Domanda:
Come si segnala una vulnerabilità di sicurezza relativa a un'autorità di certificazione attendibile?
MotorStoicLathe
2015-06-10 18:56:41 UTC
view on stackexchange narkive permalink

Mi sono imbattuto in un'enorme vulnerabilità di sicurezza in un'autorità di certificazione considerata attendibile da tutti i browser e computer moderni.

In particolare, sono in grado di ottenere un certificato firmato valido per un dominio che non possiedo . Se avessi i mezzi per diventare un uomo in mezzo, sarei in grado di presentare un certificato SSL perfettamente valido.

Questa vulnerabilità non richiedeva da parte mia iniezioni SQL o codifica. In senso figurato mi sono imbattuto in esso.

Qual è il modo corretto per segnalarlo? Voglio essere etico e riferirlo all'AC incriminato, ma non voglio nemmeno che risolva semplicemente la vulnerabilità e poi spazzi tutto sotto il tappeto. Questo problema sembra esistere da un po 'e semplicemente non sono abbastanza intelligente da essere l'unico in grado di trovarlo.

Temo che il solo contatto con la CA provochi il panico la loro parte e loro, temendo un incidente simile a DigiNotar, faranno di tutto per impedire al pubblico di scoprirlo.

Mi è consentito contattare anche alcuni importanti attori, come altre autorità di certificazione o altri siti come come CloudFlare o Google? (So ​​che CloudFlare è stato avvisato di HeartBleed prima che venisse pubblicato l'annuncio pubblico.)

Nota: sto postando con un account pseudonimo per (provare a) rimanere anonimo per ora.

Modifica: questa domanda è correlata a un'altra domanda, ma ritengo che questa vulnerabilità non rientri nell'ambito di tale domanda. Ciò potrebbe interessare essenzialmente l'intera Internet (ovvero tutti gli utenti online sono clienti) e la mia domanda afferma esplicitamente che il semplice contatto con lo "sviluppatore" (la risposta accettata per la domanda collegata) non mi sembra il miglior primo passo.

Modifica 2: sono entrato in contatto con alcune persone e mi hanno consigliato di evitare di parlare ulteriormente su questo forum (scusate ragazzi!). Aggiornerò questa domanda più tardi, dopo che la vulnerabilità è stata completamente risolta e tutti i certificati errati revocati.

Modifica 3: i dettagli sono disponibili. Ho pubblicato ulteriori informazioni sul mio sito personale sulle specifiche della vulnerabilità. La storia è ancora in corso e puoi leggere la discussione tra Mozilla, Google e CA WoSign.

Modifica 4: come promesso, sto aggiornando con un link a un articolo scritto da Ars Technica riguardante questo e altri incidenti che coinvolgono WoSign. Sembra che WoSign e StartCom (ora di proprietà della stessa azienda) possano essere in serio pericolo di revoca del root.

I commenti non sono per discussioni estese; questa conversazione è stata [spostata in chat] (http://chat.stackexchange.com/rooms/24859/discussion-on-question-by-motorstoiclathe-how-do-i-report-a-security-vulnerabili).
Ciao, ne è mai venuto fuori qualcosa? Se c'è un URL di un avviso o qualcosa del genere, sarebbe interessante!
Eri tu? http://oalmanna.blogspot.co.uk/2016/03/startssl-domain-validation.html
@paj28 No, non ero io.Ma alla fine sono riuscito a contattare Ars Technica per vedere se vogliono fare qualcosa con le mie informazioni.Aggiornerò questa domanda con maggiori dettagli in seguito con maggiori dettagli.O con un collegamento alla storia, o (se nessuno si preoccupa di scrivere una storia (notizie vecchie> 1 anno ora)) con specifiche sulla vulnerabilità ora risolta.
A chiunque si chieda cosa sia successo: https://www.schrauger.com/the-story-of-how-wosign-gave-me-an-ssl-certificate-for-github-com
Woah.Sembra che le _two_ CA saranno ora diffidate da Firefox, in parte a causa di ciò.https://docs.google.com/document/d/1C6BlmbeQfn4a9zydVi2UvjBGv6szuSB4sMYUcVrR8vQ/preview
Otto risposte:
Mike Ounsworth
2015-06-10 19:37:59 UTC
view on stackexchange narkive permalink

Sembra che il tuo problema sia che questa vulnerabilità è più grande di quanto sai cosa farsene.

