Книги в электронном варианте скачать бесплатно. Новинки

Скачать бесплатно книги в библиотеке booksss.org

расширенный список авторов: А Б В Г Д Е Ж З И К Л М Н О П Р С Т У Ф Х Ц Ч Ш Щ Э Ю Я
A B C D E F G H I j K L M N O P Q R S T U V W X Y Z
Главная
Бизнес
Интернет
Юмор
Психология
Разное
Как читать скачанную книгу?

Цифровой журнал «Компьютерра» № 85

Автор(ы):Коллектив Авторов

Аннотация книги


Оглавление Статьи

DigiNotar и SSL-сертификаты: ограбление по-ирански Автор: Юрий Ильин

Интервью

Вадим Хлопонин о рисовании лазером Автор: Андрей Письменный

Терралаб

Первый взгляд на планшеты Asus Eee Автор: Андрей Письменный

Колумнисты

Кафедра Ваннаха: Гонка за лидером Автор: Ваннах Михаил

Кивино гнездо: 9/11 — десять лет спустя Автор: Киви Берд

Василий Щепетнёв: Лояльность Автор: Василий Щепетнев

Дмитрий Шабанов: Нищета солипсизма Автор: Дмитрий Шабанов

Кафедра Ваннаха: Цена Медичейских звёзд Автор: Ваннах Михаил

Александр Амзин: Ничего не изменилось Автор: Александр Амзин

Василий Щепетнёв: Недопрогрессивность Автор: Василий Щепетнев

Кафедра Ваннаха: Писатель без бумаги Автор: Ваннах Михаил

Дмитрий Вибе: Угол обзора Автор: Дмитрий Вибе

Голубятня-Онлайн

Голубятня: FineReader 11.0 Автор: Сергей Голубицкий

Голубятня: Ящик из бука для book'a Автор: Сергей Голубицкий



Скачать книгу 'Цифровой журнал «Компьютерра» № 85' Коллектив Авторов

Скачивание книги недоступно!!!




Читать первые страницы книги

Компьютерра

05.09.2011 - 11.09.2011

Статьи

DigiNotar и SSL-сертификаты: ограбление по-ирански

Юрий Ильин

Опубликовано 06 сентября 2011 года

В результате хакерской атаки на компанию DigiNotar неизвестный злоумышленник получил на руки несколько сотен действительных криптографических сертификатов, используемых важнейшими доменами интернета. Как минимум один из них в итоге был использован для вторжения в чужие защищённые соединения.

SSL и SSL-сертификаты: что это?

SSL представляет собой криптопротокол, который обеспечивает установление защищённого соединения между клиентом и сервером. Информация, передаваемая по SSL, зашифрована с помощью асимметричного алгоритма с открытым ключом. При шифровании с открытым ключом используются два ключа, но для расшифровки требуется только один из них. Другой сохраняется в тайне.

Поскольку шифровать должен не только сервер, но и клиент, клиенту важно убедиться в том, что выданный ему открытый ключ принадлежит именно той организации, с которой он хочет установить связь. Для этого служат цифровые сертификаты, которые выпускают так называемые центры сертификации (Certificate Authority, или, сокращённо, CA). Цифровой сертификат содержит, среди прочего, открытые ключи владельца сертификата и подписан секретным ключом центра сертификации.

В интернете действует множество центров сертификации, связанных между собой иерархическими отношениями. Каждый аккредитованный центр сертификации наследует «доверие» у вышестоящего удостоверяющего центра, который подписывает его собственный сертификат. Вся эта замысловатая механика скрыта от обычных пользователей — браузеры выполняют необходимые проверки автоматически.

Компания DigiNotar была одним из таких центров сертификации.

Что случилось?

29 августа в официальном блоге Google появилось объявление о том, что на территории Ирана против пользователей сервисов компании была предпринята попытка атаки класса «человек посередине» (man-in-the-middle). Сертификаты, использованные при этом, похоже, утекли ещё в июле.

При атаке «человек посередине» в коммуникационной сессии принимают участие три субъекта: клиент, сервер и посредник-злоумышленник, оказывающийся между ними. «Посредник» прикидывается сервером для клиента и клиентом для сервера. Сертификаты придуманы как раз для того, чтобы предотвратить подобные атаки. Поддельный сертификат не пройдёт проверку подписи, так как злоумышленник не может знать секретного ключа сервера. Каким-то образом получить настоящий сертификат — это единственная лазейка для злоумышленника.

