Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Megszólalt a Comodo hacker

2011.03.27. 21:51 | buherator | 13 komment

Még mindig kétségek között hánykolódom az állítólagos Comodo hacker üzenetét illetően, pedig már egy hamisított Mozilla tanúsítványt és privát kulcsokat is prezentáltak a hitelességét alátámasztandó. Ha fogadnom kéne, most arra tennék, hogy az üzenet a valóságot írja le, és valóban egy 21 éves iráni srác kezdett magának tanúsítványokat gyártani a legnagyobb webes szolgáltatásokhoz, így viszont súlyos következtetéseket kell levonni.

Mert a világrengető PWN-ért járó összes kredit mellett sem szabadna komolyan venni valakit, aki az interneten hirdeti, hogy márpedig meg fogja törni az RSA-t, mikor jól láthatóan távolról sincs fogalma a probléma természetéről. Ha ilyesvalaki egyedül tanúsítványt tud generálni egy világméretű CA nevében, akkor k*rva nagy probléma van! És a leírás szerint valóban nem kellett vért izzadni: itt is volt valami webes hiba, a webszerveren meg egy DLL-be forgatott jelszó, amivel gyakorlatilag további korlátozás nélkül lehetett aláírogatni. Igen, úgy tűnik ennyit ér egy hétpecsétes CA védelme.

Persze nem ez az egyetlen magyarázat. Lehet, hogy valamelyik nagyhatalom kiberalakulata hónapok tervezése után hajtotta végre a sebészi pontosságú akciót, a mostani üzengetés pedig csak egyszerű elterelés. Persze ettől még a fent említett faék bonyolultságú támadási vektorok érvényben maradnak, és a professzionális kivitelezés ellen szól az is, hogy a támadók viszonylag hamar lebuktak.

Akárhogy is van, Z-nek igaza volt: senkiháziak kezében van az IT-biztonsági szakma.

Éppen a posztom végére értem, mikor megjelent egy interjú a sráccal az Errata Security blogján

Friss: Dr. Berta István Zsolt egy másik nézőpontját emeli ki a történetnek, érdemes elolvasni.

Címkék: gondolat comodo pki

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

synapse · http://www.synsecblog.com 2011.03.29. 15:42:10

Leszarjak a security cegek a security-t. Ennyi tortenik.

|Z| 2011.03.30. 14:46:25

És nagy meglepetésre SQL injection-el kezdődött ez a támadás is :)

|Z| 2011.03.30. 15:33:31

@synapse: mindaddig amíg egy hack nem fáj nagyon egy cégnek, addig nem érdekli őket, amikor meg már nagyon fáj akkor lehúzhatják a rolót. Más kárából meg senki sem tanul. Egyszerű mint az 1*1.

_2501 2011.03.30. 16:52:23

@synapse: nem csak a security cégek, általában minden cég fogalmatlan. ha valami policy kötelezi őket akkor muszáj megcsináltatni a tesztelést de ezen felül a felső vezetés általában véve ballisztikus ívben leszarja. ha para van akkor az IT részlegen fog csattanni. a security cégek nagyrészt a pénzre mennek, mert van benne pénz, mély tisztelet a kivételnek. kifejezetten IT piacból élő cégek se nagyon foglalkoznak a témával, akik meg más területen mozognak de van it-juk (márpedig van) azok meg azt se tudják hogy erre figyelni kéne.

az a baj hogy a security-t el kell adni, ahelyett hogy alapvető igénye lenne rá a cégeknek... azt hogy mi az igény vagy mire költenek azt pedig fent döntik el. felső vezetéssel nem lehet úgy tárgyalni hogy "sql injekt van az oldaladon" mert nem tudja azt hogy az miért jó... :D fent azt fogják mérlegelni hogy mennyi belőle a haszon, márpedig ez nem olyan ami hasznot hoz, viszont ha para van akkor eső után köpönyeg, és a jobbik eset az ha csak a vállalat imidzse bánja. rosszabbik eset ha kénytelen kivonulni a piacról, csődbe megy, esetleg felvásárolják bagóért.

buherator · http://buhera.blog.hu 2011.03.30. 17:06:14

Mire mennék a kedves kommenterek nélkül, szívemből beszéltek :)

Kis adalék a történethez, hogy a Comodo elismert még két resellert ért incidenst, a GeoTrust pedig nagylelkű módon ingyenes tanúsítványokat ígér kiemelten a Comodo ügyfeleinek :)

groups.google.com/group/mozilla.dev.security.policy/msg/58aacd037258d3e4

www.geotrust.com/ssl/switch-ssl-certificates/index.html

Pas · http://pasthelod.hell-and-heaven.org 2011.03.30. 17:59:57

IRL leginkább az accountability hiányzik. Mert amíg a részvényesek és a CEO által válogatott Board of Directors mind csak áldozatként állítja be azt, akinek a felelőssége lenne figyelni az ilyenekre, addig nem fog semmi változni, hiába jönnek a tanulmányok, hogy évente 2-3 kisebb afrikai ország GDP-jét hakkolják ki lelkes önkéntesek a cégek zsebebecskéiből.
De az ilyenek [ 0x90.freeblog.hu/archives/2011/03/23/Felelossegtenisz/ ] meg egyből mutatják, hogy alapvető menedzsment problémákkal küzd a legtöbb cég. (Ami nem meglepő, hiszen az meg menedzsernek, aki .. és az kerül felülre, aki ...)

synapse · http://www.synsecblog.com 2011.03.31. 12:43:56

@|Z|, @_2501: ezt most komolyan nekem magyarazzatok? XD

Amugy Pas-nak igaza van, elso sorban kulturalisan nincsen rendben egy csomo ceg. Nincs rendesen delegalva az itsec orientalt tevekenysegkor, sok helyen nincs ra eroforras / hozzaertes -> nem is lehet elovenni senkit ha baj van.

Ettol persze az kedves Igazgato Urnak el lehet magyarazni, hogy sqlinjekt. De ha ezeket a szavakat hasznalod fix hogy pislog majd mint hal a szatyorban. Helyette aztmondod hogy az osszes ugyefeled adatat, kododat, cegedet, mindent visznek. Ez mar az o agyaban is felkapcsolja a kislampat, hogy gaz van.

synapse

_2501 2011.03.31. 13:31:31

esés utáni = esés előtti

Tyra3l 2011.04.02. 16:51:55

@_2501: synapse-nak ezzel nem mondtal ujat :)

Tyrael

_2501 2011.04.02. 17:15:27

@Tyra3l: @synapse: valójában nem magyarázok/mondok újat :D a replvel csak jeleztem hogy ehhez a commenthez kívánok hozzászólni. :)