Проблемы с безопасностью в протоколе SSL

Re: Проблемы с безопасностью в протоколе SSL

в talks уже (вяло) обсуждали

ничего в самом протоколе нет, просто ряд программ могут быть одурачены символами NULL в теле сертификата, ну и для реализации перехвата, нужно иметь валидный, подписаный rootCA сертификат с NULL (интересно какой CA это подпишет?) и возможность man in the middle атаки

вообщем как всегда. много шума из ничего... а вендоры пусть исправляют парсинг сертификатов

Silvy (04.08.2009 5:55:49)

Re: Проблемы с безопасностью в протоколе SSL

Сильви, спасибо. вот так вот надо в новостях писать, по делу!
насчет где взять такой сертификат, я так понял не обязательно подписанный рут СА, можно любым по цепочке, либо даже сторонним, если пользователь проигнорирует предупреждение браузера.

val-amart (04.08.2009 12:14:47)

Re: Проблемы с безопасностью в протоколе SSL

Лично я бы рекомендовал повесил эту новость на главную страничку, все-таки не флейм какой-то. Более того, встречал уже отголоски этой новости на других авторитетных новостных лентахю Это, конечно, не супер-сенсация, но пусть народ почитает и выскажется. ИМХО не все в толксах тусуются.

Acid_Scorpion (04.08.2009 16:21:45)

Re: Проблемы с безопасностью в протоколе SSL

не обязательно root CA, но нужно чтобы пользователь его принял, к тому же исследователями не указано что именно будет отображаться в предупреждении браузера, IM клиенты обычно мало показывают по сертификату, но там и область применения уже

Silvy (04.08.2009 21:19:00)

Re: Проблемы с безопасностью в протоколе SSL

>> и возможность man in the middle атаки
вот с этого и надо начинать...

sda00 (05.08.2009 1:59:52)

Re: Проблемы с безопасностью в протоколе SSL

шаман вновь зааппрувил коллекцию баянов?

Somewho (05.08.2009 10:18:28)

Re: Проблемы с безопасностью в протоколе SSL

господи, молю тебя, убей этих ламерюг, которые не в состоянии отличить слово 'протокол' от 'браузер'! ;-E

заипали, чес слово. афтар, ты сам то читал то, что там написано, а?

// wbr

klalafuda (05.08.2009 10:24:11)

Фамилия переведа неверно.

>Len Sassaman

Не Сассман, а Сассаман, или даже Сазаман.

Camel (05.08.2009 10:25:02)

Re: Проблемы с безопасностью в протоколе SSL

> существует для пользователей браузеров IE и Firefox 3

Два сапога пара. Используйте оперу и таких проблем не будет!

Reset (05.08.2009 10:44:11)

Re: Проблемы с безопасностью в протоколе SSL

FF 3 уже излечен от проблемы \0.

Re: Проблемы с безопасностью в протоколе SSL

> FF 3 уже излечен от проблемы \0.

И давно? Вроде изначально не болеет только 3.5, или я чото п?

Re: Проблемы с безопасностью в протоколе SSL

Решето

Gorthauer (05.08.2009 11:59:58)

Re: Проблемы с безопасностью в протоколе SSL

Согласен. Каким надо быть ,,,,, чтобу, собираясь что-то оплатить через инет, проигнорировать предупреждение браузера о кривом сертификате.

vada (05.08.2009 12:16:14)

Re: Проблемы с безопасностью в протоколе SSL

> Согласен. Каким надо быть ,,,,, чтобу, собираясь что-то оплатить через инет, проигнорировать предупреждение браузера о кривом сертификате.

Дык предупреждения не будет. Браузер пропарсит сертификат, найдет там paypal.com\0.hacksite.com и будет убежден, что этот сертификат валиден и выдан для paypal.com.

Re: Проблемы с безопасностью в протоколе SSL

>>> и возможность man in the middle атаки
> вот с этого и надо начинать...

а что, MiM уже проблема?

val-amart (05.08.2009 13:18:35)

Re: Проблемы с безопасностью в протоколе SSL

А лору как всегда ничего не угрожает, ибо HTTP :-/

af5 (05.08.2009 13:18:56)

Re: Проблемы с безопасностью в протоколе SSL

> просто ряд программ могут быть одурачены символами NULL
null characters - это символы \0, а не строка "NULL".

> подписаный rootCA сертификат
Не обязательно.

> и возможность man in the middle атаки
В локалке это не сложно.

> вообщем как всегда. много шума из ничего...
Хм, ну не факт.

