Comodo - skompromitowano 9 certyfikatów

[andrzej76]

Ej chwilka Panowie,mój test z linków od Tommego504,czy ktoś tu wątpi w jego linki a moje testy? W tym momencie mnie obrażacie i Tommego, a to się nie robi zabawne, bo wkładam w to pracę,i twierdzę jednoznacznie czy komuś się to podoba czy nie, bo ja testuję a Wy - to nie wiem i nie wnikam, po pierwsz primo - Norton jest bardzo słabym oprogramowaniem bez Sonara-bez dwóch zdań , z Sonarem na paczkach malware - średniak, za to na linkach-bardzo dobry i wymiata, i nie pisać mi tu dupereli, że coś tam coś tam,bo wiem to po testach , po drugie primo - Meir, poproszę od Ciebie linki z malware do testu Nortona- jak masz lepsze od Tommego oczywiście, po trzecie primo - czekam na Twój test Nortona , obojętnie jaki.

Edit; nie bawi mnie Twoje podejście co do mojej osoby, nie jesteśmy w przedszkolu, jak piszesz sam - szacunku trochę, do mojej pracy,i osoby, bo niektóre testy robiłem specjalnie z myślą o Tobie- co zapomniałeś już, i nie patrzę kto dłużej stażem na forum lub krócej,może niektórzy myślą takimi kategoriami i ignorują pracę innych userów na forum.Warto się zastanowić nad kolejnymi testami,może nie warto bo po co.

edit; Każdy ma prawo do swojego zdania, nie trzeba od razu naśmiewać się czy atakować, używasz Nortona- ok , niech Ci służy, ja używam Eseta- co jestem gorszy od Ciebie,używając NIS nie jesteś pępkiem świata- nie zapominaj i wyluzuj.

[Meir]

Nie ma się co denerwować Andrzejek..pisząc o : "nie podawanie linków do Ciebie" miałem na myśli,że nie jesteś : Wyrocznią...ot wszystko
Nie bardzo rozumiem o jakim : szacunku i podejściu do swojej osoby piszesz ? Chyba jesteś za bardzo przewrażliwiony
Masz prawo do subiektywnej oceny Nortona tak samo jak i ja...a testów poszukaj sobie w necie jest ich pełno.

[andrzej76]

To pisz bardziej zrozumiale, bo mnie denerwujesz po nocy,zawsze musisz używać tych swoich pokrętnych magicznych słówek?

edit; wtedy Cię nie kumam.A co do szacunku to chodzi o to że sam mi niedawno pisałeś,że Port to.......i żebym się zachowywałz szacunkiem do niego,pamiętasz ten post? Więc proszę o to samo , mimo że jestem tu o wiele krócej.

[Meir]

To pisz bardziej zrozumiale, bo mnie denerwujesz po nocy,zawsze musisz używać tych swoich pokrętnych magicznych słówek?

ok.będę się starał pisać bardziej zrozumiale i z należytym szacunkiem.

[Piotrex44]

Co do NIS to Meir wez potestuj i zobacz co ten twój sonar potrafi..całe g... miałem nortona ok.2 lat pod końcem użytkowania katowałem go ze 3 dni na uruchamianiu malware,linkach mimo uruchamiania mniej znajdywał niż wiekszość programów AV i dlatego tak twierdze bo Sprawdziłem tododatkowo nasz tester AV może potwierdzić że licencję na NIS mu oddałem..jeśli Meir tak twierdzisz że CIS jest gorszy niż NIS to napisz jaki test wykonałeś?? wszyscy jesteśmy ciekawi..Według mnie NIS polotu nie ma przy darmowym CIS i Avast..nie wierzysz Meir?? jeśli tak to sprawdż..
sory za offtop

[andrzej76]

Dobra, nie było tematu, przeszło mi,spoko, a między nami teraz test szarpię na 12000 malware.
Już bez nerwów.

