SLY_G 24 ноя 2015 в 02:00

Дурной пример заразителен: Dell выпускает компьютеры с уязвимостью, подобной Superfish

2 мин

9.1K

Информационная безопасность*

+14

Комментарии 7

MiXaiL27 24 ноя 2015 в 04:34

Суть новости не в этом и сама уязвимость тоже! На скрине специально выделена надпись «У вас есть закрытый ключ от этого сертификата». У пользователя не может находится закрытый ключ шифрования корневого сертификата ни при каких обстоятельствах! Если такое произошло, то это «компрометация закрытого ключа» и повод для немедленного отзыва этого сертификата (и всех выданных им). Если вы откроете свое хранилище сертификатов, то вы увидите, что на всех корневых сертификатах такой надписи нет за исключением вашего личного самоподписного сертификата, если вы сами добавили в «доверенные корневые».

MiXaiL27 24 ноя 2015 в 04:47

Таким образом сама уязвимость заключается в том, что любой, кто обладает парой «открытый сертификат и закрытый ключ» может подписать свой вредоносный софт и без предупреждений систем безопасности установится на машине, где имеется такой сертификат в «доверенных корневых». Такого рода факап для официального Удостоверяющего Центра может стать последним действием, как юридического лица. Но они по крайней мере не имеют лицензию МинКомСвязи и их сертификатом нельзя подписать юридически значимый (по законам РФ) документ. Однако если она захотят стать таковым, то я припомнил бы этот случай и они бы долго проходили все аудиты безопасности. На счет того, что это могли быть незапланированные действия или низкая компетенция, лично я склоняюсь к злому умыслу. Любой человек, который имеет опыт работы со сложной криптографией или обучался в ВУЗ'е — им с самого начала вдалбливают что такое закрытый ключ и для чего он нужен. Даже средний системный администратор знает почему нельзя держать privat.key для SSH-сессии в небезопасном хранилище!

В общем у меня все, извините, что-то бомбануло с такой картины.