Login Form
IPv6 Ready
Εμφάνιση 1-14 από 14
  1. #1
    Εγγραφή
    21-09-2003
    Μηνύματα
    71.121
    Downloads
    217
    Uploads
    48
    Άρθρα
    6
    Τύπος
    VDSL2
    Ταχύτητα
    30/3
    ISP
    Wind
    Router
    Techicolor
    SNR / Attn
    6(dB) / 13(dB)
    Path Level
    Interleaved
    Security_new
    Τουλάχιστον 23 χιλιάδες TLS πιστοποιητικά της Βρετανικής Trustico που τα μεταπωλεί από την DigiCert, ανακαλούνται άμεσα, μετά την αποστολή των ιδιωτικών τους κλειδιών με email από τον CEO της Trustico.

    Η DigiCert που ανέλαβε την διαχείριση των πιστοποιητικών της Symantec -μετά την κατακραυγή της τελευταίας για κακή ασφάλεια- είχε ενημερωθεί από την Trustico πως 50.000 πιστοποιητικά της Symantec, πρέπει να ανακληθούν λόγω πιθανών προβλημάτων ασφαλείας. Όταν ζητήθηκαν αποδείξεις για την πιθανή παραβίαση τους, ο CEO έστειλε με plain email, τα 23 χιλιάδες κλειδιά τους.

    The email was sent on Tuesday by the CEO of Trustico, a UK-based reseller of TLS certificates issued by the browser-trusted certificate authorities Comodo and, until recently, Symantec. It was sent to Jeremy Rowley, an executive vice president at DigiCert, a certificate authority that acquired Symantec's certificate issuance business after Symantec was caught flouting binding industry rules, prompting Google to distrust Symantec certificates in its Chrome browser. In communications earlier this month, Trustico notified DigiCert that 50,000 Symantec-issued certificates Trustico had resold should be mass revoked because of security concerns.

    When Rowley asked for proof the certificates were compromised, the Trustico CEO emailed the private keys of 23,000 certificates, according to an account posted to a Mozilla security policy forum. The report produced a collective gasp among many security practitioners who said it demonstrated a shockingly cavalier treatment of the digital certificates that form one of the most basic foundations of website security.
    Λίγες ώρες μετά την αποκάλυψη, το site της Trustico βγήκε offline, μετά την δημσίευση από ερευνητή, ενός κρίσιμου κενού ασφαλείας, που επέτρεπε την εκτέλεση απομακρυσμένου κώδικα με δικαιώματα root.

    Πηγή : Arstechnica

  2. #2
    Εγγραφή
    06-05-2006
    Ηλικία
    38
    Μηνύματα
    1.029
    Downloads
    2
    Uploads
    0
    Τύπος
    VDSL2
    Ταχύτητα
    30720/2560
    ISP
    OTE
    DSLAM
    ΟΤΕ - ΧΑΛΑΝΔΡΙ
    Router
    SpeedportEntry 2i
    SNR / Attn
    25(dB) / 9(dB)
    Βρε τον άμπαλο τον CEO Είναι πραγματικά για γέλια και για κλάματα μαζί

  3. #3
    Εγγραφή
    01-07-2003
    Περιοχή
    Θεσσαλλλλονίκη
    Μηνύματα
    61.839
    Downloads
    39
    Uploads
    14
    Τύπος
    Cable
    Ταχύτητα
    40000/4000
    ISP
    HCN - OTE
    DSLAM
    ΟΤΕ - ΡΟΣΤΑΝ
    Router
    asus,vigor
    SNR / Attn
    11.5(dB) / 30.5(dB)
    Path Level
    Interleaved
    Τουλάχιστον χωρίς ssl/tls ξέρεις οτι είσαι γυμνός στα αγγούρια.
    επιχειρήματα 4ου τύπου

  4. #4
    Εγγραφή
    16-07-2004
    Περιοχή
    Θεσσαλονίκη
    Ηλικία
    50
    Μηνύματα
    1.643
    Downloads
    0
    Uploads
    0
    Τύπος
    PSTN
    Ταχύτητα
    20480/1024
    ISP
    ΟΤΕ Conn-x
    Router
    ZTE w300i
    Path Level
    Interleaved
    Ακόμα και εκ παραδρομής να έγινε, λάθος να έκανε, γκάφα να έκανε..
    το σύστημα αποδεικνύεται τόσο γελοίο...

