sww 486 Опубликовано Июль 21, 2010 Считаю, что они сами виноваты.. В след. раз будут умнее, чтобы там ни было... Кто эти абстрактные они? MS? Realtec? JMicron? Люди!. Ох лол...ВЫ НЕ ПОВЕРИТЕ Мне казалось, что в системах Vista+ должны быть предупреждения об истекшем сертификате (надо бы проверить). А так да, все загрузится и будет работать. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Сергей Ильин 1538 Опубликовано Июль 21, 2010 http://www.securelist.com/en/blog/2236/Stu...asked_questions Важные моменты, на которых хотелось бы остановиться: 1. I heard Microsoft and Verisign revoked the stolen Realtek certificate, does it mean I’m safe now? Due to the way certificates work, a revoked certificate doesn’t mean the malware will not run anymore. You will still get infected by Stuxnet and the driver will still load without any warning. The only effect of the revoke process is that the bad guys will not be able to sign any further malware with it. 4. Now that Microsoft and Verisign revoked the Realtek/JMicron certificates, does it mean that my Realtek/JMicron drivers will stop working? No. Due to the way certificates and signatures work, the revoking doesn’t have any effect on already signed drivers. Both companies were issued new certificates, which they can use to sign upcoming drivers. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Danilka 678 Опубликовано Июль 21, 2010 Realtec? JMicron? Вот они. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
sww 486 Опубликовано Июль 21, 2010 UPD: Никаких предупреждений о загрузке драйвера на Vista Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
dr_dizel 385 Опубликовано Июль 21, 2010 Важные моменты, на которых хотелось бы остановиться: Получается, что работоспособность софта из белых списков с отозванным сертификатом - проблема только ЛК? Ну и конечно же малваристы доставляют: стоит им в руки попасть какая-нибудь невероятная ценность, как они её сливают на какую-то фигню... Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
A. 876 Опубликовано Июль 21, 2010 Получается, что работоспособность софта из белых списков с отозванным сертификатом - проблема только ЛК? Эээ, я как-то потерял ход твоей мысли. Причем тут ЛК и какие-то проблемы ? Нет у нас там никаких проблем. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
DiabloNova 175 Опубликовано Июль 21, 2010 dr_dizel, вы меня извините конечно, но скажите на основании чего вы как аналитик (вирусный с большим стажем?) заявляете, что утыренные сертификаты пущены на гуан? Вы реверзили эту малварь? Вы знаете заказчиков, вы знаете в чем профит? Я просто не понимаю таких заявлений от человека весьма далекого от этого сириус бизнеса. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
dr_dizel 385 Опубликовано Июль 21, 2010 Эээ, я как-то потерял ход твоей мысли. Причем тут ЛК и какие-то проблемы ? В цифре 124 ничего страшного нет. Это всего лишь количество приложений, которые перестанут работать при отзыве данного сертификата. У хрен знает скольких пользователей... Ну... какбэ... На протяжении всего топика я пытаюсь выяснить где, что и почему же перестанет работать с отзывами сертификатов и настанет "проблема 2000". Сам отзыв сертификатов не порождает неработоспособность. Тогда что? Выпадание из белых списков? Нет у нас там никаких проблем. Я рад за вас. Значит все будет продолжать работать и дальше, как и работало. А то слышны какие-то непонятные возгласы спаситя-памагитя-мы-все-умрём-аааа... dr_dizel, вы меня извините конечно, но скажите на основании чего вы как аналитик (вирусный с большим стажем?) заявляете, что утыренные сертификаты пущены на гуан? Да запросто извиняю, хотя и в упор не вижу никаких приставок "вирусный" где бы то ни было. Что касается сертификатов, то считаю их применение сомнительным. У малваристов был шанс устроить что-то грандиозное, а не тупо пытаться слить в инет данные разработки из мест, куда долго шли через флэхи. А получили в итоге гвоздь в крышку промышленных вкомпиленных паролей, которые не менялись годами и не изменились бы, и также большую резонирующую вонь по всему инету из-за наличия валидных подписей. Чтобы теперь воспользоваться полученными результатами(?) у них должно быть ещё пара джокеров в рукаве. А пока комментарий по малвари цитатой: "Хватит попыток! Просто бей." Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
