Frage:
Wie melde ich eine Sicherheitslücke über eine vertrauenswürdige Zertifizierungsstelle?
MotorStoicLathe
2015-06-10 18:56:41 UTC
view on stackexchange narkive permalink

Ich bin auf eine große Sicherheitslücke in einer Zertifizierungsstelle gestoßen, der alle modernen Browser und Computer vertrauen.

Insbesondere kann ich ein gültiges signiertes Zertifikat für eine Domain erhalten, die ich nicht besitze . Wenn ich die Mittel hätte, ein Mann in der Mitte zu werden, könnte ich ein perfekt gültiges SSL-Zertifikat vorlegen.

Diese Sicherheitsanfälligkeit erforderte keine SQL-Injektionen oder Codierung meinerseits. Ich bin im übertragenen Sinne darüber gestolpert.

Wie kann ich das richtig melden? Ich möchte ethisch korrekt sein und es der betreffenden Zertifizierungsstelle melden, aber ich möchte auch nicht, dass sie einfach die Sicherheitsanfälligkeit beheben und dann alles unter den Teppich kehren. Dieses Problem scheint schon eine Weile aufgetreten zu sein, und ich bin einfach nicht klug genug, um es als einziger zu finden.

Ich befürchte, dass die alleinige Kontaktaufnahme mit der Zertifizierungsstelle zu einer Panik führen kann Ihr Teil und sie befürchten einen DigiNotar-ähnlichen Vorfall und werden alles tun, um die Öffentlichkeit davon abzuhalten, es herauszufinden.

Darf ich auch einige wichtige Akteure wie andere Zertifizierungsstellen oder andere Websites wie z als CloudFlare oder Google? (Ich weiß, dass CloudFlare vor der Veröffentlichung der öffentlichen Ankündigung ein Heads-up zu HeartBleed erhalten hat.)

Hinweis: Ich poste unter einem Pseudonym-Konto, um vorerst anonym zu bleiben. P. >

Bearbeiten: Diese Frage bezieht sich auf eine andere Frage, aber ich bin der Meinung, dass diese Sicherheitsanfälligkeit nicht in den Rahmen dieser Frage fällt. Dies könnte im Wesentlichen das gesamte Internet betreffen (dh jeder, der online ist, ist Kunde), und meine Frage besagt ausdrücklich, dass die einfache Kontaktaufnahme mit dem "Entwickler" (die akzeptierte Antwort auf die verknüpfte Frage) für mich nicht der beste erste Schritt ist.

Bearbeiten 2: Ich habe Kontakt mit einigen Leuten aufgenommen und sie haben mir geraten, nicht weiter in diesem Forum zu reden (sorry Leute!). Ich werde diese Frage später aktualisieren, nachdem die Sicherheitsanfälligkeit vollständig behoben und falsche Zertifikate widerrufen wurden.

Bearbeiten 3: Die Details sind aus. Ich habe auf meiner persönlichen Website weitere Informationen zu den Besonderheiten der Sicherheitsanfälligkeit veröffentlicht. Die Geschichte ist noch nicht abgeschlossen, und Sie können die Diskussion zwischen Mozilla, Google und CA WoSign lesen.

Bearbeiten 4: Wie versprochen aktualisiere ich mit einem Link zu Ein Artikel von Ars Technica zu diesem und anderen Vorfällen mit WoSign. WoSign und StartCom (jetzt im Besitz derselben Firma) sind möglicherweise ernsthaft von einem Root-Widerruf bedroht.

Kommentare sind nicht für eine ausführliche Diskussion gedacht. Diese Konversation wurde [in den Chat verschoben] (http://chat.stackexchange.com/rooms/24859/discussion-on-question-by-motorstoiclathe-how-do-i-report-a-security-vulnerabili).
Hallo, ist jemals etwas daraus geworden? Wenn es eine URL eines Hinweises oder etwas gibt, wäre das interessant!
Warst du das? http://oalmanna.blogspot.co.uk/2016/03/startssl-domain-validation.html
@paj28 Nein, das war nicht ich.Aber ich habe mich endlich an Ars Technica gewandt, um zu sehen, ob sie etwas mit meinen Informationen anfangen wollen.Ich werde diese Frage später mit weiteren Details aktualisieren.Entweder mit einem Link zur Geschichte oder (wenn niemand eine Geschichte schreiben möchte (jetzt> 1 Jahr alte Nachrichten)) mit Einzelheiten zur jetzt behobenen Sicherheitsanfälligkeit.
An alle, die sich fragen, was passiert ist: https://www.schrauger.com/the-story-of-how-wosign-gave-me-an-ssl-certificate-for-github-com
Woah.Es sieht so aus, als würden zwei CAs jetzt von Firefox misstraut, was teilweise darauf zurückzuführen ist.https://docs.google.com/document/d/1C6BlmbeQfn4a9zydVi2UvjBGv6szuSB4sMYUcVrR8vQ/preview
Acht antworten:
Mike Ounsworth
2015-06-10 19:37:59 UTC
view on stackexchange narkive permalink

Es hört sich so an, als ob Ihr Problem darin besteht, dass diese Sicherheitsanfälligkeit größer ist, als Sie zu tun wissen.

