Sahte Microsoft İmzası

0
anonim
Microsoft bir işletim sistemi üzerinde yine Microsoft bir web tarayıcısı kullanırken akla gelen ilk şey bu dijital imzalardan en güvenilir olanının yine Microsoft firmasına ait olacağını düşünmektir, çok normal bir şekilde de olması gereken budur.

Fakat ne yazık ki durumun böyle olmadığı Microsoft tarafından yapılan ilginç bir açıklamayla anlaşılmıştır. Yapılan açıklamada denildiğine göre 29 Ocak ve 30 Ocak 2001 tarihinde VeriSign dijital imza firmasından bir kullanıcı Microsoft’un bir elemanı olduğuna inandırarak Class3 bir kod imzasını Microsoft adına elde etmeyi başarmış. Bu da pek tabii ki normalde Microsoft’a ait olmayan bir takım kodların sanki Microsoft tarafından dağıtılıyormuş gibi Internet Explorer’da uyarının gelmesi demek. Bu sayede eğer istenirse ActiveX kontrolleriyle ya da MS Office makroları ile bilgisayarınıza girilmesi ya da zarar verilmesi mümkün olmakta. Bu duruma bir aktif içerikli bir web sayfasını ziyaret ederken düşebileceğiniz gibi, üzerinde eklenti bulunan bir mail ile de başınız derde girebilir. Üstelik yapanın imzasında Microsoft yazdığı halde.
Peki Nasıl Güvenli Kalınabilir?

Öncelikle belirtilmesi gereken bu yanlış dijital imzanın sadece 29 ya da 30 Ocak 2001 tarihindekiler için geçerli olduğudur. Yani eğer bir web sayfasını görüntülemeye çalışırken ya da Outlook içerisinde ilişik bir programı çalıştırmaya yeltendiğinizde karşınıza bu içerik ya da program Microsoft tarafından 29 (ya da 30) Ocak 2001 tarihinde imzalanmıştır güvenip devam etmek ister misiniz uyarısı geldiğinde güvenmemeniz gerekmektedir. Bunun yanı sıra diğer tarihli Microsoft imzaları şimdilik güvenli. Eğer daha öncesinde bu türden bir güvenlik ayarı için Microsoft imzalı sertifikalara her zaman güven ayarı seçili ise vakit kaybetmeden Explorer içerisinde durumu geriye ayarlayın.

Kaynak: http://www.akser.com.tr/main4.asp?L=TR&site=4&mid=262

Görüşler

0
bio
3 Senelik sorunları arada bir gündeme getirmek lazım bence de...

"In related news, Linux kernel 1.0 is reported to have some serious security holes that can be exploited using a VT-100 terminal..."
0
Nightwalker
Aslında en güvenli yol internet tarayıcının hiç bir sertifika onayına izin vermemek. Hatta daha güvenlisi bilgisayarın internet bağlantısını kesmek. AMA bu gün bu yazıyı okuyanlardan ( bir şekilde M$ kullananlar tabi ki) kaç tanesi sertifika tarihini kontrol ediyor ? Emin ol ki bir çok kişi süresi dolmuş sertifika uyarısını alsa bile büyük şirketlerden birinin ismini görünce ( bazıları görmeden de ) sertifikayı onaylıyor. Linux kerneli 1.0 versiyonundan beri kaç kez güncellendi hiç saydın mı ? Bırak 1.0 ı 2.4 deki bir güvenlik açığının 2.6 da bulunması dahi emin ol çok çok düşük bir olasılık. Peki verisign yada m$ bu malum 3 senelik güvenlik açığı konusunda ne yaptı ? HİÇ. Bu sorun kullanıcılar için hala var olmaya ve onları tehdit etmeye devam ediyor mu ? EVET. 3 senelik bir sorunu gündeme getirmek konusuna gelince. Ne gereği var canım... :)
0
bio
Tamam da bunu hatırlatmanın frekansı nedir? Sorun düzelmediği sürece her gün mü? Her ay mı? Her sene 29-31 Ocak arasında mı? Yoksa 3 senede bir mi? Haber "Blah blah sorunu 3 yıl geçmesine rağmen çözülmedi! Nerde bu devlet!" olsaydı anlardım...

Ayrıca Microsoft sorunu çözen bir patch de çıkarmadı değil. Nette ufak bir arama bizi http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-017.asp sitesine götürür.

