Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

DigiNotar fejlemények

2011.09.06. 15:52 | buherator | 9 komment

Tovább gyűrűzik a DigiNotar ügy, naponta látnak napvilágot újabb és újabb információk az esettel kapcsolatban. 

A szervezet örökre lekerül a Mozilla, a Google és a Microsoft megbízható tanúsítókat gyűjtő listáiról, a példát pedig követte a holland kormány - melynek a DigiNotar hivatalos szállítója volt - és át is vette az irányítást a szervezet felett.

Közben megjelent az incidenssel kapcsolatban egy független biztonsági jelentés előzetes változata. Eszerint 531 tanúsítványt állítottak ki illetéktelenül, a tanúsító összes CA szerverét adminisztrátori szintig törték, és logokat töröltek, melynek eredményeként a DigiNotarnak elképzelése sem lehetett arról, hogy kiknek a nevére generáltak tanúsítványokat. A behatoló június 6-án jutott be a rendszerbe, a DigiNotar július 19-éig mit sem tudott a dologról, és még szeptember 3-án is kiállításra kerültek új tanúsítványok!

És a legjobb: jelentkezett az állítólagos támadó is, aki úgy tűnik, megegyezik a Comodot megtörő hackerrel. Nyílt levele szerint tetteit a muszlimokat ért sérelmek emgbosszulása motiválja, és még négy CA rendszeréhez van hozzáférése. Állításait egy DigiNotartól származó felhasználó/jelszó párossal támasztja alá, ezen kívül az elcsepegtetett technikai részletek (spéci XUDA szkripteket kellett írni az RSA Certificate Managerhez) egybe vágnak a fent említett jelentés megállapításaival. 

 

Címkék: incidens comodo pki diginotar

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

loolek · http://loolek.tumblr.com 2011.09.06. 17:11:08

CN=*.RamzShekaneBozorg.com,SN=PK000229200006593,OU=Sare Toro Ham Mishkanam,L=Tehran,O=Hameye Ramzaro Mishkanam,C=IR

The text here appears to be be an entry like any other but it is infact a calling card from a Farsi speaker. RamzShekaneBozorg.com is not a valid domain as of this writing.

Thanks to an anonymous Farsi speaker, I now understand that the above certificate is actually a comment to anyone who bothers to read between the lines:

"RamzShekaneBozorg" is "great cracker"
"Hameyeh Ramzaro Mishkanam" translates to "I will crack all encryption"
"Sare Toro Ham Mishkanam" translates to "i hate/break your head"

blog.torproject.org/blog/diginotar-damage-disclosure

kino 2011.09.06. 18:47:21

digitálsi terrorizmus, basszus. ez tényleg a 21. század.

Aron bacsi 2011.09.06. 22:16:40

Hehe, Cain&Abel volt a szervereken... ;-) Egyébként nCipher netHSM konfigoláshoz nekem is volt szerencsém: nem egyszerű történet, de állítólag a Thales cucca még mindig jobbak, mint a többieké, azt viszont nehezen hiszem el, hogy minden egyes SSL cert vagy aláíró tanúsítvány létrehozásánál ki-bedugdosgatják az admin kártyákat - ha viszont mindig bent vannak, akkor csak jelszó kell (ami pedig megszerezhető a CA szoftverből) és mehet az aláírás... Még valami: nem tudom, hogy mi fán terem az a XUDA spéci script, de ha már a srácnak volt közvetlen hozzáférése a kulcsokhoz a HSM-ben, akkor miért nem sima OpenSSL-t használt? A 6-8 támogatott engine között talán pont az nCipher a legjobb - chil néven kell meghivatkozni és minden pöccre megy (OpenCA-val gyönyörűen működik).

Bumika 2011.09.06. 23:30:31

@Aron bacsi: ha a netHSM - a hálózati hozzáférhetőség kivételével - ugyanúgy működik, mint szerverbe építhető társa, akkor a CA szolgáltatás indításához van szükség operátori kártyákra, az egyes műveleteket a CA, a passphrase ismeretében már automatikusan hajtja végre. Érdekes kérdés, hogy a tanúsítványkérések generálása hogyan történt, mert ehhez szüksége kellene legyen egy passphrase megadására. Persze egy keylogger sokat lendíthet az ügyön, mindenesetre a "beígért" részletekre nagyon kíváncsi vagyok.

Aron bacsi 2011.09.07. 00:33:49

@Bumika: Igen, tudtommal ugyanaz, csak netHSM-nél egy licensz árában 3 IP-címet is tudsz konfigolni (pl. CA, TSA, OCSP responder). Egyébként én is erre céloztam: ha be van dugva a kártya, akkor "csak" passphrase kell, de ez a passphrase pl. OpenCA esetében plaintext-ként csücsül vmelyik konfig állományban (ha ugyanígy működik az RSA megoldásánál is, akkor csak meg kell keresni az állományt, még keylogger sem kell). És ha már passphrase is van, akkor elég lehet egy OpenSSL cmd is a kulcs- és tanúsítvány-generáláshoz...

loolek · http://loolek.tumblr.com 2011.09.07. 00:36:35

@Aron bacsi: nem tudom, hogy mi fán terem az a XUDA spéci script

Én is kiváncsi lettem, de gyorsban csak ennyit találtam (sok példányban) ->

XUDA (Xcert Universal Database API) is a library that is used and integrated in many PKI products of different vendors like the KEON CA of RSA LABS.

