Speaker Rabbit

abbra


CIFS: curious information funneled sometimes


Previous Entry Share Next Entry
PlatSec и социальный инжиниринг
Speaker Rabbit
abbra
Прочитал статью dtarasov о разработке троянского ПО для Symbian.Суть статьи сводится к тому, что организация, которая регистрирует юридические лица в программе ускоренной выдачи сертификатов для подписывания ПО, практически не может отследить корректность регистрируемой информации. Это позволяет использовать распространенные на пост-советской территории в 90-х и 00-х годах методы регистрации компаний на подставных лиц для создания такого "сертифицированного" юридического лица, от учетной записи которого и будет выдан запрос на подпись троянского ПО.

Два ключевых момента: учетная запись юрлица в системе сертификации Symbian не участвует нигде в самом сертификате и его проверке. То есть, получив подписанную версию троянского ПО, злоумышленник может забыть об этой учетной записи -- ее существование (или обнаружение "липовости") никак не влияет на проверку целостности и правильности сертификата при установке троянского ПО. Главное -- получить подписанную версию ПО до того, как "липовость" будет обнаружена организацией, выдающей сертификат.

Фактически, метод "взлома" сводится к социальному инжинирингу по отношению к лицам, ответственным за выдачу PublisherID при регистрации юрлиц. Такой throw-away account обойдется злоумышленнику в 200 долларов в год плюс 20 долларов на каждый сертификат.

Можно ли обеспечить надежное прикрытие таких социальных дыр в рамках мирового рынка? Практика того же Paypal показывает, что реалистично надеяться на это нельзя. Единственный внятный способ -- это сделать легкой возможность пожаловаться со стороны пользователей на поставщиков. Причем легкость здесь является ключевым понятием. Если для сообщения о неблагонадежности потребуется более одного-двух телодвижений или продолжительное время, система работать не будет.

Пример из параллельной области. Alec Muffett не смог оплатить свои домены, зарегистрированные через GoDaddy, с помощью MasterCard. При обращении в поддержку MasterCard, обнаружил, что уровень фрода со стороны GoDaddy настолько велик, что MasterCard собирается наложить вечную блокировку на все транзакции с GoDaddy. Оказалось, что уровень поддельных транзакций среди регистраторов доменов особенно велик именно со стороны GoDaddy и Trenitalia. О мошенничествах GoDaddy говорят давно, в данном случае потребовались годы, прежде чем система решилась на конкретные действия, учитывая отложенный характер жалоб по кредитным платежам и разорванность операций списывания и блокирования денег.

Update: По просмотру содержимого trustcenter.de, подозреваю совершенно аналогичные действия выполнимы и в отношении JavaME и Air.

  • 1
Полностью согласен. Что касается symbian, то Platfom Security, введенная с девятой версии ОС, осложнила жизнь хакерам-энтузиастам, но профессиональные разработчики вредоносного ПО по-прежнему в состоянии реализовать дееспособный боевой троян. И, более того, реализовывают.

Пардон, PKI может обеспечить адекватную защиту только при условии публикации УЦ своих САС. Если в политике УЦ не предусмотрена публикация САС, то такой УЦ не может быть доверенным - мы не сможем узнать по фактах компрометации выданных сертификатов.

Вообше для подписи софта неправильной является любая PKI где окончательные решения о доверии принимает не владелец устроства.
Все, кто пытается надуть юзера и перехватить контроль над его устройством, неизбежно буддут надуты производителями вредоносного ПО.

Без кооперации пользователя хрен защитишь его устройство.

С кооперацией тоже, кстати. Что мешает автору заявить, что это новый скринсевер для гнома? И юзверь поверит.

Ага. Значит, не зря я сбежал с GoDaddy в своё время. Помнится, доставили они тогда. Если бы хостер не помог, остался бы без доменов или платил бы кучу денег.

Меня не оставляет подозрение что вся эта затея с сертификатами была придумана кем-то из Симбиана с целью создать revenue stream, а затем навязана производителям железа. Уж очень все это похоже на какой-нибудь Комитет, издавший Стандарт и требующий деньги c людей желающих на него посмотреть.

Я не знаю всей исторической подноготной, потому что моя жизнь традиционно прошла мимо Симбиана, но обрати внимание, что слабая точка в данном случае находится вообще за пределами -- во внешней организации, которая выступает в роли УЦ. И слабина ее как раз в том, что свои задачи УЦ она крайне плохо делает.

Да там видимо с самого начала ни о какой security речи не шло, а чисто про отьем бабла у доверчивых сьютов.

увы, там все было "от благих намерений", т.е. попытка вытащить ДЦТ4 в ДЦТ5 закончилась провалом, который переименовали в БиБиФайв, но... аппетит приходит во время еды, и этого показалось мало, и поверх "забавной" (но дававшей поток денег) схемы бизнеса по оптовым продажам через операторов (за неимением других желающих) начали накручивать "всю эту систему" под давлением все тех же операторов, которым хотелось и VOIP не пущать, и акционерам показать как они сделали чужими руками не за свой счет платформу для вполне честного отьема денег... а потом оно все завело в никуда...

к несчастью, парад маразма не закончен, клоуны отнюдь не уехали вместе с цирком, и есть шансы что оно все вернется, в еще более severe form, перемноженной на риаа, мпаа и весь остальной дрм - настоящаяя проблема, как известно не в сортирах, а в головах, желающих текущих рекой денег которые они не заслужили, но считают что они "вправе" :-/

Мысль с сертификатами и подписями в симбиане коммерчески верная: этот ход дает шанс комьюнити разработчиков зарабатывать на софте для этой платформы. А то что есть пути ухода - это серьезно. Меня убило, что на левых китайских сайтах без проблем по имею генерируют индивидуальные сертификаты всем желающим бесплатно, что показывает провал затеи.

Мысль с сертификатами и подписями в симбиане коммерчески верная: этот ход дает шанс комьюнити разработчиков зарабатывать на софте для этой платформы.
Нет, не дает.

-- разработчик для платформы Симбиан.

Но ведь задумка с сертификатами была исключительно в эту сторону, сделать "авторизованное комьюнити" ? Или задумка была именно в защите устройств вот левых программ?

обана

надо будет валить от этих ребят - а то, боюсь, они после таких санкций мастеркарда навернутся к чёртовой матери...

Ага. Я пользуюсь уже несколько лет name.com и в целом доволен. Они небольшие и спокойные. Также они поддерживают верисайновские keyfob для дополнительной верификации учетных записей.

С доменами то ладно.
Надо искать дешевого поставщика SSL-сертификатов.

  • 1
?

Log in

No account? Create an account