Теги → ssl
Быстрый переход

Компания Comodo выкуплена Francisco Partners

Компания Francisco Partners ответственна за разработку такого ПО, как SSL-прокси софт, программы по слежке за пользователями по просьбе правительства США. Помимо этого она также является действительным владельцем компании SonicWall, ответственной за разработку разного рода утилит в сфере безопасности. Отныне в руки Francisco Partners переходит и Comodo, которая на данный момент является чуть ли ни ведущим центром сертификации, и чьи SSL-сертификаты используются для защиты множества сайтов и веб-сервисов по всему миру.

comodo.com

comodo.com

Здесь следует понимать, для чего нужны сами SSL-сертификаты и чем может обернуться подобный шаг. SSL-сертификат устанавливается на сервер, на котором находится файловая часть веб-сайта. При соединении с ним браузер получает информацию о том, что страница, к которой он обращается, защищена, и, следовательно, соединение должно происходить по каналу зашифрованной HTTPS-сессии, в связи с чем все данные, идущие от клиента к серверу и от сервера к клиенту, будут защищены и не могут быть перехвачены третьей стороной. Соответственно, устанавливая доверенный сертификат на свой сервер, пользователь должен быть уверен в поставщике продукта — центре сертификации, чтобы знать, что его ресурс по-настоящему защищён.

Учитывая общую направленность Francisco Parters, стоит ожидать, что в дальнейшем продукция Comodo слегка модифицируется исходя из нужд американского правительства, вследствие чего людям, использующим её, стоит иметь ввиду, что их данные могут быть перехвачены или просмотрены соответствующими службами.

Для лучшего понимания вопроса следует также пояснить, что на данный момент Comodo выпустила свыше 91 миллиона сертификатов и имеет более двухсот тысяч активных клиентов, и всё ещё является одним из наиболее доверенных центров сертификации на цифровом рынке.

Государство повысит защищённость Рунета

Ресурс «Коммерсантъ» сообщил со ссылкой на источники об обсуждении в администрации президента возможности создания государственного удостоверяющего центра (УЦ) для выдачи сайтам в Рунете SSL-сертификатов. Эти сертификаты используются интернет-магазинами, платёжными системами, государственными ресурсами для шифрования данных и идентификации сайта при установлении защищенного https-соединения.

anthillonline.com

anthillonline.com

Например, государственным сайтом gosuslugi.ru используется SSL-сертификат, выданный УЦ американской компанией Comodo, а порталом ФНС nalog.ru — SSL-сертификат компании Thawte, принадлежащей Symantec. Отзыв сертификатов этими компаниями в случае конфликта с иностранными партнёрами вызовет проблемы с защищённой передачей данных в Рунете.

Предложения по созданию УЦ будут обсуждаться подгруппой «Интернет плюс суверенитет» в рамках рабочей группы «по использованию информационно-телекоммуникационной сети Интернет в отечественной экономике», сформированной в начале февраля решением главы администрации президента Сергея Иванова. Глава Фонда информационной демократии Илья Массух, назначенный руководителем подгруппы, пообещал, что предложения по созданию УЦ будут учитывать мнения экспертов и компаний-разработчиков отечественных браузеров — «Яндекс.Браузер» и «Спутник». 

Профильные чиновники подтвердили «Коммерсанту», что идею создания отечественного УЦ продвигает «Крипто-Про», а в качестве площадки для него рассматривается Технический центр интернет (ТЦИ). В свою очередь коммерческий директор «Крипто-Про» Юрий Маслов заявил, что компания подобного предложения в госструктуры не направляла, хотя чиновники обращались к ней по данному вопросу для консультаций.

Dell пообещала избавиться от нашумевшей уязвимости уже сегодня

Как недавно выяснилось, некоторые ноутбуки компании Dell имели проблемы с SSL-сертификатом, которые могли позволить злоумышленникам вести слежку за веб-трафиком пользователя. Вчера Dell была уведомлена о возникшей проблеме, после чего заявила, что она «глубоко сожалеет, что такое произошло, и предпринимает шаги, чтобы это исправить». Компания уверяет, что, в отличие от аналогичной проблемы с Superfish у Lenovo, SSL-сертификат Dell не может быть использован для распространения нежелательной рекламы.

