Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

A NULL byte és az SSL tanúsítványok

2009.07.30. 09:38 | buherator | 4 komment

Megkezdődött az idei Black Hat konferencia, melyen szokásosan az IT-biztonsági szakma elmúlt évének minden bizonnyal legnagyobb kaliberű felfedezéseit mutatják be.

A tavalyi hisztéria után Moxie Marlinspkie idén is úgy érezte, hogy lenne feltornászni picit az emberek vérnyomását, ezúttal azonban a hacker olyan felfedezést hozott a batyujában, amitől az én szám is tátva maradt egy pillanatra:

Persze mielőtt bárki is elrohanna lemondani a netbank/paypal/ebay hozzáféréseit, megnyugtatásul közlöm, hogy az SSL még mindig jól érzi magát, egyes kliens oldali megvalósításokon azonban sürgős változtatásokat kell eszközölni! Marlinpsike arra jött rá, hogy ha egy tanúsító szervezetnél beregisztráljuk mondjuk a www.paypal.com\0.gonoszoldal.com-ot, akkor a CA a gonoszoldal.com-nál fog érdeklődni a kérelem érvényessége felől, majd kiadja a tanúsítványt. Amikor azonban egy pl. Firefox böngészőt használó kliens ellátogat egy, a fenti tanúsítvánnyal büszkélkedő weboldalra, a böngésző abbahagyja a tanúsítványhoz tartozó domaint jelölő karakterlánc olvasását az első NULL karakternél, és azt fogja gondolni, hogy a gonoszoldal.com helyett a paypal.com-mal kommuikál! Ugyanez játszódik le akkor is, ha a szemfüles felhasználó a böngészőben kézzel ellenőrzi a tanúsítványt, ugyanis ekkor szintén csak az első NULL-ig terjedő szöveg fog látszani a tanúsítvány tárgyánál.

Ez hatalmas szarvashiba az érintett böngészőgyártók részéről, reméljük, minél hamarabb orvosolják ezt a problémát.

Címkék: firefox blackhat pki moxie marlinspike

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

|Z| 2009.07.30. 10:03:24

3 dolog:
fehér listás input validáció
fehér listás input validáció
fehér listás input validáció

És a CA-kra gondolok elsősorban, nem a böngészőkre...

buherator · http://buhera.blog.hu 2009.07.30. 10:13:55

Hát igen, az a CA is megéri a pénzét, aki nem szúrja ki az ilyen trükközéseket...

Hunger 2009.07.30. 10:18:41

*\0.gonoszoldal.com mégfaszább, így egyből minden hostra érvényes lesz a tanúsítvány. Ezt se tudom hogy a fenébe engedhetik a böngészők, hogy létezhessen olyan tanúsítvány, amely minden oldalra valid...

A cert revocation frissítések és böngésző frissítések megakadályozásával ez eléggé ütős fegyver lehet. Gondolom moxie ezúttal is megszivatta a Tor hálozaton keresztül netező "security experteket". ;)

|Z| 2009.07.30. 17:49:48

Még 2 apróság eszembe jutott:
1. Amikor a playstation clusterrel, rengeteg trükkel és ésszel megcsináltak az md5 hash collision-ös érvényes tanusítványt, most mennyire foghatják a fejüket, hogy vazze, egy \0 elég lett volna :-) ettől fügetlenül persze ugyanolyan szép hack volt.

2. Kíváncsi leszek, hogy az összes CA, aki ilyen \0-kat kiadott már, vajon mennyire nézi vissza ezen tanúsítványokat és ad ki CRL-ket. Szerintem itt is a szokásos minőséget várhatjuk az ipartól...