Pull to refresh

Comments 52

Что-то я не совсем понял. Поправьте, если не прав.
Сертификат это подтверждение удостоверяющего центра, что ОТКРЫТЫЙ ключ принадлежит какому-то конкретному лицу (сайту, организации). Сертификат можно (и нужно) невозбранно распространять среди всех желающих.
И от сертификата нет никакой пользы без СЕКРЕТНОГО ключа.
В чем смысл продавать сертификаты? Или продавали сертификаты с секретными ключами?

Имеется ввиду выпуск сертификата (открытый и секретный ключ) для чужого приложения или домена.

Самые дешёвые — стандартные сертификаты для подписи кода, выданные Comodo, без рейтинга репутации SmartScreen, продаются за $295. Самые дорогие — EV-сертификаты от Symantec с рейтингом SmartScreen за $1599.

Symantec уже лишились бизнеса из-за раздолбайства при валидации клиентов, теперь очередь за Comodo?

Права выпускать EV сертификаты Symantec никто не лишал и лишать не собирался. Чтобы там Гугл не придумал но оси мелкомягких доверяют и будут доверять подписанным Symantec EV ибо уже есть 10500 им подписанным

Вот только делать это будет уже DigiCert, а что MS закрывает глаза на косяки "партнёров" давно известно.

а в чем дороговизна?
очередной вымогатель шифруешь+подписываешь вот и окупилось 2к$
или там ценообразование иное?
А я правильно понимаю, что выдавать «левые» сертификаты могут двумя путями
1. кто-то из работников центра подрабатывает сверхурочно
2. утек корневой сертификат
(3). В алгоритме есть дырка или это все делают пришельцы на квантовом компьютере, но такие версии мы не рассматриваем.
Какой нибудь сотрудник аутсорсера имея доступ к документам умудрился наклепать запросов. Т.е. есть запрос, есть оплата какая нибудь, контора реальная. А центр просто клепает сертификаты как пирожки.
Мне больше интересно не откуда взялись сертификаты, а почему в тестах реагируют только какие-то маргинальные антивирусы.

Если кто-то пишет новый троян, а потом его еще и зашифровывает, то скорее надо задаваться вопросом, почему антивирус вообще на получившийся результат реагирует (вероятнее всего, он реагирует на всё, что шевелится, с кучей false positive).


А что известные антивирусы не реагируют, совершенно понятно — сигнатур в базах нет, никакого поведения, по которому можно было бы определить что-то подозрительное, у зашифрованного лежащего на диске файла тоже нет. :)

UFO just landed and posted this here
После запуска трояна поведенческий анализатор антивируса молчит, поскольку, с его точки зрения, не выполняется никаких потенциально опасных действий. Какая-то программа ищет файлы по маске? Да пожалуйста! Создаёт копии файлов? Без проблем! Шифрует копии? Тоже не повод для паники. Функции шифрования поддерживаются большинством современных программ, а троян использует те же стандартные криптографические библиотеки. Он удаляет пользовательские файлы? Это тоже не запрещено — они ведь не системные. Затирает свободное место? Безопасное удаление также востребованная и легальная функция. Он добавляется в автозапуск? И это тоже разрешённое поведение. В отличие от классических вирусов, троян-шифровальщик не пытается модифицировать файлы, не внедряется в активные процессы и вообще ведёт себя скучно.
UFO just landed and posted this here
А современные вредоносные программы эти песочницы распознают.

Но даже дело не в этом. На приведенных скринах — результаты вирустотала, то есть результаты анализа на знание вредоносной программы антивирусными базами, без запуска и последующего анализа
А почему никто не интересуется, почему не отрабатывает стандартная процедура отзыва сертификата? По нашим данным из топа VirusTotal более 18тыс файлов имеют валидную подпись от Symantec, а сертификат до сих пор не отозван. Речь идёт о месяцах не отзыва таких сертификатов.
PS: «Маргинальные антивирусы»(AV NG) работают на основе статистических движков(ML,DL) и только они могут принципиально детектировать и блокировать новые сэмплы без добавления сигнатуры сэмпла малвари в базу.
А почему никто не интересуется, почему не отрабатывает стандартная процедура отзыва сертификата? По нашим данным из топа VirusTotal более 18тыс файлов имеют валидную подпись от Symantec, а сертификат до сих пор не отозван.

А кто его должен отозвать и по какой причине?

После такого кто-то считает невозможной подделку https трафика?

UFO just landed and posted this here

Есть. EV SSL за 349 это как раз сертификат для домена.

UFO just landed and posted this here

В чем смысл им продавать, а кому то покупать сертификат на домен, которым человек и так владеет?

В том, что это не Domain-Validated сертификат, а значит — его выпуск требует не только владения доменом, а еще, например, юрлица.