Die hier beschriebenen Regeln für eine verantwortungsvolle Offenlegung besagen, dass Sie dies tun sollten Wenden Sie sich an den Anbieter, und verhandeln Sie einen Zeitraum - zwischen 1 Woche und 6 Monaten, abhängig von der Tiefe der erforderlichen Änderungen -, in dem er einen Patch implementieren, Zertifikate widerrufen und erneut ausstellen, Sicherheitsbulletins veröffentlichen usw. kann, bevor Sie loslegen Öffentlichkeit mit Ihren Erkenntnissen. Die Absicht ist, dass Sie am Ende des Verhandlungszeitraums Ihre öffentliche Anerkennung erhalten, aber Ihr Börsengang kann keinen Schaden mehr anrichten - wenn der Anbieter seine Arbeit ordnungsgemäß erledigt hat.

Wenn Sie herausfinden, wie Kontaktieren Sie sie / verhandeln Sie einen Zeitraum für die verantwortungsvolle Offenlegung, veröffentlichen Sie Ihre Ergebnisse am Ende usw., der zu groß für Sie ist, oder Sie wissen nicht, wie Sie anfangen sollen. Dann schlage ich vor, einen bekannten Sicherheitsforscher zu kontaktieren und mit ihm zusammenzuarbeiten wer hat bereits Publikationskanäle eingerichtet. Finden Sie einen großen Namen, der bereits ähnliche Sicherheitslücken veröffentlicht hat, und rufen Sie sie auf! Es hört sich so an, als hätten Sie kein Problem damit, ihre Aufmerksamkeit zu erregen.

Auch herzlichen Glückwunsch! Ich freue mich darauf, Ihren Namen in 6 Monaten auf einem Papier zu sehen!

Auf Vorschlag von @paj28's verallgemeinerte ich mich auf Forscher außerhalb der Universitäten
Wenn Sie Hilfe bei der Ausarbeitung einer Offenlegungsvereinbarung oder nur bei der Kontaktaufnahme mit dem Anbieter benötigen, empfehle ich die Zusammenarbeit mit einem verantwortlichen Dritten wie der Electronic Frontier Foundation oder dem SANS Institute.
Es gibt eine andere Schule der Offenlegung: Vollständige Offenlegung. Ich stimme ihnen nicht unbedingt zu, aber es ist gut zu wissen, dass nicht alle Menschen der Meinung sind, dass verantwortungsvolle Offenlegung verantwortlich ist.
Ryan Sleevi
2015-06-10 21:00:48 UTC
view on stackexchange narkive permalink

Eine solche Behauptung ist im Allgemeinen sehr schwerwiegend.

Obwohl es eine verantwortungsvolle Angelegenheit ist, sich an den betreffenden Anbieter zu wenden, sollten Sie auf jeden Fall in Betracht ziehen, die zuständigen Root Store-Sicherheitsteams zu benachrichtigen, da diese für das Design verantwortlich sind. Um dies zu verhindern, müssen die Sicherheitskontrollen evaluiert und angewendet werden. Sie müssen wahrscheinlich direkt mit der Zertifizierungsstelle zusammenarbeiten, um die Probleme festzustellen.

In Bezug auf eine verantwortungsvolle Offenlegung sollten Sie dies auch sofort jeder der Hauptwurzeln melden Ladenbetreiber: Google, Microsoft, Apple, Mozilla. Suchen Sie einfach nach " <vendor> Sicherheitsfehler melden", und das erste Ergebnis zeigt es Ihnen. Dies sind nur einige der betroffenen Anbieter - z. nicht nur die Zertifizierungsstelle.

Wenn Sie sich nicht sicher sind, wie Sie dies tun sollen, anonym bleiben möchten oder Unterstützung bei der Koordinierung benötigen, ermittelt das Chromium-Sicherheitsteam gerne, kontaktiert die entsprechende Zertifizierungsstelle und koordiniert mit der zuständigen Behörde breitere Industrie. Weitere Informationen finden Sie unter https://www.chromium.org/Home/chromium-security/reporting-security-bugs.

