Цифровая подпись - додоверялись? :)

[sww 486]

Считаю, что они сами виноваты.. В след. раз будут умнее, чтобы там ни было...

Кто эти абстрактные они? MS? Realtec? JMicron? Люди!.

Ох лол...

ВЫ НЕ ПОВЕРИТЕ

Мне казалось, что в системах Vista+ должны быть предупреждения об истекшем сертификате (надо бы проверить). А так да, все загрузится и будет работать.

[Сергей Ильин 1538]

http://www.securelist.com/en/blog/2236/Stu...asked_questions

Важные моменты, на которых хотелось бы остановиться:

1. I heard Microsoft and Verisign revoked the stolen Realtek certificate, does it mean I’m safe now?

Due to the way certificates work, a revoked certificate doesn’t mean the malware will not run anymore. You will still get infected by Stuxnet and the driver will still load without any warning. The only effect of the revoke process is that the bad guys will not be able to sign any further malware with it.

4. Now that Microsoft and Verisign revoked the Realtek/JMicron certificates, does it mean that my Realtek/JMicron drivers will stop working?

No. Due to the way certificates and signatures work, the revoking doesn’t have any effect on already signed drivers. Both companies were issued new certificates, which they can use to sign upcoming drivers.

[Danilka 678]

Realtec? JMicron?

Вот они.

[sww 486]

UPD: Никаких предупреждений о загрузке драйвера на Vista

[dr_dizel 385]

Важные моменты, на которых хотелось бы остановиться:

Получается, что работоспособность софта из белых списков с отозванным сертификатом - проблема только ЛК?

Ну и конечно же малваристы доставляют: стоит им в руки попасть какая-нибудь невероятная ценность, как они её сливают на какую-то фигню...

[A. 875]

Получается, что работоспособность софта из белых списков с отозванным сертификатом - проблема только ЛК?

Эээ, я как-то потерял ход твоей мысли. Причем тут ЛК и какие-то проблемы ?

Нет у нас там никаких проблем.

[DiabloNova 175]

dr_dizel, вы меня извините конечно, но скажите на основании чего вы как аналитик (вирусный с большим стажем?) заявляете, что утыренные сертификаты пущены на гуан?

Вы реверзили эту малварь? Вы знаете заказчиков, вы знаете в чем профит? Я просто не понимаю таких заявлений от человека весьма далекого от этого сириус бизнеса.

[dr_dizel 385]

Эээ, я как-то потерял ход твоей мысли. Причем тут ЛК и какие-то проблемы ?

В цифре 124 ничего страшного нет. Это всего лишь количество приложений, которые перестанут работать при отзыве данного сертификата.

У хрен знает скольких пользователей...

Ну... какбэ... На протяжении всего топика я пытаюсь выяснить где, что и почему же перестанет работать с отзывами сертификатов и настанет "проблема 2000". Сам отзыв сертификатов не порождает неработоспособность. Тогда что? Выпадание из белых списков?

Нет у нас там никаких проблем.

Я рад за вас. Значит все будет продолжать работать и дальше, как и работало. А то слышны какие-то непонятные возгласы спаситя-памагитя-мы-все-умрём-аааа...

dr_dizel, вы меня извините конечно, но скажите на основании чего вы как аналитик (вирусный с большим стажем?) заявляете, что утыренные сертификаты пущены на гуан?

Да запросто извиняю, хотя и в упор не вижу никаких приставок "вирусный" где бы то ни было. Что касается сертификатов, то считаю их применение сомнительным. У малваристов был шанс устроить что-то грандиозное, а не тупо пытаться слить в инет данные разработки из мест, куда долго шли через флэхи. А получили в итоге гвоздь в крышку промышленных вкомпиленных паролей, которые не менялись годами и не изменились бы, и также большую резонирующую вонь по всему инету из-за наличия валидных подписей. Чтобы теперь воспользоваться полученными результатами(?) у них должно быть ещё пара джокеров в рукаве.

А пока комментарий по малвари цитатой: "Хватит попыток! Просто бей."

[A. 875]

Ну... какбэ... На протяжении всего топика я пытаюсь выяснить где, что и почему же перестанет работать с отзывами сертификатов и настанет "проблема 2000". Сам отзыв сертификатов не порождает неработоспособность. Тогда что? Выпадание из белых списков?

То что отзыв сертификатов не порождает неработоспобность/появление алертов/etc - для меня лично оказалось новостью.

[SDA 750]

Лаборатория Linchpin Labs (занимающаяся разработкой системных утилит для Windows) совершила первую реальную атаку на Висту, доказав полную практическую бесполезность процедуры цифровой подписи. Зарегистрировав "левую" фирму она получила секретный ключ, которым подписала драйвер Atsiv, позволяющий загружать неподписанные драйвера и не просто загружать, а еще и скрывать их присутствие в системе, что достигается путем исключения драйвера из списка PsLoadedModuleslist (точнее, невключения драйвера в список PsLoadedModuleslist, поскольку Atsiv использует собственный загрузчик), то есть Atsiv фактически представляет собой самый настоящий rootkit, образующий огромную дыру в безопасности. Сам-то он подписан, а вот загружаемые им драйвера - нет.

Получение секретного ключа - чисто формальная процедура и "нотариально" заверить драйвер - не проблема. Лабораторию Linchpin Labs вообще сильно удивило, насколько просто делаются такие вещи. Но ведь иначе и быть не может! Драйвера создаются тысячами фирм и если каждую фирму подвергать жестокой проверке на предмет - откуда она взялась и чем собирается заниматься, то Виста сильно рискует остаться без свежих драйверов. Разработчики забьют на нее и пересядут на Linux. А без драйверов Виста никому не нужна. Даже даром.