Нет, не ты, просто проверенная удостоверяющим центром организация. Но продаются сертификаты не любых организаций, а только те, что есть украденные.
Во первых, не кто-то, когда-то зарегистрировал что-то. Там четко написано 3-5 рабочих дней на исполнение. То есть, это делается под конкретного заказчика. Во вторых, если без сертификатов никак нельзя, то возможно, создав по 1 центру в каждой стране, например, и один мировой и выдавать.
Печально, что подпись вообще влияет на детект.
Симантэк давно пора скорить в минус.
С поведенческим анализом всё по-прежнему плохо.
Батюшка к-ский чегой-то и вовсе за кадром облажался остался.
Потому что есть такие категории как golden image. К тому, что имеет подписанный бинарь доверия априори больше. Плюс, упомянутые вами ML методы, для которых наличие подписи тоже может учитываться как одна из feature. Плюс во многих enterprise av есть автокатегоризация, которая, в зависимости от настроек, может поместить приложение с подписью в группу с меньшими ограничениями по проверке. Никто не будет скорить симантек в минус, это самоубийство в ав тестах, вы представляете сколько коммерческого софта им подписано?
Перичитал комментарий, уточню иммел в виду не то что много софта подписано сертификатами Symantec, а то, что много сертификатов других софтверных компаний, которыми, в свою очередь, они подписывают свой софт.
Мне кажется, это какой-то надуманный бум по причине низкой грамотности населения в области компьютерной безопасности. Сертификат удостоверяет только то, что код программы не был модифицирован по пути. А вопрос доверия к разработчику никоим образом не меняется от наличия сертификата. И так понятно, что нас окружают жулики.
Но ведь «найти концы» не сложно, и распутать кто (какое конкретно лицо) запросил сертификат не инопланетные технологии. Но раз никто концов не ищет (а истрия длится, судя по публикации, с 2011 года), а бизнес только расширяется — значит это такой специальный план.
Объясните мне убогому почему вообще антивирусы считают подписанный код заведомо не зловредным (ну или же уровень доверия безмерно повышается)? Что вообще мешает Васе Пупкину пойти и законно получить себе сертификат, а потом клепать зловреды и подписывать их этой законной подписью? Боязнь, что его быстро вычислят по этой подписи? Да полноте. Помнится на заре появления блокираторов и шифровальщиков бабло просили кидать прямо на мобилу. Вычислить по ней получателя дело техники. Однако органам было пофиг (по крайней мере в РФ). Это во-первых. Во-вторых антивирус должен прежде всего защитить машину в любом случае. И не важно оставил ли автор зловреда следы или нет. Даже если в зловреде будет открытым текстом написаны ФИО автора и его домашний адрес, что теперь от такого зловреда не надо машину защищать? Бред какой-то.
Лично сталкивался со зловредом подписанным сертификатом от Comodo. И это был не эксклюзивный промышленный шпион, а таки обычный массовый зловред. Ноль срабатываний на virustotal. Отправил его на исследование Касперскому, так на протяжении месяца так и не начал определяться (потом стёр его и забил).
Такое чувство, что в антивирусных движках прям код такой «Если есть валидная ЦП, то пропускать проверку».
А меж тем, как уже заметили в комментариях, ЦС выдают левые сертификаты направо и налево и система отзыва по факту не работает. Просто супер!
«Объясните мне убогому почему вообще антивирусы считают подписанный код заведомо не зловредным»
Потому что раньше подпись косвенно означала, что у выпустившего есть бабло на выпуск сертификата и он подвердил свою личность, как правило малварописатели таким не заморачивались, поэтому можно производить меньше проверок в рантайме в настройках по-умолчанию, бонусом это ускоряет запуск стороннего софта. С эпохой LetsEncrypt когда у каждого второго свой сертификат подобное работать перестало. Отмечу что все популярные АВ позволяют это поведение отключить и проверять вне зависимости от того есть подпись или нет. Как правило наиболее сильно антивирусы доверяют ПО с сертификатами вендора ос
UFO just landed and posted this here
LetsEncrypt уже доверяют код подписывать?? o_O
Да, согласен криво получилось(хотя, до сего днябыл уверен что LetsEncrypt делает code sigining сертификаты), но сейчас цены другие нежели раньше, тот же Comodo позволяет купить за 73$/1y Code sigining certificate. Что несколько несопоставимо с 500$ на CodeSigning от Symantec года 4 назад ну и EV тоже подешевели. И вроде бы подешевение, как-то совпало с появлением LetsEncrypt но в любом случае это только мои домыслы.
Идея ваша правильная. Идёт распродажа доверия.
Не-не-не, Вы не путайте удешевление сертификатов с распродажей доверия. Снижение цен на сертификаты это хорошо. Просто надо понимать для чего вообще нужны сертификаты и ЭЦП — для подтверждения личности и гарантии неизменности подписанных данных. А по факту мы имеем какую-то дикую подмену понятий — раз код подписан, то это автоматически не код, а манна небесная. Раз сайт работает по HTTPS, то автоматически его владелец святой. И тд.
А теперь еще ЦС выдают сертификаты направо и налево без должных проверок. Вот это подрывает на корню всю эту систему PKI.
За высокой ценой, теоретически, должна стоять большая работа по отбору и проверке клиентов.
Есть смысл и в цветовой дифференциации штанов. Сертификаты «Вася — это Вася, кем бы он ни был» и «Вася — это лицо, соответствующее нашему широчайшему комплаенсу» обязаны быть различными, как по набору действий для их получения, так, разумеется, и по цене.
Я, как раз, против хромых формулировок «Безопасно», «Защищено», навязываемых в адресной строке браузера, например.
«Косвенно означала», «как правило» и тд. Не находите, что это очень сомнительные определения когда дело касается безопасности?
И в этом проблема. Т.е. по факту мы имеем ситуацию когда имея сертификат для подписывания кода (не важно даже как полученный) мы можем практически гарантированно пропихнуть мимо антивирусных решений всё что угодно.
А ваш ЦС как-то от подобного защищен? Понятно, что я не сотру все корневые серты, кроме вашего, даже узнав, что ответ — «да», но все же интересено: вы же так же, наверное, привлекаете партнеров, и так же вряд ли можете проверить/проследить, что подписываете не вирусню.
А что некий блоб, подписанный неким ЦС, оказался вредоносным, можно и вообще узнать очень не скоро, если вообще узнать: механизма уведомления, я так понимаю, ведь не существует? Или, скажем, антивирусные компании имеют протокол уведомления ЦС о том, что подписанный такой-то бинарь — злобный гад, и подпись нужно отзывать?
ЦС подписывают открытый ключ пользователя после валидации и записывают его в CT-лог, остальное их не касается.
При этом в CPS прописан запрет на malware и отзыв при нарушении условий.
Т.е. руки вы умыли, а пользы от подписи как бы и нет — что от вашей, что чужой. За что деньги-то, что формально поверили на слово, что заказчик не хацкер?
Задача ЦС удостовериться, что вы — это вы. Как электронный нотариус, не более того.