Re: Проблемы с безопасностью в протоколе SSL

> а что, MiM уже проблема?
imho
по обстоятельствам Сударь...

sda00 (05.08.2009 13:28:53)

Re: Проблемы с безопасностью в протоколе SSL

>> FF 3 уже излечен от проблемы \0.

>И давно? Вроде изначально не болеет только 3.5, или я чото п?

Да, 3.5 не болеет с первого же релиза, а 3.0 полечили в 3.0.13.

Re: Проблемы с безопасностью в протоколе SSL

>> подписаный rootCA сертификат

>Не обязательно.

Боюсь что обязательно. Если в цепочке нет рут-сертификата, который подписан trusted СА, то ни один браузер в здравом уме такому сертификату доверять не будет.

Re: Проблемы с безопасностью в протоколе SSL

где технические подробности? зачем эти предупреждения для домохозяек?

Re: Проблемы с безопасностью в протоколе SSL

> Дык предупреждения не будет. Браузер пропарсит сертификат, найдет там paypal.com\0.hacksite.com и будет убежден, что этот сертификат валиден и выдан для paypal.com.

Неправда. Браузер отобразит пользователю, что сертификат от www.paypal.com, но сам будет знать, что сертификат от paypal.com\0.hacksite.com

И вот тут самое интересное. Необходимо, чтобы paypal.com\0.hacksite.com был подписан trusted CA, иначе обязательно будет предупреждение (неизвестный CA) И какой же CA это подпишет?

Фокс реагирует однозначно - покажет страничку, где предупредит пользователя о потенциальной проблеме и заставит его втянуть серт.

А если при проведении платежа есть хоть какое-то сообщение по поводу сертификата - пользоваться системой платежей низзя.

PAL (05.08.2009 14:21:35)

Re: Проблемы с безопасностью в протоколе SSL

ПРОБЛЕМЫ С БЕЗОПАСНОСТЬЮ В ПРОТОКОЛЕ WI-FI

Эксперты Василий Пупкин и Густ Анонимус(Vasya pupkin, Guest Anonimous) обнаружили проблемы с безопасностью в шифровальном протоколе Wi-Fi (Wireless Fidelity, IEEE-802.11), который используется для безопасных соединений в Локальной Сети через воздушное пространство, сообщает ITPoNows.

Эти дыры дают возможность хакерам проникать на подключённые устройства (компьютеры, телефоны, ...) и получать на ними полный контроль, объявили эксперты на проходящей в Лас-Вегасе конференции по компьютерной безопасности Black Hard.

По утверждению экспертов, подобное проникновение подвергшийся атаке пользователь обнаружить не может.

Проблема существует для пользователей Apple iPhone, а также компьютеров, предупреждают специалисты.

mkfifo (05.08.2009 14:35:44)

Re: Проблемы с безопасностью в протоколе SSL

> Эксперты Дан Каминский и Лен Сассман (Dan Kaminsky, Len Sassaman) обнаружили проблемы с безопасностью в шифровальном протоколе SSL (Secure Sockets Layer), который используется для безопасных соединений в Интернете

Каминский как всегда дунул и понёс....
Помниться он а прошлом году писал про свой метод атаки на ДНС, который по его словам мог сложить тучу серверов, в итоге только обещания и остались......

Re: Проблемы с безопасностью в протоколе SSL

>А если при проведении платежа есть хоть какое-то сообщение по поводу сертификата - пользоваться системой платежей низзя.

где-то на webmoney.ru браузер помню, ругался
(судя по http://yandex.ru/yandsearch?rpt=rad&text=www.webmoney.ru%20%D0%B1%D1%80%D...
на https://banking.webmoney.ru/ глюки были, сейчас исправили)

Anonymous (05.08.2009 14:55:42)

Re: Проблемы с безопасностью в протоколе SSL

> Два сапога пара. Используйте оперу и таких проблем не будет!

Могу и оперу надуть

Re: Проблемы с безопасностью в протоколе SSL

>> существует для пользователей браузеров IE и Firefox 3
> Используйте оперу и таких проблем не будет!

Ага, в 9.62 под линухом добавление сертификатов тупо не работает. Потому и проблем нет. А чтоб в WM лайт зайти, приходится фаирфокс запускать.

xintrea (05.08.2009 15:06:57)

Re: Проблемы с безопасностью в протоколе SSL

>>> подписаный rootCA сертификат
>>Не обязательно.
> Боюсь что обязательно.
Думаю, когда речь идёт о man-in-the-middle, то ничего уже
не обязательно. Подписал чем угодно, потом перехватил обращение
к хранилищу и подсунул при проверке липовый корневой сертификат,
и тд.

