Миф 88. Сертификату Интернет-банка в браузере можно доверять

Форум Сообщества Практиков Конкурентной разведки (СПКР)

Конкурентная разведка, Бизнес-разведка, Корпоративная разведка,
Деловая разведка по открытым источникам в бизнесе.
Работаем строго в рамках закона.

Дезинформация и активные мероприятия в бизнесе
Форум Сообщества Практиков Конкурентной разведки (СПКР) »   Безопасность рабочего места »   Миф 88. Сертификату Интернет-банка в браузере можно доверять
RSS

Миф 88. Сертификату Интернет-банка в браузере можно доверять

<<Назад  Вперед>>Страницы: 1 2 3 4
Печать
 
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
_ttp://uinc.ru/news/sn17877.html

[q]

Национальное управление аэронавтики и космоса (NASA) в интервью SecurityWeek подтвердила заявление иранских хакеров, которым удалось скомпрометировать SSL-сертификаты научно-исследовательского центра NASA (NRESS). Группа иранских студентов, состоящих в хакерской группировке Cyber Warriors Team, заявили в сообщение на Pastebin, что им удалось перехватить сертификаты безопасности NASA. Атака производилась в несколько этапов. В результате первого этапа были обнаружены уязвимости в системе авторизации исследователей NASA на сервере NASA Solicitation and Proposal Integrated Review and Evaluation System (NSPIRES). Затем, путем внедрения кода была произведена MITM-атака, в результате которой сертификат оказался у хакеров. Кроме сертификата были скомпрометированы сотни учетных записей активных исследователей NASA по всему миру. По сообщению хакеров, более детальная информация была отправлена NASA для изучения и последующего устранения уязвимости. Напомним, что недавно с похожими сценариями атак сталкивались службы корневых сертификатов Comodo, DigiNotar и Trustwave, за этими взломами также стояли иранские хакеры.
[/q]
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
_ttps://technet.microsoft.com/en-us/security/advisory/2718704 и _ttps://blogs.technet.com/b/srd/archive/2012/06/03/microsoft-certification-authority-signing-certificates-added-to-the-untrusted-certificate-store.aspx?Redirected=true

:facepalm:

[q]

...
When we initially identified that an older cryptography algorithm could be exploited and then be used to sign code as if it originated from Microsoft, we immediately began investigating Microsoft’s signing infrastructure to understand how this might be possible. What we found is that certificates issued by our Terminal Services licensing certification authority, which are intended to only be used for license server verification, could also be used to sign code as Microsoft. Specifically, when an enterprise customer requests a Terminal Services activation license, the certificate issued by Microsoft in response to the request allows code signing without accessing Microsoft’s internal PKI infrastructure.
...

Microsoft is aware of active attacks using unauthorized digital certificates derived from a Microsoft Certificate Authority. An unauthorized certificate could be used to spoof content, perform phishing attacks, or perform man-in-the-middle attacks. This issue affects all supported releases of Microsoft Windows.

Microsoft is providing an update for all supported releases of Microsoft Windows. The update revokes the trust of the following intermediate CA certificates:

Microsoft Enforced Licensing Intermediate PCA (2 certificates)
Microsoft Enforced Licensing Registration Authority CA (SHA1)
[/q]
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
в развитие темы предыдущего поста - _ttps://blogs.technet.com/b/msrc/archive/2012/06/04/security-advisory-2718704-update-to-phased-mitigation-strategy.aspx?Redirected=true :minus: :reful:

[q]

...
The Flame malware used a cryptographic collision attack in combination with the terminal server licensing service certificates to sign code as if it came from Microsoft. However, code-signing without performing a collision is also possible. This is an avenue for compromise that may be used by additional attackers on customers not originally the focus of the Flame malware. In all cases, Windows Update can only be spoofed with an unauthorized certificate combined with a man-in-the-middle attack.
...
[/q]
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
свежий пример малвари, которая все грамотно делает - и сертификаты CA в браузере меняет тоже, чтобы левый сертификат не был подозрительным :wink: - _ttp://uinc.ru/news/sn18300.html

[q]