[Meir]

Co do NIS to Meir wez potestuj i zobacz co ten twój sonar potrafi..całe g... miałem nortona ok.2 lat pod końcem użytkowania katowałem go ze 3 dni na uruchamianiu malware,linkach mimo uruchamiania mniej znajdywał niż wiekszość programów AV i dlatego tak twierdze bo Sprawdziłem tododatkowo nasz tester AV może potwierdzić że licencję na NIS mu oddałem..jeśli Meir tak twierdzisz że CIS jest gorszy niż NIS to napisz jaki test wykonałeś?? wszyscy jesteśmy ciekawi..Według mnie NIS polotu nie ma przy darmowym CIS i Avast..nie wierzysz Meir?? jeśli tak to sprawdż..
sory za offtop

Piotruś...nie próbuj uszczęśliwiać mnie na siłę
Poza tym antyvirek jest u mnie tylko dodatkiem do HIPSA więc wybieram taki który jest najlżejszy i w miarę skuteczny...i NIS w 100% spełnia moje wymagania

[ichito]

Panowie do rzeczy...nie mówimy o skuteczności Nortona, Kasperskyego czy Comodo jako pakietów...to tak dla przypomnienia
Poza tym certyfikaty jako zaufane mogą zostać zaimplementowane do oprogramowania rogue i tym samym ominą przeglądarki. Wystarczy, że z programu masz opcję logowania do popularnego serwisu czy poczty w celu jego rejestracji. Myślisz, że wszystko w porządku, certyfikat jest akceptowany...a tu kupa i masz problem. Co prawda Microsoft wypuścił aktualizację do Windowsów, ale o ile się orientuję nie ma jej jeszcze w poprawkach automatycznych, a i spora część użytkowników nie dba o aktualizacje systemów czy nawet wręcz je wyłącza. Wydaje mi się, że problem może powrócić, tylko że w innej postaci. Zresztą, jak piszą w linkowanym artykule na podstawie sfałszowanych certyfikatów stworzono nowe konta i niespecjalnie bym liczył na niską inteligencję atakującego:
"In their incident response, Comodo reports the attacker used the compromised account to create a new account from which the fraudulent certificates were approved.
Perhaps if the attacker had been more covert , avoiding the user creation and separating the high-profile certificate request approvals by a longer time frame, the compromise may have gone unnoticed with far more drastic consequences .
In no way is this an easy problem to solve. Software has vulnerabilities; systems get broken into; malicious insiders aid and abet."
--------------------
edit:
A tu jeszcze jakby dwa podsumowania "zamieszania" wokół certyfikatów Comodo:
" * Too many entities have CA powers : As the SSL Observatory project helped demonstrate, there are thousands of entities in the world that have the ability to issue certificates. Some of these are trusted directly by browsers, and others inherit their authority. We don''t even know who many of them are, because such delegation of authority -- either via "subordinate certificates" or via "reseller authorities" -- is not publicly disclosed. The more of these entities exist, the more vulnerabilities exist.
* T he current system does not limit damage : Any entity that can issue a certificate can issue a certificate for any domain in the world. That means that a vulnerability at one point is a vulnerability for all.
* Governments are a threat : All the major web browsers currently trust many government agencies as Certificate Authorities. This often includes places like Tunisia, Turkey, UAE, and China, which some argue are jurisdictions hostile to free speech. Hardware products exist and are marketed explicitly for government surveillance via a "man in the middle" attack.
* Comodo in particular has a bad track record with their RA program : The structure of "Reseller Authorities" has led to poor or nonexistant validation in the past, but Mozilla and the other browsers have so far refused to take any action to remove Comodo or put them on probation.
* We need to step up efforts on a fix : Obviously the current state of affairs is not ideal. As Appelbaum notes, efforts like DANE, CAA, HASTLS, and Monkeysphere deserve our attention. "

[Aby zobaczyć linki, zarejestruj się tutaj]

wśród nich podsumowanie Jacoba Appelbauma - odkrywcy całej afery
"Comodo has further failed by:

* Failing to produce further information about those certificates
* Selective disclosure to "principal browsers and domain owners"
* Failing to disclose what sub-CA/intermediate root actually did the signing
* Believing that the attacker must control DNS for these attacks to succeed
* Waiting eight days(podkreślenie autora) to disclose evidence of a specific targeted attack

I believe that the browsers, such as Mozilla, are doing the best that they can in some ways but the lack of immediate full disclosure is a major failure."

