?

Log in

No account? Create an account
военные действия в сети - По делам сюда приплыл, а не за этим [entries|archive|friends|userinfo]
Anatoly Vorobey

[ website | Website ]
[ userinfo | livejournal userinfo ]
[ archive | journal archive ]

Links
[Links:| English-language weblog ]

военные действия в сети [мар. 23, 2011|11:55 pm]
Anatoly Vorobey
Report of incident on 15-MAR-2011

У одной из фирм, которая выдает SSL-сертификаты, взломщикам удалось получить поддельные сертификаты. Судя по всему, этот взлом был организован иранскими властями (!). См. последние несколько строк документа.

Список сайтов, сертификаты на которые удалось получить взломщику, включает в себя Google, Yahoo, Skype, Mozilla, Live.com (Microsoft).

Что это значит, такая кража сертификатов? Представьте себе, что вы живете, ну например в Иране, и пользуетесь, ну скажем GMail'ом или Yahoo Mail'ом. Иранские спецслужбы очень хотят перехватить ваш пароль и прочитать вашу почту. Поскольку они контролирует интернет в Иране, они могут приказать вашему провайдеру так подделать интернет-адреса, что когда вы в браузере идете на "mail.google.com", скажем, на самом деле вы попадаете на какой-то поддельный сайт, который только выглядит, как GMail, и перехватывает ваш пароль. Только это не сработает, потому что сайты GMail и Yahoo! Mail пользуются технологией SSL, и ваши закладки ведут на адреса https://mail.google.com или https://login.yahoo.com. Эта технология позволяет браузеру распознать, что ему выдают поддельную страницу - она не "подписана" настоящим цифровым сертификатом Гугля или Яху - и браузер выдает вам огромное предупреждение о том, что вас по-видимому пытаются обмануть.

Но теперь, после взлома серверов компании Comodo, и выдачи с помощью этого взлома новых сертификатов на эти адреса Гугла, Яху и других сервисов, иранские спецслужбы могут сделать поддельный сайт, который обманет ваш браузер, и вы ничего не заподозрите. Теоретически говоря, существует способ отменить уже выданные сертификаты, и это сделали сразу же после взлома. Когда вы идете на mail.google.com или login.yahoo.com, ваш браузер помимо прочего проверяет, не отменили ли случайно сертификаты этих сайтов, которые он получил. Проблема, однако, в том, что те же иранские власти, контролирующие интернет, могут эту проверку заблокировать, не "пропустив" запрос на проверку, который посылает браузер. А в таком случае, к сожалению, основные браузеры не выдают серьезных предупреждений пользователям.

Что из всего этого следует? Эта сетевая атака была предпринята, по-видимому, по инициативе иранских властей, и основной ее целью являлось получить возможность безнаказанно и незаметно (для всех, кроме весьма подкованных технически пользователей) воровать пароли жителей Ирана - видимо, в первую очередь неблагонадежных жителей, диссидентов, и прочая - читать их почту, подсматривать их скайп, следить за тем, что они ищут в сети, и в целом следить за их активностью на сайтах Гугля, Яху, Майкрософта. Эта цель была достигнута.
СсылкаОтветить

Comments:
Страница 1 из 2
<<[1] [2] >>
[User Picture]From: xxqs
2011-03-23 10:03 pm
по идее, у приватного ключа такой важности должен быть сильный и длинный пароль. Так что кража ещё не значит, что в иране смогут им воспользоваться
(Ответить) (Thread)
[User Picture]From: avva
2011-03-23 10:04 pm
Они не украли приватный ключ. Они выписали новые сертификаты, подписанные этим ключом. Этого достаточно, чтобы ими пользоваться, никакие дополнительные пароли им не нужны.

(Ответить) (Parent) (Thread) (Развернуть)
[User Picture]From: spartanus
2011-03-23 10:16 pm
Глупо, что браузеры не выдают предупреждение.