Ich habe meine akzeptierte Antwort auf diese geändert.Nach allem, was passiert ist, ist dies der Rat, den ich ursprünglich hätte befolgen sollen.Wenn es sich um Zertifizierungsstellen handelt, sollten die Root-Store-Betreiber zusammen mit der betreffenden Zertifizierungsstelle kontaktiert werden.
paj28
2015-06-10 20:00:01 UTC
view on stackexchange narkive permalink

Herzlichen Glückwunsch! Klingt nach einem wichtigen Fund.

Generieren Sie zunächst einen Beweis. Das SSL-Zertifikat von github.com klingt nach einem guten Start. Stellen Sie sicher, dass Sie alle Netzwerkspuren behalten, die Sie benötigen, um genau zu zeigen, was passiert ist.

Sie müssen dabei feststellen, ob Sie gegen Gesetze oder T&Cs verstoßen haben. Wenn die CA keine Bug Bounty hat, haben Sie dies mit ziemlicher Sicherheit getan. In diesem Fall ist es wichtig, dass Sie anonym bleiben. Ein Problem hierbei ist, dass Sie möglicherweise bereits während des Tests Ihre Identität preisgegeben haben. Zum Beispiel mussten Sie wahrscheinlich für dieses Zertifikat bezahlen; Wie haben Sie die Zahlung geleistet? Wenn Sie bereits auf nicht anonyme Weise gegen das Gesetz verstoßen haben, schließt dies eine starke Waffentaktik gegen die CA so gut wie aus.

Während es lobenswert ist, dass Sie sich an die CA wenden möchten, sollten Sie dies berücksichtigen Beachten Sie, dass Sie die Möglichkeit haben, diese Sicherheitsanfälligkeit zu verkaufen. Dies wäre möglicherweise 100.000 USD von einer Organisation wie Vupen wert. Es liegt an Ihnen, wie Sie sich dazu fühlen.

Wenn Sie dies offenlegen möchten, können Sie es selbst tun, aber ich stimme Mikes Empfehlung zu, sich an einen etablierten Forscher zu wenden. Ich denke, Sie könnten etwas höher zielen als ein Universitätsforscher. Ein Promi wie Bruce Schnier oder Dan Kaminsky würde sich dafür interessieren. Sie müssten ihnen die Details anvertrauen und ihr Gewicht verwenden, um das Problem ernst zu nehmen.

In Bezug auf CloudFlare, das einen frühen Überblick über HeartBleed erhält, ist dies die Standardpraxis für schwerwiegende Sicherheitslücken - die wichtigsten Anbieter erhalten eine frühe Warnung. Aber das kommt viel später im Prozess. Im Fall von HeartBleed, nachdem Patches entwickelt (aber nicht öffentlich veröffentlicht) wurden. Ich bin mir nicht sicher, wie sich das auf diese Sicherheitsanfälligkeit auswirken würde. Es scheint, dass jedes von der Zertifizierungsstelle ausgestellte Zertifikat jetzt verdächtig ist.

Was auch immer Sie tun, viel Glück!

