Sahte Microsoft İmzası

0
anonim
Microsoft bir işletim sistemi üzerinde yine Microsoft bir web tarayıcısı kullanırken akla gelen ilk şey bu dijital imzalardan en güvenilir olanının yine Microsoft firmasına ait olacağını düşünmektir, çok normal bir şekilde de olması gereken budur.

Fakat ne yazık ki durumun böyle olmadığı Microsoft tarafından yapılan ilginç bir açıklamayla anlaşılmıştır. Yapılan açıklamada denildiğine göre 29 Ocak ve 30 Ocak 2001 tarihinde VeriSign dijital imza firmasından bir kullanıcı Microsoft’un bir elemanı olduğuna inandırarak Class3 bir kod imzasını Microsoft adına elde etmeyi başarmış. Bu da pek tabii ki normalde Microsoft’a ait olmayan bir takım kodların sanki Microsoft tarafından dağıtılıyormuş gibi Internet Explorer’da uyarının gelmesi demek. Bu sayede eğer istenirse ActiveX kontrolleriyle ya da MS Office makroları ile bilgisayarınıza girilmesi ya da zarar verilmesi mümkün olmakta. Bu duruma bir aktif içerikli bir web sayfasını ziyaret ederken düşebileceğiniz gibi, üzerinde eklenti bulunan bir mail ile de başınız derde girebilir. Üstelik yapanın imzasında Microsoft yazdığı halde.
Peki Nasıl Güvenli Kalınabilir?

Öncelikle belirtilmesi gereken bu yanlış dijital imzanın sadece 29 ya da 30 Ocak 2001 tarihindekiler için geçerli olduğudur. Yani eğer bir web sayfasını görüntülemeye çalışırken ya da Outlook içerisinde ilişik bir programı çalıştırmaya yeltendiğinizde karşınıza bu içerik ya da program Microsoft tarafından 29 (ya da 30) Ocak 2001 tarihinde imzalanmıştır güvenip devam etmek ister misiniz uyarısı geldiğinde güvenmemeniz gerekmektedir. Bunun yanı sıra diğer tarihli Microsoft imzaları şimdilik güvenli. Eğer daha öncesinde bu türden bir güvenlik ayarı için Microsoft imzalı sertifikalara her zaman güven ayarı seçili ise vakit kaybetmeden Explorer içerisinde durumu geriye ayarlayın.

Kaynak: http://www.akser.com.tr/main4.asp?L=TR&site=4&mid=262

Görüşler

0
bio
3 Senelik sorunları arada bir gündeme getirmek lazım bence de...

"In related news, Linux kernel 1.0 is reported to have some serious security holes that can be exploited using a VT-100 terminal..."
0
Nightwalker
Aslında en güvenli yol internet tarayıcının hiç bir sertifika onayına izin vermemek. Hatta daha güvenlisi bilgisayarın internet bağlantısını kesmek. AMA bu gün bu yazıyı okuyanlardan ( bir şekilde M$ kullananlar tabi ki) kaç tanesi sertifika tarihini kontrol ediyor ? Emin ol ki bir çok kişi süresi dolmuş sertifika uyarısını alsa bile büyük şirketlerden birinin ismini görünce ( bazıları görmeden de ) sertifikayı onaylıyor. Linux kerneli 1.0 versiyonundan beri kaç kez güncellendi hiç saydın mı ? Bırak 1.0 ı 2.4 deki bir güvenlik açığının 2.6 da bulunması dahi emin ol çok çok düşük bir olasılık. Peki verisign yada m$ bu malum 3 senelik güvenlik açığı konusunda ne yaptı ? HİÇ. Bu sorun kullanıcılar için hala var olmaya ve onları tehdit etmeye devam ediyor mu ? EVET. 3 senelik bir sorunu gündeme getirmek konusuna gelince. Ne gereği var canım... :)
0
bio
Tamam da bunu hatırlatmanın frekansı nedir? Sorun düzelmediği sürece her gün mü? Her ay mı? Her sene 29-31 Ocak arasında mı? Yoksa 3 senede bir mi? Haber "Blah blah sorunu 3 yıl geçmesine rağmen çözülmedi! Nerde bu devlet!" olsaydı anlardım...

Ayrıca Microsoft sorunu çözen bir patch de çıkarmadı değil. Nette ufak bir arama bizi http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-017.asp sitesine götürür.

