Polski
Kalendarz Kanały RSS Kontakt Ankiety
Szukaj
Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Home Blog autor: Stefano Ortolani

Stefano Ortolani

2021

Sty

Luty

Mar

Kwie

Maj

Cze

Lip

Sie

Wrze

Paź

List

Gru

Ostatnie posty
Najpopularniejsze

Klucze główne i luki

Stefano Ortolani
Dodany 25 lipca 2013, 08:58 CEST

W ostatnich tygodniach dużo uwagi poświęcano doniesieniom o ujawnieniu kluczy głównych  lub chińskich kluczy głównych (oba incydenty zaliczane są do krytycznych luk w platformie Android). Chociaż sprawa w końcu nieco ucichła, nadal czekamy na ostateczną odsłonę w Las Vegas na konferencji Black Hat w Stanach Zjednoczonych, podczas której Jeff Forristal (naukowiec, który wykrył jedną z wymienionych wyżej luk) wyjaśni wszystkie istotne szczegóły (nigdy nie wiadomo, czy nie będzie jakiejś niespodzianki). Niezależnie od tego, mamy wystarczająco dużo informacji, aby dokonać oceny wpływu tej luki na bezpieczeństwo.   

Po pierwsze, termin „klucz główny” jest nieco mylący; luka ta w rzeczywistości nie ma związku z szyfrowaniem, ale dotyczy ukrywania wewnątrz aplikacji dla Androida (plik apk) dwóch wersji tego samego zasobu w celu częściowego obejścia niektórych metod kontroli integralności. Jednak wpływ luki...


Czytaj dalej

Ufaj, ale weryfikuj: kiedy zawodzą urzędy certyfikacji

Stefano Ortolani
Dodany 28 lutego 2013, 09:52 CET
Tagi:

Obserwowaliśmy niedawno kolejny przypadek utraty kontroli nad certyfikatami dotyczący jednego z dużych urzędów certyfikacji (CA). Znowu oczekiwaliśmy, że albo urząd certyfikacji, albo deweloperzy przeglądarek internetowych coś z tym zrobią. Cały bałagan po raz kolejny wyniknął zarówno z kiepskiego zarządzania, jak i niebagatelnego problemu technicznego. Po pierwsze, tylko ten sam urząd certyfikacji, który wystawił certyfikat, może go później cofnąć. Po drugie – chociaż przeglądarki internetowe posiadają zaimplementowane mechanizmy do sprawdzania stanu odwołania certyfikatu, błędy w procedurze są rzadko traktowane jako poważne awarie.

 

 

CRL
Odnośnik kierujący do listy odwołanych certyfikatów CRL (ang. Certificate Revocation List).

Spośród tych metod, pierwsza (i najstarsza) technika obejmuje utworzenie przez urząd certyfikacji tzw. listy odwołanych certyfikatów (CRL). To wymaga, aby użytkownik sondował...


Czytaj dalej

Analizy

Winnti - więcej niż tylko gra

Blog

Szkodliwe oprogramowanie 'Destover' teraz podpisane cyfrowo przy pomocy certyfikatów Sony (wpis uaktualniony)

Ufaj, ale weryfikuj: kiedy zawodzą urzędy certyfikacji

Problemy urzędu certyfikacji TURKTRUST

Kaspersky Anti-virus Logo

©Kaspersky Lab
Kaspersky Lab Polska Sp. z o.o.

kaspersky.pl

Produkty i Usługi

Sklep

Zagrożenia

Do pobrania

Pomoc techniczna

Partnerzy

O firmie

securelist.pl

Analizy

Statystyki

Encyklopedia

Słownik