По словам представителя Dell, сертификат предназначался для того, чтобы служба поддержки при возникновении трудностей у пользователя могла быстрее определить модель ноутбука. Этот сертификат не используется для сбора персональной информации пользователей. На этой странице производитель опубликовал инструкцию по удалению сертификата. Также Dell пообещала уже сегодня выпустить обновление, которое автоматически будет находить сертификат и удалять его. Компания не рассказала, скольких ноутбуков коснулась данная проблема, однако точно известно, что модели Inspiron 5000, XPS 15 и XPS 13 поставляются с предустановленным сертификатом.

Быстрая реакция Dell, безусловно, похвальна, но компания так ничему и не научилась на ошибках Lenovo. К слову, проблему с Superfish у Lenovo компания использовала как маркетинговый трюк. На многих страницах Dell говорится: «Переживаете по поводу Superfish?». «Каждое приложение, которое мы загружаем, проходит проверку на безопасность, конфиденциальность и удобство использования, чтобы мы могли быть уверены, что наши клиенты получают лучшую вычислительную мощность, быструю установку и меньшее количество проблем с конфиденциальностью и безопасностью». Видимо, всё то, что рекламирует Dell, всё ещё нуждается в доработке.

Reddit будет шифровать весь свой трафик

Начиная с 29 июня весь трафик социального портала Reddit будет шифроваться с помощью алгоритма SSL. Большинство посетителей сайта уже сейчас заходят на него, используя протокол https, но нововведение сделает эту опцию обязательной.

Администрация Reddit в последнее время проявляет большую активность, желая обеспечить безопасность клиентов. Например, в прошлом месяце компания обновила политики, связанные с онлайн-преследованием, в следствии чего было закрыто несколько сабреддитов, среди которых r/fatpeoplehate, который насчитывает более 150 тысяч подписчиков.

Этот сабреддит служил местом встречи лиц, которые ненавидят людей с лишним весом. Комментарии и обсуждения на r/fatpeoplehate нередко приводили к тому, что пользователи других социальных сетей, таких как Facebook и Twitter, получали оскорбительные сообщения от незнакомцев.

Reddit.com станет далеко не первым сайтом, сделавшим SSL-протокол обязательным условием подключения. За последние годы эту функцию включили Wikipedia, Facebook, Twitter, поисковик Google и многие другие.

В прошлом году компания Google даже заявила, что будет размещать шифрующие трафик сайты на более высоких позициях в рейтинге поисковика, чтобы поощрить переход на безопасный метод подключения.

Для пользователей использование шифрованного подключения является залогом того, что их учётные данные не будут перехвачены интернет-провайдером и другими лицами либо организациями, которые имеют доступ к трафику.

Команда OpenSSL анонсировала исправление опасной уязвимости

На этой неделе будет опубликована новая версия набора OpenSSL с рядом исправлений безопасности.

«Команда проекта OpenSSL желает объявить о скором выходе версий OpenSSL 1.0.2a, 1.0.1m, 1.0.0r и 0.9.8zf. Эти релизы станут доступными 19 марта. Они исправят ряд дефектов безопасности. Наиболее опасный исправляемый дефект имеет “высокий” рейтинг», — говорится в уведомлении OpenSSL Project Team.

Таким образом, каждая поддерживаемая версия OpenSSL получит отдельный патч. Предположительно, авторы продукта намерены устранить системные ошибки, вызывающие угрозу безопасности, о которой на текущий момент публично не заявлено. Эти ошибки могут присутствовать в одном из протоколов, встроенных в набор, например, SSL/TLS (Secure Sockets Layer/Transport Layer Security) — краеугольном камне защиты веб-сервисов.

Последней опасной угрозой SSL/TLS стала уязвимость, позволявшая использовать так называемый механизм FREAK (Factoring RSA Export Keys) для обхода шифрования данных. На сегодняшний день данная уязвимость угрожает только пользователям Android-устройств.