A. 876 Опубликовано Июль 21, 2010 Ну... какбэ... На протяжении всего топика я пытаюсь выяснить где, что и почему же перестанет работать с отзывами сертификатов и настанет "проблема 2000". Сам отзыв сертификатов не порождает неработоспособность. Тогда что? Выпадание из белых списков? То что отзыв сертификатов не порождает неработоспобность/появление алертов/etc - для меня лично оказалось новостью. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
SDA 750 Опубликовано Июль 21, 2010 Лаборатория Linchpin Labs (занимающаяся разработкой системных утилит для Windows) совершила первую реальную атаку на Висту, доказав полную практическую бесполезность процедуры цифровой подписи. Зарегистрировав "левую" фирму она получила секретный ключ, которым подписала драйвер Atsiv, позволяющий загружать неподписанные драйвера и не просто загружать, а еще и скрывать их присутствие в системе, что достигается путем исключения драйвера из списка PsLoadedModuleslist (точнее, невключения драйвера в список PsLoadedModuleslist, поскольку Atsiv использует собственный загрузчик), то есть Atsiv фактически представляет собой самый настоящий rootkit, образующий огромную дыру в безопасности. Сам-то он подписан, а вот загружаемые им драйвера - нет. Получение секретного ключа - чисто формальная процедура и "нотариально" заверить драйвер - не проблема. Лабораторию Linchpin Labs вообще сильно удивило, насколько просто делаются такие вещи. Но ведь иначе и быть не может! Драйвера создаются тысячами фирм и если каждую фирму подвергать жестокой проверке на предмет - откуда она взялась и чем собирается заниматься, то Виста сильно рискует остаться без свежих драйверов. Разработчики забьют на нее и пересядут на Linux. А без драйверов Виста никому не нужна. Даже даром. Реакция Microsoft последовала незамедлительно и в базе Defender'а появилась новая сигнатура, блокирующая запуск Atsiv'а (при условии, что пользователь держит Defender включенным и своевременно обновляет базу сигнатур), а сам Atsiv внезапно исчез с сайта разработчиков (http://www.linchpinlabs.com/resources/atsiv/usage-design.htm), хотя до этого он распространялся бесплатно. То есть, Microsoft как бы разрулила ситуацию. "Как бы" потому что остается без ответа вопрос, поставленный лабораторий Linchpin Labs: "A signed file uniquely identifies the company that developed that file, but when companies can be created and registered in jurisdictions known for protecting the privacy of company founders and directors, you have to ask what does driver signing actually represent? Signed drivers can be signed by an arbitrary legally registered company. Absent any control over what the driver actually is or does, this provides no real additional security, other than removing author anonymity" ("Подписанный файл однозначно идентифицирует компанию, разработавшую его, но когда компании создаются и регистрируются таким образом, что истинные основатели и директоры фирмы остаются в тени, спрашивается: что же в действительности представляет собой цифровая подпись? Отсутствие реального контроля за поведением драйвера не обеспечивает никакой реальной безопасности, за исключением невозможности распространения анонимных драйверов"). В общем, цифровая подпись представляет лишь видимость защиты и с rootkit'ами приходится бороться дедовскими методами - путем антивирусной проверки с постоянно обновляемой базой сигнатур. Если у нас нет антивируса, мы можем "подцепить" малварь, снабженную цифровой подписью, но если антивирус есть - какой смысл в цифровой подписи? Правильно, никакого смысла в ней нет, только лишняя головная боль легальным разработчикам. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
dr_dizel 385 Опубликовано Июль 22, 2010 Постоянно идёт борьба брони и снаряда. А цифровая подпись - не единственный защитный барьер. И можно сказать, что антивирусные компании добились своей мечты - ОС должна быть снабжена хоть каким-нибудь антивирусом, но как оказалось на беду их - не всегда платным. Ну и скрин для затравки. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
