Názory k článku Stále mám přístup k dalším CA, tvrdí útočník na DigiNotar
-
Jaroslav Pinkava (neregistrovaný)
Zatím jsem našel jen tento komentář - Security breach at Linux Foundation.
-
a (neregistrovaný)
Mozno ma pristup, ale ja by som sa ho az tak nebal.
Vsetky systemy, kam sa dostal (az na ten jeden s OpenBSD) mali OS Windows a vyzera to tak, ze ma len nejaky privilege escalation exploit; nic viac. Ten jeden otvoreny port u OpenBSD bol 80 alebo 443 s L7 filtrom na http. Potom pouzil dieru vo webovej aplikacii a chvalil sa tym, aky je dobry, ze ho nezastavil L7 filter (pritom mna napada niekolko moznosti, ako by to islo obist). Tu si viem predstavit utok, pri ktorom neboli treba prava roota, takze exploit na OpenBSD mozno ani nema.
Okrem toho si trochu vymysla a dost precenuje zlozitost toho, co spravil. Pise o tom, ze "zlomil SSL", ale od toho ma jeho prienik daleko. Pisal, ze spravil nejaku lepsiu faktorizaciu, ale pri otazke, ci zverejni paper odpovedal, ze na tom len pracuje a ked to dokonci, tak to zverejni.
Takze to nevyzera na nejakeho velmi dobreho utocnika. -
Sten (neregistrovaný)Napadají mě hned tři možnosti, jak a proč k tomu prozrazení mohlo dojít:
- Írán se chce předvést, že je v IT schopný (až nebezpečný), o špehování občanů jde až ve druhé řadě. Mohlo by jít o odvetu za Stuxnet. Stejně jako se CIA oficiálně nikdy nepřiznala k vytvoření Stuxnetu (pokud ho tedy vytvořila, Írán to tak ale velmi pravděpodobně vidí), Írán se oficiálně nepřizná k těmto útokům. Podle mě velmi pravděpodobné.
- To oznámení nebylo schválené a mají někde security breach. Jde o únik ve stylu WikiLeaks. Docela pravděpodobné.
- Je jen otázkou času, kdy by se přišlo na to, že hackli GlobalSign. A protože momentálně mají někoho, koho chtějí odsoudit, tak si takhle vytvořili výbornou záminku, jak ho odsoudit. Jako bonus (alespoň oficiálně) očistí své tajné služby. Moc pravděpodobné to není, ale Sověti tohle občas taky dělali.
-
Petr (neregistrovaný)
Mám jiné rady:
1.) Smažte všechny CA v prohlížeči. U Mozilly/Firefoxu je to docela problém, protože jsou zadrátované natvrdo. Ačkoli všechny smažete, objeví se zpátky. Sice jsou jako nedůvěryhodné, ale to není na první pohled vidět. S každou aktualizací prohlížeče mazání opakujte, protože v rámci aktualizace nejspíš získáte další balík "důvěryhodných" CA.
2.) Stáhněte si certifikáty CA, kterým opravdu důvěřujete (já např. Postsignum). Zkontrolujte si hash někde jinde (MVČR). Použijte Tor, stáhněte si certifikáty z různých exit nodů a porovnejte je. Opakujte za týden znovu a porovnejte. Pokud vše sedí, nainstalujte si je do prohlížeče.
3.) Pokud se v adresním řádku na stránce vaší banky objeví zelená barva, zbystřete pozornost na maximum a prozkoumejte důkladně certifikát. Znamená to totiž, že byl vydán některou z "důveryhodných" CA, které vám vnucuje výrobce prohlížeče. V pohodě jste tehdy, pokud se v adresním řádku objeví MODRÁ, nikoli ZELENÁ barva (Firefox).
4.) Mobily vůbec neřešte a nepoužívejte na kritické operace. Z mnohých se nedají certifikáty smazat ani revokovat jinak než úpravou firmware.
Někdo mě doplní ?
Petr
-
Petr (neregistrovaný)
Aha, díky, s tou EV jsem to nevěděl. Tak jsem teď vyzkoušel - zatímco Comodo hezky v zelené barvě a tedy "důvěryhodný", všechny české QCA nejenže ve Firefoxu vůbec nejsou, ale ani nenabízí EV certifikáty. Firefox 6.0.2
Mně tedy tato informace říká, že EV je prakticky k ničemu. Alespoň v českých podmínkách.
-
Ja si velmi vazim ze pan Pinkava pise clanky pre root a verim ze je odbornik.
Vadi mi ale ta hromada odkazov na zdroje priamo v clanku. To skor vypada ako vypis z googlu.Ja z toho osobne nic nemam. Aby som skakal po odkazoch a postupne cital desiatky stranok v pdf to pre mna nieje. Uvital by som naozaj neaky "vycuc", kludne aj s komentarom autora, alebo jeho subjektivnym hodnotenim.
