Többször is megtörték 2010-ben a Verisign-t

 ( trey | 2012. február 3., péntek - 10:17 )

Több internetes hírforrás is arról számolt be, hogy kiderült, 2010-ben több alkalommal is megtörték az internetóriás Verisign-t. A legaggasztóbb az, hogy az üzemeltetést végző személyzet erről a vállalat vezetését nem tájékoztatta egészen 2011 szeptemberéig. A probléma az, hogy a Verisign pontosan nem tudja, hogy mihez fértek hozzá... A részletek itt.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Hm... ennél kicsit többet gondoltam a VeriSign-tól... :)

na, az ilyen szemelyzetet kell ugy kirugni, hogy mashol se alkalmazzak oket...

Kb egeszen az IT managementig bezarolag...

Hát, ez nagyon nagy befürdés, nem véletlenül lapítanak.

All your SSL cert are belong to us. :)

--
Java apps are nothing more than sophisticated XML-to-exception converters.

Majdnem beszóltam, hogy ideje megtanulni angolul, de aztán inkább mémgyanú okán gugliztam egyet... és tényleg az.

Az 'are belong to' helyes?

Nekem úgy tűnik nem, de ha mégis az lenne, akkor kérek nyelvtani magyarázatot is!

Köszi, most megnyugodtam.

Amolyan 'tik vagytok parasztok' típusú kifejezés.

Azt hittek onkiszolgalo... :)

Ezek szerint az.

Innentől válnak érdekessé olyan kérdések, hogy pl a win8 uefi secure boot módja mi ellen fog tudni védeni, ha ilyenek lehetségesek.

Aki azt gondolja, hogy van a világon olyan rendszer, amit nem lehet kompromittálni, az téved. Ezt nyugodtan elfogadhatjuk alapelvnek. Innentől kezdve csak az a kérdés, hogy van-e olyan ember a világon, akinek megéri, hogy a rendszert feltörje. Ha van, akkor nem az a kérdés, hogy feltörik-e, hanem az, hogy mikor.

--
trey @ gépház

Azért én ebben nem hiszek. Szerintem lehet távolról - a jelenlegi tudás szerint - feltörhetetlen rendszert csinálni, ha szakaszosan minden biztosítasz.
Például csinálsz egy log szervert. Mondjuk menjen soros porton a kommunikáció! Kiveszed a TX ágat a log szerver felől (fekete lyuk lesz).
1. Törd fel a szervert!
2. Szerezd meg a naplókat!
3. Semmisítsd meg a naplókat!

A naplók megszerzése fizikailag lehetetlen. Az adatok megsemmisítése szintén lehetetlen, mert ilyen kis bonyolultságú modul esetén lehet verifikált szoftvert írni. Csak ugye manapság gyorsan mindent összedobnak, kész de hiányosan dokumentált elemekből dolgoznak.. stb.

Ezt persze még lehet fokozni. Például teljes fizikai leválasztással (az egész gép egy Faraday-kalitkában, optikai kapcsolat a levegőben, saját generátor vagy akkumulátor) és még megannyi módon. A lényeg hogy megfelelő anyagi háttér mellett lehetne olyan rendszert csinálni, amit az akkori tudás alapján lehetetlen feltörni (ezt azért mondom, mert például ha egy nyilvános kulcsú titkosító rendszer esetén később rájönnek, hogyan lehet egy több száz jegyű számot két prímnek a szorzatára bontani, akkor az visszamenőleg megtörne).

Ha fizikailag hozzáférsz, akkor persze nagyon nehéz ilyen rendszert csinálni, de ott sem lehetetlen. Vannak olyan titkosító hardverek, amelyek bontásra megsemmisítik a kulcsokat, de ugye itt már lehet trükközni vele (lásd például PC esetén a RAM fizikai megfagyasztását és a kulcs kinyerését).

ja, csak ez baromira életszerűtlen.

