Pytanie:
Jak zgłosić lukę w zabezpieczeniach zaufanego urzędu certyfikacji?
MotorStoicLathe
2015-06-10 18:56:41 UTC
view on stackexchange narkive permalink

Natknąłem się na ogromną lukę w zabezpieczeniach w urzędzie certyfikacji, któremu ufają wszystkie nowoczesne przeglądarki i komputery.

W szczególności jestem w stanie uzyskać ważny podpisany certyfikat dla domeny, której nie jestem właścicielem . Gdybym miał środki, aby zostać Człowiekiem Środka, byłbym w stanie przedstawić doskonale ważny certyfikat SSL.

Ta luka nie wymagała z mojej strony żadnych zastrzyków SQL ani kodowania. Natknąłem się na to całkiem w przenośni.

Jaki jest właściwy sposób zgłoszenia tego? Chcę być etyczny i zgłosić to właściwemu urzędowi certyfikacji, ale nie chcę też, aby po prostu naprawili lukę, a następnie zamiatali wszystko pod dywan. Wydaje się, że ten problem istnieje od jakiegoś czasu, a ja po prostu nie jestem na tyle sprytny, aby być jedyną osobą w stanie go znaleźć.

Obawiam się, że samo skontaktowanie się z urzędem certyfikacji spowoduje panikę ze swojej strony, a oni, obawiając się incydentu podobnego do DigiNotar, zrobią wszystko, aby opinia publiczna się nie dowiedziała.

Czy mogę również skontaktować się z niektórymi głównymi graczami, takimi jak inne organy certyfikujące lub inne witryny, takie jak jako CloudFlare czy Google? (Wiem, że CloudFlare otrzymał ostrzeżenie o HeartBleed, zanim wyszło publiczne ogłoszenie.)

Uwaga: piszę na koncie o pseudonimie, aby (spróbować) pozostać anonimowym na razie.

Edytuj: to pytanie jest powiązane z innym pytaniem, ale uważam, że ta luka wykracza poza zakres tego pytania. Może to wpłynąć zasadniczo na cały internet (tj. Każdy online jest klientem), a moje pytanie wyraźnie stwierdza, że ​​zwykłe skontaktowanie się z „programistą” (zaakceptowana odpowiedź na pytanie, do którego prowadzi łącze), nie wydaje mi się najlepszym pierwszym krokiem.

Edycja 2: Skontaktowałem się z kilkoma osobami i doradzili mi, abym nie rozmawiał dalej na tym forum (przepraszam!). Zaktualizuję to pytanie później, po całkowitym usunięciu luki i unieważnieniu wszelkich nieprawidłowych certyfikatów.

Edycja 3: Szczegóły są niedostępne. W mojej osobistej witrynie zamieściłem więcej informacji o szczegółach tej luki. Historia wciąż trwa i możesz przeczytać dyskusję między Mozillą, Google i CA WoSign.

Edycja 4: Zgodnie z obietnicą aktualizuję za pomocą linku do artykuł napisany przez Ars Technica dotyczący tego i innych incydentów związanych z WoSign. Wygląda na to, że WoSign i StartCom (obecnie należące do tej samej firmy) mogą być poważnie zagrożone odebraniem uprawnień roota.

Komentarze nie służą do rozszerzonej dyskusji; ta rozmowa została [przeniesiona do czatu] (http://chat.stackexchange.com/rooms/24859/discussion-on-question-by-motorstoiclathe-how-do-i-report-a-security-vulnerabili).
Cześć, czy coś z tego wyszło? Jeśli istnieje adres URL porady lub czegoś takiego, byłoby to interesujące!
Czy to byłeś ty?http://oalmanna.blogspot.co.uk/2016/03/startssl-domain-validation.html
@paj28 Nie, to nie byłem ja.Ale w końcu udało mi się skontaktować z Ars Technica, aby sprawdzić, czy chcą coś zrobić z moimi danymi.Zaktualizuję to pytanie o więcej szczegółów później, podając więcej szczegółów.Albo z linkiem do historii, albo (jeśli nikomu nie zależy na napisaniu artykułu (wiadomości sprzed ponad 1 roku)) ze szczegółami dotyczącymi naprawionej luki.
Dla każdego, kto zastanawia się, co się stało: https://www.schrauger.com/the-story-of-how-wosign-gave-me-an-ssl-certificate-for-github-com
Woah.Wygląda na to, że Firefox będzie teraz nie ufał _dwu_ urzędom certyfikacji, częściowo z tego powodu.https://docs.google.com/document/d/1C6BlmbeQfn4a9zydVi2UvjBGv6szuSB4sMYUcVrR8vQ/preview
Osiem odpowiedzi:
Mike Ounsworth
2015-06-10 19:37:59 UTC
view on stackexchange narkive permalink

