Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 23
Насколько мне известно, сертификатом:
1. проверяется подпись, поставленная соответствующим закрытым ключом, под набором данных.
2. шифруется информация, которая может расшифроваться соответствующим закрытым ключом.
Объясните, что произошло после кражи сертификата, если сертификат это публичная информация(сертификат содержит открытый ключ) и доступна любому — ее красть не нужно.
1. проверяется подпись, поставленная соответствующим закрытым ключом, под набором данных.
2. шифруется информация, которая может расшифроваться соответствующим закрытым ключом.
Объясните, что произошло после кражи сертификата, если сертификат это публичная информация(сертификат содержит открытый ключ) и доступна любому — ее красть не нужно.
Очевидно что украли закрытую часть.
Сертификат состит из двух частей: открытая (сертификат который вы действительно можете скачать, он не секрет и зашит в браузер) и закрытая часть.
Они являются соответственно публичным и закрытым ключами в ассемитричном шифровании.
Обладая закрытым ключом можно сделать фальшивый вредоносный апдейт и подписать его, итогда браузер, проверяя его открытым ключом, будет убеждён что апдейт не левый, хотя он и левый.
Они являются соответственно публичным и закрытым ключами в ассемитричном шифровании.
Обладая закрытым ключом можно сделать фальшивый вредоносный апдейт и подписать его, итогда браузер, проверяя его открытым ключом, будет убеждён что апдейт не левый, хотя он и левый.
чем тогда обусловлено название «сертификат открытого ключа»?
разве в X.509 что-либо говорится о том, что сертификат состоит из «открытой и закрытой» частей?
разве в X.509 что-либо говорится о том, что сертификат состоит из «открытой и закрытой» частей?
X.509 — это стандарт PKI (public key infrastructure), тоесть по определению мало говорит о закрытых (private) частях этого процесса.
Подробнее можете почитать в вики.
Подробнее можете почитать в вики.
В данном случае я хочу понять правильность применения терминологии.
Мне всегда казалось следующее:
— есть сертификат, который содержит некую информацию (информация о владельце, разрешения, алгоритмы) + открытый ключ
— есть закрытый ключ соответствующий открытому ключу, который хранится в неком отдельном контейнере.
При желании сертификат в данный контейнер можно поместить, но сам сертификат закрытый ключ содержать не должен и говорить о закрытой части сертификата мне кажется странным.
Мне всегда казалось следующее:
— есть сертификат, который содержит некую информацию (информация о владельце, разрешения, алгоритмы) + открытый ключ
— есть закрытый ключ соответствующий открытому ключу, который хранится в неком отдельном контейнере.
При желании сертификат в данный контейнер можно поместить, но сам сертификат закрытый ключ содержать не должен и говорить о закрытой части сертификата мне кажется странным.
Сертификат не является секретным. Украли закрытый ключ для конкретного сертификата.
Так как для подписи кода используется и сертификат и закрытый ключ, то скорее всего спёрли оба сразу, хотя да, могли бы теоретически взять только p.key.
Судя по новости, они залили на апдейт сервер оперы свой код, там его подписали и отправили паре тысяч win-пользователей вредоносное обновление.
Так как для подписи кода используется и сертификат и закрытый ключ, то скорее всего спёрли оба сразу, хотя да, могли бы теоретически взять только p.key.
Судя по новости, они залили на апдейт сервер оперы свой код, там его подписали и отправили паре тысяч win-пользователей вредоносное обновление.
А разве пароль не нужен при инициации подписи?
По моему они что-то не договаривают. По крайней мере я не очень понимаю как кража сертификата связана с тем, что были подменены файлы, которые отдаются серверами для авто апдейта? Или это они перестраховываются от man in the middle?
P.S. С выходом альфа/бэта 15 у меня и у всех моих знакомых пользователей Оперы автоапдейты уже отключены. Так, на всякий случай.
P.S. С выходом альфа/бэта 15 у меня и у всех моих знакомых пользователей Оперы автоапдейты уже отключены. Так, на всякий случай.
Возможно, атака нацелена на тех, у кого уже успела побывать вирусня, подменившая в файле hosts адреса для сервера обновления оперы.