Кстати, там про Оперу не написано ничего, вы не знаете, она выдаёт или нет?
(Ответить) (Thread)
[User Picture]From: b_a_t
2011-03-23 11:31 pm
После того, как сертификат выдан и подписан очень сложно с ним что-то сделать до тех пор, пока он сам по-себе не протухнет. А если еще и учесть реакцию пользователей на все предупреждения жать "да, да, заткнись уже, давай мне контент", то практически это джин, выпущенный из бутылки.
(Ответить) (Parent) (Thread)
[User Picture]From: akm_nn
2011-03-23 10:20 pm
проблема с SSL (с точки зрения государства) уже несколько лет как решается прозрачно для пользователя, обычный man-in-the-middle
относительно небольшая надстройка над эксплуатирующимися системами СОРМ
(Ответить) (Thread)
[User Picture]From: avva
2011-03-23 10:26 pm
Нет, "обычный man-in-the-middle" не работает с SSL. Вам стоит почитать о том, как устроен SSL, что такое сертификаты, и что нужно для того, чтобы успешно атаковать SSL с помощью MITM.
(Ответить) (Parent) (Thread) (Развернуть)
[User Picture]From: igorla
2011-03-23 10:57 pm
To есть, для иранских пользователей проблема должна решаться путем обновления версии браузеров с новыми зашитыми сертификатами?
(Ответить) (Thread)
[User Picture]From: avva
2011-03-23 10:59 pm
Да, но не факт, что иранский интернет пропустит эти обновления теперь. Ну и посмотрим еще, когда IE озаботится это сделать - Mozilla и Chrome очень быстро отреагировали, других пока не слышно.
(Ответить) (Parent) (Thread) (Развернуть)
[User Picture]From: b_a_t
2011-03-23 11:25 pm
Анатолий, а может Вы все-таки исправите "кражу" на "подделку" или что-то подобное? Потому что "кражи" как таковой не было, а имела место обычная халатность, когда неглядя подписали сертификаты на домены, указанные пользователем. И взломом это назвать тоже трудно.

http://www.microsoft.com/technet/security/advisory/2524375.mspx
(Ответить) (Thread)
[User Picture]From: avva
2011-03-23 11:49 pm
Нет, был взлом, вы неправильно понимаете. Взломщики вошли в систему Комодо под логином/паролем их партнера, у которого были особые привилегии. Обычный юзер не смог бы получить такие сертификаты.

Хорошо, попробую заменить текст.
(Ответить) (Parent) (Thread) (Развернуть)
[User Picture]From: e2k_4d_x_ussr
2011-03-24 12:18 am

а мы верим.

самое главное во всём этом фраза "судя по всему".

без доказательств это всё домыслы. к тому же под иранских хакеров могли сработать и китайцы, и русские, и евреи, да и штатовцы тоже. не пойман -- не вор.
(Ответить) (Thread)
[User Picture]From: avva
2011-03-24 12:22 am

Re: а мы верим.

Верьте, во что хотите. Я думаю, что предоставленных данных вполне достаточно для того, чтобы считать эту гипотезу не доказанной, но убедительной.
(Ответить) (Parent) (Thread) (Развернуть)
(Удалённый комментарий)
From: rezkiy
2011-03-24 12:54 am
Хорошее нетехническое объяснение, на мой взгляд.
(Ответить) (Thread)
[User Picture]From: avva
2011-03-24 01:25 am
Спасибо.
(Ответить) (Parent) (Thread)
[User Picture]From: digest
2011-03-24 06:47 am
Власти Ирана надеются на разгильдяйство конторок вроде Comodo? По-моему, это какие-то дети игрались. Властям в разы проще создать такой comodo, не такой уж большой бюджет для спецслужб.
А еще не сильно сложно импортировать свой сертификат в качестве trusted CA с помощью вирусов или вообще перехватывая апдейты к IE,FF и Хрому.