Wygląda na to, że Twoim problemem jest to, że ta luka jest większa niż wiesz, co zrobić.

Zasady odpowiedzialnego ujawniania informacji, opisane tutaj, mówią, że należy skontaktuj się z dostawcą i wynegocjuj okres - od 1 tygodnia do 6 miesięcy, w zależności od głębokości wymaganych zmian - w którym może wdrożyć łatkę, unieważnić i ponownie wystawić certyfikaty, opublikować biuletyny bezpieczeństwa itp. przed wyjazdem publiczne ze swoimi ustaleniami. Chodzi o to, aby pod koniec negocjowanego okresu uzyskać publiczne uznanie, ale upublicznienie nie może już zaszkodzić - jeśli sprzedawca wykonał swoją pracę prawidłowo.

Jeśli zastanawiasz się, jak skontaktuj się z nimi / wynegocjuj okres odpowiedzialnego ujawniania, upublicznij swoje wyniki na końcu itp. jest dla Ciebie zbyt długi lub nie wiesz, jak zacząć, wtedy sugeruję skontaktowanie się ze znanym badaczem bezpieczeństwa który już ustanowił kanały publikacji. Znajdź znane nazwisko, które opublikowało już podobne luki w zabezpieczeniach i zadzwoń do nich! Wygląda na to, że nie będziesz miał problemu z zwróceniem ich uwagi.

Gratulacje! Nie mogę się doczekać, kiedy zobaczę Twoje nazwisko na papierze za 6 miesięcy!

na sugestię @paj28's uogólniłem na naukowców spoza uniwersytetów
Jeśli potrzebujesz pomocy w opracowaniu umowy o ujawnienie informacji lub po prostu logistyki kontaktu ze sprzedawcą, sugeruję współpracę z odpowiedzialną stroną trzecią, taką jak Electronic Frontier Foundation lub SANS Institute.
Jest jeszcze jedna szkoła ujawnienia: pełne ujawnienie. Niekoniecznie się z nimi zgadzam, ale dobrze jest wiedzieć, że nie wszyscy zgadzają się, że odpowiedzialne ujawnianie informacji jest odpowiedzialne.
Ryan Sleevi
2015-06-10 21:00:48 UTC
view on stackexchange narkive permalink

Takie twierdzenie jest ogólnie dość poważne.

Chociaż skontaktowanie się z danym dostawcą jest sprawą odpowiedzialną, z pewnością należy rozważyć powiadomienie odpowiednich zespołów ds. bezpieczeństwa sklepu głównego, ponieważ są one odpowiedzialne za projektowanie, ocenianie i stosowanie środków bezpieczeństwa, aby temu zapobiec, i prawdopodobnie będziesz musiał współpracować bezpośrednio z władzami w celu ustalenia problemów.

Jeśli chodzi o odpowiedzialne ujawnianie, należy również natychmiast zgłosić to każdemu z głównych operatorzy sklepów: Google, Microsoft, Apple, Mozilla. Po prostu wyszukaj „ <vendor> zgłoś błąd bezpieczeństwa”, a pierwszy wynik powie Ci. To tylko niektórzy dostawcy, których to dotyczy - np. nie tylko CA.

Jeśli nie wiesz, jak to zrobić, chcesz zachować anonimowość lub potrzebujesz pomocy w koordynacji, zespół ds. bezpieczeństwa Chromium z przyjemnością zbada sprawę, skontaktuj się z odpowiednim urzędem certyfikacji i skoordynuje z szerszy przemysł. Szczegółowe informacje można znaleźć pod adresem https://www.chromium.org/Home/chromium-security/reporting-security-bugs.

