19:20
7/9/2011

Advertisement

Wsystko wskazuje na to, że za wygenerowaniem 500+ fałszywych certyfikatów w DigiNotar stoi Irańczyk, którego znamy z marcowych ataków na CA Comodo.

Kolejne ofiary: GlobalSign i Google

Comodohacker znany z marcowych ataków na CA Comodo oświadczył, że to on stoi za atakiem na DigiNotar. Jako dowód podał hasło, z którego korzystali Holendrzy: Pr0d@dm1n — prawda, że kreatywne, jak na rządowe CA? :-)

Dodatkowo, Irańczyk twierdzi, że pod kontrolą ma jeszcze kilka innych CA, dzięki którym może generować fałszywe certyfikaty. Jak na razie ujawnił nazwę tylko jedno z nich — GlobalSign, a jako dowód, że dalej może fałszować sygnatury, udostępnił calc.exe podpisany kluczem prywatnym wygenerowanym dla Google.

Polityka, polityka…

Oświadczenie Comodohackera jak zwykle podszyte jest polityką. Atak na holenderskie CA miał być zemstą za masakrę w Srebrenicy, o którą Irańczyk oskarża Holendrów. Można jednak odnieść wrażenie, że najpierw nastąpił atak, a dopiero potem dopasowany został “powód” pasujący do ofiary. Comodohacker obiecuje niebawem opisać jak przełamał zabezpieczenia holenderskiego CA, dowcipnie pstrykając w nos Anonimowych i LuzSec, twierdząc, żę taki opis będzie dla nich dobrą lekcją.

DigiNotar hacked

DigiNotar, kolejne zhackowane przez Comodohackera CA

Tymczasem Fox-IT, firma wynajęta do przeprowadzenia audytu w DigiNotar opublikowała swój raport, a w nim punktuje liczne przewinienia CA związane z bezpieczeństwem teleinformatycznym (wszystkie Windowsy w tej samej domenie, brak antywirusów, brak patchy, dostęp do serwerów z vlanu, pomimo umieszczenia ich w “tempeście”). Może się więc okazać, że “wyczyn” Comodohackera nie wymagał super umiejętności, zwłaszcza, że Fox-IT twierdzi, iż atakujący korzystał z populanrnego “hacktoola” Caina i Abla (który nie został wykryty)…

Na koniec garść innych, ciekawych cytatów z oświadczenia Comodohackera to:

Nie róbcie ze mnie armii. Działam sam.
Ten atak był bardziej skomplikowany niż Stuxnet. Mam więcej 0day’ów, trojanów oraz certyfikatów podpisujących kod.
Mam możliwość aktualizowania Windowsów. Zreversowałem protokół aktualizacji Microsoftu.

Czyżbyśmy obserwowali początek końca PKI?

Przeczytaj także:



28 komentarzy

Dodaj komentarz
  1. Robi się nieciekawie

    • A według mnie robi się coraz ciekawiej

    • A w/g mnie robi się coraz bardziej ciekawie :-)

  2. “dostęp do serwerów z vlanu” hm? Czy to jest jakimś problemem?

    “podpisany kluczem prywatnym należącym do certyfikatu Google.” FAŁSZYWEGO, zapomnieliście dodać. To klucz na *.google.com podpisany przez DigiNotar, który ma już status “certyfikat został wyraźnie odwołany przez jego wystawcę”. Proszę bardziej precyzyjnie, mniej w stylu Spider’s Web.

    • Jeśli chodzi o vlan to może zrozumiesz jaki w tym problem jak się dowiesz czym jest TEMPEST i w jakim celu się go stosuje ;-)

    • Zaraz, a tempest to nie czasem ta strzelnka z lat 80 ;D?

    • Nie o ten tempest chodzi ;-)

      http://en.wikipedia.org/wiki/TEMPEST

      W skrócie: Każdy kabel działa jak antena (czy ten między PC a Monitorem, czy PC Drukarka itd.) Posiadając odpowiednie urządzenie można ten sygnał podsłuchiwać (np parkując samochód przed domem ofiary i celując antenką przez ścianę w jego komputer). Certyfikowane urządzenia klasy Tempest, to takie metalowe puszki (lub całe pomieszczenia), do których wkłada się urządzenia, aby zapobiec tego typu posłuchom ;-)

      Btw: Pisałam o tym będąc w szkole średniej, i dzisiaj nawet odgrzebałam gdzieś tą starą pracę:
      http://daggerka.pl/2011/09/08/szyfrowanie-informacji/

    • VLAN’u – virtual lanu? czy WLAN’u – wireless lanu?
      ja takze nie rozumiem co jest nie tak w dostepie do serwerow z vlanu i co ma podsluch elektromagnetyczny do koncepcji vlanu

    • Tak strategiczne urządzenia, zazwyczaj są zamknięte w chronionym, żelbetonowym bunkrze (pełniącym rolę klatki) i są FIZYCZNIE ODCIĘTE OD INTERNETU. Nie rzadko posiadają również własne źródła zasilania.

      Po co zamykać coś w tempescie (nie wliczając urządzeń mających na celu przeprowadzenie łączności), jeśli podłącza się do tego kabelek z dostępem do sieci? Klucze asymetryczne potrzebne do generowania tak ważnych certyfikatów powinny być jak najbardziej zabezpieczone i zaszyfrowane, jeśli nie są w użyciu.

      Inna sprawa, że posiadając nawet takie możliwości ludzie obsługujący ten sprzęt, często bagatelizują zagrożenie, a pracowników starszej daty (głównie wyższej rangi wojskowych) szkoli się np jak wyłączyć port USB, a nie realnej wiedzy o bezpieczeństwie.

