Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



31.12.2020

Cykl webinarów

weinnovators.club
30.12.2020

Integracja z Teams

Veeam Backup
30.12.2020

Namierzanie zagrożeń

Flowmon Networks i Fortinet
30.12.2020

Wsparcie dla przedsiębiorstw

VMware Cloud on AWS
29.12.2020

Nowe NAS-y Thunderbolt 3

QNAP QuTS TVS-h1288X i TVS-h1688X
29.12.2020

Modele kompaktowe

VPL-PHZ60 i VPL-PHZ50
28.12.2020

Dedykowane przemysłowi

Seria TJ
28.12.2020

Nowa generacja

Router QHora-301W

Ukryte zagrożenia

Data publikacji: 21-10-2011 Autor: Piotr Konieczny

Miniraport

Fałszywe certyfikaty SSL

Najpoważniejszym incydentem dotyczącym bezpieczeństwa IT w trzecim kwartale 2011 roku był atak na centrum certyfikacji DigiNotar. Sprawa wyszła na jaw w Iranie, gdy użytkownicy przeglądarki Chrome zaczęli otrzymywać komunikaty o błędach zabezpieczeń. Programiści Google w swojej aplikacji dodali bowiem funkcję public key pinning i na stałe zakodowali sumy kontrolne kluczy prywatnych wykorzystywanych przez firmę z Mountain View. Dzięki temu wykryto, że certyfikaty dla domen Google nie są prawdziwe, a wykorzystana fałszywka wygenerowana została podczas włamania do DigiNotar. Mimo że sytuacja dotyczyła Iranu, problem ma charakter globalny. Większość producentów oprogramowania korzystającego z certyfikatów SSL udostępniła poprawki. Nowe wersje Chrome i Firefoksa wyposażono w listy fałszywych certyfikatów. W systemach Windows 7, Vista i Server 2008 DigiNotar zostało usunięte z listy Microsoft Certificate Trust. Windows XP i 2003 Server wymagają zainstalowania odpowiednich poprawek. Problem dotyczy również smartfonów z Android i iOS.

 

Podczas ataku wygenerowano ponad 500 fałszywych certyfikatów SSL dla domen należących do organizacji, tj. Mozilla, Google, projektu TOR oraz domen *.*.com i *.*.org.

 

 

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

prenumerata Numer niedostępny Spis treści

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"