Pull to refresh

Comments 7

Пользователям следует тщательно проверять, какое ПО они ставят на свои машины

Но если подпись поставлена с помощью нелегального сертификата и при проверки (тем более она ведется автоматически) у этого сертификата есть и сертификат выпустившего его УЦ (нелегальный, да нелегальный), есть списки отозванных сертификатов (CRL) или служба OCSP (у нелегального УЦ), то как рядовой пользователь сможет отличить легальное ПО от пиратского, скажем? На мой взгляд это очень тяжело. Это на самом компьютере должна быть в недрах операционки некая служба, которая бы отлавливала левое ПО. Или как?

Вы немного напутали: в статье нет разделения на легальное и пиратское. Есть разделение на легальное и вредоносное.
Но да, Вы правы, с точки зрения пользователя и то и то программа. Смотрим, есть подпись — значит всё хорошо. Так было раньше. Давно… сейчас же всё сложно.
И ОС тут ни при чём, для неё файл 1.exe и 2.exe оба бинарники. Должна их проверять, скажете Вы, вот только этим уже занимаются антивирусы.
И тут вопросов возникает на ещё одну статью — А стоит ли верить антивирусам?
Да, антивирусы порой хуже самих вирусов. А некоторые антивирусы даже распространяются методами, которыми распространяют вирусы (называть имена не буду, все и так всех знают). И данные они сливают постоянно и в тихушку, даже если отключить отсылку репортов (у которых эта опция есть).

Другое дело ситуация с этими сертификатами. Вот начали их вводить повсеместно, вроде бы благая идея, заботятся об пользователе. Но что мы имеем? HTTPS, который заставляет всех пользователей выкидывать старое оборудование и программы и постоянно обновляться, но не приближает к реальной безопасности: то тут сертификат проморгали, то там нашли сервер с MIM атакой. А подпись приложений это вообще неполноценная реализация. Ведь и вправду, для чего подпись в исполняемом бинарнике? Правильно, чтобы убедиться, что он валидный. А кто должен убеждаться? ОС. И только она, а в какой момент — не важно, и при загрузке и при запуске и прочее. Но никак не антивирус. Только вот эта самая подпись не гарантирует подделку файла, о чём и говорится в статье.

Складывается ощущение, что скоро придём к тому, что на каждый сайт будем логиниться через VPN, а к каждому файлу при каждом запуске у его издателя будет запрашиваться какой-нибудь SHA2 хэш. Но это не точно.

Суть мер безопасности в снижении рисков. Это не 100% защита. Выпустить вредоносное по с валидным сертификатом банально сложнее и несет больше рисков тому, кто его создает и использует.

А какое отношение антивирусы имеют к электронной подписи? И речь шла не о самой ОС, а о некой службе которая бы проверяла валидность подписи и что она от производителя программы. Оказывается HardWrMan ниже уже изложил мои мысли. Спасибо ему.

И официальный сайт с дистрибутивами может быть скомпроментирован.

В общем тут даже не рядовой пользователь, а даже очень продвинутый почти ничего не может сделать.
Максимум — работать не из под админской учетки.
Что-то я не понял. Сертификат подтверждает что вот этот, именно этот, файл выпущен компанией Bla Bla Inc. и, возможно, позволяет проверить целостность файла. В последнем случае подтверждает что содержимое файла соответствует тому, которое туда поместила компания Bla Bla Inc.

Сертификат никак не подтверждает что компания Bla Bla Inc. белая и пушистая и что её программы не являются вредоносными.
Sign up to leave a comment.

Other news