Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Рост атак, связанных с захватом контроля над DNS, opennews (?), 11-Янв-19, (0) [смотреть все] Ну да - это тот самый случае, где летсенкрипт отсасывает, конечно Платные серти, Онаним (?), 19:36 , 11-Янв-19, (1) –14 // Это уже не проблемы letsencrypt , Эш Уильямс (?), 19:49 , 11-Янв-19, (2) +4 // В самом деле Отсутствие идентификации персоны, получающей доверенный сертификат, Онаним (?), 20:31 , 11-Янв-19, (6) –4 // Вообще же это может стать шагом к тому, что LE вынесут из браузеров , Онаним (?), 20:32 , 11-Янв-19, (7) –4 Тут скорее проблема в DNS, решать проблемы dns dnssec DoH DoT на уровне сертифик, Эш Уильямс (?), 21:19 , 11-Янв-19, (10) +1 Если злоумышленник имеет контроль над доменом, почему центр сертификации не долж, Аноним (19), 22:20 , 11-Янв-19, (19) +5 Более того, при наличии взлома EV наоборот доставляет проблемы по быстрому устра, Аноним (19), 22:30 , 11-Янв-19, (23) Ну, ооо рога и копыта у себя может хоть самоподписный сертификат на платёжке в, Онаним (?), 23:15 , 11-Янв-19, (32) они раньше так и делали Но великие специалисты по безопасности, работающие над, пох (?), 09:43 , 12-Янв-19, (51) +1 А что такого сделали спкциалдистя с хромом, можно узнать А то вот совсем не на, Аноним (85), 23:22 , 12-Янв-19, (85) –1 вам- нельзя научитесь читать и понимать прочитанное, потом приходите , пох (?), 09:23 , 13-Янв-19, (87) –2 Есть такое мнение, мил человек, что ты балабол Вот неполный квест который огреба, Аноним (95), 13:27 , 13-Янв-19, (95) +2 и это тоже хорошо и правильно, потому что если у тебя взломали EV-защищенный сай, пох (?), 09:42 , 12-Янв-19, (50) Потому что злоумышленнику ещё ворованную кредитку засветить придётся, а если т, Онаним (?), 23:11 , 11-Янв-19, (30) дальше можно не читать, Аноним (47), 07:34 , 12-Янв-19, (47) завидовать - грех , пох (?), 18:05 , 12-Янв-19, (59) А если злоумышленник имеет контроль над вашей квартирой Его должны в ней пропис, Анонимный Алкоголик (??), 19:33 , 12-Янв-19, (73) –1 В данном примере случае злоумышленник скорее имеет доступ к Росреестру, и может , demon (??), 14:36 , 14-Янв-19, (100) –1 Неправильная аналогия Путаешь технологии Аналогом сертификата https будет вста, Аноним (-), 10:53 , 15-Янв-19, (103) +1 Во-первых, Let s Encrypt не выдаёт EV-сертификаты, идентификация каких бы то ни , Аноним (25), 22:39 , 11-Янв-19, (25) +2 Если что, оплата услуги - это тоже своего рода идентификация Да, кредитку можно, Онаним (?), 23:12 , 11-Янв-19, (31) Да уж прям возрастает В 15м году Симантек ничтоже сумняшеся выпустил wildcard на, Аноним (33), 00:00 , 12-Янв-19, (33) +1 И правильно, надо было купить у них серт тогда бы они вам помогли А с фига ли о, GentooBoy (ok), 01:18 , 12-Янв-19, (42) –1 Потому что они выпустили сертификат НЕ своего клиента , Аноним (47), 07:39 , 12-Янв-19, (48) как это не своего Он им деньги заплатил Причем они честно-честно провели эту с, их клиент (?), 18:11 , 12-Янв-19, (60) Ну я отзывал для своего тестового домена полгода назад Хотел проверить, как оно, Аноним (33), 18:46 , 12-Янв-19, (69) Я не писал про энтерпрайз Это был небольшой НЕайтишный бизнес Сертификат у ент, Аноним (33), 22:45 , 12-Янв-19, (81) ну же, ну же, разоблачайте так у ж до конца - сколько же составила эта ГРОМАДНАЯ, пох (?), 09:33 , 13-Янв-19, (88) Ещё один любитель выквзывать позицию энтерпрайзов Олоэ, включи логику К тебе о, Аноним (33), 22:30 , 12-Янв-19, (80) паспорт и данные принес За валидацию ручную, потому что это как раз EV - запл, пох (?), 09:39 , 13-Янв-19, (89) +1 Она и так бесполезна, с кучей мало кому известных центров сертификации которым а, Аноним (47), 07:31 , 12-Янв-19, (46) а все известные мы уже позаблокировали, гуглезила (?), 18:12 , 12-Янв-19, (61) Это его обязанность , YetAnotherOnanym (ok), 11:32 , 12-Янв-19, (52) –1 Откуда ж вы такие лезете Нет, нет и ещё раз нет Идентификация личности нужна т, Аноним (33), 19:33 , 12-Янв-19, (74) +2 Теория -- это такая штука Лучший способ её употребления -- сворачивать в труб, Ordu (ok), 22:45 , 12-Янв-19, (82) +4 Че сказать то хотел , Аноним (-), 21:28 , 11-Янв-19, (11) это тот самый случае, где ононим отсасывает, конечноfixed, rshadow (ok), 22:05 , 11-Янв-19, (15) +2 Это тот случай, где он недопилен пока - CT эту проблему вполне решает, но у lets, Crazy Alex (ok), 22:49 , 11-Янв-19, (28)   // Гхм, гхм, вообщето не один СА не имеет право на существование если не стучит в С, OpenEcho (?), 00:19 , 12-Янв-19, (35)   // Ну вот судя по новости и по источнику на сайте letsencrypt это всё же в планах, Crazy Alex (ok), 00:23 , 12-Янв-19, (36)   Стоп, это я туплю Там так We are also planning to introduce a Certificate Trans, Crazy Alex (ok), 00:25 , 12-Янв-19, (38)   Тезка, хорош туфту гнать если не в курсе Иди суда https www entrust com ct-se, OpenEcho (?), 00:40 , 12-Янв-19, (41)   В планах у них завести СВОЙ ЦТ сервер В чужие публичные СТ они все подписанные , Аноним (85), 13:55 , 12-Янв-19, (57) +1   Как посмотреть На примере опеннетовского сертификата , Аноним (78), 21:11 , 12-Янв-19, (78)   openssl s_client -showcerts -connect www opennet ru 443 dev null 2 dev null , Аноним (85), 23:46 , 12-Янв-19, (86) +1   КН Д Р , Аноним (3), 19:52 , 11-Янв-19, (3) +2 Как двухфакторная аутенфикация поможет, если сертификат злоумышленника корректны, Аноним (8), 21:09 , 11-Янв-19, (8) –2 // Это советы не для юзеров, а для админов Взламывают их , Аноним (19), 21:46 , 11-Янв-19, (14) +2 Если ломанули пароль админа без 2FA то админ может и не знать что его поимели е, OpenEcho (?), 00:23 , 12-Янв-19, (37) Certificate Transparency пишет логи всех сертификатов А, например, Certspotter , zomg (?), 21:17 , 11-Янв-19, (9) +1 // Проблема в том, что масса доменов регается маленькими конторками, у которых свои, OpenEcho (?), 00:30 , 12-Янв-19, (40) +2 Там кулхацкеры, сям кулхацкеры Их бы потуги, да в мирное русло пустить, гляди, Витязь (?), 21:30 , 11-Янв-19, (12) +9 // Хакер в столовой Но, справедливости ради, если бы не хакеры, то корпорации пис, Аноним (17), 22:12 , 11-Янв-19, (17) +5 Это заблуждение сродни тому, что в некоторых конторах админы политиками закрываю, Аноним (8), 09:16 , 12-Янв-19, (49) Что полезного для общества делают немамкины кулхацкеры из АНБ, ФСБ, всякие китай, Лень_регацца (?), 17:44 , 13-Янв-19, (97) попытка пропихнуть dns-over-чо-то-там , Аноним (-), 22:05 , 11-Янв-19, (16) +2 // закручивание гаек по типу борьбы с терроризмом, Аноним (22), 22:26 , 11-Янв-19, (22) +3 Нет Враги захватывают учётку на регистраторе, а не мужика посередине сажают , marios (ok), 11:37 , 12-Янв-19, (53) Интересно, как они заставляют провайдера обратиться к подставному DNS Другое , Alexey (??), 22:14 , 11-Янв-19, (18) –3 // Уводят учётку, получают доступ к панели управления доменом, вписывают туда свои , Ordu (ok), 00:27 , 12-Янв-19, (39) +2 // ты отстал от жизни, сейчас немодно свои dns сервера Уводят учетку, прямо в той, пох (?), 18:14 , 12-Янв-19, (62) // Не удивительно, я лет десять не имел дела со скрипткиддисами Да, читать ты умееш, Ordu (ok), 18:17 , 12-Янв-19, (64) причем тут скрипткиддисы Ты десять лет походу домены не регистрировал - там нын, пох (?), 18:26 , 12-Янв-19, (67) При том, что увод паролей -- это деятельность для скрипткиддиса И чё Думаешь ск, Ordu (ok), 19:22 , 12-Янв-19, (72) говорю ж - не надо ему Он прям в том же интуитивно-приятном интефрейсе поменяет, пох (?), 20:01 , 12-Янв-19, (76) Предлагают поменять одну проблему на другую Появится больше кривонастроенных дн, Аноним (20), 22:20 , 11-Янв-19, (20) –1 // Ты знаешь, существует