Эксперты информационной безопасности ряда независимых организаций недавно провели детальный аудит кода OpenSSL в связи с брешью Heartbleed, обнаруженной в апреле прошлого года. Эта уязвимость поставила под вопрос безопасность многих сервисов, ранее считавшихся надёжными. Запланированные на эту неделю обновления, вероятно, являются следствием проводимых в последнее время исследований.

IETF исключит из веб-протоколов шифр RC4

Инженерная группа по развитию Интернета (IETF), входящая в состав Комитета по надзору за сетью Интернет (IAB), обновила статус уведомления о запрете потокового шифра RC4, используемого в настоящее время при коммуникации между клиентскими и серверными системами. Крайний срок для участия в обсуждении данной инициативы истекает 10 декабря 2014 года.

Суть предложения IETF сводится к всеобщему запрету потокового шифра Рональда Райвеста (Ronald Rivest) при установлении клиент-серверных соединений в сети Интернет. Кажущаяся простота отказа от использования RC4 требует, тем не менее, длительной подготовки, учитывая масштабы Всемирной паутины.

Так, клиентские устройства должны будут перестать прослушивать приветственные сообщения на предмет наличия RC4, а серверам предстоит отказаться от использования этого шифра в рамках протокола транспортного уровня TLS.

Опубликованный на сайте IETF документ предписывает серверам разрывать устанавливаемое соединение на стадии процедуры приветствия, если клиент настаивает на использовании RC4, при этом ему может отсылаться сообщение о слабом уровне безопасности.

Стоит отметить, что шифр RC4 считается недостаточно стойким уже довольно продолжительное время, а такие гиганты компьютерной индустрии, как Microsoft и Cisco, в прошлом году уже порекомендовали своим клиентам избегать его использования. Как отмечает Андрей Попов из Microsoft, чья подпись стоит на официальной бумаге IETF, атаки на RC4 находятся «на грани практической применимости». Эксперт отмечает, что RC4 более не может считаться представляющим достаточный уровень криптографической защиты в рамках сессий протокола TLS.

Apple прекратит поддержку SSL в push-уведомлениях с 29 октября из-за уязвимости

С 29 октября компания Apple прекратит поддержку SSL в системе push-уведомлений. Это обусловлено недавней уязвимостью в протоколе веб-шифрования SSL 3.0. Как сообщает компания через сайт для разработчиков, с указанной даты сервер Apple Push Notification не будет использовать этот протокол. Его заменит более надёжный протокол защиты TSL, для внедрения поддержки которого Apple отводит разработчикам неделю.

В работу приложений, использующих SSL 3.0 наряду с TSL, не требуются вносить какие-либо изменения. Apple отключила SSL в интерфейсе Provider Communication, предоставляя разработчикам возможность протестировать свои приложения на совместимость. Более подробную информацию можно получить на сайте Apple Developer Portal.

Обнаруженная специалистами Google уязвимость получила название POODLE (Padding Oracle On Downgraded Legacy Encryption) и может использоваться в атаках методом перехвата сообщений и подмены ключей с целью дешифровки защищённых данных. Безопасность системы нарушается, когда возникает сбой при работе с более современными протоколами TSL и происходит автоматическое подключение по протоколу SSL 3.0. Сбой связи может быть инициирован злоумышленниками, желающими преодолеть защиту системы через уязвимость в SSL.

Apple уже выпустила заплатки для предотвращения возможных атак через SSL или OpenSSL для последних версий операционных систем OS X 10.10 Yosemite iOS 8.1, а также обновления защиты для более ранних OS X Mavericks и Mountain Lion.

Обнаружена новая уязвимость в протоколе SSL

Текущий год нельзя назвать удачным для веб-шифрования и безопасности Интернета. В апреле этого года была выявлена серьёзная уязвимость Heartbleed в широко используемом наборе бесплатных инструментов шифрования сайтов OpenSSL. В сентябре в командной оболочке Bash была обнаружена масштабная уязвимость. Теперь Google выявила дыру в уже устаревшем протоколе SSL 3.0, который, впрочем, используется большинством современных браузеров в случае сбоя соединения.