Le regole della divulgazione responsabile, come descritto qui, dicono che dovresti contattare il fornitore e negoziare un periodo di tempo - tra 1 settimana e 6 mesi, a seconda della profondità delle modifiche richieste - in cui può implementare una patch, revocare e riemettere certificati, pubblicare bollettini sulla sicurezza, ecc., prima di andare pubblico con le tue scoperte. L'intenzione è che alla fine del periodo negoziato tu ottenga il tuo riconoscimento pubblico, ma il tuo diventare pubblico non può più fare del male, se il venditore ha svolto correttamente il proprio lavoro.

contattarli / negoziare un periodo di divulgazione responsabile, rendere pubblici i risultati alla fine, ecc., è troppo grande per te, o non sai come iniziare, quindi suggerisco di contattare e collaborare con un noto ricercatore di sicurezza che ha già stabilito canali di pubblicazione. Trova un nome importante che ha già pubblicato vulnerabilità simili e chiamalo! Sembra che non avrai problemi ad attirare la loro attenzione.

Inoltre congratulazioni! Non vedo l'ora di vedere il tuo nome su un foglio tra 6 mesi!

su suggerimento di @paj28's, ho generalizzato ai ricercatori oltre le università
Se hai bisogno di aiuto per elaborare un accordo di divulgazione, o solo la logistica per contattare il venditore, allora suggerisco di lavorare con una terza parte responsabile come la Electronic Frontier Foundation o il SANS Institute.
C'è un'altra scuola di divulgazione: divulgazione completa. Non sono necessariamente d'accordo con loro, ma è bene sapere che le persone non sono tutte d'accordo che la divulgazione responsabile sia responsabile.
Ryan Sleevi
2015-06-10 21:00:48 UTC
view on stackexchange narkive permalink

Tale affermazione è generalmente piuttosto seria.

Sebbene contattare il fornitore in questione sia una questione responsabile, dovresti sicuramente considerare di notificare i team di sicurezza del root store pertinenti, poiché sono responsabili della progettazione, valutare e applicare i controlli di sicurezza per evitare che ciò accada, e probabilmente dovrà collaborare direttamente con la CA per accertare i problemi.

In termini di divulgazione responsabile, dovresti anche segnalarlo immediatamente a ciascuna delle principali fonti gestori di negozi: Google, Microsoft, Apple, Mozilla. Cerca semplicemente " <vendor> report security bug" e il primo risultato te lo dirà. Questi sono solo alcuni dei fornitori interessati, ad es. non solo la CA.

Se non sei sicuro di come farlo, desideri rimanere anonimo o hai bisogno di assistenza per il coordinamento, il team di sicurezza di Chromium sarà lieto di indagare, contattare la CA appropriata e coordinarsi con il industria più ampia. Vedi https://www.chromium.org/Home/chromium-security/reporting-security-bugs per i dettagli.

Ho cambiato la mia risposta accettata a questa.Dopo tutto quello che è successo, questo è il consiglio che avrei dovuto seguire inizialmente.Se si tratta di autorità di certificazione, è necessario contattare gli operatori dell'archivio principale insieme alla CA in questione.
paj28
2015-06-10 20:00:01 UTC
view on stackexchange narkive permalink

Congratulazioni! Sembra una scoperta importante.

Innanzitutto, genera una prova. Il certificato SSL github.com sembra un ottimo inizio. Assicurati di conservare tutte le tracce di rete di cui hai bisogno per mostrare esattamente cosa è successo.

Devi determinare se hai infranto qualche legge o T&C mentre lo facevi. Se la CA non ha un bug bounty, quasi sicuramente l'hai fatto. In tal caso, è importante che tu rimanga anonimo. Una preoccupazione qui è che potresti aver già rivelato la tua identità durante il test. Ad esempio, probabilmente hai dovuto pagare per quel certificato; come hai effettuato il pagamento? Se hai già infranto la legge in modo non anonimo, questo praticamente esclude qualsiasi tattica del braccio forte contro la CA.

Anche se è lodevole che tu voglia entrare in contatto con la CA, tieni duro tieni presente che hai la possibilità di vendere questa vulnerabilità. Questo potrebbe potenzialmente valere $ 100.000 da un'organizzazione come vupen. Sta a te come ti senti a riguardo.

Se vuoi rivelare, potresti farlo da solo, ma sono d'accordo con la raccomandazione di Mike di contattare un ricercatore affermato. Penso che potresti puntare un po 'più in alto di un ricercatore universitario. Una celebrità come Bruce Schnier o Dan Kaminsky sarebbe interessata a questo. Dovresti fidarti di loro con i dettagli e usare il loro peso per prendere sul serio il problema.

