Comments 52
Сертификат это подтверждение удостоверяющего центра, что ОТКРЫТЫЙ ключ принадлежит какому-то конкретному лицу (сайту, организации). Сертификат можно (и нужно) невозбранно распространять среди всех желающих.
И от сертификата нет никакой пользы без СЕКРЕТНОГО ключа.
В чем смысл продавать сертификаты? Или продавали сертификаты с секретными ключами?
Самые дешёвые — стандартные сертификаты для подписи кода, выданные Comodo, без рейтинга репутации SmartScreen, продаются за $295. Самые дорогие — EV-сертификаты от Symantec с рейтингом SmartScreen за $1599.
Symantec уже лишились бизнеса из-за раздолбайства при валидации клиентов, теперь очередь за Comodo?
Права выпускать EV сертификаты Symantec никто не лишал и лишать не собирался. Чтобы там Гугл не придумал но оси мелкомягких доверяют и будут доверять подписанным Symantec EV ибо уже есть 10500 им подписанным
очередной вымогатель шифруешь+подписываешь вот и окупилось 2к$
или там ценообразование иное?
1. кто-то из работников центра подрабатывает сверхурочно
2. утек корневой сертификат
(3). В алгоритме есть дырка или это все делают пришельцы на квантовом компьютере, но такие версии мы не рассматриваем.
Если кто-то пишет новый троян, а потом его еще и зашифровывает, то скорее надо задаваться вопросом, почему антивирус вообще на получившийся результат реагирует (вероятнее всего, он реагирует на всё, что шевелится, с кучей false positive).
А что известные антивирусы не реагируют, совершенно понятно — сигнатур в базах нет, никакого поведения, по которому можно было бы определить что-то подозрительное, у зашифрованного лежащего на диске файла тоже нет. :)
После запуска трояна поведенческий анализатор антивируса молчит, поскольку, с его точки зрения, не выполняется никаких потенциально опасных действий. Какая-то программа ищет файлы по маске? Да пожалуйста! Создаёт копии файлов? Без проблем! Шифрует копии? Тоже не повод для паники. Функции шифрования поддерживаются большинством современных программ, а троян использует те же стандартные криптографические библиотеки. Он удаляет пользовательские файлы? Это тоже не запрещено — они ведь не системные. Затирает свободное место? Безопасное удаление также востребованная и легальная функция. Он добавляется в автозапуск? И это тоже разрешённое поведение. В отличие от классических вирусов, троян-шифровальщик не пытается модифицировать файлы, не внедряется в активные процессы и вообще ведёт себя скучно.
Вы это серьезно? :/
Но даже дело не в этом. На приведенных скринах — результаты вирустотала, то есть результаты анализа на знание вредоносной программы антивирусными базами, без запуска и последующего анализа
PS: «Маргинальные антивирусы»(AV NG) работают на основе статистических движков(ML,DL) и только они могут принципиально детектировать и блокировать новые сэмплы без добавления сигнатуры сэмпла малвари в базу.
После такого кто-то считает невозможной подделку https трафика?
Есть. EV SSL за 349 это как раз сертификат для домена.
В чем смысл им продавать, а кому то покупать сертификат на домен, которым человек и так владеет?
Симантэк давно пора скорить в минус.
С поведенческим анализом всё по-прежнему плохо.
Батюшка к-ский чегой-то и вовсе за кадром
Лично сталкивался со зловредом подписанным сертификатом от Comodo. И это был не эксклюзивный промышленный шпион, а таки обычный массовый зловред. Ноль срабатываний на virustotal. Отправил его на исследование Касперскому, так на протяжении месяца так и не начал определяться (потом стёр его и забил).
Такое чувство, что в антивирусных движках прям код такой «Если есть валидная ЦП, то пропускать проверку».
А меж тем, как уже заметили в комментариях, ЦС выдают левые сертификаты направо и налево и система отзыва по факту не работает. Просто супер!
Потому что раньше подпись косвенно означала, что у выпустившего есть бабло на выпуск сертификата и он подвердил свою личность, как правило малварописатели таким не заморачивались, поэтому можно производить меньше проверок в рантайме в настройках по-умолчанию, бонусом это ускоряет запуск стороннего софта. С эпохой LetsEncrypt когда у каждого второго свой сертификат подобное работать перестало. Отмечу что все популярные АВ позволяют это поведение отключить и проверять вне зависимости от того есть подпись или нет. Как правило наиболее сильно антивирусы доверяют ПО с сертификатами вендора ос
А теперь еще ЦС выдают сертификаты направо и налево без должных проверок. Вот это подрывает на корню всю эту систему PKI.
Есть смысл и в цветовой дифференциации штанов. Сертификаты «Вася — это Вася, кем бы он ни был» и «Вася — это лицо, соответствующее нашему широчайшему комплаенсу» обязаны быть различными, как по набору действий для их получения, так, разумеется, и по цене.
Я, как раз, против хромых формулировок «Безопасно», «Защищено», навязываемых в адресной строке браузера, например.
И в этом проблема. Т.е. по факту мы имеем ситуацию когда имея сертификат для подписывания кода (не важно даже как полученный) мы можем практически гарантированно пропихнуть мимо антивирусных решений всё что угодно.
А что некий блоб, подписанный неким ЦС, оказался вредоносным, можно и вообще узнать очень не скоро, если вообще узнать: механизма уведомления, я так понимаю, ведь не существует? Или, скажем, антивирусные компании имеют протокол уведомления ЦС о том, что подписанный такой-то бинарь — злобный гад, и подпись нужно отзывать?
Вот здесь уже прокомментировали, что у людей возникло необоснованное мнение о том, что сам факт наличия валидной цифровой подписи имеет какое-то отношение к тому, является ли файл вредоносным или нет.
Подпись удостоверяет две вещи — что файл не изменялся с момента подписания (достоверно, пока не взломана лежащая в основе подписи криптография), и что файл подписан определенныи лицом, физическим или юридическим (менее достоверно, потому что ключ может быть скомпрометирован). Вредоносность кода и морально-этический облик заказчика тут вообще ни при чём.
ЭЦП позволяет убедиться, что подписанные данные (код, документ — не важно) не были модифицированы после подписания. А так же позволяет убедиться, что подписал данные какой-то конкретный субъект. Сертификат, выданный ЦС, как раз удостоверяет, что подписавший именно тот за кого себя выдаёт. Т.е. роль ЦС гарантировать, что эта ЭЦП (открытый ключ) принадлежит именно «тому парню». Всё, не больше и не меньше.
Т.е. еще раз:
1. Подпись гарантирует, что данные не менялись с момента подписания
2. СЦ гарантирует, что данные подписал такой-то субъект
Владелец ЭЦП волен подписывать _всё что ему угодно_. Наверно где-то в соглашениях между СЦ и покупателем сертификата написано, что «низя подписывать вирусню, ай-ай». Но это в любом случае на совести покупателя.
Тут больше вопрос к антивирусам. Почему подписанный код изначально считается более доверенным?
К антивирусам у меня вопросы давно уже появились. После того как я лично столкнулся со зловредом подписанным валидной подписью (выше в комментарии писал вкратце). В общем запасаемся попкорноми смотрим на развитие ситуации. После истории с Symantec становится всё интереснее.
Да, механизм отзывов сертификатов в браузерах сейчас де-факто практически не работает, но мы все ждем доработки OCSP Stapling'a и вот тогда… =)
На чёрном рынке продают валидные сертификаты подписи исполняемого кода для обхода антивирусов