Всё несколько печальнее — любой провайдер может стать MITM, достаточно чтобы на выходе сайт предоставлял любой сертификат, которому доверяет браузер клиента, а доверяет он сотням компаний (сейчас в списке Microsoft более 400) и этот список обновляется через интернет автоматически в момент запроса. При слежке за конкретным пользователем ничто не мешает агенту внедрить копию сертификата (естественно с другими ключами, но кто их проверяет) для его адреса и смотреть весь трафик, никто другой этого не заметит, а сам пользователь не будет сравнивать ключи со старыми для каждого сайта и тем более связываться с их владельцами для проверки актуальности ключей. Так что не CloudFlare тут виноват, а сама модель сертификации сайтов в текущем виде сделана скорее для самой элементарной защиты трафика, чем для реальной безопасности.
мы запустили акцию: ISPmanager три месяца бесплатно
По аналогии со статьёй, можно ли считать ISPmanager раком интернета? :) В отличие от CloudFlare, ISPmanager контролирует не только трафик, но и сами серверы в целом, что открывает куда больше перспектив для злоумышленников и т. д.
Это задания из планировщика пробуждают компьютер для обслуживания. Самый простой способ отключить реакцию на все подобные задания — отключить таймеры пробуждения в разделе Электропитание — Сон.
Важное замечание — по умолчанию Win7/2008R2 неуязвимы для BlueKeep-2, обновления KB4512486/KB4512506 даже не обновляют драйвер терминала, а в примечании к уязвимости написано:
These operating systems are only affected by this vulnerability if either RDP 8.0 or RDP 8.1 is installed. If you do not have either of these versions of RDP installed on Windows 7 SP1 or Window Server 2008 R2 SP1, then you are not affected by this vulnerability.
По умолчанию на этих системах работает RDP 7.1 (более того, на 2008R2 вообще невозможно включить RDP 8.0/8.1) и это не меняется даже после установки всех обновлений, переход серверной части на RDP 8.0 в Win7 нужно делать вручную через групповые политики. Поэтому те, кто самостоятельно не повышал версию RDP на клиентских системах в данном случае неуязвимы.
Как уже говорили выше, если техника побывала в чужих руках, её уже следует считать скомпрометированной. Все эти дополнительные защиты после чужих рук не особо помогут, так как векторов атаки можно придумать много, например:
Встроить аппаратный кейлоггер между клавиатурой и устройством, позже забрать его или получить беспроводным методом. Это никак не определить без дополнительных мер защиты конкретно против такого способа получения пароля.
Полностью подменить биос/чипсет и накопитель, чтобы процесс загрузки визуально соответствовал привычному. После ввода пароля не важно, что система не загрузится, пароль-то уже будет отправлен по сети. Даже если на биосе при включении стоит пароль, можно сделать так, чтобы он принимал любой пароль, всё равно никто не вводит сначала неправильный, чтобы убедиться в корректности алгоритмов.
Добавил в шапку заключительное обновление. В целом считаю ситуацию очень показательной и она отражает печальное положение на рынке сертификации. А ведь все проблемы можно было бы решить одним простым правилом — делать экспертизу перед отзывом. Но господам некогда, нужно грести деньги, и кто там пострадает — не важно, убытки слишком незначительны.
Нет, игнор продолжается. Да мне уже и всё равно, 3 недели прошло, а они и пальцем не пошевелили. Ждать не имеет смысла, сделал самоподписанный сертификат и работаю дальше.
Примеров альтернативной справедливости могу привести много, доверия к центрам сертификации не осталось — просто продавцы воздуха, которые творят что хотят и ни за что не отвечают.
Посмотрите на подпись ссылки-удивлялки, это Avast и никто не спешит его отзывать. И здесь даже не ложное срабатывание, потому что Avast Driver Updater навязчиво что-то предлагает и закономерно в именах вирусов видно ApplicUnwnt (нежелательное приложение) от Comodo, Misleading (вводящий в заблуждение) от Microsoft, UwS (нежелательный софт) от ESET и так далее.
Вы придумали себе цифру в 50 ложных срабатываний, почему не 500? Центры сертификации решили что 1-го срабатывания достаточно, так работает индустрия, причем вся.