Хакеры могут умышлено вызвать нарушение соединения, после чего веб-обозреватель будет пытаться использовать более старые версии протокола, в том числе 3.0, ставя под угрозу безопасность системы. Как отмечает Google в описании уязвимости, эксплойт может использоваться в атаках методом перехвата сообщений и подмены ключей с целью дешифровки защищённых данных HTTP cookies.

Aurich Lawson / Thinkstock

Aurich Lawson / Thinkstock

Чтобы закрыть эту дыру в безопасности, следует отключить поддержку SSL 3.0 или режим CBC-шифрования с его поддержкой. Однако этот шаг вызовет значительные проблемы с совместимостью и отказ работы ряда сайтов. Google пока рекомендует использовать механизм TLS_FALLBACK_SCSV, которые решает проблему повторного соединения и тем самым препятствует хакерам вынуждать браузеры использовать SSL 3.0. Это также запрещает переключение с протокола TSL 1.2 на более ранние версии, чем может помочь избежать будущих атак.

Веб-серверы Google и браузер Chrome ещё с февраля получили поддержку механизма TLS_FALLBACK_SCSV. Кроме того, команда Chrome уже начала тестирование отключения возможности отката к SSL 3.0.

Cloudflare предложила бесплатное SSL-шифрование для двух миллионов веб-сайтов

В прошлом году сеть доставки контента CloudFlare пообещала удвоить использование SSL-шифрования в Интернете в 2014 году. И компания сдержала своё обещание, представив новую службу Universal SSL, которая позволяет бесплатно и без приобретения сертификатов обеспечить работу SSL-шифрования на любом сайте, работающем через CloudFlare.

TechCrunch / Flickr

TechCrunch / Flickr

Это означает появление двух миллионов новых ресурсов с поддержкой SSL-шифрования (другими словами, в результате запуска Universal SSL число таких сайтов удвоилось). SSL уже давно и активно применяется для дополнительной защиты почтовых веб-приложений, банковских служб и других ресурсов (при работе через SSL браузер обычно сигнализирует пользователю изменённой иконкой).

Однако интеграция SSL-шифрования обычно означает дополнительные затраты хостинг-провайдеров, так что большинство веб-сайтов не внедряют эту меру дополнительной защиты. В результате трафик передаётся в нешифрованном виде и становится более уязвимым для пассивной слежки или атак с использованием переадресации.

TechCrunch / Flickr

TechCrunch / Flickr

После крупных скандалов, связанных с обнародованием информации о слежке спецслужб различных стран за пользователями, проблема дополнительной защиты трафика в Сети стала более актуальной. В декабре CloudFlare сообщила о планах предоставить бесплатную службу SSL, а в августе Google пообещала повысить в поисковых запросах рейтинг ресурсов, использующих SSL, дав ещё один повод использовать технологию.

Даже с появлением Universal SSL лишь небольшая часть сайтов использует технологию шифрования SSL, но всё же таких ресурсов становится больше.

Новая статья: OpenSSL — рыцарь Кровоточащее Сердце

Данные берутся из публикации OpenSSL — рыцарь Кровоточащее Сердце

Google избавила большинство своих служб от уязвимости Heartbleed

Об уязвимости «Кровоточащее сердце» (Heartbleed) в криптографическом пакете OpenSSL, которая позволяет получать доступ к незашифрованным данным, стало известно не так давно. Как оказалось, даже многие продукты Google не были избавлены от Heartbleed, но специалисты компании активно работают над устранением проблемы в популярных службах.

Поисковый гигант сообщил, что уязвимость была уже устранена в таких ключевых службах, как Apps, App Engine, Gmail, Play, Search, Wallet и YouTube. Не стоит также беспокоиться о проблемах пользователям браузера Chrome и операционной системы Chrome OS, так как эти продукты никогда не были подвержены Heartbleed.

