Реальность SSL: ключами Microsoft подписывают вредоносный код

Вот ещё один штрих: Microsoft распространила сообщение, подтверждающее, что из-под их УЦ выпустили “левые” сертификаты, удостоверявшие, в том числе, вредоносный код. Уязвимы все поддерживаемые версии Windows. Вот вам и доверенный канал для обновлений ОС.

Кстати, ещё один повод подумать: что это было – “баг или специальная фича?” И, в свете всяких разговоров про специальные “оружейные” вирусы-зловреды: нужно ли писать особый код для распространения зловреда, нацеленного на конкретные компьютеры, если есть возможность получить подписи “от Microsoft” на произвольный код, а потом эти подписи просто признают “сбоем или ошибкой”?

В TechNet подробности. Собственно, пишут, что Flame как раз был подписан по этой схеме.

()

Похожие записки:



Далее - мнения и дискуссии

(Сообщения ниже добавляются читателями сайта, через форму, расположенную в конце страницы.)

Комментарии читателей блога: 37

  • 1. 4th June 2012, 13:31 // Читатель jno написал:

    чего уж там – ставить тоже вместе с официальными обновлениями…

    кстати, крупные компании нифига не доверяют этому вендору и распространяют апдейты через собственные службы обновлений. изрядно отфильтрованные, кстати.

  • 2. 4th June 2012, 15:35 // Читатель jno написал:

    Справедливости ради надо упомянуть и о компрометации некоторых линуховых репозиториев. Не такой фундаментальной, правда, но всё же. Для разовой *операции* вполне себе.

  • 3. 4th June 2012, 17:59 // Читатель sarin написал:

    у линуха этих репозиториев как фантиков у дурака.

    какие именно были скомпрометированы?

  • 4. 5th June 2012, 01:12 // Читатель jno написал:

    > какие именно были скомпрометированы?

    кернел.орг :(

  • 5. 5th June 2012, 01:21 // Александр Венедюхин ответил:

    Да. Но вот в случае с Microsoft всё это безобразие ещё снабжается лицензией и закрытым кодом.

  • 6. 5th June 2012, 13:01 // Читатель jno написал:

    С Микрософтом, в целом, всё и так ясно :)

  • 7. 5th June 2012, 13:04 // Читатель jno написал:

    Вот, интересно, на том же elemash.ru, где всё производство рулится форточными машинами, апдейты проходят напрямую? Или как? А то всё “стакс! стакс!”… Виндуз апдейт!

  • 8. 5th June 2012, 23:19 // Читатель Jeff Zanooda написал:

    Крупные компании фильтруют обновления не потому, что не доверяют Микрософту, а потому, что Микрософт не может гарантировать, что неизвестные им внутрикомпанейские приложения будут продолжать работать и после обновления.

    Понятно, что где безопасность данных более-менее важна, там надо использовать собственные ключи.

    А для военных целей вся эта бодяга с несимметричным шифрованием вообще ни к чему. Должно быть достаточно симметричного шифрования и MAC на криптографически стойких hash-функциях (последнее само по себе не так просто). А если недостаточно, то надо пересматривать архитектуру – там наверняка есть другие, гораздо более серьёзные уязвимости.

  • 9. 6th June 2012, 11:56 // Читатель sarin написал:

    вот центрифуга которая обогащает уран это военная цель, или нет?

  • 10. 6th June 2012, 14:52 // Читатель jno написал:

    > военная цель, или нет?

    смотря когда!

    вот тот же elemash.ru при Советах был частью советской военщины (средмаш входил в “девятку”), а теперь – это мирный завод минатомэнерго :D

    не смотря на то, что основная продукция (ТВЭЛы) всегда была мирной.

  • 11. 6th June 2012, 16:13 // Читатель sarin написал:

    и смотря на чей взгляд ;)

    вот в Иране центрифуги. иранцы говорят, что центрифуги мирные. создатели стукснета считают, видимо, иначе.

    или вот другой объект – водопровод в миллионном городе. пока всё мирно – объект явно гражданский, но ежу понятно, что для удара потенциального противника такая цель довольно интересна.

    автоматические апдейты ПО через Интернет становятся всё популярней. через сколько лет так апдейтиться войдёт в моду у промышленных контроллеров? или может уже входит?

    рынок всё больше движется в сторону сервисов и это движение – причина появления всё большего количества легальных путей попадания кода в устройство. и сейчас стало уж совсем очевидно, что такой подход таит массу подводных камней.