[Aby zobaczyć linki, zarejestruj się tutaj]

A ja to podsumuję wypowiedzią z Wildersów z wątku w tym samym temacie...tłumaczenie wolne

Świat nie byłby tak zabawny bez Comodo
----------------------
edit 2:
temat wciąż mi nie wychodzi z głowy i zacząłem myśleć o tym z nieco innej strony...przecież skompromitowane certyfikaty dotyczyły największych chyba obecnie platform komunikacyjnych...Google, Yahoo, Skype, Mozilla...i siłą rzeczy mogło mieć wpływ i prawdopodobnie miało na to wszystko, co w ciągu tych kilku dnie się na świecie działo. Nie bez powodu padło gdzieś określenie tych kilku dni jako "czarnej dziury w rzeczywistości" , bo co z tego że Comodo zablokowało te certyfikaty, jak w ogólnym zamieszaniu jakie teraz na świecie jest przez kilka dni niczego nieświadomi użytkownicy używali internetu, komunikowali sięmiędzy sobą, używali poczty, skypa, komunikatorów. Pamiętać należy, że ślady tych certyfikatów prowadzą wg oficjalnych informacji do jednego z resellerów z regionu Europy południowo-wschodniej, a cóż tam mamy jak nie rewolucyjne zmiany w basenie Morza Śródziemnego, konflikty polityczne, gospodarcze...upadek państw, hegemonii, społeczne wrzenie...reakcję militarną Europy i USA...ruchawki w ugrupowaniach i partiach politycznych i wśród terrorystów...toż takie informacje są najcenniejsze właśnie czyli wszystko to, gdzie w grę wchodzą pieniądze i władza.
Możemy sięgnąć nieco dalej...i mamy kraj z którego podobno pochodził atak czyliIran...co tam się dzieje wiadomo...możemy pojechać jeszcze dalej i mamy Japonię po katastrofalnym trzęsieniu ziemi, gigantyczny kryzys w jej gospodarce, który ma wpływ na gospodarkę całego świata...obok mamy komunistyczną Koreę i Chiny, o których doskonale wiemy, jaki mają stosunek do nieskrępowanego przepływu informacji...w pobliżu zaś Australia i Nowa Zelandia, które wciąż nie mogą się podnieść po naturalnych katastrofach sprzed kilku miesięcy...
Nie są to żadne brednie - tytuły artykułów z tych kilku dni "dziury" mówią wiele
"Skype dla Japonii"
"Nowy typ ataku phishingowego"
"Przestępcy wykorzystują japoński kataklizm"
"Trzęsienie ziemi w Japonii wykorzystywane w black hat SEO"
"Włamanie do RSA może zagrażać bezpieczeństwu tokenów SecurID"
"Botnet Rustock ofiarą Microsoftu"
"Karty kredytowe w niebezpieczeństwie"
"Chiny zaostrzają działania przeciwko internetowym serwisom kartograficznym"
"Google uważa, że chiński rząd ingeruje w działanie jego usługi e-mailowej"
"Użytkownicy Google na celowniku crackerów"
"Julian Assange: Al-Dżazira i WikiLeaks wywołały "jaśminową rewolucję" "
Na koniec cytaty z 2 artykułów na Heise-online.pl (podkreślenia własne)
"Szczególnie interesujące wydają się konkluzje, jakie z całego tego incydentu wyciąga sama firma Comodo: wiele wskazuje na to, że za tym atakiem stoi rząd Iranu, który prawdopodobnie chciał inwigilować struktury komunikacyjne opozycji. Rząd ma kontrolę nad systemem DNS, która sprawia, że takie ataki stają się w ogóle możliwe. Ten atak był wymierzony przede wszystkim w serwery z pocztą i usługami VoIP, a także w sieci społecznościowe. "

[Aby zobaczyć linki, zarejestruj się tutaj]

"Cały ten incydent uświadamia nam po raz kolejny, że idea działania SSL i zaufanie, jakim użytkownicy obdarzają urzędy certyfikujące, opiera się na niepewnych podstawach . Ostatecznie przecież ufamy nawet takim certyfikatom, które zostały wystawione przez ośrodki CA pochodzące z krajów, w jakich ze względów bezpieczeństwa z całą pewnością nie chcielibyśmy nawet spędzić urlopu. I nawet jeśli takie przypadki wychodzą na jaw, to techniki, które miały nas przed tym chronić, nie działają tak, jak należy. Nadszedł czas aby pomyśleć o nowej koncepcji zabezpieczeń– aczkolwiek z całą pewnością nie ma w niej miejsca na tak zwane certyfikaty EV-SSL."