Мобильная платформа Android тоже не была, по сути, затронута масштабной уязвимостью, за исключением версии Android 4.1.1 — Google уже сообщает партнёрам информацию о необходимости и способах устранения дыры в безопасности. Таким образом, самые популярные и широко используемые службы и платформы компании уже безопасны, и в настоящее время ведётся работа над обновлением сервисов вроде Cloud SQL и Google Compute Engine.

В широко используемом криптографическом пакете найдена опасная уязвимость

В некоторых версиях очень популярного набора бесплатных инструментов шифрования сайтов OpenSSL была обнаружена опасная уязвимость, названная специалистами Google и Codenomicon «Сердечное кровотечение» (Heartbleed) и позволяющая получать данные, которые должны быть скрыты от посторонних глаз. Инструменты OpenSSL применяются чуть ли не в двух третях ресурсов, использующих HTTPS-соединения, так что опасность такой уязвимости трудно переоценить.

heartbleed.com

heartbleed.com

Согласно опубликованному на GitHub отчёту, среди 10 тысяч протестированных наиболее популярных ресурсов 628 оказались подвержены ошибке, в том числе Yahoo, Flickr, StackExchange, Avito, SteamCommunity и многие другие. Некоторые исследователи заявили, что они смогли получить имена и пароли пользователей Yahoo.

Многие другие ресурсы вроде Google, Amazon, и eBay, согласно тестам, оказались избавлены от проблемы. После обнародования в понедельник данных об уязвимости владельцы веб-сайтов, включая Yahoo, начали спешно исправлять проблему. Представитель Yahoo отметила, что компания уже внесла соответствующие коррективы.

OpenSSL используется министерствами обороны и национальной безопасности США, на своём сайте клиентам Amazon советовала пользователям AWS применять OpenSSL для шифрования своих сайтов. В своём блоге Amazon заявила, что уже почти устранила проблему для всех клиентов AWS.

Развитием OpenSSL руководит команда из четырёх европейских программистов, только один из которых считает это занятие своей основной работой. Таким образом, налицо явный недостаток ресурсов для столь важного протокола веб-шифрования, несмотря на рост опасений относительно атак злоумышленников и слежки спецслужб.

Aurich Lawson / Thinkstock

Aurich Lawson / Thinkstock

Веб-сайты всё активнее используют шифрование для защиты важных данных пользователей вроде имён, паролей, номеров кредитных карт и так далее. Это усложняет хакерам задачу по перехвату передаваемой по каналам связи информации. К такому типу защиты можно отнести криптографические протоколы SSL (Secure Sockets Layer — уровень защищённых сокетов) и TLS (Transport Layer Security — безопасность транспортного уровня), широко применяемые для защиты информации, передаваемой между клиентом и сервером.

Веб-серверы, использующие уязвимые версии инструментов OpenSSL, хранят часть данных в незащищённой области памяти. Причём как хакер может получить данные с уязвимого сервера, так и сервер злоумышленника в состоянии считать незащищённую область оперативной памяти клиентской системы. Полученную информацию можно использовать для мониторинга активности или даже извлечения важных данных об учётных записях. При этом нет никаких ограничений на местоположение клиентской системы и сервера — атаку можно осуществлять из любой точки сети.

Создание криптографического кода — сложная задача, так что многие владельцы серверов предпочитают использовать бесплатные инструменты OpenSSL, выпущенные изначально в конце 1990-х. Президент организации OpenSSL Software Foundation, занимающейся поиском средств для команды разработчиков, Стив Маркус (Steve Marques) отмечает, что в 2013 году бюджет фонда был менее $1 млн. По его мнению, дело разработки и поддержки системы можно было бы улучшить, например, проводя официальные ревизии кода.

Исследователи отмечают, что ошибка Heartbleed присутствует в исходном коде OpenSSL почти два года. Большая часть веб-сайтов оказались застигнуты врасплох уязвимостью. «Если вам необходима строгая конфиденциальность и приватность, — отметил президент известной службы Tor Project Роджер Динглдайн (Roger Dingledine), — вам лучше в ближайшие дни подальше держаться от Интернета, пока всё не образуется и уязвимость не будет устранена».