довольно много бизнесов из 2-3 человек, которые заказали с, Аноним (33), 00:10 , 12-Янв-19, (34) +2 Чем второй фактор поможет, при наличии у товарищ майора HTTP HTTPS канала MITM , Эш Уильямс (?), 22:24 , 11-Янв-19, (21) –3 // его отсутствие сильно поможет тебе меньше подпрыгивать на бутылочке Товарищ майо, тов. лейтенант (?), 22:39 , 11-Янв-19, (26) –2 // Ты лично только языком работаешь Любитель бутылок , Лень_регацца (?), 17:52 , 13-Янв-19, (99) Где вы там товарища майора увидели , Crazy Alex (ok), 22:47 , 11-Янв-19, (27) –2 // А чё тебя это зацепило , Лень_регацца (?), 17:47 , 13-Янв-19, (98) SMS это не самый хороший выбор второго фактора Есть например TOTP , Гентушник (ok), 18:52 , 12-Янв-19, (71) коммуникационные компании, isp, dns сервер у регистратора с паролем 123 Паааня, пох (?), 22:37 , 11-Янв-19, (24) +1 IPFS, же, Anon4ik_ (?), 22:56 , 11-Янв-19, (29) Очень похоже на начало информационной атаки на Letsencrypt Не удивлюсь, если в с, Аноним (43), 02:05 , 12-Янв-19, (43) –1 // И будет совершенно не удивительно LE придётся добавить идентификацию клиента та, Онаним (?), 16:28 , 12-Янв-19, (58) –2 // не, они это не для того затевали , пох (?), 18:15 , 12-Янв-19, (63) Не придётся, ибо такая проверка излишня, а значит дорога и вредна Для того, что, Аноним (33), 22:51 , 12-Янв-19, (83) // В противном случае их просто потихоньку - по мере увеличения доли участия их сер, Онаним (?), 10:21 , 13-Янв-19, (90) Ты платиновых спонсоров LE видел, дурачок Там Google и Mozilla Они и организов, Аноним (-), 11:06 , 15-Янв-19, (104) Очередной взлом сервера с помощью пароля на root , Ivan1986 (?), 02:56 , 12-Янв-19, (44) // Вообще мимо Вы домены когда нибудь покупали Что такое гегистрар в курсе Новос, OpenEcho (?), 06:43 , 12-Янв-19, (45) // И в отсутствии у многих регистраторов двухфауторки до недавних пор У большинств, Аноним (33), 22:53 , 12-Янв-19, (84) // 2FA это тоже не панацея, уже было много случаев, когда взломы происходят использ, OpenEcho (?), 17:18 , 14-Янв-19, (101) Ничо вы, на самом деле, не понимаете за цепочку доверия Цепочка доверия долж, YetAnotherOnanym (ok), 11:57 , 12-Янв-19, (54) –1 // кто вы, чтобы сдавать вам компьютерщиков да, при первом использовании карточки , Аноним (55), 12:39 , 12-Янв-19, (55) +2 // это тоже немодно, это только в вашем спёрбанке так У правильных пацанов клиента , пох (?), 18:24 , 12-Янв-19, (66) Понятно, спасибо Девушка, я хочу аннулировать карточку и расторгнуть договор Н, YetAnotherOnanym (ok), 18:43 , 12-Янв-19, (68) // Без проблем Нужна ваша подпись вот здесь, и ещё вот здесь Секундочку, вот ваш , Онаним (?), 22:23 , 12-Янв-19, (79) ну только совершенно необязательно ТАК через задницу - вполне годится прямо на э, пох (?), 18:20 , 12-Янв-19, (65) +1 // К сожалению, нас, параноиков, меньшинство Но это ещё пол-беды - на нас денег сд, YetAnotherOnanym (ok), 18:51 , 12-Янв-19, (70) +1 // ну тыж понимаешь, юзверь будет делать ровно то, что его заставят Сейчас его зас, пох (?), 19:36 , 12-Янв-19, (75) +2 Э Что за подход Особенно если сайт на сервере в соседней стойке жужжит С п, Анонимный Алкоголик (??), 20:15 , 12-Янв-19, (77) // Если через стенку и он на него заходит по адресу из rfc1918, то да, а если это ф, YetAnotherOnanym (ok), 10:32 , 13-Янв-19, (91) // it под колпаком, совместимо с честью на уровне занавески для борделя, компромат , Аноним (55), 11:02 , 13-Янв-19, (92) Это ж насколько надо быть буратиной, чтобы месяцами не замечать одинаковый remot, Аноним (93), 11:05 , 13-Янв-19, (93) // логи скомпрометированы ночной сменой и touch, ээ-то не показатель , Аноним (55), 11:37 , 13-Янв-19, (94) Новость - провокация, имеющая целью вынудить владельцев таких DNS засветить св, Аноним (-), 19:26 , 14-Янв-19, (102) 1,3,8,9,12,16,18,20,21,24,29,43,44,54,93,102