Dakujem
-
Jarek (neregistrovaný)
Mně ty odkazy vůbec nevadí - v podstatě jde o uvádění zdrojů informací a na tom není nic špatného. Spíš ta druhá věc: v článku by toho mohlo být víc, to máte pravdu.
Nějaká čeština:
* na hlavu společnosti Apple se kritika asi snášela (ne vznášela)
* John P. Mello Jr. (PCWorld) uvádí *tato* doporučení... (ne tyto) -
Stručný výcuc je např. zde: http://www.cleverandsmart.cz/diginotar-operation-black-tulip/. Mimochodem, považujete GlobalSign stále za důvěryhodnou certifikační autoritu? Údajně byl hacknut jen website, ale dá se tomu potom všem ještě věřit?
-
100% Lenin (neregistrovaný)
Jednoduše. :-)
Předpokládejme, že si platím certifikát, který má něco garantovat.
Ten kdo mi vydává certifikát se odvolává:
- na výše stojící autoritu a platí za to
- sám na sebe (tedy svoji autoritu) a to je v ceně
Pak se domnívám, že není od věci chtít po někom, kdo mi garantuje něco certifikátem, chtít vymáhat odpovědnost za to co mi poskytuje. A to včetně úhrady vzniklých škod.
Podíváme-li se na věc tak trochu ze strany, pak vidíme, že model "být odpovědný za to co poskytuji" ve smyslu zdola hore má něco do sebe.
Argumenty ohledně cen a vymlouvání se na něco dnes již beru jako mlžení a maskování odpovědnosti vydavatelů, potažmo provozovatelů něčeho s vydanými certifikáty.Shrnuto - není důležité, jak si systém představuji či představujeme.
Důležité je, co mi systém garantuje a jaká je odpovědnost toho kterého článku v systému.Proto mírně souhlasím s tím co říkáte o občankách, ale pozor. Pokud systém jako celek staví na předpokladu garance poskytování (občanem) pravdivých informací o své entitě. Pak opravdu občanky nepotřebujeme.
Pokud poskytnuté údaje nejsou pravdivé, musí jejich poskytovtel nést plnou odpovědnost.Jak jednoduché.
-
To je přece jednoduchý. Stejně jako u SSH. Při prvním připojení zkontrolujete otisk nezávislým kanálem, u banky ve smlouvě, kterou jste osobně dostal. U připojení na firemni webmail vám otisk dá admin. Otisky vládních webů mohou např. občas vyjít v novinách nebo být na stránkách v teletextu. A pak už si to prohlížeč pamatuje.
A ty méně důležité, jako nějaký freemail nebo paypal? Tam vám stačí, že je otisk klíč stejný při připojení z různých míst, a je stejný, jako když jste tam šel poprvé.
Obojí je bezpečnější, naž když prohlížeč považuje za důvěryhodný kterýkoliv site s certifikátem od celého dlouhý seznam CA z podivných zemí. Doména cpoj.cz podepsaná čínskou autoritou tak projde bez povšimnutí.
-
To už je možné dělat teď a reálná zkušenost je taková, že uživatel bez mrknutí oka kliká na "souhlasím a už mě neotravuj", protože se tam chce dostat. Bohužel není možné lidi donutit, aby něco ověřovali, když to není bezpodmínečně nutné k fungování té věci. Tady je třeba být proaktivní a myslet za uživatele.
Netvrdím, že aktuální systém je dokonalý, právě naopak. Ale navrhovaná úprava na "každý si ověří sám" je nepoužitelná a v důsledku mnohem nebezpečnější.
-
Lael Ophir (neregistrovaný)
Plus je tu velký problém s distribucí certifikátů. Klíč v teletextu i novinách lze velmi snadno podvrhnout. Navíc těžko vyřešit přenos těch informací do počítače. Chcete je ručně přepisovat, mít u každého počítače scanner, nebo dokonce TV tuner?
PayPal není méně důležitý. Naopak je velmi důležitý, protože se jím realizují každý den transakce za více než 200M USD (3.4mld Kč). Řada z nich (nejspíš většina) pomocí kreditních karet.
-
Buď je uživatel poučený a dělá co má. Pak může (pokaždé) kontrolovat modrost a zelenost zámečků stejně tak jako ověřit (jednou, při prvním připojení) fingerprint proti bankovní smlouvě. Co je jednodušší?
Nebo poučený není a pak vám odkliká všechno, i to červené upozornění, že certifikát nesedí. Navíc jeho počítač může být zatrojanovaný a pak vám pomůže jen ten nezávislý kanál.