    ... φαντάσου να έρθει η και τον πιάσει από τα @@...
    άνετα θα δώσει τα πιστοποιητικά και σε αυτή ώστε
    να κάνει MITM η NSA σε οποιοδήποτε πελάτη της.

    Τελικά μάλλον θα εκδίδουμε μόνοι μας τα πιστοποιητικά
    μας... θα τα δίνουμε χέρι με χέρι με τους φίλους μας
    για να μιλάμε χα χα χα
    Όλα τα παιχνίδια android που έχω φτιάξει περιγράφονται και
    κατεβαίνουν από εδώ: https://sites.google.com/site/carbonpeoplegames/

  5. #5
    Εγγραφή
    13-11-2011
    Περιοχή
    Χολαργός
    Ηλικία
    32
    Μηνύματα
    868
    Downloads
    1
    Uploads
    0
    Τύπος
    VDSL2
    Ταχύτητα
    24000 / 4500
    ISP
    Wind
    DSLAM
    Wind - ΧΟΛΑΡΓΟΣ
    Path Level
    Interleaved
    Παράθεση Αρχικό μήνυμα από konc Εμφάνιση μηνυμάτων
    Βρε τον άμπαλο τον CEO Είναι πραγματικά για γέλια και για κλάματα μαζί
    Παράθεση Αρχικό μήνυμα από zardoz Εμφάνιση μηνυμάτων
    Ακόμα και εκ παραδρομής να έγινε, λάθος να έκανε, γκάφα να έκανε..
    το σύστημα αποδεικνύεται τόσο γελοίο...
    Βασικά επίτηδες το έκανε σαν "απόδειξη" ότι τα πιστοποιητικά δεν ήταν ασφαλή!

    When Rowley asked for proof the certificates were compromised, the Trustico CEO emailed the private keys of 23,000 certificates

  6. #6
    Εγγραφή
    31-05-2006
    Περιοχή
    Στο σπίτι του Θόδωρα
    Ηλικία
    35
    Μηνύματα
    2.219
    Downloads
    0
    Uploads
    0
    Τύπος
    VDSL2
    Ταχύτητα
    102400/10240
    ISP
    Wind
    DSLAM
    Wind - ΕΡΜΟΥ
    Router
    ASUS DSL-N17U
    SNR / Attn
    11.1(dB) / 4.6(dB)
    Path Level
    Interleaved
    Κι εγώ κάπως έτσι το διαβάζω...
    Δηλαδή πάρτα όλα αυτά σε plaintext, ούτως ή άλλως invalid είναι!
    You thought there would be a funny slogan here.
    You just fell for one of my classical pranks.
    Bazinga

  7. #7
    Εγγραφή
    28-10-2003
    Ηλικία
    40
    Μηνύματα
    3.838
    Downloads
    2
    Uploads
    0
    ISP
    Net One
    Τι σημαινει αποστολη των ιδιωτικων κλειδιων; Υποτιθεται οτι το private key του πελατη δεν το εχει ποτε ο server.

  8. #8
    Εγγραφή
    26-09-2003
    Μηνύματα
    17.091
    Downloads
    9
    Uploads
    0
    Τύπος
    ADSL2+
    Ταχύτητα
    15/1 Mbps
    ISP
    Cosmote
    SNR / Attn
    9(dB) / 23(dB)
    Path Level
    Interleaved
    Ανακοινώσεις και από τις δύο πλευρές:
    https://www.trustico.com/news/2018/s...eplacement.php
    https://www.digicert.com/blog/digice...te-revocation/

    Παράθεση Αρχικό μήνυμα από turboirc Εμφάνιση μηνυμάτων
    Τι σημαινει αποστολη των ιδιωτικων κλειδιων; Υποτιθεται οτι το private key του πελατη δεν το εχει ποτε ο server.
    Όπως λέει η 1η ανακοίνωση, τα κάνουν generate σε web form.
    "Trustico® allows customers to generate a Certificate Signing Request and Private Key during the ordering process. These Private Keys are stored in cold storage, for the purpose of revocation."

