<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Sun, Aug 9, 2015 at 8:26 AM, ianG <span dir="ltr"><<a href="mailto:iang@iang.org" target="_blank">iang@iang.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">There's a long post by "cryptostorm_team" that describes a capture of the activity of a CIN or Corruptor-Injector Network.<br>
<br>
<a href="https://cryptostorm.org/viewtopic.php?f=67&t=8713" rel="noreferrer" target="_blank">https://cryptostorm.org/viewtopic.php?f=67&t=8713</a><br>
<br>
The short story appears to be malware injected into the router which then proceeds to present a false view of many things, including google sites and chrome downloads.<br></blockquote><div> </div><div>Wow.. trouble .... <br>One short term hack is to find ways to discover these bad certificates and black list them.<br>Another is to cache "good" certificates for famous hosts for a gosh long time and deal with </div><div>black listed credentials via a pool of trusted neighbors. <br>There is no reason to discard a cert in five min if it is good for five years.</div><div><br></div><div>At this point I make a point of keeping most bootstrap install download tools.<br>Download of A--> revised to B--> revised to C --> revised to ... N seems a risk.<br>Vendors could improve these downloaders with a mix of hard crypto and some</div><div>layers of unique knock knock like tricks some with hardwired addresses and layers</div><div>of keys.  https:{Google.com, <a href="http://download.google.com">download.google.com</a>, <a href="http://time.google.com">time.google.com</a> <a href="http://keys.google.com">keys.google.com</a>} should</div><div>not share a common key, key management or even local routers.  Same for</div><div>100 more big international companies.<br><br>Next vendors and users will need physical media to anchor to something solidly</div><div>in their control.   Hardware flash may need a hard wire jumper to hobble invading software.<br>The hardware flash for SSD and more seems a future requirement. <br><br>The only bright side is the attention this stuff is getting.  </div><div><br></div></div><div><br></div>-- <br><div class="gmail_signature"><div dir="ltr">  T o m    M i t c h e l l</div></div>
</div></div>