[Aby zobaczyć linki, zarejestruj się tutaj]

Pod koniec jeszcze jeden wątek...podobieństwo do Stuxneta czyli podszywanie się malware pod legalne oprogramowanie. Stuxnet bazował na certyfikacie Realteka a stworzony został pierwotnie do wyszukiwania i przejmowania kontroli nad oprogramowaniem Siemensa w przemysłowych instalacjach...głównie w rafineriach. I właśnie cele gospodarcze mogą być w dużej mierze celem użycia malware ze skompromitowanymi certyfikatami Comodo. Mało kto pamięta, że instalacje IT w zakładach przemysłowych czy korporacjach to jedne z najbardziej podatnych na ataki struktur, a są strefą głęboko ukrytą w cieniu przez swoich właścicieli ze względów gospodarczych i o której mało się mówi i mało wie.

Może ktoś nazwie mnie panikarzem, a cały problem "zamkniętym i nieistniejącym"...padły już tu podobne słowa...ale uważam, że opinia "wszystko już OK" jest trochę jak śpiewanie "nic się nie stało...chłopaki, nic się nie stało!!!" drużynie sportowej po przegranym meczu. Trochę w tym nadziei...trochę naiwnej wiary...trochę w tym obaw, że wszystko się powtórzy.

[morphiusz]

. Nadszedł czas aby pomyśleć o nowej koncepcji zabezpieczeń – aczkolwiek z całą pewnością nie ma w niej miejsca na tak zwane certyfikaty EV-SSL."

Dlatego Comodo wychodzi z DNS CAA.

[Aby zobaczyć linki, zarejestruj się tutaj]

Trzeba się zastanowić czy inny provider takich certyfikatów, chociażby Verisign uchronił się przed tym?
Wszystko wymyślone przez człowieka można złamać, czy to by było zabezpieczenie firmy X czy Y.
Takie są realia, a świat zmierza w złym kierunku jak zauważyłeś bazując na ludzkiej tragedii niejednokrotnie.

[shinjiru]

przecież to oczywiste, że z jednymi zagrożeniami każdy antywirus inaczej sobie radzi [tak pieprze głupoty eh... ]

[ichito]

Krótki powrót do tematu...znalazłem dość obszerny artykuł próbujący na bazie zamieszania z certyfikatami Comodo przeanalizować system certyfikowania. Stawia przy tym kilka pytań (wydaje się retorycznych), na które Comodo udzieliło już odpowiedzi - niestety zbyt niejasnych

[Aby zobaczyć linki, zarejestruj się tutaj]

Poza tym jeszcze news na temat innych niż Windows systemów...jak się okazuje Mac Os i Safari zainteresowane tematem, podają sposoby na sprawdzenie ochrony pod kątem certyfikatów Comodo

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[morphiusz]

[Aby zobaczyć linki, zarejestruj się tutaj]

Ciekawy thirller

[ichito]

Dzięki Morphiusz za linka...kurde...21-letni "mesjasz"..."prorok"..."zbawca"...zdolny...zarozumiały...groźny...wariat? Jego wzmianka o Stuxnecie albo jest kalką wcześniejszych opinii albo faktycznie coś jeszcze będzie na rzeczy z tymi certyfikatami...poza tym ten Iran...sam nie wiem, co myśleć...bo albo to jest prawdziwe i rzeczywiście szaleniec może być niebezpieczny, albo to zwyczajne brednie jakiegoś niedowartościowanego idioty. W każdym razie robi wrażenie.

[morphiusz]

Kolejne

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Jeśli to prawda to budzi to strach jak jeden człowiek może spustoszyć "coś".

[ichito]

No i mamy "wszystko w jednym" na temat "comodohackera" na Niebezpieczniku, poniżej końcowy komentarz z artykułu
"(...)Sytuacja robi się jak w dobrym filmie. Comodo jak na razie milczy; niczego nie potwierdza, niczemu nie zaprzecza. Dowody, które przedstawia 21-latek, wskazują na to, że rzeczywiście może być mocno związany z tym incydentem. Przy okazji dużo (za dużo?) pisze o sobie, zdradzając, że pracuje nad “złamaniem RSA” i że wymyśla superbezpieczne algorytmy. A jakby tego było mało, wygłasza dość radykalny manifest polityczny, popierający reżim w Iranie, podkoloryzowany odwołaniami do HAARP-a, Echelona oraz Stuxnetowego spisku… Zasłona dymna, czy “hacker” grafoman? Wielu zastanawia się, dlaczego działając w pojedynkę, comodohacker wygenerował certyfikaty akurat (i tylko) dla tych, związanych z “bezpieczną” komunikacją domen, a nie np. dla PayPala?"