Да хоть 5000, рейтинг сайта не имеет отношения к рейтингу файлов на нём. Отозвали сертификат за 17 срабатываний на файл, в шапке ссылка. А вот теперь я вас удивлю.
был же только 1, уже 5? :)
Один был на сайт, 17 было на файл. Уже 10 антивирусов исправили показания, все ссылки в шапке.
На каком основании вы принимаете решение о том что это ложное срабатывание?
На основании авторства, названий вирусов и антивирусов на virustotal, а также своего опыта. Если бы меня действительно взломали, на virustotal были другие названия и я сразу бы признал свою ошибку. Но так как здесь ошибка не моя, я сразу сказал, что это ложное срабатывание. Хотите — проверяйте, только доверьте это экспертам, у вас не получается.
Нас тут уже загнобили и заклемили за все попытки вам помочь, что если честно не корректно.
Это не ко мне, я наоборот благодарен вам за попытку помочь, а минусуют вас за необъективность — сначала стали на сторону Comodo без доказательств, а когда появились доказательства не в пользу Comodo вы продолжили оправдывать их очевидный прокол. Здесь же технари собираются, они видят ситуацию без купюр.
Их антивирус справедливо или нет пометил ваш софт как malware
Я уже десять раз написал об этом в комментариях и даже в ЛС написал пример, что же вы никак не разберётесь. На скриншоте представлено одно ложное срабатывание на сайт, это всего лишь источник распространения и он не имеет отношения к обсуждаемому сертификату. Даже если бы на сайте было 50 не ложных срабатываний, это не причина отзывать сертификат, которым подписаны программы на этом сайте, потому что это не доказывает связь между владельцем сайта и владельцем закрытого ключа сертификата. Неужели это так сложно понять?
Антивирус может выявить проблемы только если он установлен
Это не так, файл публичный и как только кто-нибудь загрузит его на virustotal, он сразу же попадает ко всем антивирусам. Или вы думаете, что пользователи всех этих заграничных антивирусов запускали мой файл? Да он им даром не нужен.
На сегодняшний день, вы не предоставили фактов о ложном срабатывании.
Пять антивирусов уже отозвали ложное срабатывание, как вам такой факт? Приставки Gen/Generic/susgen говорят о вероятностном срабатывании, это любому специалисту очевидно. Я уверен, что не все антивирусы уберут ложное срабатывание, такая специфика их работы, так что теперь, вы будете доказывать свою правоту, пока не останется ни одного ложного срабатывания?
Два дня назад мы предоставили вам совершенно адекватную форму с сайта Avira где есть прозрачная возможность подать файл к рассмотрению по причине ложного срабатывания.
Тогда же я и сообщил им о ложном срабатывании на сайт, а на файл он и так не ругался. Чтобы вам спокойно спалось, уже убрали и ложное срабатывание на сайт.
habr.com/post/455236/#comment_20263597
Avira к этой ситуации вообще никаким боком не относится. VirusTotal только агрегатор, и если у них нет кнопки «сообщить всем о ложном срабатывании», то единственный вариант — писать об этом каждому антивирусу, что я и сделал. К сожалению многие из них совсем не продумали обратную связь или аплоад, не у всех даже почта рабочая, поэтому ждать ответа от некоторых будем очень долго.
О ложном срабатывании также говорит и то, что файлу почти год, а срабатывание на него появилось только сейчас. Более того, у Comodo есть свой антивирус, который на VirusTotal рапортует о чистоте файла, и есть свои эксперты для вынесения вердикта в таком серьёзном деле, но их не задействовали. Надеюсь этот случай станет для Comodo поводом улучшить свой сервис, ведь аналитики других антивирусов не ленятся вручную исследовать файлы для повышения качества своих продуктов.
По совету CodeSignCert я написал каждому антивирусу, у которого произошло ложное срабатывание. Если хотя бы часть из них отреагирует на ситуацию, мы увидим уменьшение количества срабатываний при пересканировании этого же файла через несколько дней.
Получил ответ от CodeSignCert с тем самым хешем и это оказалось ложное срабатывание. Обновил статью с указанием подробностей. gogetssl, вы готовы сдержать слово (я за язык не тянул), или требуются какие-то дополнительные процедуры для того, чтобы подтвердить ложное срабатывание?