Французское правительство уличили в использовании поддельных SSL-сертификатов Google

Французское государственное ведомство уличили в подделке SSL-сертификатов с целью создания поддельных интернет-сервисов, имитирующих службы Google. Благодаря такой уловке во французском Министерстве финансов осуществляли перехват трафика своих сотрудников, передает издание The Register.

Как сообщается, наличие подобного сертификата позволяло властям осуществить так называемую MITM-атаку и тайно просматривать любую информацию (в том числе зашифрованную), которую пользователь отправлял в Google. Как выяснилось в ходе расследования, поддельный SSL-сертификат казначейства был выдан национальным агентством по обеспечению информационной безопасности ANSSI.

Комментируя ситуацию, представители последнего заявили, что установка поддельного сертификата является ошибкой, возникшей под влиянием «человеческого фактора» во время проведения мероприятий по повышению уровня безопасности компьютерных сетей Минфина Франции.

При этом изначально указанный сертификат создавался с целью проведения проверки частной компьютерной сети с позволения ее владельцев. В ANSSI также подчеркивают, что данный инцидент не повлек за собой каких-либо «последствий для безопасности широких масс». 

Yahoo будет шифровать все пользовательские данные

На волне общественного недовольства, вызванного вскрывшимися фактами сбора конфиденциальной пользовательской информации американскими спецслужбами, Yahoo заявила, что будет шифровать весь поток информации между пользователем и серверами компании. Данный процесс Yahoo обещает завершить к концу первого квартала 2014 года.

Это проблема действительно актуальна, ведь, как выяснилось, многие технологические гиганты даже не подозревали, что АНБ имеет доступ к закрытой информации. С 8 января SSL-шифрование будет использоваться по умолчанию для всех аккаунтов в Yahoo Mail. Впрочем, опасающиеся слежки пользователи могут включить шифрование вручную уже сейчас.

Кроме того, Yahoo будет шифровать все данные, которые перемещаются между серверами компании. Партнеры компании будут обязаны использовать HTTPS для предоставления услуг под брендом Yahoo Mail.

Washington Post, опираясь на информацию, предоставленную Эдвардом Сноуденом, рассказала, что АНБ перехватывала информацию, которой обменивались дата-центры не только Yahoo, но и Google. Данная программа называлась Muscular. Google уже начала шифровать информационные потоки между своими ЦОД. Microsoft также заявила, что работает над данным вопросом и в настоящее время меняет свою политику безопасности.

Yahoo по умолчанию внедряет SSL-протокол в Yahoo mail

Начиная с 8 января следующего года компания Yahoo намерена по умолчанию внедрить SSL-протокол в свой сервис электронной почты Yahoo mail. Об этом сообщает The Washington Post.

«Yahoo очень серьезно относится к безопасности своих пользователей», — говорится в заявлении компании. Напомним, что в начале текущего года компания уже ввела возможность использования SSL-шифрования, однако пользователи должны были выбрать эту функцию в настройках. Новая для Yahoo mail функция позволит шифровать почтовый трафик, который проходит между браузером пользователя и серверами Yahoo.

Стоит отметить, что конкуренты Yahoo уже давно используют SSL-протокол в своих сервисах. К примеру, в Gmail эта функция доступна по умолчанию с 2010 года, в Hotmail от Microsoft — также с 2010 года. Впоследствии Hotmail был присоединен к Outlook.com с использованием SSL-шифрования по умолчанию.

Эксперты согласны с тем, что использование протоколов шифрования в бесплатных почтовых службах является значительным достижением в области защиты прав конфиденциальности пользователей, однако определенные обстоятельства могут сделать внедрение SSL-сертификатов не столь безопасным. К примеру, некоторые мобильные устройства могут не поддерживать стандарт шифрования SSL, подвергая владельцев этих гаджетов опасности слежки со стороны третьих лиц.

window-new
Soft
Hard
Тренды 🔥