Re: Проблемы с безопасностью в протоколе SSL

>Два сапога пара. Используйте оперу и таких проблем не будет

оперы нет в списке потому что про нее исследователи даже не догадываются.

r (05.08.2009 15:09:28)

Re: Проблемы с безопасностью в протоколе SSL

>Если в цепочке нет рут-сертификата, который подписан trusted СА, то ни один браузер в здравом уме такому сертификату доверять не будет.

Если он не подписан - бровзер выдаст предупреждение а если подписан, но первый раз - бровзер все равно спросит. Половина юзеров на автомате жимают "ok". Уж не говоря о том что эти диалоги с диалогами про куки рядом лежат.

r (05.08.2009 15:13:25)

Re: Проблемы с безопасностью в протоколе SSL

>А если при проведении платежа есть хоть какое-то сообщение по поводу сертификата - пользоваться системой платежей низзя.

Если сертификат не "accepted permanently" ранее - бровзер всегда показывает предупреждение.

r (05.08.2009 15:15:00)

Re: Проблемы с безопасностью в протоколе SSL

при чем тут SSL?? парсинг сертификатов это одно? SSL - другое, зачем так людей пугать??

programmist (05.08.2009 15:25:06)

Re: Проблемы с безопасностью в протоколе SSL

ЕМНИП в тот раз Каминский как раз нашел уязвимость в DNS, он просто не раскрывал суть уязвимости пока не выпустили обновление.

Re: Проблемы с безопасностью в протоколе SSL

> Каминский как раз нашел уязвимость в DNS, он просто не раскрывал суть уязвимости пока не выпустили обновление.

не а, он просто предположил, реально уязвимость нашел Крис.

Re: Проблемы с безопасностью в протоколе SSL

>Используйте оперу и таких проблем не будет!

Опера - нет интернета, нет проблем!

Re: Проблемы с безопасностью в протоколе SSL

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2408

а вот и CVE для Firefox, уже исправлено кстати в Mercurial и войдет в 3.5.3

Silvy (05.08.2009 18:17:26)

Re: Проблемы с безопасностью в протоколе SSL

> http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2408

> а вот и CVE для Firefox, уже исправлено кстати в Mercurial и войдет в 3.5.3

Странно, а changelog на 3.5.0 и 3.0.13 говорят, что все уже исправлено. Криокамера? Вылезайте!

PS: http://www.mozilla.org/security/announce/2009/mfsa2009-42.html

Re: Проблемы с безопасностью в протоколе SSL

> подписаный rootCA сертификат с NULL (интересно какой CA это подпишет?)

Спроси лучше, что у юзера будет установлено в роли rootCA.

Re: Проблемы с безопасностью в протоколе SSL

Автор и подтвержающий, так вас и так, я от вашего заголовка чуть корпоративный OpenVPN от греха подальше не отключил!

sv75 (05.08.2009 21:53:28)

Re: Проблемы с безопасностью в протоколе SSL

>а вот и CVE для Firefox, уже исправлено кстати в Mercurial и войдет в 3.5.3

Откуда эта чушь про 3.5.3? По ссылке же написано: "Mozilla Firefox before 3.5 and NSS before 3.12.3". С NSS не путаем, ага?

X-Pilot (05.08.2009 22:46:39)

Re: Проблемы с безопасностью в протоколе SSL

> Спроси лучше, что у юзера будет установлено в роли rootCA.

Если троян залез на машину юзера, то все эти криптования до одного места, можно клавиатуру перехватить :D

А если man-in-middle, то root CA не подменить - сертификаты-то лежат в пользовательской системе, соотвественно подделать root CA не получится никак - подпись не пройдет проверку

PAL (05.08.2009 23:11:51)

Re: Проблемы с безопасностью в протоколе SSL

> Если троян залез на машину юзера, то все эти криптования до одного места, можно клавиатуру перехватить

А ещё все в строго обязательном порядке все эти rootCA проверяют после установки системы :) Это такой тонкий, но тяжелый камень в огород пиратов-виндузятников...

Re: Проблемы с безопасностью в протоколе SSL

>Лично я бы рекомендовал повесил эту новость на главную страничку, все-таки не флейм какой-то.

Из погреба вылезай, а? Боянист сельский, блин. Ты что, последний год в погребе от армии прятался?

Led (06.08.2009 0:43:27)

Re: Проблемы с безопасностью в протоколе SSL

Вообще-то, за "хакера" в уничижительном смысле в приличном обществе по репе дают:-D

sinister666 (07.08.2009 0:51:19)