Экспертам «Лаборатории Касперского» удалось обнаружить целевое использование банковского трояна Trojan-Banker.Win32.Capper, направленного лишь на одну систему онлайн-банкинга — «PSB-Retail» Промсвязьбанка. Обнаруженный зловред предназначен для подмены оригинального веб-интерфейса системы дистанционного банковского обслуживания (ДБО) на поддельный, с целью компрометации реквизитов доступа и дальнейшего их использования для кражи денег со счетов клиентов банка. Для своего распространения троян использует веб-сайты с системами эксплоитов, внедрения кода которых происходит через рекламные объявления на тематических веб-ресурсах. После успешного запуска, троян Capper, в первую очередь, прописывает специальный URL в пункт настроек соединения с интернетом («Использовать скрипт автоматической настройки»), указывающий на PAC-файл (Trojan-Banker.JS.Proxy.ap), размещаемый на веб-сайте злоумышленников. После установки этой опции все запросы на "retail.payment.ru" начинают проходить через прокси-сервер злоумышленников. Это дает злоумышленникам возможность направить пользователя на созданную ими поддельную страницу входа в систему онлайн-банкинга Промсвязьбанка. Ранее похожая техника уже использовалась в отношение нескольких бразильских банков. Однако использования PAC-файла в данном случае оказалось недостаточно. Интернет-банкинг «PSB-Retail» Промсвязьбанка по умолчанию работает через защищенное HTTPS-соединение. Злоумышленникам пришлось принять меры, дабы не вызывать подозрений у пользователя. Они сформировали цифровой сертификат, который устанавливается в список доверительных корневых центров сертификации, так, трафик от пользователя шифруется установленным открытым ключом, а на сервере злоумышленников расшифровывается имеющимся у них закрытым ключом. Пользователь не замечает подмены, если не захочет получить более подробную информацию об используемом сертификате. Кроме того, поддельный адрес сайта имеет отличную от оригинальной структуру, а на самом веб-сайте изменен номер телефона поддержки. Еще одна особенность этого зловреда заключается в том, что после первого запуска его присутствие в системе необязательно и он удаляет себя, оставляя сделанные настройки. Таким образом, даже если впоследствии сигнатуры этого трояна попадут в антивирусные базы, обнаруживать и удалять будет некого. Однако, сетевые средства обнаружения могут зафиксировать вредоносный PAC-файл и сообщить об этом пользователю. Всем пользователям, а особенно клиентам Промсвязьбанка, рекомендуется проверить конфигурацию интернет-соединения на наличие вышеупомянутой настройки. Также перед использованием интернет-банкинга следует ознакомиться с рекомендациями самого банка по безопасности.
Источник
[/q]
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
:facepalm: вот и сертификаты Adobe украли - _ttps://isc.sans.edu/diary.html?n&storyid=14194

[q]

...
Yesterday Adobe came out in a bog post stating an "inappropriate use of an Adobe code signing certificate for Windows".

Apparently they discovered a "compromised build server with access to Adobe code signing infrastructure". (Which is corporate speak for "one of our servers was hacked".) They "immediately decommissioned the existing Adobe code signing infrastructure and initiated a forensics investigation to determine how these signatures were created".

This apparently only effects "the Windows platform" and "three Adobe AIR applications for both Windows and Macintosh". I found a list of the applications involved, and how to update them on this page: helpx.adobe.com/x-productkb/global/certificate-updates.html. This update revocation will not occur until the 4th of October. (Next Thursday).

The interesting section (to me at least) of this post is the middle section:

We have identified a compromised build server that required access to the code signing service as part of the build process. Although the details of the machine’s configuration were not to Adobe corporate standards for a build server, this was not caught during the normal provisioning process. We are investigating why our code signing access provisioning process in this case failed to identify these deficiencies. The compromised build server did not have rights to any public key infrastructure (PKI) functions other than the ability to make code signing requests to the code signing service.

Our forensic investigation is ongoing. To date we have identified malware on the build server and the likely mechanism used to first gain access to the build server. We also have forensic evidence linking the build server to the signing of the malicious utilities. We can confirm that the private key required for generating valid digital signatures was not extracted from the HSM. We believe the threat actors established a foothold on a different Adobe machine and then leveraged standard advanced persistent threat (APT) tactics to gain access to the build server and request signatures for the malicious utilities from the code signing service via the standard protocol used for valid Adobe software.

The build server used a dedicated account to access source code required for the build. This account had access to only one product. The build server had no access to Adobe source code for any other products and specifically did not have access to any of Adobe’s ubiquitous desktop runtimes such as Flash Player, Adobe Reader, Shockwave Player, or Adobe AIR. We have reviewed every commit made to the source repository the machine did have access to and confirmed that no source code changes or code insertions were made by the build server account. There is no evidence to date that any source code was stolen.