Вот здесь уже прокомментировали, что у людей возникло необоснованное мнение о том, что сам факт наличия валидной цифровой подписи имеет какое-то отношение к тому, является ли файл вредоносным или нет.


Подпись удостоверяет две вещи — что файл не изменялся с момента подписания (достоверно, пока не взломана лежащая в основе подписи криптография), и что файл подписан определенныи лицом, физическим или юридическим (менее достоверно, потому что ключ может быть скомпрометирован). Вредоносность кода и морально-этический облик заказчика тут вообще ни при чём.

А я про моральный облик ничего и не говорю. Говорю о том, что практику подачи сертификатов как защиты от чего угодно, кроме как от неизменности объекта подписи, нужно бы прекращать. В то время как ЦС обычно себя подают примерно «приходите к нам, с нами вам будут верить больше, чем с нашими конкурентами».
Вы видимо не до конца понимаете что такое ЭЦП. И понимание это не только у Вас, а еще у многих (вплоть до производителей антивирусов?).
ЭЦП позволяет убедиться, что подписанные данные (код, документ — не важно) не были модифицированы после подписания. А так же позволяет убедиться, что подписал данные какой-то конкретный субъект. Сертификат, выданный ЦС, как раз удостоверяет, что подписавший именно тот за кого себя выдаёт. Т.е. роль ЦС гарантировать, что эта ЭЦП (открытый ключ) принадлежит именно «тому парню». Всё, не больше и не меньше.
Т.е. еще раз:
1. Подпись гарантирует, что данные не менялись с момента подписания
2. СЦ гарантирует, что данные подписал такой-то субъект
Владелец ЭЦП волен подписывать _всё что ему угодно_. Наверно где-то в соглашениях между СЦ и покупателем сертификата написано, что «низя подписывать вирусню, ай-ай». Но это в любом случае на совести покупателя.

Тут больше вопрос к антивирусам. Почему подписанный код изначально считается более доверенным?
Точно как я и сказал выше: надо разъяснять, что такое сертификаты (а только инструмент проверки неизменности). А про антивирусы полностью согласен, и удивлен, что антивирусы вообще на что-то смотрят, кроме самого проверяемого файла.
Да, вижу. Писали комментарий одновременно.
К антивирусам у меня вопросы давно уже появились. После того как я лично столкнулся со зловредом подписанным валидной подписью (выше в комментарии писал вкратце). В общем запасаемся попкорноми смотрим на развитие ситуации. После истории с Symantec становится всё интереснее.
Вообще, вопрос доверия сертификатам, выдаваемым таким конторам, очень спорный))
С CodeSigning опцией сложнее, но левые сертификаты для сайтов в ближайшем будущем станут невозможны с включением в браузерах проверки через certificate transparency. Во всяком случае, сам факт выпуска подпольного сертификата мгновенно будет обнаружен.
Да, механизм отзывов сертификатов в браузерах сейчас де-факто практически не работает, но мы все ждем доработки OCSP Stapling'a и вот тогда… =)
Sign up to leave a comment.