Реакция Microsoft последовала незамедлительно и в базе Defender'а появилась новая сигнатура, блокирующая запуск Atsiv'а (при условии, что пользователь держит Defender включенным и своевременно обновляет базу сигнатур), а сам Atsiv внезапно исчез с сайта разработчиков (http://www.linchpinlabs.com/resources/atsiv/usage-design.htm), хотя до этого он распространялся бесплатно. То есть, Microsoft как бы разрулила ситуацию.

"Как бы" потому что остается без ответа вопрос, поставленный лабораторий Linchpin Labs: "A signed file uniquely identifies the company that developed that file, but when companies can be created and registered in jurisdictions known for protecting the privacy of company founders and directors, you have to ask what does driver signing actually represent? Signed drivers can be signed by an arbitrary legally registered company. Absent any control over what the driver actually is or does, this provides no real additional security, other than removing author anonymity" ("Подписанный файл однозначно идентифицирует компанию, разработавшую его, но когда компании создаются и регистрируются таким образом, что истинные основатели и директоры фирмы остаются в тени, спрашивается: что же в действительности представляет собой цифровая подпись? Отсутствие реального контроля за поведением драйвера не обеспечивает никакой реальной безопасности, за исключением невозможности распространения анонимных драйверов").

В общем, цифровая подпись представляет лишь видимость защиты и с rootkit'ами приходится бороться дедовскими методами - путем антивирусной проверки с постоянно обновляемой базой сигнатур. Если у нас нет антивируса, мы можем "подцепить" малварь, снабженную цифровой подписью, но если антивирус есть - какой смысл в цифровой подписи? Правильно, никакого смысла в ней нет, только лишняя головная боль легальным разработчикам.

[dr_dizel 385]

Постоянно идёт борьба брони и снаряда. А цифровая подпись - не единственный защитный барьер. И можно сказать, что антивирусные компании добились своей мечты - ОС должна быть снабжена хоть каким-нибудь антивирусом, но как оказалось на беду их - не всегда платным.

Ну и скрин для затравки.

[OlegAndr 236]

То что отзыв сертификатов не порождает неработоспобность/появление алертов/etc - для меня лично оказалось новостью.

По умолчанию галочка проверять отзыв сертифкатов не стоит...

Главное чтобы подпись была.

В этом смысле MS когда требует подписания драйверов WHQL подписью на стороне Microsoft в чем--то право. Будем ожидать

1. Внедрения обязательной подписи WHQL для всех дров

2. Усложнения процесса получения этой подписи.

[wert 60]

Считаю, что они сами виноваты.. В след. раз будут умнее, чтобы там ни было...

Эт точно.

http://blogs.drweb.com/node/749

[Юрий Паршин 330]

Эт точно.

http://blogs.drweb.com/node/749

DrWeb - (вырезано) , даже читать не умеют - может у них переводчиков не хватает?

А если конкретнее, то:

"While checking the certificate, we noticed that the hash value applied to the suspect file was invalid. This is because hash values are specific to the original file to which they are applied whereas this particular signature has been stolen. Also, the signature had already expired."

Просто скопировали подпись одной из утилит в конец троянского файла.

[Замечание: Юрий, прошу вас воздерживаться от использования оскорбляющей лексики. Mr. Justice]

Отредактировал Август 5, 2010 Mr. Justice
Нарушение п. 11.1 Правил форума

[Dmitriy K 603]

Эт точно.

http://blogs.drweb.com/node/749

слив не удался

[vaber 350]

DrWeb - [вырезано], даже читать не умеют - может у них переводчиков не хватает?

А если конкретнее, то:

"While checking the certificate, we noticed that the hash value applied to the suspect file was invalid. This is because hash values are specific to the original file to which they are applied whereas this particular signature has been stolen. Also, the signature had already expired."

Просто скопировали подпись одной из утилит в конец троянского файла.

Недельку назад мне попадался троянчик со скопированной подписью от БитДефендера Тоже стырили видать)))

Отредактировал Август 5, 2010 Mr. Justice
Отредактировал цитату

[Юрий Паршин 330]

Сообщение в блоге по-тихому сменили! Но скриншот оригинала остался:

[sww 486]

Эх, Игорь Здобнов, что же ты так

Забавно и любовно. Про подписи Realtek и JMicron в блоге дрвеп ни слова, но про ЛК надо написать

UPD: Картинка для начальника вирлаба Игоря.

[DiabloNova 175]

Раз пошла такая пьянка, вот вам уважаемый Игорь Здобнов дропер руткита TDL3 с цифровой подписью Доктор Веб =)

Голактека в опасности.

http://www.virustotal.com/analisis/2ee3b8b...2ac1-1280999570

[Umnik 997]

Я ждал, кто первый это сделает

[Danilka 678]

UPD: Картинка для начальника вирлаба Игоря.

А мы ему английский оплачиваем?

[Сергей Ильин 1538]

Атака легкой кавалерии на конкурента явно провалилась ...

Вот еще на ту же тему, линк с говорящим названием

http://blog.trendmicro.com/certificate-sna...ital-signature/

[Danilka 678]

Атака легкой кавалерии на конкурента явно провалилась ...

Вот еще на ту же тему, линк с говорящим названием

http://blog.trendmicro.com/certificate-sna...ital-signature/

Ключевое:

Trend Micro has informed Kaspersky of this incident.

А не то, что тут выше было у Dr.Web...

Сообщение в блоге по-тихому сменили! Но скриншот оригинала остался:

Вот и видят все - какая компания и что из себя представляет...

[A. 875]

http://secureblog.info/articles/649.html

[Сергей Ильин 1538]

http://secureblog.info/articles/649.html