Nouvelle version disponible.
SSLsplit is a tool for man-in-the-middle attacks against SSL/TLS encrypted network connections. Connections are transparently intercepted through a network address translation engine and redirected to SSLsplit. SSLsplit terminates SSL/TLS and initiates a new SSL/TLS connection to the original destination address, while logging all data transmitted. SSLsplit is intended to be useful for network forensics and penetration testing.
Les pauvres, ils sont tellement occupés à courir après les hackers qu’ils n’ont pas remarqué que leur certificat pour leur site arrivait à expiration :p
Alors qu’au mois de juillet, le CA KPN découvrait déjà des outils laissés par des pirates sur ses serveurs, le voilà qu’il ferme temporairement les sites Internet de sa filiale Gemnet suite à une intrusion exploitant un phpMyAdmin avec des pass à la con…
Via ElReg :
Les CAs sont devenus la nouvelle plaie de l’Internet…
Cette fois c’est KPN aux Pays-Bas qui a décidé de stopper temporairement son activité de gestion de certificats après la découverte d’outils de hack (DDoS) sur l’un de ses serveurs.
A quoi bon générer des certs de 1024 ou 2048 octets ? Ça prend du temps, ça consomme du CPU… et puis qui le découvrira ?
C’est peut-être ce qu’a du se dire les n00bz de chez Digicert Malaysia, une autorité de certification intermédiaire qui avait elle-même été certifié par EnTrust…
En effet chez Digicert Malaysia, ils ont issu des certificats basés sur des clés privés faibles de 512 bits alors que selon la page Wikipedia RSA (section sécurité), il est à l’heure actuelle courant d’utiliser des clés de 2048 bits pour avoir l’esprit tranquille.
Le genre de bourde qui ne pose pas de problème pour un particulier ayant envie de s’amuser un peu avec des clés GPG mais carrément grave pour un CA qui destine ces clés à un gouvernement !
Bien qu’aucun piratage ne semble avoir eu lieu dans cette affaire (contrairement à Diginotar), EnTrust ainsi que différents navigateurs ont déjà révoqué la confiance envers ce CA qui risque bien de finir comme Diginotar (la clé sous la porte).
Via Full-Disclosure :
Le groupe The Hacker’s Choice a annoncé sur son blog la disponibilité d’un nouvel outil d’attaque par déni de service qui exploite une spécificité technique de l’utilisation de SSL/TLS.
Tout est expliqué sur la page de l’outil :
THC-SSL-DOS is a tool to verify the performance of SSL.
Establishing a secure SSL connection requires 15x more processing
power on the server than on the client.THC-SSL-DOS exploits this asymmetric property by overloading the
server and knocking it off the Internet.This problem affects all SSL implementations today. The vendors are aware
of this problem since 2003 and the topic has been widely discussed.This attack further exploits the SSL secure Renegotiation feature
to trigger thousands of renegotiations via single TCP connection.
Via PCInpact :
D’après un message posté sur pastebin, l’auteur du hack de DigiNotar et du vol des certificats ne serait autre que le hacker du CA Comodo.
Dans sa prose habituelle et l’humilité qui est la sienne il indique avoir toujours des accès chez Comodo et avoir aussi piraté les CAs GlobalSign et StartCom…
Le pirate aurait aussi un compte Twitter sur lequel il relaye les infos traitant de lui.
Il indique qu’il donnera plus de détails de techniques de ses hacks… à suivre.
Notre nouveau feuilleton de la rentrée 
Edit 7 septembre :
Nouveaux messages du ComodoHacker sur Pastebin (voir les commentaires)
TheRegister publie un article sur les résultats de l’audit de sécurité de DigiNotar réalisé post-intrusion par la boite Fox-IT… et c’est pas joli joli : logiciels pas à jours, réseau mal pensé, mauvais passwords, protocoles en clair, absence d’AV.
Le pirate a utilisé des tools connus comme Cain & Abel + quelques scripts à lui.
Via TheRegister, PCWorld :
On en sait désormais un peu plus sur l’origine des certificats frauduleux de DigiNotar.
Dans un audit du 19 juillet il a été découvert que leur serveur a été piraté.
DigiNotar s’est exprimé publiquement sur cette attaque (maintenant que le scandale a eu lieu) et il semblerait que plusieurs douzaines de certificats soient touchés, pas uniquement ceux liés à Google…
F-Secure s’est penché sur le passé de DigiNotar en terme de sécurité et c’est pas joli. Leur site a à plusieurs reprises été visité par des hackeurs iraniens et turcs.
C’est un internaute iranien qui a fait l’étrange découverte d’un certificat pour *.google.com qui semblait être actif de façon plus ou moins aléatoire (une heure par jour) quand il se connectait sur GMail.
Ce certificat a été émis le 10 juillet par le CA néerlandais DigiNotar qui ne s’est pas exprimé sur le sujet et qui a pourtant révoqué ce certificat depuis. A qui ce certificat était-il destiné ? Qui la demandé ? Comment a t-il était signé ? Est-ce la conséquence d’une intrusion ? D’une erreur du CA ? Les questions vont bon train…
A suivre…
Sources : TheRegister, Guardian, NakedSecurity (Sophos)
Via SC Magazine :
A la conf BlackHat, la société Whisper Systems a présenté un nouvel outil pour se protéger des attaques qui visent les autorités de certification et par conséquence les internautes.
Ce type d’attaque ayant fait grand bruit ces derniers temps.
L’outil baptisé Convergence est une extension Firefox qui permettra à chaque internaute de définir le niveau de confiance qu’il a en telle ou telle sécurité plutôt que s’en remettre aux choix de la société éditrice du navigateur ou de son admin système.
Ça n’empêchera donc pas les autorités de certifications de se faire hacker… à voir.