Mozilla протестует против шпионской программы под видом Firefox


    Ненастоящая лисичка Firefox

    Организация Mozilla выразила официальный протест против использования названия Firefox для шпионажа за пользователями.

    Известная шпионская программа FinFisher (FinSpy) от компании Gamma International используется правительствами как минимум 36 стран для слежки за гражданами через мобильные телефоны и ПК. Из недавнего отчёта Citizen Lab выяснилось, что это ПО распространяется под видом браузера Firefox.


    Слева: программа FinSpy, справа: Firefox 14.0.1

    Организация Mozilla категорически против использования своего честного имени в таких «гнусных» целях. По опросам пользователей, Mozilla получила звание Most Trusted Internet Company for Privacy в 2012 году. «Мы не можем смириться с тем, что софтверная компания использует наше имя для маскировки инструментов онлайновой слежки, которые могут использоваться — и в нескольких случаях реально использовались — клиентами Gamma для нарушения прав человека и онлайновой приватности», — пишет Алекс Фаулер (Alex Fowler), который отвечает за политику и приватность в Mozilla.

    С юридической точки зрения, Gamma International нарушает закон в нескольких пунктах.

    1. Вредоносная программа от Gamma International устанавливается в файле под названием “Firefox.exe” и демонстрирует различные свойства браузера, в том числе номер версии, копирайт и торговую марку, якобы принадлежащие «Разработчикам Firefox и Mozilla» (см. скриншот вверху). Таким образом, создаётся ложное впечатление того, что Mozilla имеет отношение к этой программе.

    2. Для экспертов, которые будут изучать шпионскую программу, она содержит дословный манифест Firefox.
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 67

    • UFO just landed and posted this here
        +68
        image

        Настоящая лисичка firefox. Остерегайтесь подделок!
          +45
          Не-а, вот настоящая:
          image
            +1
            Малые панды вообще милашки)
            0
            Почему в моём браузере такой нету? )
              +3
              Вы же смотрите на неё в… своем браузере?! О_О
              • UFO just landed and posted this here
              –7
              Оооо о ооо существуют еще люди, думающие, что firefox это лиса…
                +7
                Ну как бы на логотипе то действительно лиса
                По утверждению создателей популярного интернет-браузера «Mozilla Firefox» название «Firefox» означает «Малая панда», но вопреки названию, на логотипе изображена обычная лиса, так как дизайнер посчитал невозможным воплотить узнаваемый образ малой панды в малой форме.

                0
                Ох уж эти лисички! :)
                  0
                  мне эта нравится больше чем в статье :)
                    +6
                    Но… ведь та, что в статье — красивше!
                      0
                      Да ну, эта напряжённой слишком выглядит, как будто кто-то for (i = -Number.MAX_VALUE; i < Number.MAX_VALUE; i += Number.MIN_VALUE) запустил, к тому же хвост не на глобусе.
                      +13
                      У IE тоже есть лисичка!
                      image
                      • UFO just landed and posted this here
                      • UFO just landed and posted this here
                          0
                          плохой, негодный косплей Хоро
                          +40
                          Борман, догадавшись о том, что Штирлиц — вражеский шпион, выстрелил в него из маузера, но промахнулся.
                          — Мазила! — подумал Штирлиц и закрыл окно браузера.
                          • UFO just landed and posted this here
                            +26
                            Конечно ничего не имею против привлекательной девушки на КДПВ, но зачем такой намёк, что FF много ест?
                              –1
                              Пфф, это стереотип уже) Некоторые браузеры (не будем показывать пальцем) жирнее мозилки.
                              А девушка на заглавном фото и вправду полновата, на мой взгляд.
                              • UFO just landed and posted this here
                              0
                              Сейчас на файлах стоит цифровая подпись, поэтому уже проще определить кто есть кто.
                                +16
                                А толку?
                                Вон майл.ру подписывает своим сертификатом свои же трояны. Как только возникает шумиха, сразу открещивается от дела рука своих и кивает на мифических пользователей.
                                  –1
                                  То есть, вы полагаете, что Mozilla имеет какое-то отношение к Gamma International, иначе бы зачем им (Mozilla) своим сертификатом подписывать программы для чужой компании.
                                  Если же нет, то тогда в чём смысл вашей мысли?
                                    +1
                                    Так бывало же, что госслужбы «добровольно-принудительно» заставляли например CA подписывать левые сертификаты.
                                      0
                                      Это я и хотел тонко намекнуть. :)
                                        0
                                        Намёк не понят.