Eğer "AMA bu gün bu yazıyı okuyanlardan ( bir şekilde M$ kullananlar tabi ki) kaç tanesi bu patchleri kuruyor?" argümanına devam edeceksen, "Linux kullananlardan kaç tanesi 2.4'teki açıklarsan sonra 2.6'ya geçiyor" gibi bir karşılık gelir; ki her ikisi de saçmadır. Her yazılımda güvenlik açığı olur (ki bu açık bir yazılım açığı değil! Verisign'ın bariz bir hatası). Kullanıcılar bilinçli olmadıkça güvende olamazlar.

Asıl sorumlu olan Verisign ne yaptı dersek; Verisign da sertifikaları iptal etti. Ancak teknik sorunlar var:

http://www.pkiforum.com/resources/alert_verisigncerts.html

VeriSign has revoked the certificates and added them to its certificate revocation list (CRL). However, VeriSign code-signing certificates do not support automatic CRL-checking because they do not contain CRL Distribution Point (CDP) information. This means that unless a user takes the initiative to manually check VeriSign's CRL before installing any software signed with these certificates, the user's computer will trust any program signed with the fraudulent certificates.
Görüş belirtmek için giriş yapın...

İlgili Yazılar

En Son Ne Zaman Badana Yaptınız?

FZ

Boya deyip geçmeyin, eğer sağda solda kablosuz ağ sistemleri çoğalmaya başladı ise, sinyallerle başa çıkmakta güçlük çekiyorsanız o zaman belki de izolasyona dair bazı şeyler yapmanın zamanı gelmiştir.

Force Field Wireless şirketi bu tür kaygıları olanlar için özel bir boya katkısı üretmiş. Duvarları, tavanı ve zemini boyamak için kullanacağınız boyaya bu katkı malzemesini eklediğinizde görüntüde herhangi bir değişiklik olmuyor ancak kablosuz iletişimde epey bir izolasyon sağlanıyor (diye iddia ediliyor).

Şirketin iddiasına göre duvara homojen olarak yayıldığında söz konusu malzeme 100 Mhz - 5 Ghz frekans aralığındaki sinyalleri yansıtarak odayı bir tür Faraday kafesine dönüştürüyor.

Kaynak: Information Week

Gizli anahtarlarınızı gizleyemezsiniz!

tongucyumruk

İngiliz ulusal güvenlik ajansı Home Office, 2000 yılında çıkan RIPA adlı yasanın üçüncü bölümündeki bugüne kadar kullanmaya başlamadğı hakkını kullanmak yönünde hazırlıklara başladı. Sözkonusu yasanın üçüncü bölümü İngiliz polisine ihtiyaç duyması halinde kişilerin açık anahtar tabanlı şifreleme uygulamalarında kullanılan gizli anahtarını isteme hakkını tanıyor. Gizli anahtarını teslim etmeyi reddedenler içinse hapis cezası öngörülüyor.

64 bitlik Şifre 4 Yıl Sonra Kırıldı

FZ

Milyonlarca işlemci saati ve dört yıllık insan emeğinin ardından RC5 64-bitlik şifresi kırıldı.

331.252 adet gönüllü makinanın kullanıldığı deneyde Distributed.net isimli isimli bir bilgisayarcı grubu RSA Security'nin meydan okumasını kabul etti ve 10.000$'lık çeki aldı.

"Her ne kadar bu projenin süresi 64 bitlik RC5 algoritmasının güvenilirliği ile ilgili olarak çok problem yaratmıyor gibi görünse de gene de birkaç yıldan daha uzun süre korunması gereken hassas bilgiler için RC5-64'ü tavsiye etmiyoruz," şeklinde konuştu şifreyi kıran grup.

NSA güvenlik rehberleri

sundance

NSA´in resmi sitesinde uzun bir süreden beri çeşitli güvenlik rehberleri yayınlanmakta.

Çeşitli Windows sürümleri ve Cisco ürünlerinin kurulum ve yönetimi aşamasında uygulanması önerilen güvenli pratiklerin listelendiği bu çok detaylı dökümanlar eminim birilerinin işine yarayacaktır.

Her zaman belirttiğimiz gibi ´Bir işletim sistemi ancak yöneticisinin bilgi seviyesi ve özeni doğrultusunda güvenlidir.´

SHA-1 Kırıldı!

tongucyumruk

Elektronik bankacılık uygulamalarından dijital imzaya, kablosuz ağ güvenliğinden binlerce web sitesinin kullanıcı veritabanlarına kadar güvenliğe ihtiyaç duyulan birçok noktada kullanılan ve günümüze kadar başta ABD olmak üzere birçok ülke tarafından "resmi" harmanlama (hashing) algoritması olarak kullanılan SHA-1 Çinli bir bir bilim insanı ve ekibi tarafından kırıldı.