Случай так называемой фигни
Nov. 10th, 2017 10:07 pm![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
beldmitПочитал сегодня статью на polit.ru про очередную публикацию на Wikileaks, рассказывающей о malware Hive, которая для авторизации использовала якобы выпущенный Thawte сертификат для якобы Касперского. А там эксперт говорит следующее:
«Речь тут идет не столько о самом продукте, сколько о фальшивом сертификате. Продукт тут – дело десятое, говорилось не о нем, а именно о сертификате. Сертификат – это электронный ключ, который нужен для того, чтобы удостовериться, что трафик принадлежит именно тому человеку, кто его подписывал. То есть это – некое средство электронной цифровой подписи, шифрования.
В принципе, выдача сертификатов – это достаточно жестко регламентированный процесс. И вопрос, как и кому удалось сделать поддельный сертификат, думаю, требует серьезного разбирательства. Потому что иначе вообще вся структура таким образом оказывается незаверенной.
Дело в том, что сертификаты выпускают некие удостоверяющие центры, которые пользуются общим доверием в индустрии. У них существуют специальные процедуры, которые обеспечивают надежность их работы; они не делают того, что не декларируют. И если удалось каким-то образом выпустить такой сертификат, это очень серьезный прецедент»
Так вот, то, что товарищ говорит — малая часть правды.
Во-первых, сертификат может выпустить кто угодно и для кого угодно. Хоть Дед Мороз для Бабы Яги, хоть я для сайта microsoft.com. Вопрос в том, кто этот выпущенный сертификат признает достоверным. Для того, чтобы современный браузер не выдал предупреждения при установлении защищённого соединения, сайт должен получить сертификат в одном из упомянутых удостоверяющих центров. Для локальной задачи обеспечения зашифрованного соединения это не требуется, а в Hive, которому посвящена публикация Wikileaks, самописное ПО. Причём, судя по коду, вообще без валидации сервера, установили SSL-соединение и ладно.
Во-вторых, прецеденты взлома и компрометации УЦ бывают. Самый известный — казус Diginotar. Несколько лет назад взломщики влезли в этот нидерландский УЦ и выпустили сертификаты для google.com. Скандал был громкий, и меры по защите с тех пор приняли достаточно серьёзные. Symantec в итоге получил по шапке за куда меньшие прегрешения.
Первоисточник (в смысле, исходники Hive) читать и мне лень. Но вот ссылка на хороший второисточник для желающих разобраться.
«Речь тут идет не столько о самом продукте, сколько о фальшивом сертификате. Продукт тут – дело десятое, говорилось не о нем, а именно о сертификате. Сертификат – это электронный ключ, который нужен для того, чтобы удостовериться, что трафик принадлежит именно тому человеку, кто его подписывал. То есть это – некое средство электронной цифровой подписи, шифрования.
В принципе, выдача сертификатов – это достаточно жестко регламентированный процесс. И вопрос, как и кому удалось сделать поддельный сертификат, думаю, требует серьезного разбирательства. Потому что иначе вообще вся структура таким образом оказывается незаверенной.
Дело в том, что сертификаты выпускают некие удостоверяющие центры, которые пользуются общим доверием в индустрии. У них существуют специальные процедуры, которые обеспечивают надежность их работы; они не делают того, что не декларируют. И если удалось каким-то образом выпустить такой сертификат, это очень серьезный прецедент»
Так вот, то, что товарищ говорит — малая часть правды.
Во-первых, сертификат может выпустить кто угодно и для кого угодно. Хоть Дед Мороз для Бабы Яги, хоть я для сайта microsoft.com. Вопрос в том, кто этот выпущенный сертификат признает достоверным. Для того, чтобы современный браузер не выдал предупреждения при установлении защищённого соединения, сайт должен получить сертификат в одном из упомянутых удостоверяющих центров. Для локальной задачи обеспечения зашифрованного соединения это не требуется, а в Hive, которому посвящена публикация Wikileaks, самописное ПО. Причём, судя по коду, вообще без валидации сервера, установили SSL-соединение и ладно.
Во-вторых, прецеденты взлома и компрометации УЦ бывают. Самый известный — казус Diginotar. Несколько лет назад взломщики влезли в этот нидерландский УЦ и выпустили сертификаты для google.com. Скандал был громкий, и меры по защите с тех пор приняли достаточно серьёзные. Symantec в итоге получил по шапке за куда меньшие прегрешения.
Первоисточник (в смысле, исходники Hive) читать и мне лень. Но вот ссылка на хороший второисточник для желающих разобраться.
no subject
Date: 2017-11-11 12:20 pm (UTC)