                                        Не вижу связи
                                        заставляли например CA подписывать левые сертификаты
                                        с
                                        Вон майл.ру подписывает своим сертификатом свои же трояны

                                        Подписать сертификат Подписать файл
                                          0
                                          Цепочка:
                                          CA --> клиентский сертификат --> подписанный файл
                                          CA --> клиентский сертификат --> подписанный сайт
                                          CA --> клиентский сертификат --> подписанный канал

                                          Мозилла сама встраивает в доверительные СА подозрительные СА.
                                          Что ей мешает отозвать сертификат СА, который выдал сертификат для подписи фальшивого инcталлятора FF?

                                          Есть ли механизм добавления подозрительных CA и сертификатов в черный лист со стороны пользователя?
                                          Или мы будем слепо доверять своему поставщику ОС и издателю браузера?
                                            +2
                                            Мозилла сама встраивает в доверительные СА подозрительные СА.

                                            Можно увидеть пример подозрительного СА от Mozilla?

                                            В Windows вы можете управлять сертификатами через оснастку certmgr.msc
                                            0
                                            Подписать сертификат ≠ Подписать файл

                                            Да, но ведь от одного до другого один шаг.
                                              0
                                              Как у вас всё просто…
                                                0
                                                В чём моя ошибка?
                                                  0
                                                  Проверки жёстче.
                                                  Когда у вас попросят одолжить 1 руб или 1 миллиард у вас будет разве одинаковое отношение к тому кто просит или всё таки разное?
                                                    0
                                                    Когда я говорил «от одного до другого один шаг», я имел в виду именно «подписать сертификат → подписать файл», но не наоборот.
                                                      0
                                                      Да это всё понятно, что технически просто перейти от одного к другому, хотя организационно это разные процедуры.

                                                      Но кто же будет от Mozilla в здравом уме и твёрдой памяти подписывать своим сертификатом чужие файлы или тем более чужие сертификаты без должных проверок?
                                                      Свои файлы они конечно же могут подписывать — в том числе и вредоносные — но за это будут нести ответственность уже они сами.

                                                      Вопрос ведь основной — в доверии к выдающим центрам, а следовательно к возможности компрометации выданных ими сертификатов.
                                                      Если будет создан прецедент с возможностью давления на VeriSign, Thawte и т.д. каких-то госструктур, то можно ставить крест на всей системе сертификации, ибо потеряется главное — доверие.

                                                      PS: не хочу более вам что-либо доказывать или спорить.
                                          0
                                          Можно пруфы?

                                          Но даже если так, то:
                                          1. можно подать в суд на CA
                                          2. можно самим стать CA
                                          3. как вообще тогда доверять системе сертификации? А банки об этом знают?

                                          Вы ведь понимаете, что левый сертификат всё равно не будет соответствовать «не левому».
                                            0
                                            Банкам плевать, у них свои стандарты и свои каналы обмена данными между собой.
                                            А те, которые предоставляют https для веб-банкинга, берут любой СА, лишь бы у пользователя браузер «не ругался».

                                              0
                                              Наверное, за сертификат от любого более менее серьёзного, а значит ответственного CA, и денег платить не нужно?
                                              И СА ни за что не отвечает, в том числе материально?
                                              И проходить долгую процедуру проверки заявителя тоже не нужно?

                                              Действительно зачем, когда могут придти некие госслужбы и сделать всё быстро и бесплатно.
                                              0
                                              habrahabr.ru/post/116084/
                                              www.itp.net/591785-turkish-government-dept-issues-fake-digital-certificate-for-google-sites
                                              www.theregister.co.uk/2013/04/16/mozilla_threatens_teliasonera/
                                              www.eff.org/deeplinks/2010/03/researchers-reveal-likelihood-governments-fake-ssl
                                              100% нерушимых пруфов разумеется нет, но собственно это действительно вполне логично же.

                                              левый сертификат всё равно не будет соответствовать «не левому»

                                              Соответствовать они может и не будут, но валидную подпись же будут иметь.
                                                0
                                                Я ожидал пруф на компрометацию сертификации от VeriSign и/или Thawte.

