dxdt.ru: занимательный интернет-журнал

На Сryptome выложен некий отчёт Fox-IT об аудите инфраструктуры DigiNotar, по следам взлома. Речь об августовском взломе удостоверяющего центра, когда были выпущены фиктивные SSL-сертификаты для *.google.com и других интересных ресурсов. Никаких технических подробностей в отчёте нет, но занятные моменты присутствуют.

Например, как пишут аудиторы про сети DigiNotar, критически важные сервера там были физически изолированы, но при этом доступны из локальной сети (видимо, имеется в виду некая общая корпоративная сеть, там не совсем понятно из текста) и объединены в единственный домен Windows (да, там использовали Windows, такое решение вполне возможно). Поломавший их специалист как раз и получил права администратора домена и, соответственно, за один раз обрёл доступ сразу ко всем нужным серверам. Удобно. При этом пароль от администраторской учётной записи был, что называется, угадываемым, а общего центрального логирования сетевой активности – не велось. (Вот так. Как обычно – искажённая модель угроз у админов корпоративной ЛВС привела к плачевным результатам.)

Ещё интересна хронология событий в случае с сертификатом *.google.com: 4 августа отмечают поток запросов на проверку отзыва этого сертификата (существует специальный протокол проверки, по которому работают современные браузеры), и только 29 августа сертификат реально отозвали. То есть, длительное время фиктивный сертификат мог работать без проблем.

Сейчас при продвижении коммерческих услуг по предоставлению SSL принято говорить клиентам, что использование сертификатов защищает пользователей веб-ресурсов. Но при имеющемся состоянии инфраструктуры SSL, похоже, рассчитывать на подобную защиту нужно с большой осторожностью: вы купили SSL-сертификат у “уполномоченной” компании и всё правильно на своём веб-сайте настроили, однако против другого взломанного удостоверяющего центра, чей корень встроен в браузеры, ни вы, ни ваш поставщик SSL-услуг, ничего сделать не можете.

Адрес записки: https://dxdt.ru/2011/09/10/4069/