Idézet:
Például csinálsz egy log szervert. Mondjuk menjen soros porton a kommunikáció! Kiveszed a TX ágat a log szerver felől (fekete lyuk lesz).

Ööö... honnan veszed észre, hogy megdöglött a logszerver? :)
--
http://wiki.javaforum.hu/display/~auth.gabor/Home

Ööö... honnan veszed észre, hogy megdöglött a logszerver? :)

Nem mindegy? Úgysem lehet információt kinyerni belőle. :)

Nem beszélve arról, hogy a log írás maximális sebessége a sorosport átviteli sebessége lesz. Az egész rendszer a sorosportra fog várni.
Vagy rosszul gondolom?

--
maszili

Ez csak egy példa volt. Gigabitnél lassabb Ethernetnél is kiveheted a TX ágat visszafele (csak egyik switchben be kell állítani a szoftverben fixen a gép MAC-jét az adott portra, valamint ha nem L2-őn, hanem IP szinten megy a kommunikáció, akkor az ARP táblába is kell tenni egy sort).

"1. Törd fel a szervert!"

%s%s%s%s%s%s%s

"2. Szerezd meg a naplókat!"

Megallok az epulet elott, tempest attack kit a kezbe, aztan hadd szoljon.

"3. Semmisítsd meg a naplókat!"

Felveszem a kedvenc kek overallomat, a beteszek a fulem moge egy sarga faziscsavarhuzot, magamhoz veszem a megfelelo szerszamosladat, besetalok, mint aki tudja mit csinal, majd a megfelelo villanydobozban lecserelem a nullat fazisra, es kifele megprobalom nem letudozni az egett szamitogepszagot.

--
"You're NOT paranoid, we really are out to get you!"

Nem tudom, mennyire engednek be adott helyre kék overálban sárga csavarhúzóval a füled mögött, de azt ugye tudod, hogy égett számítógépszag nemigen lesz ettől? :)

Ha rakapcsolsz 2 (nyilvan kulonbozo) fazist? Szerintem jot nem tesz neki. :)

--
"You're NOT paranoid, we really are out to get you!"

...hogy különböző fázisokkal bűvészkedsz... :D

Nem elég élénk a fantáziám.

off

csak dobálóztok itt a f(r)ázisokkal...

én a földre tenném a fázist. mármint bemenőben.

Kevint kéne megkérdezni erről. Mármint nem a szagról.

Eax ezért írtam az ezek ellen való védekezést is:
"Ezt persze még lehet fokozni. Például teljes fizikai leválasztással (az egész gép egy Faraday-kalitkában, optikai kapcsolat a levegőben, saját generátor vagy akkumulátor) és még megannyi módon."

TEMPESTel nem érsz semmit, ha minden árnyékolva van (egyébként megfelelő védelem - például Google bunker - esetén az eszköz közelébe sem juthatsz). Saját generátor, akkumulátor szintén megvéd minden elektromos behatástól. Például csak üzemanyagot töltik mindig újra vagy akkut cserélnek.

Tehát minden csak pénz kérdése. Csak ugye amit itt leírtam, annak a közelében sincsen a valóság, mert mindent a legolcsóbban kell kihozni manapság. Ha csak a század részét megtennék annak, amit lehetne a rendszer biztosításhoz, már nem érné meg senkinek sem feltörni a rendszert. Tökéletes példa erre az űrkutatás. Spórolnak a szakembereken, már nem specializált, hanem sokszor általános industrial grade hardvereket alkalmaznak (majd jól becsomagoljuk alapon), verifikációval nem foglalkoznak, aztán csodálkoznak hogy sorra veszítik el az eszközöket.. De ugyanígy említhetném a mai szoftverfejlesztés gyakorlatát: vegyen gyorsabbnál gyorsabb gépet X GB rammal, mert összetoldoztunk/foltoztunk néhány modult, melyek funkciójának 1%-át sem használjuk ki, de cserébe sok memóriát zabálnak. Ráadásul a dokumentációt sem olvastuk el (vagy nem is létezik), így jönnek majd a bugok. Ja és a végtelen ciklussal a leggyorsabb számítógép sem végez, csak Chuck Norris.