                                                Выше я уже указал данные цифровой подписи для firefox.exe
                                                Хотелось бы увидеть пример того, как госконтора сумела надавить на эти компании (особенно на Thawte и Symantec применительно к Mozilla).
                                                  0
                                                  компрометацию сертификации от VeriSign и/или Thawte

                                                  Такого не встречал, да.
                                      +12
                                      >используется правительствами как минимум 36 стран для слежки за гражданами
                                      Это, конечно, мелочи… Это к делу относится лишь косвенно.
                                      Главные враги и уроды конечно же Gamma International.
                                      Мужики! Одумайтесь! Если кончится терпение у меня и я начну революцию, то мало не покажется — я идеалист, верящий в свободу, равенство и рационализм. Поэтому полетят головы и начнут строится трудовые лагеря. (Если труд сделал человека из обезьяны, то есть шанс, что он сможет сделать человека и из спиногрыза-бюрократа)
                                      Разберитесь с проблемой пока я ещё держу себя в руках.
                                      Я предупредил:)
                                        +6
                                        Я с вами! За прогрессивную диктатуру! За Урфина Джюса!
                                          0
                                          Я против диктатуры! Я за тиранию!
                                        +66
                                        Предлагаю логотип для FinFisher

                                        image
                                          +10
                                          «In Soviet Russia you browse via Firefox,
                                          In capitalistic States Firefox browses YOU!»
                                          +1
                                          И правда гнусно все это. Следить за людьми прикрываясь чужим именем… И так уровень свободы слова наименьший за 10 лет (© Freedom House).
                                            0
                                            И главный вопрос: как узнать, что у меня… настоящий Firefox?
                                              0
                                              Экспериментально?
                                                +21
                                                Собрать из исходников.
                                                  0
                                                  Из пакета из репозитория поставить:)
                                                    0
                                                    Главное, чтобы это были исходники Firefox, а не ассемблерный листинг FinFisher.
                                                    +4
                                                    Проверяйте наличие цифровой подписи и её данные.
                                                    Как видно на скриншоте у «левака» её вообще нет.
                                                    У настоящего FireFox сертификат выдан Thawte и в дополнение имеется подпись Symantec.
                                                      0
                                                      Спасибо, проверил — все ОК!
                                                    0
                                                    Кстати, а кто подписал это приложение?
                                                    Я бы хотел плагинчик, который бы вел список проштрафившихся СА и помечал, выданные ими сертификаты как «подозрительные».
                                                      0
                                                      И VeriSign туда добавите?
                                                        0
                                                        вообще-то его нужно в первую очередь — поскольку он уже как минимум 3 раза был уличен в этом:
                                                        1) сертификат для одной MITM железки (разработчики из GB)
                                                        2) выдача подписанного сертификата по решению суда (найдете думаю — это не вопрос)
                                                        3) (не слишком публичный) что в третьи руки ушел один из субкорневых сертификатов (увы за достоверность не ручаюсь)
                                                        P.S. если что — то у FF — thawte
                                                        +2
                                                        На левом скрине отсутствует вкладка с подписью, значит её и нету.
                                                        +1
                                                        Откуда он распространяется? Я полагаю, что mozilla.org и центральные репозитории *nix систем не компрометированы, не так ли?
                                                          0
                                                          Кто распространяется?
                                                          Подделать манифест — не проблема, а вот отсутствие цифровой подписи уже должно насторожить.
                                                            +4
                                                            кто из «скачать бесплатно firefox» пользователей вообще знает о существовании сертификатов отличных от тех что выдают за красиво сделанный маникюр?
                                                              +1
                                                              Из моих знакомых примерно 60% скачают firefox не с родного сайта, а с примочками от яндекса, рамблера или чего угодно. Они просто вбивают в поиск@мейлру или вебальту (не спрашивайте, где они это хватают) свой глупый запрос и качают то что покажется по первой ссылке.
                                                              «мозилла» в их голове вызывает большее недоверие нежели, например, «рамблер»
                                                              0
                                                              Ну что такое цифровая подпись простой юзер может и не знать, а выучить правило «качать только с mozilla.org» имхо может каждый.
                                                              +17
                                                              «скачать Firefox бесплатно без смс»?
                                                                +13
                                                                «скачать crack keygen для Firefox» :-)
                                                              0
                                                              Во многих компаниях вообще установка софта самостоятельно запрещена — пользователю нужен софт «ххх», он дает заявку в ИТ отдел на установку, ну и софт накатывается автоматом или сотрудником хелпдеска, в корпоративных средах можно политиками в Active Directory такое нарулить, что пользователь даже знать не будет что за ним следят. Частично спасает только концепция BYOD, но и там не без нюансов.

                                                              Only users with full accounts can post comments. Log in, please.