XUDA is an API that enables programmers to develop PKI applications. XUDA is best seen as a toolkit or library of programs that isolates applications from the complexities of PKI. It encapsulates secure database access and strong authentication via public key certificates, andemploys SSL-LDAP to query remote databases using certificates presented during an SSL transaction. XUDA was built to use the cryptography of other vendors. This allows toprovide customers with the cryptography of their choice, including all PKCS#11 compliant smart cards and hardware tokens.

XCert is a privately held company that developed and delivered digital certificate-based products for securing e-business transactions. In February 2001 the company was acquired by RSA Labs.

Ez a cég vételről szól, de azért van benne 'infoleak'

Xcert International Aquisition Agreement FAQ

What are Xcert’s products?

Xcert offers the Sentry product line, which includes the several PKI components, including Sentry CA, Sentry RA, Sentry KRM, WebSentry and XDK. The Sentry CA (certificate authority), Sentry RA (registration authority) and Sentry KRM (key recovery module) will all be incorporated into the new, integrated CA product line

www.rsa.com/go/xcert/faq.html

Végül így már találtam konkrét (HTML-be ágyazott) XUDA szkript példákat is :-)

site:www.rsa.com xuda

These scripts are used to automate the issuance of user certificates.

blueisr_ca.xuda

# This file is used to tell the Multipass Server which CA to speak to for user enrollment
<HTML>
<BODY>
<!-- XUDA BEGIN -->
!PKCS10_Parse( pkcs10input )
[@spk=pkcs10.spk]
[@CA=dbc987b91859aa25c83a26012eca5313]
!Include( "enroll-server/blueisr_lookup_user.xuda" )
<!-- Turn values into name=value pairs -->
<!-- since x-add-spk-req.xuda expects them -->
[@common-name=common-name=[usercn]\n]
[@email-address=email-address=\n]
[@uid=uid=\n]
[@organization-unit=organization-unit=[userou]\n]
[@organization=organization=[cao]\n]
[@street-address=street-address=\n]
[@locality=locality=\n]
[@state-or-province=state-or-province=\n]
[@postal-code=postal-code=\n]
[@country=country=[cac]\n]
[@telephone-number=telephone-number=\n]
[@facsimile-number=facsimile-number=\n]
[@surname=surname=\n]
[@givenname=givenname=\n]
[@clientSerialNumber=clientSerialNumber=\n]
[@fqdn=fqdn=\n]
[@extStr=requestedExtensions=No Extensions\n]
[@proStr=requestedProfile=NoExtensions\n]
!Include( "x-templates/x-add-spk-req.xuda" )
[@TTL=365]
!CASignCertificate( req-id, CA, "LIVE" )
<!-- XUDA END --

www.rsa.com/rsasecured/guides/keonca_pdfs/Blueice_Research_%20Multipass_KCA.pdf

loolek · http://loolek.tumblr.com 2011.09.07. 01:08:20

Ez jobb példa ->

# This file is used to verify a user’s one-time password for certificate registration and also # to tell the Keon CA
which fields are to be used to populate the user’s certificate.

<!-- XUDA BEGIN -->
<!-- LDAP SEARCH (&(objectclass=organizationalperson)(description=[username])) -->
!if organizationalperson.description="NULL"
!GenError(XrcDENIED, "No such user")
!elseif organizationalperson.userpassword!"password"
!GenError(XrcDENIED, "Wrong password")
!else
[@usercn=[organizationalperson.cn]]
[@usersn=[organizationalperson.sn]]
[@userou=[organizationalperson.ou]]
!endif
<!-- LDAP SEARCH (&(objectclass=xuda_ca)(md5=[CA])) -->
!if xuda_ca.md5="NULL"
!GenError(XrcDENIED, "No such CA")
!else
[@cao=[xuda_ca.o]]
[@cac=[xuda_ca.c]]
!endif
<!-- XUDA END -->

TrueY · http://qltura.blog.hu 2011.09.07. 15:11:23

Nálunk bezzeg teherautóval tépik ki a bankautomatákat a falból. Teknika rulez!

Aron bacsi 2011.09.07. 23:06:15

pastebin.com/85WV10EL

A DigiNotar-nál valóban minden automatizált lehetett, legalábbis a GlobalSign és StartCom pontosan azért úszta meg, mert "lucky Eddy (CEO) was sitting behind HSM and was doing manual verification".

Az aláírt Windows Update csomag is nagy fun lehet... :D