Eğer "AMA bu gün bu yazıyı okuyanlardan ( bir şekilde M$ kullananlar tabi ki) kaç tanesi bu patchleri kuruyor?" argümanına devam edeceksen, "Linux kullananlardan kaç tanesi 2.4'teki açıklarsan sonra 2.6'ya geçiyor" gibi bir karşılık gelir; ki her ikisi de saçmadır. Her yazılımda güvenlik açığı olur (ki bu açık bir yazılım açığı değil! Verisign'ın bariz bir hatası). Kullanıcılar bilinçli olmadıkça güvende olamazlar.

Asıl sorumlu olan Verisign ne yaptı dersek; Verisign da sertifikaları iptal etti. Ancak teknik sorunlar var:

http://www.pkiforum.com/resources/alert_verisigncerts.html

VeriSign has revoked the certificates and added them to its certificate revocation list (CRL). However, VeriSign code-signing certificates do not support automatic CRL-checking because they do not contain CRL Distribution Point (CDP) information. This means that unless a user takes the initiative to manually check VeriSign's CRL before installing any software signed with these certificates, the user's computer will trust any program signed with the fraudulent certificates.
Görüş belirtmek için giriş yapın...

İlgili Yazılar

Code:Red Konusunda birkaç tecrübe

bonzo

Selamlar,
Buralarda yeniyim bu nedenle yapısını bilemiyorum. Yazdıklarım basit gelebilir veya dili garip, bu nedenle baştan özür diliyorum. Sizlerle Code Red ya da aramızda verdiğimiz isimle Kudret ile geçirdiğim bir hafta sonunda bulduğum asıl olmayan çözümü paylaşmak istedim.

Kevin Mitnick: Soru / Cevap

anonim

Internet'e geri dönen Kevin Mitnick, slashdot.org'da sorulan soruları cevaplıyor. Yazıda ilginç soru ve cevaplar yer alıyor.. http://slashdot.org/article.pl?sid=03/02/04/2233250

SecurityFocus Internet Tarayıcı Uyarısı

Soulblighter

Daha önce "BugTraq Tarayıcı Testi" ile ilgili bir yazı yollamıştım. Bu yazıdan sonra SecurityFocus internet tarayıcılarla ilgili uyarıları yayınladı. BugTraq testinde IE'nin kodunun diğerlerinden daha iyi olduğu ve hatalı HTML kodlarını düzgün sorunsuz yorumladığına dair bilgi verilmişti. Fakat SecurityFocus aynı uyarıyı IE için de yapmış. Kısacası IE dahil tüm tarayıcılar bu soruna sahip. Ben de size SecurityFocus sonuçlarını çeviriyorum.

Windows Durmuyor

anonim

Windows´ta güvenlik açığı başlıklı haberlerden sıkıldınız mı bilmiyorum ama Windows da durmuyor ki. Yine kritik bir güvenlik açığı üstelik ie kullanmıyor olmanızda sizi kurtaramıyor. Microsoft Windows 98, Microsoft Windows 98 Second Edition, Microsoft Windows Me, Microsoft Windows NT 4.0, Microsoft Windows NT 4.0 Terminal Server Edition, Microsoft Windows 2000 işletim sistemlerinde etkili bu açık sayesinde crackerımızın web sitesini ziyaret ederseniz oluşan açık yüzünden cracker o an kayıtlı olan kullanıcının yetkilerine sahip oluyor. Admin yetkileride buna dahil. Ayrıntılı bilgi ve yama için: Bu adrese

Gmail Problemi(!)

e2e

Gmail'in "kişisellik"i ihlal etmesi, sınırsız disk alanı gibi özelliklerinden daha fazla tartışılmıştı. Ama tartışmalar bir süre sonra yerini tam bir sessizliğe bıraktı. Ama SecurityFocus'taki yazıdan sonra bu tartışmaların kolay kolay bitmeyeceği anlaşılıyor.

Google, mail mesajı-reklam ilişkisinde kişisel hakların gözardı edildiği, gizlilik ilkesinin yok sayıldığı eleştirilerine, "Mesajları insanlar değil, bilgisayarlar tarayacak" cevabını veriyordu. SecurityFocus'ta yazan Mark Rasch ise yazısında, "bir insan ya da insanlar tarafından yazılmış bir program; ikisi de aynı şey" diyor. Yazar, ayrıca bu tarz tarama sistemlerinin yeni bir Echelon işlevi taşıyabileceğini belirtiyor. Ve Google'ın bu politikasının ABD yasalarına da ters düştüğünü belirtiyor.