Um certificado SSL fraudulentos para "*. google.com" certificado emitido por autoridade holandesa (CA) DigiNotar, possivelmente para o governo iraniano ou seus agentes, desencadeou uma onda de atualizações dos fabricantes de software para parar aplicações confiar na CA. O certificado foi emitido em 10 de Julho de pessoas desconhecidas no Irã.
Especialistas em segurança diversas, tais como Marlinspoke Moxie, confirmou que o certificado SSL veio DigiNotar; uma entrada pastebin detalhou o conteúdo do certificado suspeito, enquanto outro pedia a "sentença de morte na internet", pois o descuido da empresa "pode ter resultado em mortes em Irã ". A Electronic Frontier Foundation, disse em um blog que acredita que os ataques têm sido usados para interceptar as buscas e e-mail privado. Não se sabe quem o certificado foi realmente emitido para e se ou não qualquer outros certificados falsos foram emitidos.
O ataque foi inicialmente observado por usuários do Google Chrome porque Chrome 13 e depois implementa certificado pinagem que garante que o navegador só aceita certificados para Google a partir de uma lista branca de autoridades de certificação; DigiNotar não era um CA na whitelist e usuários do Chrome foram alertados de que algo estava errado com o certificado de que estavam sendo apresentados. Do certificado foi revogado ontem, 29 de agosto, às 16:59 GMT, mas porque muitos navegadores não verificar os certificados revogada por padrão, os vendedores de softwares tiveram que agir para impedir a continuação da exploração do certificado falsos. Também é atualmente desconhecido se outros certificados falsos foram emitidos por DigiNotar, pois os vendedores estão optando por bloquear todos os certificados assinados pela CA.
A Microsoft lançou um aviso de segurança e atualizações para todos os sistemas operacionais suportados Windows - incluindo o Vista SP3, 2008 Server SP2 e Windows 7 SP1 - que revogar a confiança no certificado da CA raiz. Windows XP SP3 e Server 2003 SP2 receberá atualizações separadas como esses sistemas não usar o gerenciado centralmente Microsoft Certificate Trust List.
Mozilla anunciou que está lançando atualizações para o Firefox (3.6.21, 6.0.1, 7, 8 e 9) e Mobile Firefox (6.0.1, 7, 8 e 9), Thunderbird (3.1.13 e 6.0.1) e SeaMonkey (2.3.2), que também irá revogar a confiança no certificado DigiNotar de raiz. Mozilla também lançou instruções sobre como eliminar o Root CA DigiNotar certificado do Firefox manualmente.
O Google também está desativando certificado DigiNotar no Chrome ", enquanto as investigações continuam", embora Chrome detectado o certificado fraudulento. O navegador Chrome foi apenas capaz de fazer isso para subdomínios google.com e se há outros certificados fraudulentos para outros domínios Chrome seria incapaz de detectar a fraude.
Este é o incidente segundo certificado fraudulento este ano: em março, os certificados SSL para addons.mozilla.org, Yahoo, Skype, Google e Microsoft Live foi criado por um intruso em um revendedor Comodo.
Especialistas em segurança diversas, tais como Marlinspoke Moxie, confirmou que o certificado SSL veio DigiNotar; uma entrada pastebin detalhou o conteúdo do certificado suspeito, enquanto outro pedia a "sentença de morte na internet", pois o descuido da empresa "pode ter resultado em mortes em Irã ". A Electronic Frontier Foundation, disse em um blog que acredita que os ataques têm sido usados para interceptar as buscas e e-mail privado. Não se sabe quem o certificado foi realmente emitido para e se ou não qualquer outros certificados falsos foram emitidos.
O ataque foi inicialmente observado por usuários do Google Chrome porque Chrome 13 e depois implementa certificado pinagem que garante que o navegador só aceita certificados para Google a partir de uma lista branca de autoridades de certificação; DigiNotar não era um CA na whitelist e usuários do Chrome foram alertados de que algo estava errado com o certificado de que estavam sendo apresentados. Do certificado foi revogado ontem, 29 de agosto, às 16:59 GMT, mas porque muitos navegadores não verificar os certificados revogada por padrão, os vendedores de softwares tiveram que agir para impedir a continuação da exploração do certificado falsos. Também é atualmente desconhecido se outros certificados falsos foram emitidos por DigiNotar, pois os vendedores estão optando por bloquear todos os certificados assinados pela CA.
A Microsoft lançou um aviso de segurança e atualizações para todos os sistemas operacionais suportados Windows - incluindo o Vista SP3, 2008 Server SP2 e Windows 7 SP1 - que revogar a confiança no certificado da CA raiz. Windows XP SP3 e Server 2003 SP2 receberá atualizações separadas como esses sistemas não usar o gerenciado centralmente Microsoft Certificate Trust List.
Mozilla anunciou que está lançando atualizações para o Firefox (3.6.21, 6.0.1, 7, 8 e 9) e Mobile Firefox (6.0.1, 7, 8 e 9), Thunderbird (3.1.13 e 6.0.1) e SeaMonkey (2.3.2), que também irá revogar a confiança no certificado DigiNotar de raiz. Mozilla também lançou instruções sobre como eliminar o Root CA DigiNotar certificado do Firefox manualmente.
O Google também está desativando certificado DigiNotar no Chrome ", enquanto as investigações continuam", embora Chrome detectado o certificado fraudulento. O navegador Chrome foi apenas capaz de fazer isso para subdomínios google.com e se há outros certificados fraudulentos para outros domínios Chrome seria incapaz de detectar a fraude.
Este é o incidente segundo certificado fraudulento este ano: em março, os certificados SSL para addons.mozilla.org, Yahoo, Skype, Google e Microsoft Live foi criado por um intruso em um revendedor Comodo.
Fonte: H-Online em inglês
0 comentários:
Postar um comentário