Первое сообщение о возможной атаке появилось на форуме техподдержки Google. Некий продвинутый пользователь, проживающий, по его словам, в Иране, пожаловался, что, когда он пытается зайти на Gmail с помощью Chrome, браузер предупреждает его о подозрительном сертификате. По-видимому, сработали добавленные в Chrome в июне дополнительные средства обеспечения безопасности.

"Когда я пользовался VPN, никаких предупреждений не было. Я думаю, это мой провайдер или правительство устроило эту атаку", — добавил автор исходного сообщения. Поскольку все интернет-соединения в стране идут через сеть местной телекоммуникационной компании Ertebatat Zirsakht, предположения, что она замешана в происходящем, не замедлили появиться.

В Google быстро выяснили, что злоумышленник использовал фальшивый SSL-сертификат, выпущенный и уже отозванный голландским центром сертификации DigiNotar. Поддержка всех сертификатов DigiNotar в Chrome была немедленно отключена; на ситуацию также оперативно отреагировали в Microsoft и в Mozilla, отключив сертификаты DigiNotar и в своих браузерах.

Кроме сертификата gmail.com, в распоряжении злоумышленников оказалось более пятисот SSL-сертификатов для целого ряда крупнейших доменов интернета, в числе которых google.com, microsoft.com, mossad.gov.il, mozilla.org, skype.com, torproject.org, windowsupdate.com, twitter.com и aol.com.

Поскольку скандала было уже не утаить, компания VASCO, которой DigiNotar приходится дочерней структурой, признала, что вообще-то о хакерской атаке на DigiNotar было известно с 19 июля. Согласно пресс-релизу, когда вторжение было обнаружено, в DigiNotar направили специалистов по компьютерной безопасности из компании Fox-IT. Они провели аудит и пришли к выводу, что проблема устранена, а все утекшие сертификаты отозваны. Затем последовали полтора месяца молчания, о которых в DigiNotar, наверное, уже жалеют.

События развивались следующим образом. Злоумышленники (или злоумышленник) получили доступ к сети DigiNotar 17 июля и орудовали там ещё пять дней. За это время они завладели административными правами на двух сертификационных серверах и выпустили сотни сертификатов. 19 июля в ходе рутинной проверки сотрудники DigiNotar обнаружили и немедленно отозвали 128 «фальшивых» сертификатов. 20 июля нашлись ещё 129 таких сертификатов. Они были отозваны на следующий день. 27 июля вспыли и тоже были отозваны ещё 75 нелегально полученных сертификатов. 29 июля обнаружен и отозван выпущенный злоумышленниками сертификат google.com.

К тому времени в DigiNotar уже заметили, что эти сертификаты пытаются использовать главным образом с иранских IP-адресов. Дальнейшее исследование вопроса показало, что 99 процентов пользователей, наткнувшихся на «липовый» сертификат google.com (датированный, кстати, 10 июля), находятся в Иране, причём соединения преимущественно осуществлялись через TOR и прокси-серверы. Тем не менее, как указывают в Fox-IT, существует вероятность того, что некоторые почтовые сообщения в Gmail могли быть перехвачены, равно как и пароли. Знание пароля позволяет заинтересованным сторонам постоянно навещать почтовый ящик без ведома хозяина и узнавать пароли уже к другим ресурсам, если их пользователь в качестве основного почтового ящика установил именно gmail.com.

И, возможно, если бы не постинг на форумах поддержки Google, никто бы ничего и не узнал.

Кому и зачем это надо?

Вообще-то в данном случае история повторяется. Весной этого года случилось событие, которое злые языки поименовали «Comodogate»: центр сертификации Comodo оскандалился, когда его партнёр из Южной Европы пал жертвой сходной атаки, тоже осуществлявшейся с IP-адресов в Иране. Та атака, правда, была куда менее урожайной. Злоумышленникам удалось получить девять поддельных цифровых сертификатов: login.yahoo.com, mail.google.com, www.google.com, login.skype.com, addons.mozilla.org и login.live.com. Получен был и сертификат Global Trustee, с помощью которого злоумышленники могли выдать свой сайт за любой другой. Например, чтобы выманивать у доверчивых пользователей пароли.