      Windowsy tam są najczęściej “przerabiane” na zamówienie przez firmy zewnętrze i nie pobierają updatów z serwerów M$. Każda aktualizacja takiego systemu wiąże się z zapłatą za specjalnie przygotowanego updata przez taką firmę.

    • Jedna uwaga, systemy w klatkach chroniących przed ulotem elektromagnetycznym (tempest) podłącza się do sieci, ale światłowodem, a nie “skrętką”.

  3. tym hasłem (Pr0d@dm1n) serio mnie mile zaskoczyli : – D

  4. Strach się bać

  5. Czyżbyśmy obserwowali początek końca PKI? Obyś nie miał racji! Mam możliwość aktualizowania Windowsów. Zreversowałem protokół aktualizacji Microsoftu. a niby to jak ma mu pomóc?

    • Najbardziej oczywiste: podszycie się pod DNS i aktualizujesz system o trojana np.

    • @Nukemiak: Możliwość przekonania Windowsów, że czeka na nich poprawka to bardzo fajna możliwość — jeśli mu wierzyć, on ją ma. Oczywiście, jak już wspomniał kostuch, potrzeba MitM, więc jakiś ARP/DNS spoofing jeszcze by się przydał (ale jak pokazuje to, co stało się w Iranie, nie będzie to trudne, a władza na pewno ucieszy się z możliwości zainstalowania rządowego trojana wszystkim obywatelom pod pretekstem poprawki do Windows (sporo osób ma automatyczne aktualizacje włączone).

  6. Na pewno koniec PKI w wydaniu urzędów nie spełniających norm bezpieczeństwa. A zwłaszcza spodziewam się końca usług pozwalających stworzyć własny urząd (słyszałem o takich witrynach). CA muszą spełniać najwyższe normy bezpieczeństwa, niemal wojskowe. W innym wypadku ich działalność nie ma sensu bo ich certyfikaty są zbyt podatne na atak.

  7. pewna nieścisłość, ten plik calc.exe jest podpisany certyfikatem wydanym przez DigiNotar a nie GlobalSign, i ten certyfikat oczywiście nie należy do Google, a jedynie został wystawiony dla domenty *.google.com. ponadto to marny dowód tego, że to akurat on stoi za jakimkolwiek atakiem, co innego jakby podpisał jakiś plik, który w jakikolwiek sposób na niego wskazuje.

  8. Comodohacker w swojej wypowiedzi na pastebin podkreśla
    ” how I got SYSTEM privilage in fully patched and up-to-date system”
    natomiast w raporcie Fox-IT jest informacja
    ” The software installed on the public web servers was outdated and not patched.”
    Chodzi tutaj tylko o web-servery? tj apache out of date a systemy do których nastąpiło włamanie spatchowana? Troche dziwna sprawa..
    Swoją drogą gośc chyba uważa sie za boga, co drugie zdanie podkreśla jaki on ma zarąbisty level i skill..widać skromnosć jest mu rzeczą obcą :)

    • ps to samo odnośnie dostępności z zewnątrz, comodohacker:
      “If I gave all hackers of the world, ALL hackers by it’s real meaning, they wouldn’t be able to reach that network behind all those firewalls, routers and final networks without any access to internet which even doesn’t have internet connection. So shut the ….”
      Fox-IT
      “We have strong indications that the CA-servers, although physically very securely placed in a tempest proof environment, were accessible over the network from the management LAN.”
      kto ma racje?

    • gizmo: to wcale nie musi być 21 z kompleksami, a ktoś (kilku ktosi?), którzy chcą, żeby za atak był odpowiedzialny ponadnaturalnie zdolny jeden, samotnie działający i młody Irańczyk… :> Jeśli on działał sam, to jakim cudem irański rząd otrzymał te fałszywe certyfikaty do zabawy?

  9. Tak. On i porównywanie się do Stuxnet’a. Tyle mi wystarczy, żeby wyrobić sobie o nim opinię.

    • W podlinkowanym w artykule oświadczeniu nie ma ni słowa o stuksnecie. Generalnie trudno jest również znaleźć źródło do tego tłumaczenia – chyba, że to inny dokument…

  10. Tacy ludzie nie “biora odpowiedzialnosci” za to co zrobili, lecz pczyznaja sie do tego. To zasadnicza roznica, bo gdyby przyjrzec sie motywacji dzialania, to nie zalezy im na moralnym odkupieniu krzywd itd, a jedynie na pozyskaniu poklasku, byciu w centrum, etc.
    Zbyt wielu ludzi w tych czasach dziala bez uwzglednienia odpowiedzialnosci. Najblizszym przykladem sa drogi polskie. Prawo jazdy rozdaje sie jak cukierki i na tym polega problem.

  11. Jak to dobrze mieć takiego zdolnego, bezinteresownego hakera w kraju, co to podrzuci rządowi fałszywe certyfikaty i zemści się nie na tych, co trzeba. Prawdziwy patriota ;)
    BTW – Musicie pisać “video”? Jakoś mnie to razi, przyzwyczaiłem się do “wideo”.

    • http://sjp.pwn.pl/szukaj/video

    • Nie twierdzę że to źle, po prostu jakoś dziwnie to dla mnie wygląda.
      Ale skoro tak jest poprawnie – ok.

  12. […] nie usunęła wszystkich certyfikatów DigiNotar, czyli centrum certyfikacji, które zostało totalnie spenetrowane przez Comodohackera. MS wydał więc drugą […]

  13. […] mówią, że im się należało. DigiNotar, zhackowane niedawno przez irańskiego Comodohackera, zbankrutowało. Może to i lepiej? Obsługa incydentu w wykonaniu […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: