Comodohacker
Comodohacker (tak sám sebe označuje) se přihlásil k útoku na DigiNotar a tvrdí: stále mám přístup k dalším CA. Jmenoval také GlobalSign – Comodo hacker claims credit for DigiNotar attack. Dotyčný popisuje sám sebe jako 21letého íránského studenta. Mikko Hypponen (F-Secure) však říká, že je to záhada. Jak se od hacku jednotlivce dostaneme k odposlechu íránských občanů, který měl široký rozsah? Nejspíš to bude trochu jinak.
Jeho tvrzení na Pastebin o možnostech dalších útoků komentují články:
- Claimed DigiNotar hacker: I have access to four more CAs
- DigiNotar hacker: I have access to four other certificate authorities
- Comodo Hacker Takes Credit For Massive DigiNotar Hack
Hodnocení dopadů útoku se věnuje článek
Reakce prezidenta společnosti Comodo:
Společnosti, které spoléhají ve svém podnikání na SSL certifikáty, musí být připraveny na to nejhorší, zaznělo v článku Roberta Lemose:
Comodohacker na Pastebin:
Comodohacker na Twitteru:
Comodohacker odpovídá na otázky SC Magazine:
Komentář k jeho posledním hrozbám obsahuje článek – DigiNotar hacker threatens to expand spy attacks using stolen certificates.
DigiNotar
Hackers steal SSL certificates for CIA, MI6, Mossad – komu všemu byly ukradeny SSL certifikáty: CIA, MI6, Mossad… Podvržených certifikátů od DigiNotar je nyní napočítáno již přes 500. Jinak podle tvůrců prohlížečů DigiNotar má smůlu, jako důvěryhodná autorita skončil.
Viz také komentáře:
- Hackers Forge Certificates to Break into Spy Agencies
- CIA, Mossad, MI6 targeted by Iranian DigiNotar-hackers
Společnost F-Secure na svém blogu oznámila, že nalezla známky, že síť DigiNotar byla hacknuta již v roce 2009.
Jak nastalé problémy řeší nizozemská vláda – Dutch government struggles with DigiNotar hack.
Nizozemsko nyní zkoumá, zda nebyly hacknuty vládní weby – Dutch study possible Iran hacking of government web sites. Je analyzován možný podíl Íránu.
Probíhá audit DigiNotar – dostupná je částečná zpráva – DigiNotar audit – intermediate report available. Na této stránce je několik komentářů k jejímu obsahu. Poukázaných nedostatků není málo. Samotnou zprávu najdete zde.
Další komentář k této zprávě je zde – DigiNotar breach report reveals lousy security practices.
Komentáře k DigiNotar:
- False SSL certificates issued for spy agencies
- Iranian users were the ultimate target in DigiNotar compromise
- #DigiNotar given vote of ´no confidence´ by internet giants
- Dutch government takes control of DigiNotar CA
- Experts suspect Iran involvement in Dutch hacking
GlobalSign
GlobalSign zastavil prodej digitálních certifikátů:
- After hacking claims, second firm pulls digital certificates
- GlobalSign Halts Digital Certificate Sales
Firma nebere oznámení (Comodo hacker) na lehkou váhu – GlobalSign stops issuing SSL certs, probes hacker claims. Better to do it and not need to than vice versa.
Comodohacker oznámil, že ukradl GlobalSignu velké množství dat – DigiNotar hacker says he stole huge GlobalSign cache. Má prý přístup k celému serveru, zálohám databází a konfiguracím systému této americké certifikační autority. Obdobně se mu podařilo získat přístupy k datům izraelské CA StartCom. Článek také obsahuje informaci, jak tento hacker popisuje zabezpečení podepisování certifikátů u DigiNotar: „HSM, or hardware security module, ran on the OpenBSD operating system and had only a single port open that was protected with RSA SecurID and SafeSign Token management systems“. Viz také:
A následovalo přiznání, GlobalSign oznámil průnik do svého systému – GlobalSign Acknowledges System Breach. Má se to však týkat pouze webového serveru, který je fyzicky oddělen od ostatní infrastruktury. Slouží pouze pro potřeby webu www.globalsign.com.
Stanovisko GlobalSignu z konce týdne – GlobalSign to relaunch services, as Mozilla warns other CAs off DigiNotar. O tom, kdy GlobalSign obnoví vydávání SSL certifikátů, však není nyní jasno (původně oznámil, že to spustí v pondělí 12. září).