Хотя с помощью поддельного SSL-сертификата можно выдать любой поддельный сайт за настоящий, это не так-то просто. Сначала надо придумать, как направить пользователя на поддельную страницу. Вдобавок, учитывая, насколько быстро осуществляется отзыв сертификатов в случае обнаружения взломов, период их пригодности крайне ограничен.

Правда, львиная доля трудностей исчезает, если речь идёт о сети, которую полностью контролирует сам злоумышленник. Браузеры регулярно проверяют актуальность SSL-сертификатов, обращаясь к определённым адресам. Достаточно перекрыть к ним доступ, и становится возможным использовать отозванные «поддельные» сертификаты (при условии, что в браузерах нет дополнительных средств проверки, как в Chrome). Контроль над сетью упрощает и перенаправление пользователей на поддельные сайты.

Подобное вполне возможно в странах, где фильтруется интернет. Государственные провайдеры «по звонку сверху» легко заблокируют нужные адреса. Есть и мотив: компетентные органы с помощью фальшивых сертификатов могут вторгаться в личную переписку интересующих их лиц. Иранские власти, понятное дело, опасаются, что на подчинённых им территориях разгорится очередной акт драмы «Арабская весна», поэтому всевозможные местные «несогласные» у них — у властей — вызывают самый пристальный интерес.

Поскольку атака шла с иранских IP, в СМИ моментально предположили, что всё произошедшее — результат действий иранских спецслужб. Однако вскоре некий субъект, выступивший под ником ComodoHacker (он же Джанам Фадайе Рабар — Janam Fadaye Rahbar), объявил, что это его рук дело, что он действовал в одиночку и что он один стоит тысячи хакеров.

Книгу Коллектив Авторов Цифровой журнал «Компьютерра» № 85 скачать бесплатно,

Другие произведения авторов/автора



Цифровой журнал «Компьютерра» № 49
Цифровой журнал «Компьютерра» № 51
Концепции современного естествознания
Авиация и космонавтика 1998-03
Цифровой журнал «Компьютерра» № 76
Теплоэнергетические установки. Сборник нормативных документов
Правила технической эксплуатации тепловых энергоустановок
Правила работы с персоналом в организациях электроэнергетики Российской Федерации
Справочник логопеда
Бюджетный кодекс Российской Федерации. Текст с изменениями и дополнениями на 2009 год
Праздничные торты и пирожные
Цифровой журнал «Компьютерра» № 63
Цифровой журнал «Компьютерра» № 65
Цифровой журнал «Компьютерра» № 67
Цифровой журнал «Компьютерра» № 62
Классическая поэзия Индии, Китая, Кореи, Вьетнама, Японии
Россия и «санитарный кордон»
Пицца оригинальная и обыкновенная
Цифровой журнал «Компьютерра» № 64
О ДУШЕВНЫХ БОЛЕЗНЯХ
Философия: Шпаргалка
Финансы: Шпаргалка
История экономики: Шпаргалка
Цифровой журнал «Компьютерра» № 35
Цифровой журнал «Компьютерра» № 84
Цифровой журнал «Компьютерра» № 27
Литература конца XIX – начала XX века
Ребятам о зверятах: Рассказы русских писателей
60 правдивых историй
Конституция Российской Федерации. Гимн, герб, флаг
Теория управления: Шпаргалка
Бухгалтерский финансовый учет: Шпаргалка
Бизнес-планирование: Шпаргалка
Теория бухгалтерского учета: Шпаргалка
Золотые правила спасения в 100 экстремальных ситуациях
Теория обучения: конспект лекций
Налоговый кодекс Российской Федерации. Части первая и вторая. Текст с изменениями и дополнениями на 1 октября 2009 г.
Уголовный кодекс Российской Федерации. Текст с изменениями и дополнениями на 1 октября 2009 г.
Шпаргалка по педагогике (для педагогов)
Философия науки и техники: конспект лекций
Дзюдо. Базовая технико-тактическая подготовка для начинающих
Стоп! Алкоголь!
Эти чудные японцы
Журнал Компьютерра 19-26.01.2010
Журнал Компьютерра 26.01-01.02.2010
Богатые тоже плачут. Том 1
Война и мир Дмитрия Медведева. Сборник
Богатые тоже плачут. Том 2
Цифровой журнал «Компьютерра» № 74
Зверства немцев над пленными красноармейцами
Цифровой журнал «Компьютерра» № 86
Граница не знает покоя
Цифровой журнал «Компьютерра» № 61
Как справиться с компьютерной зависимостью
Цифровой журнал «Компьютерра» № 28
Система государственного управления
Японский шпионаж в царской России
Русский язык и культура речи
Практический аудит: учебное пособие
Цифровой журнал «Компьютерра» № 41
Дзюдо. Система и борьба: учебник
Закон Российской Федерации «Об образовании» Текст с изм. и доп. на 2009 год
Федеральный закон «О прокуратуре Российской Федерации». Текст с изменениями и дополнениями на 2009 год
Кодекс Российской Федерации об административных правонарушениях. Текст с изменениями и дополнениями на 1 ноября 2009 г.
Арбитражный процессуальный кодекс Российской Федерации. Текст с изменениями и дополнениями на 1 октября 2009 г.
Федеральный закон «О лицензировании отдельных видов деятельности». Текст с изменениями и дополнениями на 2009 год
Теория культуры
Федеральный закон «О несостоятельности (банкротстве)». Текст с изменениями и дополнениями на 2009 год
Целительные силы Алтая
Правовые основы судебной медицины и судебной психиатрии в Российской Федерации: Сборник нормативных правовых актов
Коммуникативная культура. От коммуникативной компетентности к социальной ответственности
Способы автономного выживания человека в природе
Пристальное прочтение Бродского. Сборник статей под ред. В.И. Козлова
Сборник Поход «Челюскина»
Военная педагогика
Горячие точки
Эта гиблая жизнь
Здравствуй, племя младое, незнакомое!
Цифровой журнал «Компьютерра» № 80
От сентиментализма к романтизму и реализму
Древнерусская литература. Литература XVIII века
Федеральный закон «Об оперативно-розыскной деятельности». Текст с изменениями и дополнениями на 2009 год
Земля — Луна
Федеральный закон «О государственной регистрации прав на недвижимое имущество и сделок с ним». Текст с изменениями и дополнениями на 2009 год
Трудовой кодекс Российской Федерации. Текст с изменениями и дополнениями на 1 октября 2009 г.
Федеральный закон «О трудовых пенсиях в Российской Федерации». Текст с изменениями и дополнениями на 2009 год
Земельный кодекс Российской Федерации. Текст с изменениями и дополнениями на 1 октября 2009 г.
Греко-римская борьба: учебник
Таможенный кодекс Российской Федерации. Текст с изменениями и дополнениями на 2009 год
Федеральный закон «О государственной регистрации юридических лиц и индивидуальных предпринимателей». Текст с изменениями и дополнениями на 2009 год