[Aby zobaczyć linki, zarejestruj się tutaj]

[morphiusz]

Odpowiedź rzekomego atakującego na artykuły typu niebezpiecznik

[Aby zobaczyć linki, zarejestruj się tutaj]

Wpis na blogu comodo :

[Aby zobaczyć linki, zarejestruj się tutaj]

"Although the compromise was detected within hours and the certificates revoked immediately, the attack and the suspected motivation require urgent attention of the entire security field."

"The compromise was promptly reported to the owners of the domains affected and the major browser providers and to the relevant government authorities."

Jak by ktoś mówił, że Comodo nic nie zrobiło.
Ciekawe co u naszego hakera Wymieniłem z nim kilka maili, mówił, że żaden firewall ani program nie potrafi zabezpieczyć przed jego atakami/wirusami.

[ichito]

Morphiusz...ten facet mnie zastanawia coraz bardziej i coraz bardziej budzi obawy...z jednej strony pytanie, jaki hacker zostawia po sobie tak widoczne ślady i to prowadzące do kraju, który ma dość jednoznaczna opinię terrorystycznego? Odpowiedź przeważnie jest prosta - kiedy jest niedouczonym i nieostrożnym hakerem...żeby nie powiedzieć idiotą...z drugiej strony może to być ruch absolutnie zamierzony, kiedy mamy do czynienia z ludźmi, którzy chcą zwrócić na siebie uwagę...a ten zwrócił na siebie bardzo! Trudno mi gościa oceniać - jest zarozumiały, pisze o swoich bogatych doświadczeniach w kryptografii, twierdzi że dla niego wszystkie jest proste i właściwie nikt przed jego metodami nie jest w stanie się uchronić...zna mnóstwo szczegółów całego zamieszania, dodaje własne, zupełnie nowe informacje...choćby te na temat 3 kont, które przejął (powszechnie w artykułach mówi się tylko o jednym) czy na temat resellera z Włoch, który był dla niego wyjątkowo interesujący - słabe zabezpieczenia, a przy tym bardzo duża liczba posiadanych kodów, certyfikatów, domen.
Najbardziej zaś przy tym wszystkim wkurzające są te jego manifesty polityczne...jeśli mówi poważnie, to możemy naprawdę mieć problem, bo wciąż wspomina o programach nuklearnych w Iranie oraz o ogromnej ilości ludzi i sprzętu IT, o którym nikt nic nie wie poza zainteresowaną grupą. Albo więc naprawdę mamy "mesjasza", który szykuje nam niewiernym niezły "armagedon", albo mamy nawiedzonego szaleńca, który chce narobić tylko szumu wokół siebie.
Poważnie masz z nim kontakt?

[ktośtam]

Sam możesz zapytać:

Anyone interested in talk? Contact me at: ichsun [at sign goes here]ymail [put a dot here]com

[morphiusz]

Zadałem mu 2 pytania:

1.Why do you do that?
2. When for example Comodo pay you, wont you help them to improve their security?
Or you are only ''black hat'' and for any money you won''t help them.

Odpowiedzi:

1. Let the enemies of Iran know they are insecure, if they think they are safe behind their hardware and software IDS and Firewalls, they are in big failure, if they think Iran is nothing in digital world, they are wrong.
2. I never work for any foreign company.

Później się spytałem czy chodzi mu o Turków ( w końcu Melih itd) czy o USA.
Przyznał, że Turcja to ich przyjaciele, chodzi o USA i kilka innych podmiotów.(Izrael, green movment).
Pytałem się też o zabezpieczenia, mówił, że potrafi obejść każdego firewalla i HIPSa, chociaż przyznał, że Comodo ma słabe zabezpieczenia reselerów SSL, to program jest całkiem niezły. Pytałem się o OA, to mówi, że też go obchodzi.
Ogólnie mówił, że Kaspersky sprawił mu największy kłopot - ale mu się udało.

[Eugeniusz]

Masz teraz nowego guru.
niech USA zbombarduje Iran , razem z Izraelem.