Microsoft
Microsoft říká, že ukradené SSL certifikáty nemohou být použity k šíření malware prostřednictvím Windows Update – Microsoft: Stolen SSL certs can't be used to install malware via Windows Update. Viz také vyjádření (Jonathan Ness, Microsoft Security Response Center) na blogu Microsoftu – Protecting yourself from attacks that leverage fraudulent DigiNotar digital certificates. Situaci ohledně Windows Update rozebírá Gregg Keizer v článku Hacker claims he can exploit Windows Update.
Microsoft nastálo revokoval všechny nizozemské SSL certifikáty – Microsoft Permanently Revokes All Dutch CA´s SSL Certificates . Titulek trochu nepřesný, ve skutečnosti (jak objasní článek) se nejedná o jejich revokaci, ale o blokaci. Viz také – Microsoft flips ´kill switch´ on all DigiNotar certificates.
Okolo 300 000 íránských IP adres bylo pravděpodobně kompromitováno – Nearly 300,000 Iranian IP addresses likely compromised. Oznámila to bezpečnostní firma Fox-it. Seznam adres byl předán společnosti Google s tím, že tato bude uživatele varovat (v kritické době mohly být jejich e-maily odchyceny).
Viz také:
- Inside ´Operation Black Tulip´: DigiNotar hack analysed
- Hackers spied on 300,000 Iranians using fake Google certificate
- DigiNotar breach fallout widens as more details emerge
- 300,000 Iranian IP Addresses Compromised In DigiNotar SSL Hack
- DigiNotar breach due to disastrous security – Update
- Could DigiNotar Hack Lead to a Cyberattack on You?
Celou záležitost vyšetřuje nizozemská tajná služba – Dutch launch Iran IT hacking probe.
Společnost Google kontaktuje své íránské uživatele – Google contacts Iranian users to secure Gmail accounts, blog Google – Gmail account security in Iran.
Apple, Adobe
Na hlavu společnosti Apple se snášela kritika (nebyly vidět její reakce):
- Researcher raps Apple for not blocking stolen SSL certificates
- Apple Delays DigiNotar SSL Update, Partners ´Not Surprised´
Oproti tomu Adobe reaguje – Adobe Says It Is Breaking Ties To Diginotar.
Ale nakonec – Apple strikes stolen SSL certificates from OS X – Apple reagovalo v třikrát kratší době než tomu bylo u hacku společnosti Comodo.
Symantec
Symantec oznamuje – naše SSL CA zůstávají bezpečné – Symantec responds to ‚panic‘ around DigiNotar hack. Společnost odpovídá na vzniklou „paniku“. Rooty VeriSignu, Thawte, GeoTrustu a RapidSSL zůstávají bezpečné.
Viz také komentář Diginotar hacker threatens SSL attacks in US, Europe and Israel, ve kterém je zmínka o nástroji užitečném pro obranu před podvrženými certifikáty – Convergence (Moxie Marlinspike). K tomuto nástroji se pak obrací vyjádření Google – Google: SSL alternative won´t be added to Chrome.
Mozilla
Mozilla chce, aby všechny CA, které má na svém seznamu důvěryhodných, prošly auditem – Burned by DigiNotar, Mozilla tells cert cops to audit security. Na programu Mozilly se podílí 54 certifikačních autorit s celkem 147 kořenovými certifikáty.
Komentář k situaci – GlobalSign: Hacker´s Claims ´Represent An Industry Wide Attack´
Chytré mobily a SSL certifikáty
Na chytrých mobilech se nedaří revokovat SSL certifikáty od DigiNotar – Google and Apple fail to revoke DigiNotar SSL certificates on smartphone. Ani tedy pro systémy s Androidem či pro iPhone. Microsoft má tu výhodu, že nezahrnul DigiNotar do svého seznamu důvěryhodných CA pro Microsoft Windows Phone.
Doporučení (uživatelům)
Jak se chránit před zloději certifikátů – How to Protect Yourself From Certificate Bandits. John P. Mello Jr. (PCWorld) uvádí tato doporučení:
- Udržujte svůj prohlížeč v aktualizované podobě
- Umožněte ve vašem prohlížeči revokaci certifikátů
- Uzpůsobte seznam kořenových certifikátů ve vašem prohlížeči
- Vždy se dívejte, zda se v adresovém řádku prohlížeče objeví zelená barva
Různé
Přehled vychází z průběžně publikovaných novinek na Crypto – News.
ČLÁNKY DO MAILU