Per quanto riguarda CloudFlare che ottiene una visione anticipata di HeartBleed, questa è una pratica standard per le principali vulnerabilità: i fornitori chiave ottengono un allerta precoce. Ma questo avviene molto più tardi nel processo. Nel caso di HeartBleed, dopo che le patch erano state sviluppate (ma non rilasciate pubblicamente). Non sono sicuro di come ciò si applicherebbe a questa vulnerabilità. Sembra che ogni certificato emesso dalla CA sia ora sospetto.

Qualunque cosa tu scelga di fare, buona fortuna!

lol - "si pensa che molti degli acquirenti siano forze dell'ordine e intelligenza" amichevole ", che la maggior parte delle persone trova un po 'più appetibile" - non per le persone che vivono negli altri 195 paesi!
@MikeOunsworth - Avevo provato a mettere abbastanza avvertimenti in quella frase, ma chiaramente no. Modificato per rimuovere. Anche se ho la sensazione che le persone che hanno votato positivamente il tuo commento dimenticherebbero i loro principi se avessero effettivamente un exploit abbastanza buono da vendere.
@paj28 Se apprezzano la privacy e la libertà come me, non venderei mai alcun exploit alle forze dell'ordine o alle agenzie di intelligence, nessun denaro può comprare la libertà :)
@Freedom - bravo con te. Il problema è ovviamente che il tuo principio non impedisce loro di acquistare exploit altrove o di fare le proprie ricerche.
". Non sono sicuro di come ciò si applicherebbe a questa vulnerabilità." - probabilmente l'equivalente sarebbe rilasciarlo a fornitori di browser, fornitori di sistemi operativi, ecc., In modo che possano emettere un aggiornamento di routine rimuovendo silenziosamente il certificato principale offensivo (dopo i certificati dei clienti sono stati aggiornati a uno nuovo non compromesso) Potrebbe non essere necessario se una CA ha una traccia cartacea in grado di rilevare se i certificati (diversi dai PO) sono stati effettivamente emessi in modo fraudolento.
@paj28 questo è il motivo per cui i cittadini che dovrebbero lottare per rendere illegale questo mercato, perché dovrebbe essere legale vendere exploit al governo e se vendi a criminali sei un criminale? Non vedo la differenza e questo problema sarà molto difficile da risolvere utilizzando solo la tecnologia
@Freedom - Sembra che meriterebbe una domanda a sé stante. A quanto mi risulta, nella maggior parte dei paesi è generalmente legale vendere exploit ai criminali e l'uso degli exploit da parte delle forze dell'ordine è generalmente illegale. Forse questo dovrebbe essere cambiato, ma ci sarebbero tutti i tipi di ripercussioni, ad es. metasploit ora sarebbe illegale? Ad essere onesto, non mi interessa, la soluzione ovvia è esercitare un buon opsec e spingere affinché il software sia più sicuro.
Il tuo link non funziona per me.
1. Per favore, non vendere questa vulnerabilità. 2. Se è necessario emettere un certificato come prova di concetto, farlo in modo sicuro, come descritto qui: https://www.agwa.name/blog/post/how_to_responsibly_misissue_a_cert
@AGWA - Il tuo post sul blog sembra buono; Aggiungerei che dovresti generare la chiave privata su una macchina pulita solo in caso di malware. Per quanto riguarda la vendita della vulnerabilità, hai incluso solo una richiesta. È più probabile che le persone rispondano a un argomento ragionato.
@paj28: Un'alternativa è anche dimostrare che è stato venduto mantenendo sconosciute entrambe le parti della transazione. ciò comporterebbe la fine dell'attuale sistema basato sull'autorità di certificazione.
jpa
2015-06-11 10:44:56 UTC
view on stackexchange narkive permalink

In caso di dubbi, puoi anche contattare il CERT: https://forms.cert.org/VulReport/

Hanno esperienza nell'affrontare vulnerabilità di sicurezza anche molto gravi, e sono generalmente considerati una parte fidata. Almeno possono confermare che la tua valutazione della vulnerabilità è corretta e documentare la tua parte nel trovarla.

Anche se il CERT generalmente ti consiglia di contattare personalmente il fornitore, per un caso importante come questo sono sicuro offrirebbero assistenza.

Lavoro per CERT. Saremmo felici di aiutare a coordinare questa vulnerabilità.
@EdMcMan a seconda del momento (a meno che tu non sia la persona con cui ha parlato) potrebbe averti mancato
Vincent L
2015-06-11 18:43:08 UTC
view on stackexchange narkive permalink

Ryan Sleevi ha ottimi consigli in merito.

Prima di far suonare troppi allarmi, contatterei il team di sicurezza di Chromium come ha consigliato, solo per assicurarmi che tu non fraintenda nulla.