  • 12. 6th June 2012, 16:18 // Читатель sarin написал:

    кстати важной особенностью кибероружия является способность эффективно выводить из строя распределённые системы. тот же водопровод состоит из огромного количества объектов. чтобы его уничтожить обычным оружием придётся много бомбить, но результат всё равно не гарантирован. куда лучше подошёл бы вирус который разом ломает всё.

    Интернет, спроектированный на случай атомной войны, кажется уже как-то раз пал под киберударом по корневым DNS.

  • 13. 6th June 2012, 18:07 // Читатель Jeff Zanooda написал:

    > иранцы говорят, что центрифуги мирные.

    Что они говорят, не так важно. Иранские начальники знают, мирные центрифуги или нет. Если мирные, то проектирование их под военные требования – бессмысленная трата сил и времени. Если военные, то проектирование их под мирные требования – неоправданный риск.

  • 14. 6th June 2012, 18:34 // Читатель sarin написал:

    не важно что они говорят и не важно что они знают.

    важно что
    при создании предприятий ВПК могут (и применяются) гражданские компоненты. то есть те же самые, что и на гражданских объектах.
    далеко не все стратегически важные объекты имеют отношение к военным.

  • 15. 6th June 2012, 19:32 // Читатель jno написал:

    да, ладно!
    при грамотной реализации можно и микроконтроллеры обновлять – лишь бы крипто использовалось не проприетарное (АКА “фирменное”, читай неверифицированное), а правильное.

    а как это центрифуга может под мирные/немирные цели проектироваться?
    она ж – тупая, уран обогащает и всё тут.
    чай, не плутоний какой.
    а уж тот уран можно и “ф топку”, и в БЧ…

  • 16. 6th June 2012, 19:56 // Читатель Jeff Zanooda написал:

    > а как это центрифуга может под мирные/немирные цели проектироваться? она ж – тупая

    Если б она была тупая, stuxnet не был бы проблемой. А так у нее контроллер и компьютер снаружи для управления и сбора статистики.

    Эту всю обвязку можно самостоятельно разработать, исходя из требований защиты от атак снаружи (что дорого и долго), а можно посчитать такие атаки экономически невыгодными для потенциальных злоумышленников и не заморачиваться.

  • 17. 6th June 2012, 22:31 // Читатель jno написал:

    можно, конечно.

    главная задница будет как раз в случае несовпадения оценок вашей и противника :)

  • 18. 6th June 2012, 22:41 // Читатель зашел в гости написал:

    Думаю, просто не сообразили. Раз военный завод, то защищать его нужно от бомб, а не от хакеров. На физическую защиту не поскупились, а о последней просто не подумали как следует.
    Ситуации наоборот тоже случаются. Сам не раз видел. Хорошо защищенные серверы физически располагаются в каком-нибудь полуподвальном/получердачном помещении в конце коридора, куда при желании попасть может любой, хоть через форточку, хоть через старую перекошеную дверь. При первом же пожаре сгорает все, включая весь бэкап.

  • 19. 7th June 2012, 14:05 // Читатель jno написал:

    > просто не сообразили

    OMG, святая простота…

    Да всё в порядке там было и с физикой и с логикой – оперативная разработка сотрудника там была.

    http://www.nytimes.com/2012/06/01/world/middleeast/obama-ordered-wave-of-cyberattacks-against-iran.html?_r=3&ref=technology

  • 20. 7th June 2012, 17:17 // Читатель зашел в гости написал:

    “оперативная разработка сотрудника там была.”

    В приведенной вами статье черным по белому написано, что иранские работники элементарно пользовались USB флэш-накопителями. Что, сложно настроить ОС, чтобы их отключить по всему заводу? А вы говорите “оперативная разработка”. Студентов наняли…

  • 21. 7th June 2012, 18:36 // Читатель jno написал:

    > Студентов наняли…

    Ога :)

    Вы, вот, лично никогда ничего не отключали “по всему заводу”?
    Или хотя бы присутствовали при этом?
    Особенно на предприятии, где сетевые подключения крайне ограничены…
    Вообще, с режимным делопроизводством сталкивались?

    “Элементарно”… Щаззз.

  • 22. 7th June 2012, 18:45 // Читатель зашел в гости написал:

    “Ога :)”

    т.е., если сложно и хлопотно, то делать этого вообще не надо? Пустить кибербезопасность самотеком? Чего морочиться, пусть приносят из дома флэшки, ноутбуки, записывают и уносят домой DVD, так что-ли?
    Урановый завод, режим СТРОЖАЙШЕЙ секретности. Хотя бы потому, что американские бомбы – реальная угроза. Это значит НИКАКОЙ самодеятельности с обменом данными (бумаги, фото и видео запись, данные в электронном формате и т.д.). Если человек, отвечающий за безопасность сети этого не осознает, не хочет или не может этим заниматься, то он не соответствует занимаемой должности. Иными словами, некомпетентен, и его с завода гнать поганой метлой. И все тут. А то начинается “да вы знаете…” “да сталкивались ли…” Знаю. Сталкивался и делал.

  • 23. 7th June 2012, 19:59 // Читатель sarin написал:

    за любое поражение целиком и полностью ответственна поражённая сторона. что-то не учли, где-то не додумали. проявили некомпетентность в каком-то вопросе. и тому подобное.

    но информационные системы всё сложнее и всё сложнее быть абсолютно компетентным во всех вопросах работы таких систем. при этом возможности и важность таких систем всё возрастают.

  • 24. 7th June 2012, 20:23 // Читатель зашел в гости написал:

    “и всё сложнее быть абсолютно компетентным во всех вопросах работы таких систем”

    все равно, что-то там не так.
    Одно дело – интернет-компании, которые живут сетью, чья работа – это обеспечить доступ пользователей к данным (эл. почта, всякие соц. сети, сайты банков, блоги, поисковики, и т.д.). У них по определению все должно быть открыто, т.е., более уязвимо для кибер-атак.
    Совсем другое – завод по обогащению урана. Какой обьем обмена данными с “внешним миром” им нужен? Центрифуге нужно непременно иметь доступ к интернету? Я подозреваю, что нет. Поэтому ЭВМ, регулирующие само производство урана, вполне можно обьединить во “внутреннюю” сеть с предельно жестоким режимом безопасности. Административные компы – в другую. Нечего офисный планктон с их флэшками к центрифугам подпускать. Ни физически, ни через сеть. Велосипед изобретать не надо, все стратегии уже давным-давно придуманы, и отработаны. Было бы желание искать и внедрять.

  • 25. 7th June 2012, 21:37 // Александр Венедюхин ответил:

    > Нечего офисный планктон с их флэшками к центрифугам подпускать.

    Хе-хе. Из практики, основные проблемы возникают потому, что однажды “подключить флешку” захочет директор завода. То же самое касается использования всяких “айфонов” в корпоративном окружении, и тому подобных штук.

  • 26. 7th June 2012, 21:55 // Читатель зашел в гости написал:

    “однажды “подключить флешку” захочет директор завода.”

    Но речь-то идет о промышленном производстве, а не о корпоративном окружении! У директора должен быть свой компьютер, у центрифуги – свой. Если это не так, или если они оба в одной сети с неограниченным доступом в интернет, то … как я уже говорил, безопасности в этой конторе не уделяется достаточно внимания.
    Кибербезопасность – сложная наука, но простейшие организационные меры сводят на нет огромное количество уязвимостей.

  • 27. 7th June 2012, 22:42 // Читатель sarin написал:

    с этим никто не спорит, но речь о том, что внедрение практики обновления ПО это угроза безопасности.

    отгородите центрифуги, в следующий раз атакуют менеджмент. поле боя в кибервойне простирается во многих измерениях, число которых растет. наследники стукснета занимаются разведкой, а в ответ их создатели теряют контроль над БПЛА.
    я уверен, все эти обновления ПО докатятся и до таких устройств. и даже могу предположить в какой стране начнут такую практику вводить ))

  • 28. 7th June 2012, 23:11 // Читатель зашел в гости написал:

    “в следующий раз атакуют менеджмен”

    не спорю. зато пока IT чистит компы боссов от заразы, центрифуги, по крайней мере будут работать. Затем, обновление ПО в изолированной “внутренней” сети раз в пол года – это намного безопаснее, чем если бы все компы и серверы вперемешку были соединены в одну сеть с доступом в интернет и доступной толпе полуквалифицированных работников, которым позволяют флэшки на завод проносить.

  • 29. 7th June 2012, 23:23 // Читатель sarin написал:

    конечно. более того, вкладывая дополнительные ресурсы мы будем ассимптотически приближаться к абсолютно безопасной системе.

  • 30. 8th June 2012, 00:51 // Читатель jno написал:

    Если следили за историей с стаксом, то должны были заметить, что был найден инженер, который так или иначе был оснащён заражённой флешкой, которую и воткнул в нужный компутер.
    При чём, похоже, не один раз – всё управление стакс получал именно таким образом.
    И, таки, вывел из строя каждую шестую центрифугу.
    Никакого интернета на заводе нет.

    На счёт же директоров… Ну, у нас один самый главный директор уже таскался с дарёным айфоном по самым секретным местам. И, вот хоть убейте, не верю я, что в ФСО “всё-всё-всё знают” про этот айфон. Дай Бог, чтобы он рутинные процедуры проверки прошёл.

  • 31. 8th June 2012, 13:25 // Читатель sarin написал:

    ну значит если инженера убрать и флешки втыкать запретить то стукснет уже не сработает. но один раз ему такое удалось. вообще можно с некоторой натяжкой утверждать, что любая кибератака может удастся только один раз.

    стукснет, кстати, тоже был подписан.

    вот сейчас мы убедились, что никакой веры этим SSL нет. ну ничего страшного. IT ведь так стремительно развивается! сейчас есть решения понадёжней. вот облака например. пересадите чиновников на терминалы и можно больше не беспокоиться о несанкционированно воткнутых флешках. и ПО обновлять централизованно. а перед обновлением проверять на вирусы. в том числе эвристическими алгоритмами. дёшево, удобно, надёжно, безопасно.

    а то что всё компьютеры фактически оказываются собраны в одном месте это как раз ничего страшного. ведь доступ к серверам имеет только проверенный и надёжный персонал с ключами и бейджиками.

  • 32. 8th June 2012, 14:26 // Александр Венедюхин ответил:

    Да нет смысла запрещать втыкать флешки – это мнимая мера безопасности. Пользователи всё равно будут их втыкать. Наверняка там запрещено было на этом заводе. Вот если отрезать порты USB – это другое дело. Нет, лучше порты оставить, но фиктивные, которые только тревогу включают.

  • 33. 8th June 2012, 14:31 // Читатель jno написал:

    > с некоторой натяжкой утверждать,
    > что любая кибератака может удастся только один раз

    с той же натяжкой можно и без “кибер-” :)

  • 34. 8th June 2012, 14:42 // Читатель sarin написал:

    не могу согласиться. атаку ракетным оружием можно повторять много раз. защититься от неё намного сложнее, чем от известной кибератаки. если вам удалось сбить одну ракету это далеко не гарантирует абсолютную эффективность ПВО.

    с другой стороны, если вы перехватили вражеский вирус и вам известны пути его проникновения то практически всегда можно очень быстро пропатчить ПО на всех подконтрольных объектах и всё, атакующей стороне придётся писать новый вирус.

  • 35. 8th June 2012, 17:10 // Читатель зашел в гости написал:

    “Да нет смысла запрещать втыкать флешки”

    никакие запреты не помогут, нужно физически предотвратить нежелательные действия. Заказывать компьютеры вообще без USB портов, например. Оптические устройства – только считывающие, чтобы ничего нельзя было вынести. Методов много.

    “ну значит если инженера убрать и флешки втыкать запретить то стукснет уже не сработает”

    Нет, но уязвимостей станет меньше, и направленную атаку (т.е. не кем-то начатую, через случайно обнаруженную уязвимость, а именно спланированную, именно на этот обьект с определенной целью) станет проводить на порядок сложнее.

  • 36. 8th June 2012, 18:18 // Читатель sarin написал:

    вопрос лишь в том на сколько порядков снижает безопасность внедрение каждой новой технологии в IT и сколько таких технологий появляется каждый год.

    про “убрать инженера” был сарказм.

  • 37. 25th June 2012, 06:41 // Читатель Volger написал:

    32. 8th June 2012, 14:26 // Александр Венедюхин ответил:
    Да нет смысла запрещать втыкать флешки – это мнимая мера безопасности. Пользователи всё равно будут их втыкать.

    В паре с административными мерами (запрет проносить на предприятие внешние носители информации) необходимо использовать и технические, т.е. блокировать соответствующие порты ввода/вывода. Это позволит в т.ч. отслеживать несанкционированные попытки подключения флэшек и т.п. устройств.