není méně důležitý. Naopak je velmi důležitý, protože se jím realizují každý den transakce za více než 200M USD (3.4mld Kč). Řada z nich (nejspíš většina) pomocí kreditních karet.

Buď je uživatel poučený a dělá co má. Pak může (pokaždé) kontrolovat modrost a zelenost zámečků stejně tak jako ověřit (jednou, při prvním připojení) fingerprint proti bankovní smlouvě. Co je jednodušší?

Nebo poučený není a pak vám odkliká všechno, i to červené upozornění, že certifikát nesedí. Navíc jeho počítač může být zatrojanovaný a pak vám pomůže jen ten nezávislý kanál.

To jsou veci.. ktera banka dava do smlouvy fingerprint certifikatu?

KB

...