Жилищный кодекс Российской Федерации. Текст с изменениями и дополнениями на 1 октября 2009 г.
Тхэквондо. Теория и методика. Том.1. Спортивное единоборство
Федеральный закон «О рекламе». Текст с изменениями и дополнениями на 2009 год
Семейный кодекс Российской Федерации. Текст с изменениями и дополнениями на 1 октября 2009 г.
Федеральный закон «О рынке ценных бумаг». Текст с изменениями и дополнениями на 2009 год
Градостроительный кодекс Российской Федерации. Текст с изменениями и дополнениями на 2009 год
Уголовно-процессуальный кодекс Российской Федерации. Текст с изменениями и дополнениями на 1 ноября 2009 г.
Цифровой журнал «Компьютерра» № 69
Цифровой журнал «Компьютерра» № 22
WH40K Флафф Библия Ксеносов
Цифровой журнал «Компьютерра» № 38
Цифровой журнал «Компьютерра» № 45
Цифровой журнал «Компьютерра» № 56
Цифровой журнал «Компьютерра» № 58
Русский рок. Малая энциклопедия
Цифровой журнал «Компьютерра» № 90
Межотраслевые правила по охране труда (правила безопасности) при эксплуатации электроустановок
Гражданский кодекс Российской Федерации. Части первая, вторая, третья и четвертая. Текст с изменениями и дополнениями на 10 мая 2009 года
Справочник логопеда
Казачьи сказки
Цифровой журнал «Компьютерра» № 60
Цифровой журнал «Компьютерра» № 79
Цифровой журнал «Компьютерра» № 87
Цифровой журнал «Компьютерра» № 68
«СНЕЖНАЯ КОРОЛЕВА И ЕЕ ВЛАДЕНИЯ»
Чекисты Рассказывают...
ПДД от ГИБДД Российской Федерации 2010. С комментариями и советами
Былины. Исторические песни. Баллады
Цифровой журнал «Компьютерра» № 25
Как удачно выйти замуж? 49 простых правил
Как справиться с компьютерной зависимостью
Оздоровительный цигун Ба Дуань Цзин
Защита прав потребителей с образцами заявлений
Оздоровительный цигун И Цзинь Цзин
Лечебные свойства орехов
Методика преподавания психологии: конспект лекций
Contra Dei #2
Contra Dei #1
Цифровой журнал «Компьютерра» № 77
Цифровой журнал «Компьютерра» № 34
Расцвет реализма
Антология мирового анекдота. И тут Вовочка сказал…
Технический регламент о требованиях пожарной безопасности. Федеральный закон № 123-ФЗ от 22 июля 2008 г.
Цифровой журнал «Компьютерра» № 88
Бюджетный кодекс Российской Федерации. Текст с изменениями и дополнениями на 2009 год
Федеральный закон «О государственной гражданской службе Российской Федерации». Текст с изменениями и дополнениями на 2009 год
Федеральный закон РФ «Об общих принципах организации местного самоуправления в Российской Федерации». Текст с изменениями и дополнениями на 2009 год
Цифровой журнал «Компьютерра» № 37
От сентиментализма к романтизму и реализму
Древнерусская литература. Литература XVIII века
Журнал Компьютерра 11-18.1.2010
Цифровой журнал «Компьютерра» № 81
Цифровой журнал «Компьютерра» № 78
Гражданский процессуальный кодекс Российской Федерации Текст с изм. и доп. на 10 мая 2009 года
Цифровой журнал «Компьютерра» № 83
Просто Мария
Никто, кроме тебя
Цифровой журнал «Компьютерра» № 24
Литература конца XIX – начала XX века
Мир после кризиса. Глобальные тенденции – 2025: меняющийся мир. Доклад Национального разведывательного совета США
Правила дорожного движения Российской федерации 2010 по состоянию на 1 января 2010 г.
Цифровой журнал «Компьютерра» № 44
Цифровой журнал «Компьютерра» № 29
Цифровой журнал «Компьютерра» № 46
Санкт-Петербург: Иллюстрированный путеводитель + подробная карта города
Федеральный закон «О статусе военнослужащих». Текст с изменениями и дополнениями на 2009 год
Теория обучения
Заболевания кожи
Гендерная психология
Детские инфекционные болезни. Полный справочник
Дворцово-парковые пригороды Санкт-Петербурга
Федеральный закон «О воинской обязанности и военной службе». Текст с изменениями и дополнениями на 2009 год
Базы данных: конспект лекций
Детские болезни. Полный справочник
Заболевания позвоночника. Полный справочник
Цифровой журнал «Компьютерра» № 82
Каноны христианства в притчах
Латвия под игом нацизма. Сборник архивных документов
Карабахский конфликт. Азербайджанский взгляд
Восстание меньшинств
Эстония. Кровавый след нацизма: 1941-1944 годы. Сборник архивных документов
Самооборона. Приемы реальной уличной драки
Цифровой журнал «Компьютерра» № 70
Цифровой журнал «Компьютерра» № 73
Цифровой журнал «Компьютерра» № 71
Цифровой журнал «Компьютерра» № 40
Цифровой журнал «Компьютерра» № 89
Гражданский кодекс Российской Федерации. Части первая, вторая, третья и четвертая. Текст с изменениями и дополнениями на 1 ноября 2009 г.
Оздоровительный цигун Лю Цзи Цзье
Цифровой журнал «Компьютерра» № 57
Цифровой журнал «Компьютерра» № 54
Цифровой журнал «Компьютерра» № 52
Top-10
авторов книг
А Б В Г Д Е Ж З И К Л М Н О П Р С Т У Ф Х Ц Ч Ш Щ Э Ю Я