"Tehát minden csak pénz kérdése."

Nem, ez a "gondolsz-e ra" kerdese. Es minden tamadasi formara, amire gondoltal, barmikor hozok 3 masikat, amire meg nem.

--
"You're NOT paranoid, we really are out to get you!"

+1. Pont pénzeken mutattam egy gyöngyszemet kollégámnak, hogy nézdmár mekkora secholet hagyományozott ránk az előző "nem vagyok amatőr" jóember.

Nézi, nézi, és nem érti, hol a hiba, hiszen "SQL inject ellen le van védve".

A kód kb. így nézett ki:

if ($user == 'xxx1') {
  $res = mysql_query("SELECT userid FROM users WHERE username = 'xxx2'");
} else {
  $res = mysql_query("SELECT userid FROM users WHERE username = '".mysql_real_escape_string($user)."' AND password = '".md5($password)."'");
}

(Attól most tekintsünk el, hogy értelmes ember ilyen kódot nem ír.)

----------------
Lvl86 Troll

Ooo... En itthonrol megsutom a gepet egy WGA-val... :)

feltörés vs logtörlés nem ugyanaz a lépés. ha a logot törölni akarod, már feltörted, bent vagy.

Az eddig is lehetett tudni, hogy ebben az egész rendszerben a leggyengébb láncszem az ember maga, még a legbiztonságosabb technológia esetében is. Ilyenkor mindig a Bohr-féle sztori jut eszembe a barométeres magasságméréssel, amikor a legkézenfekvőbb megoldása az volt, hogy odaadja a portásnak a barométert, ha megmondja milyen magas a toronyház.

Nincs elméleti akadálya egy kompromittálhatatlan rendszer megvalósításának, tehát egy ilyen rendszer megvalósításáról ugyanúgy elmondható, hogy kizárólag attól függ, kinek éri meg a befektetett erőforrásokat, van-e olyan, akinek megéri.

Igen, elfelejtettem, hogy itt nagyon sok elméleti szakember van. Az ő kedvükért lehet, hogy bele kellett volna írnom, hogy a realitások talaján maradva.

--
trey @ gépház

Ez a verisign probléma legalább olyan rázós ügy, mintha 100eft-t leemelnének tízezer magyar bankszámlájáról.

Vannak dolgok, amiknek nem szabad megtörténnie. Ha mégis megesik, könnyen előfordulhat, hogy nem fogadják el többé a Verisign tanúsítványokat, mert nem megbízhatóak.

A cégnek meg ebben az esetben annyi, éppen ezért logikus, hogy kussoltak.

Idézet:
Vannak dolgok, amiknek nem szabad megtörténnie. Ha mégis megesik, könnyen előfordulhat, hogy nem fogadják el többé a Verisign tanúsítványokat, mert nem megbízhatóak.

2010-ben a Verisign eladta ezt az üzletágát a márkanévvel együtt, szóval nem annyira probléma ez most. Igaz, a Symantec-nek adta el, szóval csöbörből vödörbe, de akkor is... :)
--
http://wiki.javaforum.hu/display/~auth.gabor/Home

Ez az a Symantec? :))

--
trey @ gépház

Na ná!
A Verisign-tól került ki a kód. ;)

Kompromitálhatatlan rendszer csak úgy készülhet mint a piramisok... A végén a készítőket meg kellene etetni a krokodilokkal... Ez meg ma nem bevállalható.
- - - - - - - - - - - - - - - - - - - - - - - - - - - -
- - -> Kérjük a humoros aláírást itt elhelyezni. <- - -

Nini.. Megszületett a sourceforge utódja? :)
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

versike vonalon mozogva:

certforge.net
trust it? nyet.
verisuck.

bocs.

Made my day :)
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..