Naturally people are writing in to us asking what this impacts (see the first link above) and what happened, (the second link above). But there is one thing we are sure of, we don't know the extent of the damage, and hope there was nothing more compromised than what Adobe has found in their investigation. I know Brad Arkin and trust him, so I don't have any reason to doubt him and his team (who are very good, and work very hard by the way, I don't want anyone to get the wrong impression), but "you never know", I guess, is my point.
...
[/q]


UPD - дополнение на русском _ttp://www.securitylab.ru/news/430498.php

[q]

Компания Adobe заявила о том, что неизвестные хакеры скомпрометировали часть серверов, используемых для разработки программного обеспечения компании. В результате злоумышленники получили возможность генерировать собственные сертификаты безопасности и выдавать вредоносные программы за продукты Adobe.

«После проверки подлинности подписей (вредоносных программ – ред.) мы немедленно отозвали инфраструктуру подписи цифрового кода и инициировали экспертное расследование для того, чтобы определить, как были созданы эти подписи. Нами был обнаружен скомпрометированный сервер сборки с доступом к инфраструктуре подписи кода», - говорится в уведомлении производителя.

Компания также сообщила, что инцидент может повлиять только на те решения Adobe, подписи которых были созданы с помощью скомпрометированного сертификата и работают на платформе Windows, а также на три приложения Adobe AIR, которые работают на Windows и Mac OS X.

В ходе расследования стало известно, что злоумышленники используют цифровые подписи Adobe для распространения вредоносной программы pwdump7 v7.1. Эта программа извлекает хеши паролей пользователей Windows, а также иногда используется как единый файл, который постоянно подключается к OpenSSL библиотеке libeay32.dll. Исследователями была обнаружена еще одна библиотека myGeeksmail.dll, которая использует подпись Adobe, однако подтверждений ее использования для проведения кибератак у сотрудников компании нет.

Производители антивирусных программ были уведомлены об инциденте, для того, чтобы они смогли добавить скомпрометированные сертификаты Adobe в сигнатуры угроз. До появления нового сертификата, которое состоится 4 октября, легитимные продукты Adobe будут использовать промежуточный сертификат.

С перечнем продуктов, на работу которых может повлиять отзыв сертификата подлинности Adobe, можно ознакомиться здесь.

С уведомлением Adobe об инциденте безопасности можно ознакомиться здесь.
[/q]
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
и еще фальшивые сертификаты, сделанные в январе 2013г. - _ttp://blog.malwarebytes.org/intelligence/2013/02/digital-certificates-and-malware-a-dangerous-mix/

Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
и еще фальшивый сертификат, которым подписан java-апплет - _ttp://www.securitylab.ru/news/438383.php
дело в том, что в java 7.17 установлен уровень безопасности - High и для всех неподписанных апплетов выдается предупреждение


Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
стоит почитать детальный отчет Fox-IT о взломе удостоверяющего центра DigiNotar - _ttp://www.rijksoverheid.nl/documenten-en-publicaties/rapporten/2012/08/13/black-tulip-update.html :facepalm: (краткое описание инцидента можно найти на слайдах Д. Евтеева www.slideshare.net/devteev/infoforum-evteev-pub :good: )

по косвенным признакам видно, какой бардак у них творился, хотя супер-пупер средств защиты (и наверняка сертифицированных) было много...



Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
и еще история про сворованные сертификаты и подписанные ими потом драйвера в составе вредоносного ПО - _ttps://www.securelist.com/en/analysis/204792287/Winnti_More_than_just_a_game

<<Назад  Вперед>>Страницы: 1 2 3 4
Печать
Форум Сообщества Практиков Конкурентной разведки (СПКР) »   Безопасность рабочего места »   Миф 88. Сертификату Интернет-банка в браузере можно доверять
RSS

Последние RSS
Open Source Intelligence (OSINT) Tools and Resources Handbook
Top tips on gathering information about companies by using free online sources
Новое на блоге HRразведка
Безопасность данных в MS Access
Слово как улика
20 Recon and Intel Gathering Tools used by InfoSec Professionals
What’s Changed?
10 альтернативных поисковиков
Ситуационный центр главы Республики Коми
Развёртывание ситуационных центров на базе технологии Avalanche
Как принимать сложные решения. Советы бывшего оперативника ЦРУ.
Открытая информация о "Новичке" из сети интернет.
Ген. директор "ОЗХО" Ахмет Узюмдж о "Новичке" и хим. атаке в Сирии
Онлайн-сервисы для Twitter
Коллекция для Twitter
Приложение Opera VPN закрывается
О работе разведки
Deep web и 11 поисковиков по нему
Об изначальной "лживости" любых документов
Обновление на блоге HRазведка

Самые активные 20 тем RSS
Стандартные источники информации в СайтСпутнике
Слово как улика
Open Source Intelligence (OSINT) Tools and Resources Handbook
Top tips on gathering information about companies by using free online sources
Новое на блоге HRразведка
WebSite Watcher
Безопасность данных в MS Access