[Linux-Biella] DigiNotar compromessa!!!

[Marco Vallini]

On 09/06/2011 10:20 PM, Cristiano Deana wrote:
> 2011/9/6 Daniele Segato<daniele.bilug a gmail.com>:
>
>> e se quel che dice è vero e quella è la password di amministrazione
>> allora erano davvero dei coglioni quelli di DigiNotar.... come si fa a
>> mettere una password del genere ad un server tanto importante?!
>
> Se quello che dice è vero.. beh, dai... la password è il meno:
>
> "I'll talk technical details of hack later, I don't have time now...
> How I got access to 6 layer network behind internet servers of
> DigiNotar, how I found passwords, how I got SYSTEM privilage in fully
> patched and up-to-date system, how I bypassed their nCipher NetHSM,
> their hardware keys, their RSA certificate manager, their 6th layer
> internal "CERT NETWORK" which have no ANY connection to internet, how
> I got full remote desktop connection when there was firewalls that
> blocked all ports except 80 and 443 and doesn't allow Reverse or
> direct VNC connections, more and more and more..."

uhm, mah, se qualche signore è riuscito a fare cert fasulli, allora 
vuole dire che è riuscito a firmarli con la chiave della CA. Come ha 
raggiunto la chiave della CA? Bhe, evidentemente la chiave è stata messa 
in un posto accessibile in qualche modo... Mah, personalmente penso che 
le chiavi di una CA, non parliamo di quelle di una root CA debbano 
essere tenute offline. Mi è chiaro che la procedura automatica di 
creazione e firma dei certificati, impone di non firmarli a mano uno ad 
uno, ma ci sono vie di mezzo, per evitare di lasciare le chiavi li a 
muzzo...
Dire: "internal "CERT NETWORK" which have no ANY connection to internet" 
non significa, non posso raggiungerlo, semplicemente devo passare da 
qualcosa su internet per poi raggiungerlo... quindi le chiavi non erano 
off-line...

Se così fosse, sono dei pirloni...