Falske Google-certifikater misbruges til hackerangreb

Er det ikke snart på tide at vi både dropper tilliden til at vi kan fikse CA systemet ved at black-liste certifikater efter nogen indser at de er blevet kompromiteret?

Er det ikke snart på tide at vi tager os samme til for alvor at øge sikkerheden i CA-systemet?

Er det ikke på tide med lidt nytænkning, eller i det mindste bare for alvor at få indført DNSSEC og DANE som midlertidige foranstaltninger?

"[til at] lokke folk ind på hjemmesider" - Et uautoriseret certifikat kan vel ikke bruges til at lokke folk ind på en side? Det kan bruges til MitM, men hvordan "lokker" man med det? Og hvis man har mulighed for at lave et MitM angreb, h

"Turktrust, som ellers burde være til at stole på" - Eller burde de? Hvorfor burde man kunne stole på dem? Kom gerne med én grund :-)

"De to certifikater skulle have været almindelige SSL-certifikater, men i stedet blev de første af de to udnyttet til at oprette det falske certifikat." - Så vidt jeg kan læse mig frem til, så var det kun det éne intermediate certifikat som blev brugt til at lave 42 falske "Google" certifiketer (*.android.com, *.google.tld <-- hvor tld er en masse forskellige tld'er).

"Dette rammer alle supporterede udgaver af Microsoft Windows." - Det rammer vel alle OS (det burde det)? Og gad vide hvor hurtige, eller langsomme, Apple er denne gang til at løse det, sidst gang (DigiNotar) var de jo historisk langsomme selvom certifikatet aktivt blev brugt til at spionere.

Yderligere kunne man jo kigge på den smarte "certificate pinning" teknik som Chrome bruger - endnu en gang har den opdaget et angreb (gad vide hvor lang tid der ellers ville være gået, før nogle ville fatte mistanke?)

Her er en spændende video, der meget godt fortæller hvorfor der er brug for et nyt system.
Videoen er ikke helt ny længere, men dog stadig værd at se:
http://www.youtube.com/watch?v=ibF36Yyeehw

It-kriminelle udnytter fejl hos tyrkisk certifikatudsteder til at lokke folk ind på falske Google-domæner. Flere browserproducenter på vej med opdateringer.

Jeg har ikke læst nogle steder andre end Version2 at *.google.com-certificatet skulle være blevet misbrugt. En hurtig Google-søgninger tyder på at det ikke er tilfældet. Hvad er jeres kilde?

TurkTrust siger direkte at

The available data strongly suggests that the *.google.com cert was not issued for dishonest purposes or has not been used for such a purpose.

Jeg vil tro det er fra blog siden de har deres fakta:

Link: http://googleonlinesecurity.blogspot.ca/2013/01/enhancing-digital-certif...

"Late on December 24, Chrome detected and blocked an unauthorized digital certificate for the "*.google.com" domain. We investigated immediately and found the certificate was issued by an intermediate certificate authority (CA) linking back to TURKTRUST, a Turkish certificate authority. Intermediate CA certificates carry the full authority of the CA, so anyone who has one can use it to create a certificate for any website they wish to impersonate.
"

Men artiklen skriver jo

Angrebene skal for eksempel lokke kreditkortoplysninger ud af folk eller installere malware på deres pc'er.

Hvor det tilsyneladende slet ikke er sådan det er gået til.

Det er fordi artiklen er et "skolebogs eksempel" som ikke sker i virkeligheden. Kreditkortoplysninger kan NEMT købes på diverse skumle sider til $5 stykket, mens et rigtigt-"falsk certifikat" er meget mere værd (altså ikke noget man ville ofre på at skaffe CC's).

Sidste gang var det den iranske regering som brugte det (DigiNotar) på at spionere på Gmail brugere.

Selvom Turktrust kommer fra Tyrkiet, så har vi (afaik) ikke fået af vide HVOR de(t) falske certifikat(er) blev brugt. Det er vist blevet ret "populært" at pege på Kina (eller diverse diktaturer), men bemærk at den liste Microsoft har publiceret hverken indeholder [*.]google.ch eller gmail.com.

Så hvis det næsten med garanti ikke er en "normal hacker" og listen ikke passer med hvad et land ville have udstedt, hvem kan det så være? P.t. peger mange beviser mod en Checkpoint Firewall som ved en fejl blev sat op med et intermediate certifikat ( https://groups.google.com/forum/#!msg/mozilla.dev.security.policy/aqn0Zm... ),

Det fremgår ikke klart nok af artiklen. Artiklen skriver jo

Det er de seneste par uger lykkedes it-kriminelle at lokke folk ind på hjemmesider, der giver sig ud for at være Googles, men i virkeligheden bruges til lyssky gerninger som phishing og man in the middle-angreb.

Version2 skriver jo direkte at certifikatet ER blevet brugt til lyssky gerninger. Men det er det ikke - TURKTRUSK siger jo, at det hele var en fejl og det ikke er blevet misbrugt. Hvis det var et skolebogs-eksempel, så skulle Version2 have skrevet "potentielt er" eller "kan være", ikke "er".

Version2 skriver også at der har været "it-kriminelle" som har haft fat i det falske certificat. Det skriver TURKTRUSK jo direkte ikke er tilfældet. Ingen stedet skriver Version2 at de "it-kriminelle" bare er et "skolebogs-eksempel" eller lignende. Jeg kan ikke se hvordan du kan kalde det et "skolebogs-eksempel" hver gang Version2 hiver en udokumenteret påstand ud af den blå luft, og fremlægger den som et fact.

Well, artiklen er tydeligvis forkert (håber ikke du er overrasket, det er bestemt ikke første gang V2 er forkert på den). Men selvom oplysningerne om hvem/hvad er forkerte, så er hele det med at bruge et rigtigt-"falsk certifikat" til at skaffe CC's, stadig et skolebogs eksempel. Du kan finde det skrevet ned i lære bøger mange steder, men det sker ikke i virkeligheden.