lol - "Es wird angenommen, dass viele der Käufer Strafverfolgungsbehörden und" freundliche "Geheimdienste sind, die die meisten Menschen etwas schmackhafter finden" - nicht für Menschen, die in den anderen 195 Ländern leben!
@MikeOunsworth - Ich hatte versucht, genug Vorbehalte in diesen Satz zu setzen, aber eindeutig nicht. Zum Entfernen bearbeitet. Obwohl ich das Gefühl habe, dass die Leute, die Ihren Kommentar positiv bewertet haben, ihre Prinzipien vergessen würden, wenn sie tatsächlich einen Exploit hätten, der gut genug wäre, um ihn zu verkaufen.
@paj28 Wenn sie Privatsphäre und Freiheit so schätzen wie ich, würde ich niemals einen Exploit an Strafverfolgungs- oder Geheimdienste verkaufen, kein Geld kann Freiheit kaufen :)
@Freedom - gut auf dich. Das Problem ist natürlich, dass Sie aufgrund ihrer Prinzipien nicht davon abgehalten werden, Exploits anderswo zu kaufen oder ihre eigenen Forschungen durchzuführen.
". Ich bin mir nicht sicher, wie sich das auf diese Sicherheitsanfälligkeit auswirken würde." Kundenzertifikate wurden auf ein neues aktualisiert, das nicht gefährdet ist.) Möglicherweise nicht erforderlich, wenn eine Zertifizierungsstelle über einen Papierpfad verfügt, mit dem festgestellt werden kann, ob Zertifikate (außer OPs) tatsächlich betrügerisch ausgestellt wurden.
@paj28 das ist der Grund, warum die Bürger, die dafür stehen sollten, diesen Markt illegal zu machen, warum es legal sein sollte, Exploits an die Regierung zu verkaufen, und wenn Sie an Kriminelle verkaufen, sind Sie ein Verbrecher? Ich sehe keinen Unterschied und dieses Problem wird nur mit Technologie sehr schwer zu lösen sein
@Freedom - Das klingt so, als hätte es eine eigene Frage verdient. Soweit ich weiß, ist es in den meisten Ländern im Allgemeinen legal, Exploits an Kriminelle zu verkaufen, und die Verwendung von Exploits durch Strafverfolgungsbehörden ist im Allgemeinen illegal. Vielleicht sollte dies geändert werden, aber es würde alle möglichen Auswirkungen geben, z. Wäre Metasploit jetzt illegal? Um ehrlich zu sein, ist es mir egal, die offensichtliche Lösung besteht darin, eine gute Operation durchzuführen und darauf zu drängen, dass die Software sicherer wird.
Ihr Link funktioniert bei mir nicht.
1. Bitte verkaufen Sie diese Sicherheitsanfälligkeit nicht. 2. Wenn Sie ein Zertifikat als Proof of Concept ausstellen müssen, tun Sie dies sicher, wie hier beschrieben: https://www.agwa.name/blog/post/how_to_responsibly_misissue_a_cert
@AGWA - Ihr Blog-Beitrag sieht gut aus. Ich möchte hinzufügen, dass Sie den privaten Schlüssel nur für den Fall von Malware auf einem sauberen Computer generieren sollten. In Bezug auf den Verkauf der Sicherheitsanfälligkeit haben Sie nur eine Anfrage angegeben. Menschen reagieren eher auf ein begründetes Argument.
@paj28: Eine Alternative ist zu beweisen, dass sie verkauft wurde, während beide Parteien der Transaktion unbekannt bleiben. Dies würde dazu führen, dass das derzeitige zertifizierungsstellenbasierte System beendet wird.
jpa
2015-06-11 10:44:56 UTC
view on stackexchange narkive permalink

Wenn Sie sich nicht sicher sind, können Sie sich auch an CERT wenden: https://forms.cert.org/VulReport/

Sie haben Erfahrung im Umgang mit selbst sehr schwerwiegenden Sicherheitslücken. und gelten im Allgemeinen als vertrauenswürdige Partei. Zumindest können sie bestätigen, dass Ihre Einschätzung der Sicherheitsanfälligkeit korrekt ist, und Ihren Beitrag zum Auffinden der Sicherheitsanfälligkeit dokumentieren.

Während CERT Ihnen generell empfiehlt, sich selbst an den Anbieter zu wenden, bin ich mir für einen großen Fall wie diesen sicher Sie würden Hilfe anbieten.

Ich arbeite für CERT. Wir helfen Ihnen gerne bei der Koordinierung dieser Sicherheitsanfälligkeit.
@EdMcMan, abhängig vom Zeitpunkt dort (es sei denn, Sie sind die Partei, mit der er gesprochen hat), hat er Sie möglicherweise vermisst
Vincent L
2015-06-11 18:43:08 UTC
view on stackexchange narkive permalink

Ryan Sleevi hat diesbezüglich sehr gute Ratschläge.

Bevor ich zu viele Alarme auslöse, würde ich mich wie empfohlen an das Chromium-Sicherheitsteam wenden, um sicherzustellen, dass Sie nichts falsch verstehen.

Haben Sie Ihre Sicherheitsanfälligkeit anhand der Grundanforderungen des CAB-Forums überprüft, um festzustellen, ob die Ausführung Ihrer Sicherheitsanfälligkeit gegen diese Regeln verstößt: https://cabforum.org/baseline-requirements-documents/ ?

Ich kenne beispielsweise eine Ausstellungspraxis, die mit Ihrer Zusammenfassung übereinstimmt, aber AFAIK ist absolut gültig und in den Augen des CAB-Forums keine Sicherheitslücke. Ein Zertifikat kann für eine Subdomain generiert werden, ohne die Kontrolle über das Stammverzeichnis zu haben. Das heißt, Sie können ein Zertifikat für test.google.com erhalten, ohne die Kontrolle über google.com nachweisen zu müssen.

