Taggat med: https

Falska SSL-certifikat utfärdade via Comodo

SSL-leverantören Comodos återfösäljare RA blev hackade och någon lyckades att utfärda giltiga SSL-certifikat för webbsidor såsom:

  • mail.google.com (GMail)
  • login.live.com (Hotmail etc)
  • www.google.com
  • login.yahoo.com (tre certifikat)
  • login.skype.com
  • addons.mozilla.org (Firefox extensions)
  • ”Global Trustee

Den som var först att uppmärksamma detta var Jacob Appelbaum som skrev om detta på Tor-bloggen. Sedan dess så har Comodo gått ut med ett uttalande och berättar att attacken bl.a. spårats till Iran.

Huruvida Svenska banker exempelvis kan motstå en attack där angriparen har möjlighet att skapa giltiga certifikat är något som vissa hanterar bra och andra troligtvis mindre bra.

Historien har fått namnet ”Comodogate”. Comodo lovar även att återkomma med mer tekniska detaljer på dess blogg.

Uppdatering: Observera att detta är giltiga SSL-certifikat som utfärdats av en angripare. Titeln på detta blogginlägg kan således vara missvisande.

Twitter inför HTTPS

Precis som Facebook så inför nu även den sociala tjänsten Twitter en inställning för att forcera https. Detta har enbart varit möjligt tidigare genom exempelvis webbläsarplugins som Use HTTPS (chrome) och HTTPS Everywhere (firefox).

Tyvärr så rapporterar Twitter att https-inställningen ej fungerar för den mobila versionen mobile.twitter.com. Dock är det möjligt att manuellt skriva in https://mobile.twitter.com

Skärmdump från inställning:

Facebook inför https

Facebook gör det nu möjligt att via inställningar välja att tvinga den krypterade versionen av http, dvs https. Än så länge verkar denna inställning enbart gälla amerikanska användare.

Att använda https på Facebook har tidigare varit möjligt om man manuellt skriver in https://facebook.com eller använder något plugin till sin webbläsare som tvingar https mot Facebook.

Denna åtgärd från Facebooks sida tros vara för att försvåra för så kallade Firesheep-attacker som vi skrivit om tidigare. Se även Facebooks blogg eller feber.se.

Uppdaterat HTTPS-Everywhere plugin

Organisationen EFF har nu uppdaterat det webbläsarplugin som de utvecklat till Firefox vid namn HTTPS-Everywhere. Vi har tidigare skrivit om detta plugin och det som är nytt nu är att fler sajter stöds i standardversionen. Man kan som tidigare lägga till egna sajter där https:// versionen alltid skall användas istället för den okrypterade http://-versionen.

Detta plugin skyddar mot exempelvis Firesheep-attacker där Cookies avlyssnas på trådlösa nätverk.

Firesheep-attack mot Facebook etc.

Ingen kan ju ha undgått de senaste attacker med hjälp av verktyget Firesheep som underlättar för den enskilde att utföra såkallade sessions-attacker för att kopiera den sessions-cookie som alla webbsajter använder sig av efter en inloggning.

Attacken kan med fördel utföras på ett trådlöst nätverk där Cookies går att ”sniffa upp” vilket är typiskt vid Internet-caféer eller konferenser, företagsnätverk. Även så måste sajten där Cookien sniffas upp ej använda https vilket är fallet för exempelvis Twitter, Facebook, LinkedIn och liknande som inte använder https som standard.

Bästa sättet att skydda sig är att använda en VPN-uppkoppling över trådlösa nätverk. Detta kan sättas upp med hjälp av en tjänst såsom Anonine eller IPRedator. Vi får även hoppas att allt fler går över till att enbart använda https, dock är detta inte  helt trivialt eftersom detta kräver mer datorresurser exempelvis. Ett annat tips är att använda något av de plugins till webbläsaren som tvingar fram https.

Firesheep är ett Firefox-plugin och hittas på adress codebutler.com/firesheep. Även så rekommenderas Anders Thoressons förslag att använda din hemmarouter som VPN.

Fler bloggare som skrivit om detta:

Tvinga https över http

Organisationen EFF har utvecklat ett nytt Firefox-plugin som ser till att du besöker https-versionen av den webbsida du surfar till, om sådan finns. Exempelvis så går Facebook och PayPal att använda via https samt en hel del andra webbsajter. Att tvinga https framför http återfinns även i en ny förslagen standard vid namn Strict Transport Security (STS).

Testa pluginet här: https://www.eff.org/https-everywhere

Ny amerikansk lag tvingar kryptering

En ny lag i den amerikanska delstaten Massachusetts tvingar alla som hanterar personinformation att kryptera denna. Om du misslyckas att använda HTTPS istället för HTTP eller lagrar information okrypterat i en SQL-databas så åker du på en bötessumma på $5000 per informationsmängd (person).

Källa: Slashdot

Sidokanalsattacker mot HTTPS

Om någon kan avlyssna din förbindelse och se hur stora paket som skickas samt om den som avlyssnar även kan besöka https-sidan så är det möjligt för den som avlyssnar att lista ut vilka sidor du besöker.

Abstract. With software-as-a-service becoming mainstream, more and more applications are delivered to the client through the Web. Unlike a desktop application, a web application is split into browser-side and server-side components. A subset of the application’s internal information flows are inevitably exposed on the network. We show that despite encryption, such a side-channel information leak is a realistic and serious threat to user privacy. Specifically, we found that surprisingly detailed sensitive information is being leaked out from a number of high-profile, top-of-the-line web applications in healthcare, taxation, investment and web search: an eavesdropper can infer the illnesses/medications/surgeries of the user, her family income and investment secrets, despite HTTPS protection; a stranger on the street can glean enterprise employees’ web search queries, despite WPA/WPA2 Wi-Fi encryption. More importantly, the root causes of the problem are some fundamental characteristics of web applications: stateful communication, low entropy input for better interaction, and significant traffic distinctions. As a result, the scope of the problem seems industry-wide. We further present a concrete analysis to demonstrate the challenges of mitigating such a threat, which points to the necessity of a disciplined engineering practice for side-channel mitigations in future web application developments.

Dokumentet hittas här: informatics.indiana.edu/xw7/WebAppSideChannel-final.pdf

Via Bruce Schnier.

OpenSSL säkerhetsuppdatering

En ny version av det populära krypteringsbiblioteket OpenSSL finns nu ute. Denna version åtgärdar ett säkerhetsproblem som identifierats:

”Record of death” vulnerability in OpenSSL 0.9.8f through 0.9.8m
================================================================

In TLS connections, certain incorrectly formatted records can cause an OpenSSL client or server to crash  due to a read attempt at NULL.

Affected versions depend on the C compiler used with OpenSSL:

– If ’short’ is a 16-bit integer, this issue applies only to OpenSSL 0.9.8m.
– Otherwise, this issue applies to OpenSSL 0.9.8f through 0.9.8m.

Users of OpenSSL should update to the OpenSSL 0.9.8n release, which contains a patch to correct this issue. If upgrading is not immediately possible, the source code patch provided in this advisory should be  applied.

Bodo Moeller and Adam Langley (Google) have identified the vulnerability and prepared the fix.

OpenSSL finns som vanligt att ladda ner på openssl.org