A Comodo még kedden (2010.06.22.) jelentette be, hogy egy felkért egy harmadik felet, értesítse a VeriSign tanúsítvány kibocsátót egy biztonsági sebezhetőségről, mely ügyfeleik weboldalait - többek között számos nagykereskedelmi partnert - érinti. Az értesítést még aznap megkapta a VeriSign cég, melyet máig az egyik legnagyobb kibocsátónak tartanak.

Míg a Comodo nincs abban a helyzetben, hogy kivizsgálja a sebezhetőség teljes mértékét, úgy véli, ez jelentős biztonsági kockázatot jelent a VeriSign vásárlóinak (és azon felhasználóknak, akik ezen vásárlóknál tartják weboldalaikat) egy biztonságos digitális SSL tanúsítvány probléma, hiszen ennek segítségével történnek meg az üzleti és személyes adatok kezelése is.

Publikusan elérhető információk segítségével a Comodo arra jutott, hogy egy általános pénzügyi intézet VeriSign ügyfél fiókja könnyen elérhető azonosítás nélkül. A Comodo továbbá úgy véli, a sebezhetőség valószínűleg nem csak erre az egy fiókra terjed ki.

"A köztes felen keresztül a Comodo sürgette a VeriSign-t, hogy tegyen azonnal lépéseket a sérülékenység végleges elhárítására, továbbá értesítse érintett felhasználóit" - közölte Melih Abdulhayoglu, a Comodo alapítója és vezetője. “Mivel milliónyi üzleti tranzakciót érint a probléma, nem késlekedtünk segíteni a kiküszöbölésben, bár az nem sajátunk volt.”

A VeriSign válasza: "Köszönjük, hogy ezt figyelmünkbe ajánlotta, de az információ publikusan elérhető, mely számos módon megtalálható. Az elért oldalak publikus portálok ügyfeleinknek, ahol azonosított folyamatokat eszközölhetnek."

A Comodo CEO Melih Abdulhayoglu demonstrálta a sérülékenységet Ms. Smith-nek (eredeti cikk író). Az ügyfelek nem informálásával tehát úgy tűnik, a VeriSign biztonságot ad el embereknek anélkül, hogy saját maga biztonságáról gondoskodna.

A probléma felfedezése

A probléma felfedezéséhez nem kell nagy tehetség, s talán csak idő kérdése, hogy fekete kalapos urak mikor kezdik ostromolni a különböző pénzintézetek tanúsítványát:
1. információ keresése a VeriSign MPKI rendszerről, ehhez a google keresőbe elég volt beírni: "Enrollment Services" verisign
2. ez számos találatot adott vissza a 'certificatemanager.verisign.com' oldal alól, mely linkek elvezetettek - többek között - a Bank Of America, Yale University és Berkeley University oldalaihoz is.
3. a keresést itt már elég a "jur_hash" kifejezéssel kiegészíteni (ahogy a VeriSign URL-eknél látható), s még több találatot kapunk.
4. Konkrét példa is látható a kibocsátott PDF fájlban (letöltése fórum regisztrációt igényel), így az feleslegesnek tartom bemutatni.

Sebezhetőség foka

Napfényre kerülhetnek olyan adatok, mint hol használják még a tanúsítványt (domain nevek), ki kezeli (MPKI admin), valamint valószínűleg brute force módszerrel bárki tanúsítványát vissza lehet vonni.

Kapcsolódó linkek:
VeriSign blog
Comodo fórum bejegyzés

Forrás: NetworkWorld (Ms. Smith) tutósítása, valamint belső Comod, Inc. információ.