Ein ähnliches Beispiel wäre der Versuch, ein Zertifikat für security.stackexchange.com zu erhalten, ohne die Kontrolle über stackexchange.com zu demonstrieren.
"Ja wirklich?" Mein Gott, ich hatte keine Ahnung. Wie kann ein Benutzer überprüfen, auf welcher Subdomain er sich befinden soll?
jCisco
2015-06-12 01:46:13 UTC
view on stackexchange narkive permalink

Ich würde empfehlen, dass Sie Dokumentation und Demonstration der Sicherheitsanfälligkeit erhalten, sobald Sie sich dessen bewusst sind. Idealerweise, wenn Sie dies vollständig von einem Dritten überprüfen lassen können, der in die Situation eingelesen wurde.

Um Integritätsprobleme oder die Ablehnung des Hinweises auf die Sicherheitsanfälligkeit gegen Sie durch den Anbieter zu vermeiden, ist ein zusätzlicher Nachweis durch Demonstration / Ausführung erforderlich. Da wir ein Zertifikat beziehen, ist es ideal, eine Zertifikatkette zu erfassen, die den Fehler nachweist. Natürlich ist jede Sitzungserfassung nützlich, die die Vuln in Aktion zeigt.

Ohne vollständige Offenlegung rate ich nur, welchen Beweis Sie sowieso brauchen. Nehmen Sie den Nachweis der Exploit-Dokumentation und des Seeds an öffentlich sichtbaren Orten wie GitHub, Pastebin und E-Mail-Listen. Dies verhindert, dass Sie nicht zurückweisen können, wenn Ihre Beweise stark sind.

Das verbleibende Problem ist die Identität und Kommunikation mit dem Anbieter und der Öffentlichkeit. Ich werde mich nicht darum kümmern, die Offenbarung Ihrer persönlichen Identität nicht zu verwenden, es liegt an Ihnen. Kommunikation, wenn Sie praktisch sein möchten und bereit sind, Fehler zu machen oder nicht mit Erfahrung zu handeln, wenn das Ganze in die Luft sprengt oder seitwärts geht, können Sie den Kontakt herstellen.

Alternativ können Sie sich entweder von der Gemeinde, von EFF oder zumindest von Ihrem Anwalt vertreten lassen. Jemand, der Ihre Interessen schützt, ist ratsam und überlegt sorgfältig, bevor er die Hilfe der Industrie von einem Unternehmen in seiner kommerziellen Eigenschaft annimmt. Ich bin sicher, dass die Community hier einige Auswahlmöglichkeiten für die Repräsentation empfehlen kann, wenn Sie solche Ratschläge einholen.

Es könnte ein ganzes Buch zu diesem Themensatz geschrieben werden. Ich habe versucht, es kurz und aus TLDR herauszuhalten. Gebiet.

Vielen Dank auch für die Zeit, die Sie damit verbracht haben, diese potenzielle Sicherheitsanfälligkeit aufzudecken. Es wird dringend benötigt.

Gary Belvin
2015-06-11 17:30:09 UTC
view on stackexchange narkive permalink

Betriebssystem- und Browseranbieter sind möglicherweise ein guter Ort, um eine solche Sicherheitsanfälligkeit zu melden, da sie die Stammzertifizierungsstellenlisten verwalten. Hier einige relevante Links:

  • www.google.com/about/appsecurity/
  • www.mozilla.org/en-US/about/governance/policies/ Sicherheitsgruppe / Fehler /
  • www.apple.com/support/security/
  • technet.microsoft.com/en-us/security/ff852094.aspx
user78343
2015-06-11 01:45:44 UTC
view on stackexchange narkive permalink

Sie können es auch an "question@cabforum.org" melden. Beachten Sie jedoch, dass die betreffende Zertifizierungsstelle, wenn sie Mitglied des CA / B-Forums ist, diese auch sieht. Dies gilt jedoch auch für alle anderen CA- und Browser-Mitglieder. Eine weitere Möglichkeit besteht darin, dies dem CA Security Council zu melden, einer Organisation der 8 größten öffentlichen SSL-Emittenten der Welt. Dies ist eine Branchengruppe, die ein Interesse daran hat, hohe Standards für ihre Mitglieder aufrechtzuerhalten und Best Practices unter allen Zertifizierungsstellen zu fördern. Das Formular finden Sie hier: https://casecurity.org/contact-us/

Könnten die Leute, die dies ablehnen, bitte die Gründe dafür erklären?
Diese Seite ist stark werbeorientiert. Der Kontaktlink führt zu "Medienkontakte - Connect Marketing".
Das scheint jetzt in Ordnung zu sein.Vielleicht haben sie die Seite verbessert.Nicht gelöscht.


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...