> С выходом альфа/бэта 15 у меня и у всех моих знакомых пользователей Оперы автоапдейты уже отключены
Кажется, хакеры тоже выступают против 15й оперы -)
Кажется, хакеры тоже выступают против 15й оперы -)
Значит медленно появляется новый IE6/8, но только в лице Opera 12-14
Какой странный перевод. Советую всем прочитать исходный текст. К сожалению, он тоже очень расплывчат, и ничего не объясняет, кроме того, что в пять утра по Москве нужно спать, а не в интернете сидеть.
Да, стырили сертификат. Им подписали невесть что, а не дистрибутив оперы. Проникновения на выжные серверы не было, никакие файлы на них не заменены (или было? В заметке нет ни подтверждения, ни опровержения. Хороший разбор заметки сделали в блоге naked security). Скорее всего, в интернет была выложена какая-то программа, подписанная этим сертификатом. Его «отключили» (добавили в списки ненадёжных) в течение получаса. За это время вы могли скачать какую-то новую программу из интернета и установить её, поверив, что её издателем является Opera Software. В заметке упомянута пара тысяч подключений. Вероятно, программа маскировалась под браузер Opera (вы же знаете, сотни сайтов распространяют malware под видом новых версий популярных браузеров). В этом случае, как раз, нужно лишний раз проверить компьютер на вирусы. Впрочем, под Windows это нужно делать регулярно.
Да, стырили сертификат. Им подписали невесть что, а не дистрибутив оперы. Проникновения на выжные серверы не было, никакие файлы на них не заменены (или было? В заметке нет ни подтверждения, ни опровержения. Хороший разбор заметки сделали в блоге naked security). Скорее всего, в интернет была выложена какая-то программа, подписанная этим сертификатом. Его «отключили» (добавили в списки ненадёжных) в течение получаса. За это время вы могли скачать какую-то новую программу из интернета и установить её, поверив, что её издателем является Opera Software. В заметке упомянута пара тысяч подключений. Вероятно, программа маскировалась под браузер Opera (вы же знаете, сотни сайтов распространяют malware под видом новых версий популярных браузеров). В этом случае, как раз, нужно лишний раз проверить компьютер на вирусы. Впрочем, под Windows это нужно делать регулярно.
Вообще я сходил и почитал исходники, прежде чем высказывать сомнения о том, что они что-то не договаривают.
Вот эта строчка меня очень интересует:
Моё понимание написанного такое: именно автоапдейт Оперы мог что-то скачать и установить в указанный промежуток времени.
По вашей первой ссылке:
Вот эта строчка меня очень интересует:
It is possible that a few thousand Windows users, who were using Opera between 01.00 and 01.36 UTC on June 19th, may automatically have received and installed the malicious software.
Моё понимание написанного такое: именно автоапдейт Оперы мог что-то скачать и установить в указанный промежуток времени.
По вашей первой ссылке:
— At least one infected file was posted on an Opera server.
— That file may have been downloaded and installed by Opera itself.
Наверное, не всё так просто.
У меня вот, например, только что в Linux пакетный менеджер хотел обновить Opera до 12.16.
Хорошо, что вовремя остановил обновление — анонса этой версии нигде нет…
Или просто не успели ещё опубликовать?
У меня вот, например, только что в Linux пакетный менеджер хотел обновить Opera до 12.16.
Хорошо, что вовремя остановил обновление — анонса этой версии нигде нет…
Или просто не успели ещё опубликовать?
Тут нет такой версии.
Значит таки малварь подсунуть пытались.
Если глянуть на даты изменения файлов вот тут: deb.opera.com/opera/dists/stable/non-free/binary-i386/
то видно, что их сегодня утром редактировали. Очевидно, убрали последствия взлома.
Если глянуть на даты изменения файлов вот тут: deb.opera.com/opera/dists/stable/non-free/binary-i386/
то видно, что их сегодня утром редактировали. Очевидно, убрали последствия взлома.
Это не связано со взломом.
12.16 действительно была, но оказалась так рано на паблик фтп по ошибке, поэтому вскоре её убрали оттуда.
Комментарий разработчика: my.opera.com/securitygroup/blog/show.dml/65061432#comment109535702
12.16 действительно была, но оказалась так рано на паблик фтп по ошибке, поэтому вскоре её убрали оттуда.
Комментарий разработчика: my.opera.com/securitygroup/blog/show.dml/65061432#comment109535702
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
У Opera Software украли сертификат и подписали им malware