Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

D-Link omyłkowo udostępnił swój klucz prywatny służący do podpisu instalek

19 września 2015, 15:58 | W biegu | komentarze 4

Klucz publiczny, klucz prywatny – co za różnica… Tak chyba do tematu kryptografii podchodzi firma D-Link, która (przypadkowo?) udostępniła w swoim repozytorium GPL klucz prywatny, który może służyć do podpisu plików binarnych pod Windows.

Tak podpisana binarka nie będzie wyświetlała ostrzeżenia w Windows o potencjalnie niezaufanym pliku, ładnie za to pokaże, że jest to plik stworzony przez „zaufaną” firmę:

UAC, za Arstechnica

UAC, za Arstechnica

Pomyśleć, że twórcy Stuxneta wykradli tego typu klucze, aby uczynić dla Windowsów swoje binarki „zaufanymi„.

W przypadku D-Linka nie trzeba nic wykradać, wystarczy brać… Jak się można domyślić – ten przypadek to raj dla twórców malware, a ja na Waszym miejscu traktowałbym od dzisiaj z dużą podejrzliwością binarki sygnowane przez D-Link…

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. bre

    Ta „firma” ze swoimi licznymi „sukcesami” na polu bezpieczeństwa powinna zostać zamknięta ze względu na zagrożenie dla potencjalnych i byłych klientów. To tak jak by w coca-coli znajdowano co kilka miesięcy salmonelle.

    Odpowiedz
    • Akurat słabe porównanie, bo w coca-coli to nic zbyt długo raczej nie pożyje ;o)

      Odpowiedz
  2. s

    Warto dodać, że D-link unieważnił już ten certyfikat, a przynajmniej tak twierdzi artykuł na THN. Tu się zapytam Was, bo nie wiem – jak od strony technicznej wygląda kwestia unieważniania certyfikatów? Oprogramowanie klienckie sprawdza czy dany certyfikat jest poprawnie podpisany przez któryś z zainstalowanych CA. A jak sprawdza czy dany certyfikat nie został unieważniony?

    A przy okazji tematu to pracowałem w firmie gdzie nikt nie przejmował się specjalnie bezpieczeństwem. Zamiast chociażby wewnętrznej i zabezpieczonej usługi do podpisywania kodu to klucze i hasła walały się w wielu miejscach, do których na dodatek dostęp mieli wszyscy programiści. Jestem ciekaw czy to był ewenement czy w innych firmach jest podobnie. Stawiam niestety na to drugie.

    Odpowiedz

Odpowiedz