spacer.png, 0 kB
Bilgi için: bilgi at bilgiguvenligi gov tr   

Ana Menü

Anasayfa
Etkinlikler
Güvenlik Bildirileri
Teknik Yazılar
Kılavuzlar
Herkes İçin Güvenlik
Raporlar
Duyurular
Terimler Sözlüğü
Site İçerisinde Arama
İçerik Arşivi
TR-BOME KM
TR-CERT
Ortak Kriterler
 

spacer.png, 0 kB
 spacer.png, 0 kB
Sahte Güvenlik Sertifikası Açıklığı Yazdır E-posta
Birçok web tarayıcısı HTTPS(Güvenli Zenginmetin İletişim Protokolü) protokolünü desteklemektedir. Bir grup araştırmacı serifikasyon algoritmasındaki bir açıklıktan yararlanarak web tarayıcılar tarafından onaylı gibi görünen sahte sertifikalar üretmeyi başarmıştır.
Kaynak: Alexander Sotirov, Marc Stevens, Jacob Appelbaum, Arjen Lenstra, David Molnar, Dag Arne Osvik, and Benne de Weger
 
Seviye:  Orta
Bildiri Sürümü: -
Açıklanma Zamanı: 30.12.2008
Yenilenme Zamanı: 01.01.2009
Etkilenen Sistemler: Birçok web tarayıcısı
 
CVE: -
BID: 33065
Referanslar: MD5 Bilinen Açıklığı
http://www.win.tue.nl/hashclash/rogue-ca/
Sahte Sertifika Üretimi -2
http://www.phreedom.org/research/rogue-ca/
US-CERT Açıklık Notu -4
http://www.kb.cert.org/vuls/id/836068
Açık Anahtar Altyapısı Hakkında Wikipedia Notu -6
http://en.wikipedia.org/wiki/Public_Key_Cryptography
Dijital Sertifikalar Hakkında Wikipedia Notu -8
http://en.wikipedia.org/wiki/Public_key_certificate
Wikipedia Article on Digital Signatures -10
http://en.wikipedia.org/wiki/Digital_signature
MD5 Hakkında Wikipedia Notu -12
http://en.wikipedia.org/wiki/MD5
SHA Wikipedia Notu -14
http://en.wikipedia.org/wiki/SHA_hash_functions
SecurityFocus BID -16
http://www.securityfocus.com/bid/33065
Yazar(lar): -
 
Açıklama: Birçok web tarayıcısı HTTPS(Güvenli Zenginmetin İletişim Protokolü) protokolünü desteklemektedir. Bu protokol çeşitli seviyelerde güvenlik sağlamaktadır. Bu güvenlik önermelerinden birisi karşımıza çıkan web sitedinin gerçekten de aradığımız web sitesi olup olmadığını genel-anahtar şifreleme ile belgeleyebilmesidir. Böyle bir şifrelemede sertifikalar doğrulama için kullanılmaktadır. Sertifikalar MD5, SHA gibi algoritmalar kullanarak imzalanırlar. Bu sertifikalar web tarayıcılar tarafından Sertifikasyon Makamları aracılığıyla tanınırlar. MD5 algoritmasında bir açıklık olduğu biliniyordu ancak açıklıkla ilgili bir gerçekleme yapılamamıştı. Bir grup araştırmacı bu açıklıktan yararlanarak web tarayıcılar tarafından onaylı gibi görünen sahte sertifikalar üretmeyi başardı. Bu sertifikayı kullanan bir saldırgan, kurbanını kendi sitesine yönlendirerek onun gerçek site olduğuna inandırabilir. Örneğin bir bankacılık sitesinde, siz o bankaya eriştiğinizi zannederek saldırganın tuzağına düşersiniz. Ve sitenin sertifikası tanınmış sertifikalar arasında da yer alır. Bilinen verilere göre mevcut sertifikaların %14 ü bu açıklığı bulunduran algoritma ile oluşturulmuştur.
Etki: Phishing vb bilgi hırsızlığı saldırıları
Çözüm: Firefox tarayıcılar için sahte sertifikaları denetleyen bir eklenti yayınlanmıştır:
http://codefromthe70s.org/sslblacklist.aspx
MD5 yerine SHA sertifikalar üretilmesi sorunun çözümüne yardımcı olacaktır.
 
[ Geri ]
spacer.png, 0 kB
spacer.png, 0 kB
Copyright 2012 TÜBİTAK-BİLGEM. Sitenin teknik altyapısında Joomla kullanılmıştır. Yazar ve site referans gösterilmeden alıntı yapılamaz. Görüşleriniz
spacer.png, 0 kB