[Linux-Biella] DigiNotar compromessa!!!
Daniele Segato
daniele.bilug a gmail.com
Gio 8 Set 2011 09:13:00 CEST
On Wed, 2011-09-07 at 18:35 +0200, Cristiano Deana wrote:
> 2011/9/7 Daniele Segato <daniele.bilug a gmail.com>:
>
> >> e' una bucata resa pubblica. di quanto siamo certi le altre non lo siano? ;P
>
> > se un'altra è bucata e il certificato viene usato ci si accorge notando
> > che viene indicato come attendibile un sito che non lo è
> > poi basta fare 2+2 :)
>
> Non ho capito.
>
> Se una CA è bucata, e come in questo caso viene utilizzata per
> generare dei certificati per un dominio (diciamo *.facebook.com), come
> ti accorgi della cosa?
Tu puoi anche generare un certificato falso per *.facebook.com ma far si
che il TUO website risponda ad un DNS facebook.com è tutt'altra
faccenda... dovresti penetrare e modificare i DNS pubblici
è più probabile che tu ti finga facebook.com su facedook.com, il
certificato è attendibile e l'utente disattento / depistato dal phishing
si fa fregare più facilmente
sostituisci facebook con qualunque società o banca.
non sono un esperto di sicurezza ma non mi viene in mente un modo per
sfruttare un certificato facebook.com direttamente sul sito di
facebook...
anche riuscendo ad intercettare la comunicazione che passa se i dati
sono criptati con un certificato di facebook (diginotar & Co lo firmano,
non lo emettono) e quindi non leggibili.
Ma se c'è qualcosa che mi sfugge sarò felice di leggerti eh :)
Maggiori informazioni sulla lista
Linux