Уебсайтът на Trustico затъмнява, след като някой падне критичен недостатък в Twitter

„ЕкраннаУвеличи / Екранна снимка, демонстрираща критична уязвимост на уебсайта на Trustico, преди да стане недостъпен. @ Manawyrm

Уебсайтът на Trustico излезе офлайн в четвъртък сутринта, около 24 часа след като бе разкрито, че изпълнителният директор на базираната във Великобритания HTTPS дистрибутор на сертификати изпрати по имейл 23 000 частни ключове на партньор.

Допълнителна информация

23 000 HTTPS сертификата, приложени след главен изпълнителен директор, изпращат частни ключове затварянето на уебсайт дойде малко след експерт по сигурността на уебсайта разкри критична уязвимост в Twitter, която изглежда се оказа възможно е външни лица да пускат злонамерен код на Trustico сървъри. Уязвимостта в уеб сайт trustico.com включва това позволи на клиентите да потвърдят, че сертификатите са правилно инсталирани на техните сайтове, изглежда, че тече като root. Чрез вмъкване на команди в формуляра за валидиране, нападателите могат да извикат код по свой избор и накарайте го да работи на Trustico сървъри с неограничен “root” привилегии, посочи туитът.

“Ако това е така, става въпрос за толкова лошо, колкото става”, сигурност изследователят Скот Хелме каза пред Ars.

Представителите на Trustico не отговориха веднага на имейл търся коментар за тази публикация.

Експертът по сигурността на уебсайта, публикувал уязвимостта, каза в последващ туит, че критичният недостатък е публикуван по-рано. Той не каза къде или кога и не отговори съобщения, които поискаха тези подробности. Неговият профил в Twitter идентифицира го като местен ръководител на глава на Open Web Проект за сигурност на приложенията в Сърбия.

Критиците не губиха време в сряда, като се впускаха в Тръстико следващата дума беше архивиране на частни ключове на сертификата, a практика, която обикновено нарушава обвързващата за индустрията базова линия Изисквания, зададени от форума на браузъра на сертифициращия орган. Най- масовата ярост се увеличи от факта, че ключовете са били на разположение на изпълнителен директор на компанията, вместо да се съхранява на изолирани машини, и че изпълнителният директор им ги изпрати в имейл. DigiCert определи изпълнителния директор като Зейн Лукас. Уебсайтът на Trustico цитира заглавието на Лукас като директор.

Ерик Мил, експерт по инфраструктурата на публичните ключове, каза, че е такъв разкъсан дали публикуването на уязвимостта в Twitter обосновано.

„Само защото трупате компания, която прави безотговорните неща не правят добре публичното оповестяване, ” – каза той на Ars. В същото време, отбеляза той, някои служители на Trustico публично твърдят, че нарастващата критика срещу тях е клеветнически и са използвали друг език, за да посочат, че могат да заемат съдебен иск срещу критици. Тези типове поведение често имат а смразяващ ефект върху по-отговорните форми на уязвимост разкриване. В крайна сметка, каза Мил, „има аргументи и за двете страни “.

Публикуването е актуализирано, за да добавите подробности за изпълнителния директор в третия до последния параграф.

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: