Случай так называемой фигни
Nov. 10th, 2017 10:07 pm![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
beldmitПочитал сегодня статью на polit.ru про очередную публикацию на Wikileaks, рассказывающей о malware Hive, которая для авторизации использовала якобы выпущенный Thawte сертификат для якобы Касперского. А там эксперт говорит следующее:
«Речь тут идет не столько о самом продукте, сколько о фальшивом сертификате. Продукт тут – дело десятое, говорилось не о нем, а именно о сертификате. Сертификат – это электронный ключ, который нужен для того, чтобы удостовериться, что трафик принадлежит именно тому человеку, кто его подписывал. То есть это – некое средство электронной цифровой подписи, шифрования.
В принципе, выдача сертификатов – это достаточно жестко регламентированный процесс. И вопрос, как и кому удалось сделать поддельный сертификат, думаю, требует серьезного разбирательства. Потому что иначе вообще вся структура таким образом оказывается незаверенной.
Дело в том, что сертификаты выпускают некие удостоверяющие центры, которые пользуются общим доверием в индустрии. У них существуют специальные процедуры, которые обеспечивают надежность их работы; они не делают того, что не декларируют. И если удалось каким-то образом выпустить такой сертификат, это очень серьезный прецедент»
Так вот, то, что товарищ говорит — малая часть правды.
Во-первых, сертификат может выпустить кто угодно и для кого угодно. Хоть Дед Мороз для Бабы Яги, хоть я для сайта microsoft.com. Вопрос в том, кто этот выпущенный сертификат признает достоверным. Для того, чтобы современный браузер не выдал предупреждения при установлении защищённого соединения, сайт должен получить сертификат в одном из упомянутых удостоверяющих центров. Для локальной задачи обеспечения зашифрованного соединения это не требуется, а в Hive, которому посвящена публикация Wikileaks, самописное ПО. Причём, судя по коду, вообще без валидации сервера, установили SSL-соединение и ладно.
Во-вторых, прецеденты взлома и компрометации УЦ бывают. Самый известный — казус Diginotar. Несколько лет назад взломщики влезли в этот нидерландский УЦ и выпустили сертификаты для google.com. Скандал был громкий, и меры по защите с тех пор приняли достаточно серьёзные. Symantec в итоге получил по шапке за куда меньшие прегрешения.
Первоисточник (в смысле, исходники Hive) читать и мне лень. Но вот ссылка на хороший второисточник для желающих разобраться.
«Речь тут идет не столько о самом продукте, сколько о фальшивом сертификате. Продукт тут – дело десятое, говорилось не о нем, а именно о сертификате. Сертификат – это электронный ключ, который нужен для того, чтобы удостовериться, что трафик принадлежит именно тому человеку, кто его подписывал. То есть это – некое средство электронной цифровой подписи, шифрования.
В принципе, выдача сертификатов – это достаточно жестко регламентированный процесс. И вопрос, как и кому удалось сделать поддельный сертификат, думаю, требует серьезного разбирательства. Потому что иначе вообще вся структура таким образом оказывается незаверенной.
Дело в том, что сертификаты выпускают некие удостоверяющие центры, которые пользуются общим доверием в индустрии. У них существуют специальные процедуры, которые обеспечивают надежность их работы; они не делают того, что не декларируют. И если удалось каким-то образом выпустить такой сертификат, это очень серьезный прецедент»
Так вот, то, что товарищ говорит — малая часть правды.
Во-первых, сертификат может выпустить кто угодно и для кого угодно. Хоть Дед Мороз для Бабы Яги, хоть я для сайта microsoft.com. Вопрос в том, кто этот выпущенный сертификат признает достоверным. Для того, чтобы современный браузер не выдал предупреждения при установлении защищённого соединения, сайт должен получить сертификат в одном из упомянутых удостоверяющих центров. Для локальной задачи обеспечения зашифрованного соединения это не требуется, а в Hive, которому посвящена публикация Wikileaks, самописное ПО. Причём, судя по коду, вообще без валидации сервера, установили SSL-соединение и ладно.
Во-вторых, прецеденты взлома и компрометации УЦ бывают. Самый известный — казус Diginotar. Несколько лет назад взломщики влезли в этот нидерландский УЦ и выпустили сертификаты для google.com. Скандал был громкий, и меры по защите с тех пор приняли достаточно серьёзные. Symantec в итоге получил по шапке за куда меньшие прегрешения.
Первоисточник (в смысле, исходники Hive) читать и мне лень. Но вот ссылка на хороший второисточник для желающих разобраться.
no subject
Date: 2017-11-11 10:06 am (UTC)no subject
Date: 2017-11-11 10:24 am (UTC)Но вообще вопрос не в шифрованности контента, а в тех иллюзиях защищенности, которые оно порождает.
Впрочем, это всегда так было. И многочисленные случаи idenitity theft в США, основанные на знании SSN, и выдача кредитов по номеру паспорта у нас - все это типичные случаи действия на основе необоснованной иллюзии защищенности.
no subject
Date: 2017-11-11 12:19 pm (UTC)Но она и так огромна. Народ упорно думает, что HTTPS - про шифрование, забывая про аутентификацию.
no subject
Date: 2017-11-14 09:02 am (UTC)no subject
Date: 2017-11-14 09:37 am (UTC)no subject
Date: 2017-11-14 01:18 pm (UTC)И в моей практике нередко бывают ситуации, когда данных надо ненамного больше, чем размер HTTPS'ного хендшейка (зато весьма критичных, типа прогноза ветра в море), и на их получение уходит минут 5-10. И не всегда с первой попытки.
no subject
Date: 2017-11-14 06:50 pm (UTC)no subject
Date: 2017-11-14 07:26 pm (UTC)no subject
Date: 2017-11-14 01:37 pm (UTC)Пейзажи там божественные.
no subject
Date: 2017-11-14 01:47 pm (UTC)no subject
Date: 2017-11-14 02:46 pm (UTC)Просто организовать там конференцию - канала более чем хватит. А вот всосать забытую дома четырехгиговую презентацию... И вот очень хочется, чтобы эти люди понимали, какова реальность на конце линка.
no subject
Date: 2017-11-14 06:51 pm (UTC)Но люди неплохо понимают на самом деле, во всяком случае там, где это реально актуально. Новая Гвинея, всякая Полинезия...