Zmieniłem zaakceptowaną odpowiedź na tę.Po wszystkim, co się wydarzyło, jest to rada, z której początkowo powinienem był skorzystać.Jeśli dotyczy to urzędów certyfikacji, należy skontaktować się z operatorami sklepów głównych oraz z odpowiednim urzędem certyfikacji.
paj28
2015-06-10 20:00:01 UTC
view on stackexchange narkive permalink

Gratulacje! Brzmi jak duże znalezisko.

Najpierw wygeneruj dowód. Certyfikat SSL github.com brzmi jak dobry początek. Upewnij się, że przechowujesz wszystkie ślady sieciowe, których potrzebujesz, aby dokładnie pokazać, co się stało.

Musisz ustalić, czy podczas wykonywania tej czynności złamałeś jakiekolwiek prawa lub T&C. Jeśli urząd certyfikacji nie ma nagrody za błędy, prawie na pewno tak. W takim przypadku ważne jest, aby zachować anonimowość. Jedną z obaw jest to, że mogłeś już ujawnić swoją tożsamość podczas testu. Na przykład prawdopodobnie musiałeś zapłacić za ten certyfikat; jak dokonałeś płatności? Jeśli złamałeś już prawo w nieanonimowy sposób, to prawie wyklucza jakąkolwiek taktykę silnej ręki przeciwko CA.

Chociaż to godne pochwały, że chcesz skontaktować się z CA, trzymaj się pamiętaj, że masz możliwość sprzedania tej luki. Potencjalnie byłoby to warte 100 000 USD od organizacji takiej jak vupen. Do ciebie należy, co o tym myślisz.

Jeśli chcesz to ujawnić, możesz to zrobić sam, ale zgadzam się z zaleceniem Mike'a, aby skontaktować się z uznanym badaczem. Myślę, że mógłbyś mierzyć trochę wyżej niż naukowiec z uniwersytetu. Taka celebrytka jak Bruce Schnier czy Dan Kaminsky byłaby tym zainteresowana. Musiałbyś zaufać im szczegółami i wykorzystać ich wagę, aby poważnie potraktować problem.

Jeśli chodzi o CloudFlare, który ma wczesny obraz HeartBleed, jest to standardowa praktyka w przypadku głównych luk - kluczowi dostawcy otrzymują wczesne ostrzeżenie. Ale dzieje się to znacznie później w procesie. W przypadku HeartBleed po opracowaniu łatek (ale nie ich publicznej publikacji). Nie jestem pewien, jak to się ma do tej luki. Wygląda na to, że każdy certyfikat wydany przez CA jest teraz podejrzany.

Cokolwiek wybierzesz, powodzenia!

lol - „uważa się, że wielu nabywców to organy ścigania i„ przyjacielska ”inteligencja, co dla większości ludzi jest trochę bardziej przyjemne” - nie dla ludzi, którzy mieszkają w pozostałych 195 krajach!
@MikeOunsworth - Próbowałem zawrzeć w tym zdaniu wystarczająco dużo zastrzeżeń, ale najwyraźniej nie. Edytowano w celu usunięcia. Chociaż mam wrażenie, że ludzie, którzy głosowaliby za twoim komentarzem, zapomnieliby o swoich zasadach, gdyby rzeczywiście mieli wystarczająco dobrego exploita, by go sprzedać.
@paj28 Jeśli cenią sobie prywatność i wolność tak jak ja, nigdy nie sprzedałbym żadnych exploitów żadnym organom ścigania ani agencjom wywiadowczym, żadne pieniądze nie mogą kupić wolności :)
@Freedom - dobrze na tobie. Problem polega oczywiście na tym, że kierowanie się zasadami nie powstrzymuje ich przed kupowaniem exploitów w innym miejscu lub prowadzeniem własnych badań.
„. Nie jestem pewien, jak to się odnosi do tej luki.” - prawdopodobnie odpowiednikiem byłoby udostępnienie jej producentom przeglądarek, systemów operacyjnych itp., Aby mogli wydać rutynową aktualizację po cichu usuwając naruszający certyfikat główny (po certyfikaty klientów zostały zaktualizowane do nowych, które nie są zagrożone) Może nie być konieczne, jeśli urząd certyfikacji ma papierowy ślad, który pozwala sprawdzić, czy jakiekolwiek certyfikaty (inne niż OP) zostały faktycznie wydane w sposób oszukańczy.
@paj28, to jest powód, dla którego obywatele, którzy powinni stać na nielegalnym rynku, dlaczego sprzedaż exploitów rządowi ma być legalna, a jeśli sprzedajesz przestępcom, jesteś przestępcą? Nie widzę różnicy i ten problem będzie bardzo trudny do rozwiązania za pomocą samej technologii
@Freedom - Brzmi to tak, jakby zasługiwało na pytanie samo w sobie. Jak rozumiem, w większości krajów sprzedawanie exploitów przestępcom jest ogólnie legalne, a ich wykorzystywanie przez organy ścigania jest na ogół nielegalne. Może należałoby to zmienić, ale konsekwencje byłyby różnego rodzaju, np. czy metasploit byłby teraz nielegalny? Szczerze mówiąc, nie obchodzi mnie to, oczywistym rozwiązaniem jest dobre działanie operacyjne i naciskanie, aby oprogramowanie było bezpieczniejsze.
Twój link nie działa dla mnie.
1. Nie sprzedawaj tej luki. 2. Jeśli potrzebujesz wystawić certyfikat jako dowód słuszności koncepcji, zrób to w bezpieczny sposób, jak opisano tutaj: https://www.agwa.name/blog/post/how_to_responsbly_misissue_a_cert
@AGWA - Twój post na blogu wygląda dobrze; Dodałbym, że powinieneś wygenerować klucz prywatny na czystym komputerze na wypadek złośliwego oprogramowania. Jeśli chodzi o sprzedaż luki, zamieściłeś tylko żądanie. Ludzie chętniej odpowiedzą na uzasadniony argument.
@paj28: Alternatywą jest również udowodnienie, że została sprzedana, a obie strony transakcji nie są znane. spowodowałoby to zakończenie obecnego systemu opartego na urzędach certyfikacji.
jpa
2015-06-11 10:44:56 UTC
view on stackexchange narkive permalink

W razie wątpliwości możesz również skontaktować się z CERT: https://forms.cert.org/VulReport/

Mają doświadczenie w radzeniu sobie nawet z bardzo poważnymi lukami w zabezpieczeniach, i ogólnie są uważani za zaufaną stronę. Przynajmniej mogą potwierdzić, że Twoja ocena luki w zabezpieczeniach jest poprawna i udokumentować Twój udział w jej znalezieniu.

Chociaż CERT zazwyczaj radzi, abyś sam skontaktował się ze sprzedawcą, jestem pewien, że w przypadku tak dużego przypadku jak ten zaoferowaliby pomoc.

Pracuję dla CERT. Chętnie pomożemy skoordynować tę lukę.
@EdMcMan w zależności od czasu tam (chyba że jesteś stroną, z którą rozmawiał) mógł za tobą tęsknić
Vincent L
2015-06-11 18:43:08 UTC
view on stackexchange narkive permalink

Ryan Sleevi ma w tej sprawie bardzo dobrą radę.

Zanim wygłoszę zbyt wiele alarmów, skontaktuję się z zespołem ds. bezpieczeństwa Chromium zgodnie z jego zaleceniami, aby upewnić się, że niczego nie zrozumiesz.

Czy sprawdziłeś swoją lukę w porównaniu z podstawowymi wymaganiami forum CAB, aby zobaczyć, czy wykonanie Twojej luki łamie te zasady: https://cabforum.org/baseline-requirements-documents/ ?

Na przykład, wiem o praktyce wydawania, która wydaje się pasować do twojego podsumowania, ale AFAIK jest całkowicie poprawny i nie jest luką w oczach forum CAB. Certyfikat można wygenerować dla subdomeny bez kontroli nad katalogiem głównym. To znaczy. możesz uzyskać certyfikat dla test.google.com bez konieczności wykazywania kontroli nad google.com.

