WNZ: Rygte: OS X 10.8 introduceres i juniWNZ: Hemmeligt facelift til iPad 2WNZ: Apple overvejede fysisk tastatur til iPhone
Diablo III's Real-Money AH rykkes til "soon"-tidsramme på grund af lanceringsproblemerSquare Enix: Activision må være tossede for at droppe True Crime: Hong KongAnalytiker: Grand Theft Auto 5 sælger mindst 14 millioner eksemplarerMinecraft rammer 9 millioner solgte eksemplarerNy, lang gameplay-trailer til Sleeping DogsNy gameplay-video fra Sniper: Ghost Warrior 2 tager os til BosnienJapansk lanceringstrailer til Anarchy ReignsHvornår har du sidst været til LAN?
7. sep. 2011 08:13Det hollandske firma DigiNotar, blev i juli måned hacket, hvor SSL-certifikater til flere hundrede hjemmesider blev stjålet. Virksomheden annullerede certifikaterne, men glemte et, der dækkede https://*.google.com.
Læs også: 531 hjemmesider ramt af SSL-certifikat-tyveri
Certifikatet viser sig at have været brugt til at spionere på 300.000 iraneres Gmail-konti. Tallene kommer fra firmaet Fox-IT, der blev bedt om at udarbejde en rapport om hackingen af DigiNotar.
Rapporten fortæller yderligere, at hackerne har benyttet certifikaterne allerede fra d. 6. juni i år, mens DigiNotar først skred til handling og annullerede dem d. 10. juli. Ifølge Fox-IT har DigiNotars sikkerhed været ekstremt dårlig, siden de værktøjer, som hackerne benyttede til tyveriet, kan spores af ganske normale antivirusprogrammer.
I en besked på pastebin står "ComodoHacker" frem som gerningsmanden bag angrebet, samme mand eller mænd som hackede firmaet Comodo i marts måned, hvor man også fik fingrene i stjålne SSL-certifikater. I beskeden påstår ComodoHacker desuden stadig at have adgang til fire andre firmaer, som han i fremtiden også vil stjæle certifikater fra.
7. sep. 2011 08:37
Jah. Tror man der ligger en regering i baghånden til financering og beskyttelse eller?
7. sep. 2011 09:32
#!
Når det er hacking får Iran, Nordkorea eller Kina skylden.
Når det er Censur eller overvågning, får børneporno og terror skylden.
Nettet har (ligesom i fysik) en standard model der forklarer det hele !
7. sep. 2011 10:33
Ja, SSL er på mange måder fuldstændig gennemhullet fordi det bygger på tillid til over 100 firmaer som vi ikke har nogen grund til at have tillid til overhovedet. Som jeg skrev i en anden tråd om emnet er den oplagte løsning at udvide SSL/TLS standarten til at tillade ens certifikat at blive signeret af mere end een CA.
Ind til det sker (om 10 år) er der dog noget du selv kan gøre. Jeg ved ikke lige om der er en lignende extension til Chrome men firefox har enextension som hedder Certificat patrol ( https://addons.mozilla.org/en-US/firefox/addon/certificate-patrol/ ) som advarer dig hvis googles certifikat ændrer sig. Der kan naturligvis være naturlige årsager til at google ændrer/fornyer sit certifikat, men det rejser da lige et flag som du skal være opmærksom på
EDIT: ud over det kan jeg anbefale du sletter alle CA's fra din browser og tilføjer dem som du får brug for dem. Så vil du opdage at du i virkeligheden ikke har brug for at stole på rundt regnet 100 firmaer men blot 10-20 stykker
7. sep. 2011 15:26
Det kan anbefales at høre denne glimrende "fremvisning" fra Blackhat USA 2011: http://www.youtube.com/watch?v=Z7Wl2FW2TcA og så bagefter tag et kig på convergence: http://convergence.io (der dog pt. kun er for Firefox). Jeg smed en convergence notary op i går på kort tid og jeg var endda lidt rusten i min Debian.
Innews.dk - An erroneous trophy hunter...
8. sep. 2011 01:12
@3: Hvad så når folk hacker 5 CA's på samme tid? (hint hint, se "ComodoHacker").
"Convergence" virker imo som en bedre løsning. Og #4's YouTube link kan varmt anbefales at ses!
#4: Kan man evt få nogle 'spec' på din notary? :)
8. sep. 2011 01:26
Det hollandske firma DigiNotar, blev i juli måned hacket
hackerne har benyttet certifikaterne allerede fra d. 6. juni
Jeg kan godt forstå at DigiNotar føler sig magtesløse overfor hackere som udover at være i stand til at anvende DLL filer også er i besidelse af en tidsmaskine.
"Convergence" virker imo som en bedre løsning.Nicolai (#5)
Jeg kan anbefale videoen. Men Convergence er ikke nødvendigvis den bedste løsning. I en anden tråd forklarede jeg hvorfor DNSSEC i nogle situationer er en bedre løsning. http://newz.dk/531-hjemmesider-ramt-af-ssl-certifikat-tyveri/page1#11
<p>Ein Plakat der APG passt immer</p>
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