А в таком случае, к сожалению, основные браузеры не выдают серьезных предупреждений пользователям

Предупреждения в сертификатах том виде, в котором они имплементированы сегодня во всех браузерах - это ад для простого пользователя, и ничего кроме вреда не приносит. Плюс, как ты и сказал, запрос-получение CRL легко заблокировать.

Если за дело взялись власти, которые контролируют вообще весь канал, включая DNS, то городить огород с поддельными сертификатами незачем: у них есть 100500 способов перенаправить тебя куда надо им, скачать тебе что надо им и украсть какую-угодно инфу.
(Ответить) (Thread)
From: (Anonymous)
2011-03-24 07:22 am
1. апдейты подписаны
2. предупреждения сегодня — недостаточно адский ад, мозилла движется в правильном направлении, но сделала только первый шаг. надо вообще отказываться соединять. кто хочет, пусть импортирует сертификат руками. после того, как пришлет производителю браузера нотариально заверенный отказ от претензий. в шести экземплярах заказным письмом, ага.
3. у них нет такого способа.
(Ответить) (Parent) (Thread) (Развернуть)
[User Picture]From: koshkodil
2011-03-24 07:17 am
подсматривать скайп?
не может быть
(Ответить) (Thread)
From: (Anonymous)
2011-03-24 07:26 am
и подслушивать ютюб!
(Ответить) (Parent) (Thread)
From: (Anonymous)
2011-03-24 07:34 am
Вот чему в школе надо на уроках информатики учить, или как оно теперь называется. Что такое SSL, что такое CA, при каких условиях SSL можно обмануть. А не навыкам работы с охвисом.
(Ответить) (Thread)
[User Picture]From: cat_mucius
2011-03-24 08:49 am
Глянул Comodo CRL, указанных серийников не нашёл. Да и вообще он подозрительно куцый. Чего я не понимаю?
(Ответить) (Thread)
[User Picture]From: cat_mucius
2011-03-24 09:37 am
Нашёл другой, гораздо более длинный, но в нём нет этих серийников. Странно - именно он и указан в отозванных сертификатах в качестве CRL Distribution Point.
(Ответить) (Parent) (Thread) (Развернуть)
[User Picture]From: cat_mucius
2011-03-24 09:09 am
Вообще, интересно: насколько налажена координация между различными CA? Если Икс купил сертификат для мэйла someone@somewhere.com у Verisign, помешает ли что-либо Игреку купить сертификат на тот же адрес от Comodo, после чего рассылать почту от имени Икса?
(Ответить) (Thread)
From: unclesam1234
2011-03-24 01:25 pm
игрек не сможет купить такой же, сертификат ведь не продают просто так по запросу типа "а дайте мне сертификатик на домен somewhere.com". В самом простом случае высылают на адрес admin@somewhere.com письмо в котором просят подтвердить запрос на выдачу сертификата, в самом сложном тебе надо будет очень убедельно доказать что ты являешся владельцем домена и что ты это именно ты а не кто-то выступает от вашего имени... вплоть до личного присутствия при выдаче сертификата.
(Ответить) (Parent) (Thread) (Развернуть)
[User Picture]From: _winnie
2011-03-24 09:14 am
Иран объявил войну интернету?
Интернет же тоже может объявить войну ирану. Например, гугль начнёт всеми доступными способами объяснять иранским пользователям, что их письма читает правительство.

Edited at 2011-03-24 09:15 (UTC)
(Ответить) (Thread)
[User Picture]From: caine_in
2011-03-24 09:16 am
Почему Иран-то? Почему не США, Россия, Тунис, Ливия, хакеры банальные в конце концов? Надо же хоть на чем-то основываться, чтобы такие заявления выдавать.
(Ответить) (Thread)
[User Picture]From: avva
2011-03-24 09:30 am
Там есть адреса итд.
(Ответить) (Parent) (Thread) (Развернуть)
[User Picture]From: mummy1
2011-03-24 10:21 am
Спасибо, очень интересно.
(Ответить) (Thread)
Страница 1 из 2
<<[1] [2] >>