Сообщения

[Сортировка по времени | RSS]

	28. "Рост атак, связанных с захватом контроля над DNS"	+/–
	Сообщение от Crazy Alex (ok), 11-Янв-19, 22:49
	Это тот случай, где он недопилен пока - CT эту проблему вполне решает, но у letsencrypt его поддержка только в планах на 2019.
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	35. "Рост атак, связанных с захватом контроля над DNS"	+/–
	Сообщение от OpenEcho (?), 12-Янв-19, 00:19
	>CT эту проблему вполне решает, но у letsencrypt его поддержка только в планах на 2019. Гхм, гхм, вообщето не один СА не имеет право на существование если не стучит в СТ после того как StarCom был куплен китайцами и которые выдававали левые сертификаты, а LE один из первых подключился к certificate transparency
	Ответить | Правка | Наверх | Cообщить модератору

	36. "Рост атак, связанных с захватом контроля над DNS"	+/–
	Сообщение от Crazy Alex (ok), 12-Янв-19, 00:23
	Ну вот судя по новости (и по источнику на сайте letsencrypt) это всё же в планах на 2019
	Ответить | Правка | Наверх | Cообщить модератору

	38. "Рост атак, связанных с захватом контроля над DNS"	+/–
	Сообщение от Crazy Alex (ok), 12-Янв-19, 00:25
	Стоп, это я туплю. Там так: We are also planning to introduce a Certificate Transparency (CT) log in 2019. All certificate authorities like Let’s Encrypt are required to submit certificates to CT logs but there are not enough stable logs in the ecosystem. As such, we are moving forward with plans to run a log which all CAs will be able to submit to. то есть CT сейчас не то чтобы сильно юзабельным выглядит?
	Ответить | Правка | Наверх | Cообщить модератору

	41. "Рост атак, связанных с захватом контроля над DNS"	+/–
	Сообщение от OpenEcho (?), 12-Янв-19, 00:40
	Тезка, хорош туфту гнать если не в курсе. Иди суда: https://www.entrust.com/ct-search/ или суда: https://crt.sh/ и проверь любой сертификат выданный Letsencrypt-om
	Ответить | Правка | К родителю #36 | Наверх | Cообщить модератору

	57. "Рост атак, связанных с захватом контроля над DNS"	+1 +/–
	Сообщение от Аноним (85), 12-Янв-19, 13:55
	В планах у них завести СВОЙ ЦТ сервер. В чужие публичные СТ они все подписанные сертификаты льют с момента своего появления. С марта 2018 (или чуть ранее, не помню) они информацию о СТ, куда записали выданный сертификат вставляют в сам сертификат. Вы это всегла можете проверить, посмотрев сертификат. Примерно с тогоже марта это делать обязаны все подписывальщики сертификатов, иначе гугл их не будет трастить в своих браузерах, но по факту многие это далать начали сильно раньше.
	Ответить | Правка | К родителю #36 | Наверх | Cообщить модератору

