November 10th, 2017

Манул

Случай так называемой фигни

Почитал сегодня статью на polit.ru про очередную публикацию на Wikileaks, рассказывающей о malware Hive, которая для авторизации использовала якобы выпущенный Thawte сертификат для якобы Касперского. А там эксперт говорит следующее:

«Речь тут идет не столько о самом продукте, сколько о фальшивом сертификате. Продукт тут – дело десятое, говорилось не о нем, а именно о сертификате. Сертификат – это электронный ключ, который нужен для того, чтобы удостовериться, что трафик принадлежит именно тому человеку, кто его подписывал. То есть это – некое средство электронной цифровой подписи, шифрования.

В принципе, выдача сертификатов – это достаточно жестко регламентированный процесс. И вопрос, как и кому удалось сделать поддельный сертификат, думаю, требует серьезного разбирательства. Потому что иначе вообще вся структура таким образом оказывается незаверенной.

Дело в том, что сертификаты выпускают некие удостоверяющие центры, которые пользуются общим доверием в индустрии. У них существуют специальные процедуры, которые обеспечивают надежность их работы; они не делают того, что не декларируют. И если удалось каким-то образом выпустить такой сертификат, это очень серьезный прецедент»


Так вот, то, что товарищ говорит — малая часть правды.

Во-первых, сертификат может выпустить кто угодно и для кого угодно. Хоть Дед Мороз для Бабы Яги, хоть я для сайта microsoft.com. Вопрос в том, кто этот выпущенный сертификат признает достоверным. Для того, чтобы современный браузер не выдал предупреждения при установлении защищённого соединения, сайт должен получить сертификат в одном из упомянутых удостоверяющих центров. Для локальной задачи обеспечения зашифрованного соединения это не требуется, а в Hive, которому посвящена публикация Wikileaks, самописное ПО. Причём, судя по коду, вообще без валидации сервера, установили SSL-соединение и ладно.

Во-вторых, прецеденты взлома и компрометации УЦ бывают. Самый известный — казус Diginotar. Несколько лет назад взломщики влезли в этот нидерландский УЦ и выпустили сертификаты для google.com. Скандал был громкий, и меры по защите с тех пор приняли достаточно серьёзные. Symantec в итоге получил по шапке за куда меньшие прегрешения.

Первоисточник (в смысле, исходники Hive) читать и мне лень. Но вот ссылка на хороший второисточник для желающих разобраться.

This entry was originally posted at https://beldmit.dreamwidth.org/834393.html. Your comment? (comment count unavailable comments)