  9. #9
    Εγγραφή
    28-10-2003
    Ηλικία
    40
    Μηνύματα
    3.838
    Downloads
    2
    Uploads
    0
    ISP
    Net One
    Cold storage ειναι επιστημονικα η καταψυξη;

  10. #10
    Εγγραφή
    07-11-2005
    Περιοχή
    /dev/null
    Ηλικία
    36
    Μηνύματα
    1.598
    Downloads
    5
    Uploads
    0
    Ταχύτητα
    20480/1024
    ISP
    Forthnet
    DSLAM
    ΟΤΕ - ΠΑΤΗΣΙΑ
    Router
    OpenBSD -stable
    SNR / Attn
    6(dB) / 12(dB)
    Παράθεση Αρχικό μήνυμα από turboirc Εμφάνιση μηνυμάτων
    Τι σημαινει αποστολη των ιδιωτικων κλειδιων; Υποτιθεται οτι το private key του πελατη δεν το εχει ποτε ο server.
    Παράθεση Αρχικό μήνυμα από psyxakias Εμφάνιση μηνυμάτων
    Όπως λέει η 1η ανακοίνωση, τα κάνουν generate σε web form.
    Οι μόνοι που τη γλύτωσαν, ήταν αυτοί που τα είχαν κάνει generate μόνοι τους και upload το public.

    Web form.... για certificate generation.
    Richard Stallman: "I see you are being your usual friendly self ;-}."
    Theo de Raadt: "Yes, and you are being the usual slimy hypocritical asshole."

  11. #11
    Εγγραφή
    26-09-2003
    Μηνύματα
    17.091
    Downloads
    9
    Uploads
    0
    Τύπος
    ADSL2+
    Ταχύτητα
    15/1 Mbps
    ISP
    Cosmote
    SNR / Attn
    9(dB) / 23(dB)
    Path Level
    Interleaved
    Ουσιαστικά ένα μαζικό SSL cert migration πήγε να κάνει ένας reseller σε άλλον CA, αντιστάθηκε καλώς ή κακώς ο τωρινός CA... και ξέφυγε η κατάσταση.

    Η Trustico ήθελε να μεταφέρει αλλού 50K certs πελατών (με την άδειά τους?) ζητώντας μαζικό revoke από την Digicert, η Digicert αρνήθηκε να δεχτεί μαζικά revokes -που συνήθως δέχεται μεμονωμένα- με αιτιολογία (ή πρόσχημα?) ότι θα επηρεαστούν πολλά sites εκτός βέβαια αν είναι παραβιασμένα (οπότε είναι υποχρεωμένοι να το κάνουν άμεσα), η Trustico τους είπε ΟΚ τότε είναι παραβιασμένα (για να τους αναγκάσει), η Digicert ζήτησε αποδείξεις γιατί δε το πίστεψε (προφανώς κατάλαβαν ότι απλά θέλουν να πάνε σε άλλο CA) και η Trustico τους έστειλε τα private keys με plain-text e-mail που είχε κρατήσει από το order form (!) για να κάνει μεμονωμένα revokes.

    - - - Updated - - -

    Και δημόσια η "διαμάχη" τους (χωρίς την ξύλινη γλώσσα των ανακοινώσεων): https://groups.google.com/forum/#!to...cy/wxX4Yv0E3Mk

    - - - Updated - - -

    Εκτός και αν υπήρξε όντως διαρροή από το generation tool που έσωζαν τα κλειδιά και δεν ήθελαν να το παραδεχτούν ευθέως.
    Τελευταία επεξεργασία από το μέλος psyxakias : 02-03-18 στις 19:52.

  12. #12
    Εγγραφή
    29-11-2007
    Μηνύματα
    824
    Downloads
    4
    Uploads
    0
    Τύπος
    ADSL2+
    Ταχύτητα
    16.403/1.020
    ISP
    Forthnet
    DSLAM
    Forthnet - ΚΟΜΟΤΗΝΗ
    Router
    Tomson tg585 v8 8.2.7.8
    SNR / Attn
    6(dB) / 22,5(dB)
    Παράθεση Αρχικό μήνυμα από psyxakias Εμφάνιση μηνυμάτων
    Όπως λέει η 1η ανακοίνωση, τα κάνουν generate σε web form.
    "Trustico® allows customers to generate a Certificate Signing Request and Private Key during the ordering process. These Private Keys are stored in cold storage, for the purpose of revocation."
    και γιατί χρειάζεται φύλαξη του Private key για revocation?!? Τι είναι αυτά; Καινούρια ήθη; Το CA το public πιστοποιεί και δεν έχει καμιά δουλειά να "φυλάει" το private (που ούτε να το παράγει δε χρειάζεται ανάλογα την περίπτωση) στην.. κατάψυξη..

    Όσο για το CO.. Της δουλειάς και αυτός.. Από παιδί στο security (αλεξιπτωτιστής μανατζαραίος βύσμα στο ΔΣ ). Άκου έστειλε τα μυστικά κλειδιά ως "απόδειξη" σε δεν έχει σημασία τι...
    There is nothing like 127.0.0.1

  13. #13
    Εγγραφή
    14-11-2003
    Περιοχή
    At Milliways, the Restaurant at the End of the Universe
    Ηλικία
    39
    Μηνύματα
    2.549
    Downloads
    96
    Uploads
    0
    Τύπος
    VDSL2
    Ταχύτητα
    50000/5000
    ISP
    ΟΤΕ Conn-x
    Router
    OpenWRT (WNDR3700v2)
    Πάλι καλά που δεν τα έβαλε στο pastebin
    See first, think later, then test. But always see first. Otherwise you will only see what you were expecting. Most scientists forget that. - Douglas Adams
    There's no right, there's no wrong, there's only popular opinion. - Jeffrey Goines (12 Monkeys)


  14. #14
    Εγγραφή
    30-09-2005
    Ηλικία
    42
    Μηνύματα
    5.573
    Downloads
    6
    Uploads
    0
    Παράθεση Αρχικό μήνυμα από nnn Εμφάνιση μηνυμάτων
    Τουλάχιστον 23 χιλιάδες TLS πιστοποιητικά της Βρετανικής Trustico που τα μεταπωλεί από την DigiCert, ανακαλούνται άμεσα, μετά την αποστολή των ιδιωτικών τους κλειδιών με email από τον CEO της Trustico.

    CEO εταιρίας ασφάλειας.
    Να τον φέρουμε στην Ελλάδα να τον κάνουμε πρωθυπουργό.
    If the facts don't fit the theory, change the facts.
    Albert Einstein


Παρόμοια Θέματα

  1. Μηνύματα: 28
    Τελευταίο Μήνυμα: 24-01-18, 13:28
  2. Μηνύματα: 10
    Τελευταίο Μήνυμα: 06-08-17, 23:01
  3. Μηνύματα: 0
    Τελευταίο Μήνυμα: 17-07-17, 09:24
  4. Μηνύματα: 23
    Τελευταίο Μήνυμα: 26-06-17, 23:22
  5. Μηνύματα: 118
    Τελευταίο Μήνυμα: 25-05-17, 18:17

Tags για αυτό το Θέμα

Bookmarks

Bookmarks

Δικαιώματα - Επιλογές

  • Δεν μπορείτε να δημοσιεύσετε νέα θέματα
  • Δεν μπορείτε να δημοσιεύσετε νέα μηνύματα
  • Δεν μπορείτε να αναρτήσετε συνημμένα
  • Δεν μπορείτε να επεξεργαστείτε τα μηνύματα σας
  •  
  • Τα BB code είναι σε λειτουργία
  • Τα Smilies είναι σε λειτουργία
  • Το [IMG] είναι σε λειτουργία
  • Το [VIDEO] είναι σε λειτουργία
  • Το HTML είναι εκτός λειτουργίας