	78. "Рост атак, связанных с захватом контроля над DNS"	+/–
	Сообщение от Аноним (78), 12-Янв-19, 21:11
	> они информацию о СТ, куда записали выданный сертификат вставляют в сам сертификат Как посмотреть? На примере опеннетовского сертификата...
	Ответить | Правка | Наверх | Cообщить модератору

	86. "Рост атак, связанных с захватом контроля над DNS"	+1 +/–
	Сообщение от Аноним (85), 12-Янв-19, 23:46
	openssl s_client -showcerts -connect www.opennet.ru:443 </dev/null 2>/dev/null| openssl x509 -text             CT Precertificate SCTs:                 Signed Certificate Timestamp:                     Version   : v1 (0x0)                     Log ID    : 74:7E:DA:83:31:AD:33:10:91:21:9C:CE:25:4F:42:70:                                 C2:BF:FD:5E:42:20:08:C6:37:35:79:E6:10:7B:CC:56                     Timestamp : Dec  9 20:15:37.927 2018 GMT                     Extensions: none                     Signature : ecdsa-with-SHA256                                 30:46:02:21:00:CB:27:C4:50:7B:4A:E2:39:FC:85:2B:                                 3E:43:F6:91:81:6B:39:9F:53:95:1F:74:90:A0:63:EB:                                 2F:00:B4:BF:53:02:21:00:BB:11:C7:C6:45:FD:79:77:                                 0E:01:48:96:02:61:D3:53:3F:6C:20:B4:38:DD:EF:7E:                                 1B:59:23:79:E1:68:72:21                 Signed Certificate Timestamp:                     Version   : v1 (0x0)                     Log ID    : 29:3C:51:96:54:C8:39:65:BA:AA:50:FC:58:07:D4:B7:                                 6F:BF:58:7A:29:72:DC:A4:C3:0C:F4:E5:45:47:F4:78                     Timestamp : Dec  9 20:15:37.512 2018 GMT                     Extensions: none                     Signature : ecdsa-with-SHA256                                 30:46:02:21:00:D1:9D:C9:36:B0:78:AE:9F:37:02:90:                                 D3:58:23:01:74:1D:3E:27:DD:E4:2F:8A:B1:CE:03:88:                                 39:DD:63:33:BD:02:21:00:EF:17:71:9F:63:C2:9C:CA:                                 3C:33:4C:45:09:76:62:85:4F:2E:4F:94:70:A4:9F:8C:                                 C5:24:B6:48:2D:C1:74:2E дальше есть описание апи и списка публичных ЦТ, можно поискать чем дергать напрямую из указанных ЦТ, в гите имется несколько проектов для данных целей, Если слишком сложно, то можно сразу посомтреть в готовом виде собранное комодой на https://crt.sh/?id=1015175376 тут пресертификат, (для того чтобы можно было это вставить в готовый сертификат приходится его подписывать 2 раза, с добавленным, но незаполненным полем CT, потом заполнять поле полученными данными и подписывать еще раз. первый сертификат получается нерабочим, но во втором получается ссылка на его регистрацию, т.е имя и с-по, и прочие параметры сертификата 100% засвечено в СТ, потом они его еще траз льют в СТ, но это ужн не очень обязательно. тудаже сливает и гугл всех кого нашел своим кравлером, "на всякий пожарный") https://crt.sh/?id=1015175244 тут сам сертификат Там же пожно посмотреть все, что есть действующего, на *.opennet.ru https://crt.sh/?Identity=%25.opennet.ru&exclude=expired (тут не будет на сам домен, задание на дом, как посмотреть все что есть на просто opennet.ru) ну или вообще все, что было выдано за последние года им, я там находил свои сертификаты аж за 2004 год, но добавляли их в 2016 в ЦТ, похоже некоторые ЦА слили в CT все, что ранее выдали. https://crt.sh/?Identity=%25.opennet.ru Я делал для своих целей собиралку по всем известным ЦТ напрямую (именно то что делают на crt.sh, но только по интересным мне доменам).. запущенная в начале августа сего года она по одному разу обходила все ЦТ до сердедины сентября. потом продолжая с того места, где остановилось, обходит за 10 минут гдето, если пускать раз в пол часа. (понятно, время обхода зависит о того, сколько успели сертификатов навыдовыать)
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема