Эксперт обманул Symantec и заставил отозвать TLS-сертификат

Эксперт обманул Symantec и заставил отозвать TLS-сертификат

Эксперт обманул Symantec и заставил отозвать TLS-сертификат

Исследователь Ханно Бек (Hanno Böck) заставил Symantec отозвать свои TLS-сертификаты, заявив, что приватные ключи якобы были скомпрометированы. То же самое заявление было сделано относительно сертификатов от Comodo, но компания сумела распознать подвох.

Центры сертификации (CAs) обязаны в течение 24 часов отзывать сертификаты, если приватные ключи были скомпрометированы. Предыдущие исследования Бека показали, что, несмотря на то, что обычно центрам требуется больше 24 часов, в конечном итоге они все же отзывают сертификаты.

Потом Бек решил проверить, убеждаются ли компании в том, что скомпрометированный приватный ключ принадлежит сертификату, прежде чем отозвать его.

Исследователь создал пару тестовых доменов и заказал бесплатные краткосрочные сертификаты для них от Comodo и RapidSSL от Symantec. Затем он создал поддельные приватные ключи для сертификатов и попытался обмануть Symantec и Comodo, заставив отозвать их, ссылаясь на поддельные ключи.

Чтобы увеличить свои шансы на успех, Бек отыскал в интернете приватные ключи, которые были действительно скомпрометированы и, разбавив их поддельными ключами, выложил на Pastebin. После этого он сообщил Comodo и Symantec о «скомпрометированных» ключах и попросил их отозвать сертификаты.

Comodo удалось идентифицировать поддельные ключи, а вот Symantec отрапортовала об отзыве сертификатов, предназначенных для тестовых доменов эксперта.

«Своими тестами я не нанес никому вреда, сертификат был выпущен для моего собственного тестового домена. Но теоретически я мог сделать то же самое с другими сертификатами. Скорее всего, Symantec отозвала бы их, а сайты пострадали» - объясняет Бек.

Исследователь также был недоволен тем фактом, что Symantec не объяснила причин отзыва сертификатов, что затрудняет для владельцев затронутого домена возможность анализировать и делать выводы.

Symantec настаивала на том, что ключи, связанные с сертификатами для Бек, были скомпрометированы, даже после того, как он указал на то, что ключи были поддельные.

«Вряд ли принятое Symantec решение оправдано. Фактически, компания совершила ошибку» - говорит Бек.

После того, как исследователь обнародовал результаты своих тестов, Symantec опубликовала сообщение в блоге, пообещав улучшить обработку запросов на отзыв сертификатов.

На ЕГЭ впервые массово попытались списать с помощью ИИ

На ЕГЭ-2026 впервые выявили не одиночную попытку воспользоваться искусственным интеллектом, а целую схему с участием большого числа школьников. Об этом сообщил глава Рособрнадзора Анзор Музаев.

По его словам, за проектом стояли взрослые, которые создали специальную фирму, продавали микронаушники и разработали приложение с ИИ.

Сервис должен был подсказывать ответы и помогать участникам набрать высокие баллы.

Схему удалось вовремя раскрыть, а экзаменационные работы аннулировали. В Рособрнадзоре считают случай пока единичным, но предупреждают: если не реагировать, ИИ-шпаргалки быстро превратятся из экзотики в полноценную индустрию.

Ирония в том, что ловить нарушителей тоже помогал искусственный интеллект. На экзаменах работает система машинного зрения, которая отмечает подозрительное поведение в аудиториях. В 2020 году она выявила 21 возможное нарушение, в 2021-м — 137, а в 2026-м выдала уже 803 метки.

Более 90% случаев, закончившихся удалением с экзамена, сначала заметила нейросеть. Правда, окончательное решение всё равно принимал человек: каждую метку проверял модератор.

Первого нарушителя на досрочном этапе ЕГЭ-2026 также вычислило машинное зрение.

Получилась почти идеальная технологическая дуэль: один ИИ помогал списывать, другой — ловил списывающих. И пока победила нейросеть, которая сидела на стороне экзаменаторов.

RSS: Новости на портале Anti-Malware.ru