Выше я уже писал, что звонил — на этом настоял один из операторов в чате, у меня был не один сеанс. На мои возражения, что по телефону они никак не продиктуют ссылку на virustotal, он всё равно настаивал, что нужно только звонить. Конец немного предсказуем — по телефону мне ответили то же самое, что и в чате, а на просьбу предоставить ссылку снова отправили писать тикет, на который вместо доказательства опять ответили шаблонной фразой. Может рядовые операторы и сами не имеют доступа к доказательствам, может у них в инструкции написано прикидываться деревом, но мне как клиенту от этого не легче. Comodo даже своему партнёру gogetssl не предоставил доказательства, что говорит об отношении в целом. На самом деле нет никакой причины не предоставлять ссылку на файл с вирусом, это не секретная информация, так клиент во-первых сможет понять, за что отозвали сертификат, во-вторых найти у себя конкретную программу и разобраться, на что именно идёт срабатывание, и в-третьих возразить, если сертификат отозван по ошибке и вредоносного ПО на самом деле не было. Изначально отказываясь вести адекватный диалог они сами создают себе соответствующую репутацию.
Не устанавливаю, у вас устаревшая информация. Больше трёх лет назад я так делал с некоторыми программами, чтобы не платить за воздух, для проверки целостности (ничего вредоносного), однако начиная с 2016 мне понадобился сертификат и с тех пор им подписываются и программы.
По умолчанию на этих системах работает RDP 7.1 (более того, на 2008R2 вообще невозможно включить RDP 8.0/8.1) и это не меняется даже после установки всех обновлений, переход серверной части на RDP 8.0 в Win7 нужно делать вручную через групповые политики. Поэтому те, кто самостоятельно не повышал версию RDP на клиентских системах в данном случае неуязвимы.
Примеров альтернативной справедливости могу привести много, доверия к центрам сертификации не осталось — просто продавцы воздуха, которые творят что хотят и ни за что не отвечают.
"Мы от слов не откажемся никогда", буду скучать по вашему юмору.
Один был на сайт, 17 было на файл. Уже 10 антивирусов исправили показания, все ссылки в шапке.
На основании авторства, названий вирусов и антивирусов на virustotal, а также своего опыта. Если бы меня действительно взломали, на virustotal были другие названия и я сразу бы признал свою ошибку. Но так как здесь ошибка не моя, я сразу сказал, что это ложное срабатывание. Хотите — проверяйте, только доверьте это экспертам, у вас не получается.
Это не ко мне, я наоборот благодарен вам за попытку помочь, а минусуют вас за необъективность — сначала стали на сторону Comodo без доказательств, а когда появились доказательства не в пользу Comodo вы продолжили оправдывать их очевидный прокол. Здесь же технари собираются, они видят ситуацию без купюр.
Это не так, файл публичный и как только кто-нибудь загрузит его на virustotal, он сразу же попадает ко всем антивирусам. Или вы думаете, что пользователи всех этих заграничных антивирусов запускали мой файл? Да он им даром не нужен.
Пять антивирусов уже отозвали ложное срабатывание, как вам такой факт? Приставки Gen/Generic/susgen говорят о вероятностном срабатывании, это любому специалисту очевидно. Я уверен, что не все антивирусы уберут ложное срабатывание, такая специфика их работы, так что теперь, вы будете доказывать свою правоту, пока не останется ни одного ложного срабатывания?
Тогда же я и сообщил им о ложном срабатывании на сайт, а на файл он и так не ругался. Чтобы вам спокойно спалось, уже убрали и ложное срабатывание на сайт.
Avira к этой ситуации вообще никаким боком не относится. VirusTotal только агрегатор, и если у них нет кнопки «сообщить всем о ложном срабатывании», то единственный вариант — писать об этом каждому антивирусу, что я и сделал. К сожалению многие из них совсем не продумали обратную связь или аплоад, не у всех даже почта рабочая, поэтому ждать ответа от некоторых будем очень долго.
О ложном срабатывании также говорит и то, что файлу почти год, а срабатывание на него появилось только сейчас. Более того, у Comodo есть свой антивирус, который на VirusTotal рапортует о чистоте файла, и есть свои эксперты для вынесения вердикта в таком серьёзном деле, но их не задействовали. Надеюсь этот случай станет для Comodo поводом улучшить свой сервис, ведь аналитики других антивирусов не ленятся вручную исследовать файлы для повышения качества своих продуктов.