Hai verificato la tua vulnerabilità rispetto ai requisiti di base del forum CAB per vedere se l'esecuzione della tua vulnerabilità infrange queste regole: https://cabforum.org/baseline-requirements-documents/ ?

Ad esempio, conosco una pratica di emissione che sembra corrispondere al tuo riepilogo, ma AFAIK è totalmente valido e non una vulnerabilità agli occhi del CAB Forum. È possibile generare un certificato per un sottodominio senza avere il controllo sulla radice. Cioè puoi ottenere un certificato per test.google.com senza dover dimostrare il controllo su google.com.

Cercare di ottenere un certificato per security.stackexchange.com senza dimostrare il controllo su stackexchange.com sarebbe un esempio simile.
Veramente? Mio dio non ne avevo idea. Come può qualsiasi utente convalidare su quale sottodominio dovrebbe trovarsi?
jCisco
2015-06-12 01:46:13 UTC
view on stackexchange narkive permalink

Ti consiglio di ottenere la documentazione e la dimostrazione della vulnerabilità man mano che ne sei consapevole. Idealmente se puoi farlo verificare interamente da una terza parte, che è stata letta nella situazione.

Per evitare problemi di integrità o ripudio da parte del fornitore dei consigli sulla vulnerabilità nei tuoi confronti, è necessaria una prova aggiuntiva tramite dimostrazione / esecuzione. Dal momento che stiamo prendendo un certificato correlato, l'acquisizione di una catena di certificati che dimostri un errore sarebbe l'ideale. Ovviamente qualsiasi cattura di sessione che mostra il vuln in azione è utile.

Senza rivelazione completa, sto solo indovinando di quale prova hai bisogno comunque. Prendi la prova della documentazione dell'exploit e avvia il seed in posizioni pubblicamente visibili come GitHub, Pastebin, elenchi di posta elettronica. Questo blocca l'incapacità di ripudiare se le tue prove sono forti.

Il problema rimanente è l'identità e la comunicazione con il venditore e il pubblico. Non mi prenderò la briga di rifiutare la rivelazione della tua identità personale, dipende da te. Comunicazioni, se vuoi essere pratico e preparato a sbagliare o non agire con esperienza nel caso in cui dica che l'intera cosa esplode o va di lato, puoi fare il contatto.

In alternativa, cerca una rappresentanza, dalla comunità, da EFF o per lo meno dal tuo avvocato. È consigliabile che qualcuno protegga i tuoi interessi e rifletta attentamente prima di accettare l'aiuto dell'industria da parte di un'azienda nella sua capacità commerciale. Sono sicuro che la comunità qui può consigliare alcune scelte sulla rappresentazione se solleciti tale consiglio.

Si potrebbe scrivere un intero libro su questo insieme di argomenti, ho cercato di mantenerlo breve e fuori dai TLDR; territorio.

Inoltre in una nota a margine, grazie per il tempo che hai dedicato alla scoperta di questa potenziale vulnerabilità. È assolutamente necessario.

Gary Belvin
2015-06-11 17:30:09 UTC
view on stackexchange narkive permalink

I fornitori di sistemi operativi e browser potrebbero essere un buon posto per segnalare una vulnerabilità di questo tipo poiché gestiscono gli elenchi di CA radice. Di seguito sono riportati alcuni link rilevanti:

  • www.google.com/about/appsecurity/
  • www.mozilla.org/en-US/about/governance/policies/ security-group / bugs /
  • www.apple.com/support/security/
  • technet.microsoft.com/en-us/security/ff852094.aspx
user78343
2015-06-11 01:45:44 UTC
view on stackexchange narkive permalink

Puoi anche segnalarlo a "questions@cabforum.org" ma renditi conto che se la CA in questione è un membro del forum CA / B, lo vedranno anche loro. Tuttavia, lo saranno anche tutti gli altri membri della CA e del browser. Un'altra opzione è segnalarlo al CA Security Council, un'organizzazione degli 8 maggiori emittenti SSL pubblici al mondo. Questo è un gruppo industriale che ha interesse a sostenere standard elevati per i suoi membri, nonché a promuovere le migliori pratiche tra tutte le CA. Il modulo è qui: https://casecurity.org/contact-us/

Le persone che votano per difetto potrebbero spiegare il ragionamento alla base?
Questa pagina è fortemente orientata alla pubblicità. Il collegamento del contatto va a "Contatti media - Connect Marketing".
Adesso sembra a posto.Forse hanno migliorato la pagina.Non cancellato.


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...