Próba uzyskania certyfikatu dla security.stackexchange.com bez demonstrowania kontroli nad stackexchange.com byłaby podobnym przykładem.
Naprawdę? Mój Boże, nie miałem pojęcia. W jaki sposób każdy użytkownik może sprawdzić, na której subdomenie powinien się znajdować?
jCisco
2015-06-12 01:46:13 UTC
view on stackexchange narkive permalink

Zalecałbym, abyś uzyskał dokumentację i demonstrację luki w zabezpieczeniach, jeśli jesteś jej świadomy. Najlepiej byłoby, gdybyś mógł to całkowicie zweryfikować osoba trzecia, która została wczytana w sytuację.

Aby uniknąć problemów związanych z uczciwością lub odrzuceniem przez sprzedawcę porady dotyczącej luki w zabezpieczeniach przeciwko tobie, konieczny jest dodatkowy dowód w postaci demonstracji / wykonania. Ponieważ bierzemy pod uwagę certyfikat, idealne byłoby przechwytywanie łańcucha certyfikatów wykazującego usterkę. Oczywiście przydatna jest każda sesja przechwytywania, która pokazuje srom w akcji.

Bez pełnego ujawnienia po prostu zgaduję, jakiego dowodu potrzebujesz. Weź dowód wykorzystania dokumentacji i wysyłaj do publicznie widocznych lokalizacji, takich jak GitHub, Pastebin, listy e-mailowe. To blokuje niemożność odrzucenia, jeśli twoje dowody są mocne.

Pozostała kwestia to tożsamość i komunikacja ze sprzedawcą i opinią publiczną. Nie będę zawracać sobie głowy ujawnieniem twojej osobistej tożsamości, to zależy od ciebie. Komunikacja, jeśli chcesz mieć ręce i jesteś przygotowany na schrzanić lub nie działać z doświadczeniem w tej sprawie, powiedz, że cała sprawa wybuchnie lub pójdzie na bok, możesz nawiązać kontakt.

Ewentualnie zwróć się o reprezentację do społeczności, EFF lub przynajmniej do swojego prawnika. Zaleca się, aby ktoś chronił Twoje interesy i dokładnie się zastanowił, zanim przyjmie pomoc branżową od firm w zakresie ich możliwości handlowych. Jestem pewien, że społeczność tutaj może polecić kilka opcji reprezentacji, jeśli poprosisz o taką radę.

Na ten zestaw tematów można by napisać całą książkę, starałem się, aby była krótka i nie dotyczyła TLDR; terytorium.

Na marginesie dziękuję za czas spędzony na odkrywaniu tej potencjalnej luki. Jest bardzo potrzebne.

Gary Belvin
2015-06-11 17:30:09 UTC
view on stackexchange narkive permalink

Dostawcy systemów operacyjnych i przeglądarek mogą być dobrym miejscem do zgłoszenia takiej luki, ponieważ zarządzają listami głównych urzędów certyfikacji. Oto kilka odpowiednich linków:

  • www.google.com/about/appsecurity/
  • www.mozilla.org/en-US/about/governance/policies/ grupa-bezpieczeństwa / bugs /
  • www.apple.com/support/security/
  • technet.microsoft.com/en-us/security/ff852094.aspx
user78343
2015-06-11 01:45:44 UTC
view on stackexchange narkive permalink

Możesz również zgłosić to na adres „questions@cabforum.org”, ale pamiętaj, że jeśli dany CA jest członkiem forum CA / B, również je zobaczy. Jednak wszyscy inni członkowie urzędu certyfikacji i przeglądarki. Inną opcją jest zgłoszenie tego do Rady Bezpieczeństwa CA, organizacji zrzeszającej 8 największych publicznych wystawców SSL na świecie. Jest to grupa branżowa, która jest zainteresowana utrzymaniem wysokich standardów dla swoich członków, a także promowaniem najlepszych praktyk wśród wszystkich CA. Formularz jest tutaj: https://casecurity.org/contact-us/

Czy ludzie głosujący w dół mogliby wyjaśnić powody tego?
Ta strona jest mocno zorientowana na reklamy. Link do kontaktu prowadzi do „Media Contacts - Connect Marketing”.
Teraz wydaje się to w porządku.Może ulepszyli stronę.Cofnięto usunięcie.


To pytanie i odpowiedź zostało automatycznie przetłumaczone z języka angielskiego.Oryginalna treść jest dostępna na stackexchange, za co dziękujemy za licencję cc by-sa 3.0, w ramach której jest rozpowszechniana.
Loading...