Често Задавани Въпроси

Абонаменти

RSS Кратки статии RSS Пълни статии Atom

Warning: gzinflate() [function.gzinflate]: data error in /home/singu/chzv.net/wp-content/plugins/xhanch-my-twitter/inc/common.php on line 187

Warning: gzinflate() [function.gzinflate]: data error in /home/singu/chzv.net/wp-content/plugins/xhanch-my-twitter/inc/common.php on line 187

Последни туитове

chzvnet
  • CHZV.netRT @dave_rel1k: SET v1.5 interactive shell running on OSX. No sir your machine isn't infected, mac's don't have viruses. http://yfrog.co ... - на 16/06/2011 в 09:17:09
  • CHZV.netRT @PrivacyCamp: PayPal vulnerability allows access to any account within 30 seconds http://ow.ly/5iZcK - на 16/06/2011 в 09:07:16
  • CHZV.netХроника на сагата около Сони - кога и какво е хакнато - http://t.co/sxejfv4 - на 11/06/2011 в 11:56:21
  • CHZV.netRT @mikkohypponen: Malware gang's $14.8 million bank account frozen: http://bit.ly/jrcTuf from F-Secure Weblog - на 11/06/2011 в 01:54:21
  • CHZV.netRT @mikkohypponen: Citibank says they too were hacked. They lost card information of one percent of their customers: http://t.co/5sFxWOz ... - на 09/06/2011 в 08:33:22
  • CHZV.netRT @dave_rel1k: Another Social-Engineer Toolkit (SET) update, added multi-threading to spear phishing mass mails. #sweet - на 09/06/2011 в 07:38:55
  • CHZV.netRT @taviso: Should you trust a root CA that couldn't keep track of it's own keys? Trick question, you already do. http://i.imgur.com/oTS ... - на 09/06/2011 в 07:37:36
  • CHZV.netRT @DarkReading: Meeet the 'ad hijacking' attack: http://tinyurl.com/44rfnhk - на 07/06/2011 в 17:39:03
  • CHZV.netRT @rapid7: New Metasploit modules designed specifically for testing firewalls, IDS, IPS, and DLP solutions - http://r-7.co/jZlksz - на 07/06/2011 в 03:49:34
  • CHZV.netRT @lennyzeltser: TDL rootkit implements its own file system to store files on the hard drive: http://bit.ly/jNriDd by @ESETLLC - на 07/06/2011 в 03:34:08
  • CHZV.netRT @dave_rel1k: SET v1.4.1 has been updated in the Back|Track repositories. Lot's of bug fixes and updates around relative paths and fea ... - на 07/06/2011 в 03:32:12
  • CHZV.netRT @mikkohypponen: Fun trick of the day: Try 'ping 2130706433' from the command line and figure out why it works. - на 23/05/2011 в 23:09:33
  • CHZV.netRT @dave_rel1k: The Social-Engineer Toolkit (SET) v1.4.1 has been released. Adds statistics for harvester, bug fixes, and more. - на 20/05/2011 в 22:54:02
  • CHZV.netRT @Reuters: Sony hacked again http://t.co/RI14jsL - на 20/05/2011 в 17:53:37
  • CHZV.netRT @lordparody: My new security slogan. "Better Safe Than Sony" - на 20/05/2011 в 17:51:57
My Twitter, by Xhanch
 

Нов проект на EFF следи за лоши SSL сертификати

August 17th, 2010 от singu

“In God we trust, all others must submit X.509 Certificate”

Стара шега из ИТ средите, която обаче напоследък може да изиграе лоша шега – повечето потребители смятат HTTPS за сигурен протокол, който защитава от подслушване. Все повече потребители се научават да гледат за зеленото катинарче, чавка или какъвто графичен елемент в браузера показва, че сертификатът на сайта е валиден и е подписан от валидно ауторити от верига, на която браузърът или операционната система се доверяват. Откъдето може да възникне проблем – EFF обявиха на DefCon18 своят нов проект – SSL Observatory, който цели да изследва всъщност на колко ауторитита вашият компютър се доверява по подразбиране и доколко всъщност можем да се доверим на тях. Защото ако злоумишлена организация може да генерира валидни сертификати, от верига, на която се доверявате, то те спокойно могат да подслушват комуникацията ви, била тя и през SSL.

Намереното от проекта до момента е изключително интересно:

  • наблюдавани са над 1.3 милиона валидни сертификата
  • Mozilla се доверява по подразбиране на 124 ауторитита ( събрани в около 60 организации )
  • Microsoft се доверява само на 19 в Windows 7, но това може да бъде “ъпгрейдвано” тихомълком
  • Голям брой сертификати подписани от единични leaf-ове – например един сертификат от GoDaddy е подписал 300 224 сертификата ,един от Equifax – 244 185
  • много от организациите споделят ключове – открити са над 80 уникални ключа, които се използват в различни сертификати на ауторитита
  • над 6000 сертификати за localhost, частни IP адреси и т.н.
  • root CA сертификати, които не се използват ( но браузера ви им се доверява )
  • Интересни организации, които притежават CA сертификат – например Department of Homeland Security, Etisalat1,  Dell, Ford, Google, Marks and Spencer и т.н.

ето цялата презентацията от DefCon, препоръчително четиво, ако темата ви е интересна. Също така е достъпна карта на 650+ организации, които могат да издават сертификати.

В скоро време се очаква проекта да публикува цялата събрана информация ( включително събраните сертификати ), както и да направи няколко допълнителни анализа.

Update 23.10.2010 ето и линк към видеото от презентацията на DefCon.

_________
  1. тези, които се опитаха да забранят Blackberry в Обединените Арабски Емирства [обратно ↩]

Подобни статии:

  1. Атака срещу SSL криптиране
  2. Първите милисекунди от живота на SSL връзка
  3. База данни от частните SSL ключове на инфраструктурни устройства
  4. Нов похват за фишинг: Tab Napping
  5. Нов тип DoS атака

Изпрати по email Изпрати по email |

Коментирайте

Внимание: Модерирането на коментари е включено и може да доведе до забавяне на публикуването на вашият коментар. Моля за търпение.