[Linux-Biella] DigiNotar compromessa!!!

[Marco Vallini]

On 09/07/2011 08:52 AM, Marco Vallini wrote:
> On 09/06/2011 10:20 PM, Cristiano Deana wrote:
>> 2011/9/6 Daniele Segato<daniele.bilug a gmail.com>:
>>
>>> e se quel che dice è vero e quella è la password di amministrazione
>>> allora erano davvero dei coglioni quelli di DigiNotar.... come si fa a
>>> mettere una password del genere ad un server tanto importante?!
>>
>> Se quello che dice è vero.. beh, dai... la password è il meno:
>>
>> "I'll talk technical details of hack later, I don't have time now...
>> How I got access to 6 layer network behind internet servers of
>> DigiNotar, how I found passwords, how I got SYSTEM privilage in fully
>> patched and up-to-date system, how I bypassed their nCipher NetHSM,
>> their hardware keys, their RSA certificate manager, their 6th layer
>> internal "CERT NETWORK" which have no ANY connection to internet, how
>> I got full remote desktop connection when there was firewalls that
>> blocked all ports except 80 and 443 and doesn't allow Reverse or
>> direct VNC connections, more and more and more..."
>
> uhm, mah, se qualche signore è riuscito a fare cert fasulli, allora
> vuole dire che è riuscito a firmarli con la chiave della CA. Come ha
> raggiunto la chiave della CA? Bhe, evidentemente la chiave è stata messa
> in un posto accessibile in qualche modo... Mah, personalmente penso che
> le chiavi di una CA, non parliamo di quelle di una root CA debbano
> essere tenute offline. Mi è chiaro che la procedura automatica di
> creazione e firma dei certificati, impone di non firmarli a mano uno ad
> uno, ma ci sono vie di mezzo, per evitare di lasciare le chiavi li a
> muzzo...
> Dire: "internal "CERT NETWORK" which have no ANY connection to internet"
> non significa, non posso raggiungerlo, semplicemente devo passare da
> qualcosa su internet per poi raggiungerlo... quindi le chiavi non erano
> off-line...
>
> Se così fosse, sono dei pirloni...


ovviamente intendo la chiave privata eh... nn quella pubblica :D