OlegAndr 236 Опубликовано Июль 23, 2010 То что отзыв сертификатов не порождает неработоспобность/появление алертов/etc - для меня лично оказалось новостью. По умолчанию галочка проверять отзыв сертифкатов не стоит... Главное чтобы подпись была. В этом смысле MS когда требует подписания драйверов WHQL подписью на стороне Microsoft в чем--то право. Будем ожидать 1. Внедрения обязательной подписи WHQL для всех дров 2. Усложнения процесса получения этой подписи. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
wert 60 Опубликовано Август 5, 2010 Считаю, что они сами виноваты.. В след. раз будут умнее, чтобы там ни было... Эт точно. http://blogs.drweb.com/node/749 Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Юрий Паршин 330 Опубликовано Август 5, 2010 (изменено) Эт точно.http://blogs.drweb.com/node/749 DrWeb - (вырезано) , даже читать не умеют - может у них переводчиков не хватает? А если конкретнее, то: "While checking the certificate, we noticed that the hash value applied to the suspect file was invalid. This is because hash values are specific to the original file to which they are applied whereas this particular signature has been stolen. Also, the signature had already expired." Просто скопировали подпись одной из утилит в конец троянского файла. [Замечание: Юрий, прошу вас воздерживаться от использования оскорбляющей лексики. Mr. Justice] Отредактировал Август 5, 2010 Mr. Justice Нарушение п. 11.1 Правил форума 15 Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Dmitriy K 603 Опубликовано Август 5, 2010 Эт точно.http://blogs.drweb.com/node/749 слив не удался Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
vaber 350 Опубликовано Август 5, 2010 (изменено) DrWeb - [вырезано], даже читать не умеют - может у них переводчиков не хватает?А если конкретнее, то: "While checking the certificate, we noticed that the hash value applied to the suspect file was invalid. This is because hash values are specific to the original file to which they are applied whereas this particular signature has been stolen. Also, the signature had already expired." Просто скопировали подпись одной из утилит в конец троянского файла. Недельку назад мне попадался троянчик со скопированной подписью от БитДефендера Тоже стырили видать))) Отредактировал Август 5, 2010 Mr. Justice Отредактировал цитату Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Юрий Паршин 330 Опубликовано Август 5, 2010 Сообщение в блоге по-тихому сменили! Но скриншот оригинала остался: 10 Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
sww 486 Опубликовано Август 5, 2010 Эх, Игорь Здобнов, что же ты так Забавно и любовно. Про подписи Realtek и JMicron в блоге дрвеп ни слова, но про ЛК надо написать UPD: Картинка для начальника вирлаба Игоря. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
DiabloNova 175 Опубликовано Август 5, 2010 Раз пошла такая пьянка, вот вам уважаемый Игорь Здобнов дропер руткита TDL3 с цифровой подписью Доктор Веб =) Голактека в опасности. http://www.virustotal.com/analisis/2ee3b8b...2ac1-1280999570 5 Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Umnik 997 Опубликовано Август 5, 2010 Я ждал, кто первый это сделает Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Danilka 678 Опубликовано Август 5, 2010 UPD: Картинка для начальника вирлаба Игоря. А мы ему английский оплачиваем? 5 Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Сергей Ильин 1538 Опубликовано Август 5, 2010 Атака легкой кавалерии на конкурента явно провалилась ... Вот еще на ту же тему, линк с говорящим названием http://blog.trendmicro.com/certificate-sna...ital-signature/ Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Danilka 678 Опубликовано Август 5, 2010 Атака легкой кавалерии на конкурента явно провалилась ... Вот еще на ту же тему, линк с говорящим названием http://blog.trendmicro.com/certificate-sna...ital-signature/ Ключевое: Trend Micro has informed Kaspersky of this incident. А не то, что тут выше было у Dr.Web... Сообщение в блоге по-тихому сменили! Но скриншот оригинала остался: Вот и видят все - какая компания и что из себя представляет... 5 Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
A. 876 Опубликовано Август 5, 2010 http://secureblog.info/articles/649.html 15 Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Сергей Ильин 1538 Опубликовано Август 5, 2010 http://secureblog.info/articles/649.html Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
