Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
D-Link omyłkowo udostępnił swój klucz prywatny służący do podpisu instalek
Klucz publiczny, klucz prywatny – co za różnica… Tak chyba do tematu kryptografii podchodzi firma D-Link, która (przypadkowo?) udostępniła w swoim repozytorium GPL klucz prywatny, który może służyć do podpisu plików binarnych pod Windows.
Tak podpisana binarka nie będzie wyświetlała ostrzeżenia w Windows o potencjalnie niezaufanym pliku, ładnie za to pokaże, że jest to plik stworzony przez „zaufaną” firmę:
UAC, za Arstechnica
Pomyśleć, że twórcy Stuxneta wykradli tego typu klucze, aby uczynić dla Windowsów swoje binarki „zaufanymi„.
W przypadku D-Linka nie trzeba nic wykradać, wystarczy brać… Jak się można domyślić – ten przypadek to raj dla twórców malware, a ja na Waszym miejscu traktowałbym od dzisiaj z dużą podejrzliwością binarki sygnowane przez D-Link…
–ms
Ta „firma” ze swoimi licznymi „sukcesami” na polu bezpieczeństwa powinna zostać zamknięta ze względu na zagrożenie dla potencjalnych i byłych klientów. To tak jak by w coca-coli znajdowano co kilka miesięcy salmonelle.
Akurat słabe porównanie, bo w coca-coli to nic zbyt długo raczej nie pożyje ;o)
Warto dodać, że D-link unieważnił już ten certyfikat, a przynajmniej tak twierdzi artykuł na THN. Tu się zapytam Was, bo nie wiem – jak od strony technicznej wygląda kwestia unieważniania certyfikatów? Oprogramowanie klienckie sprawdza czy dany certyfikat jest poprawnie podpisany przez któryś z zainstalowanych CA. A jak sprawdza czy dany certyfikat nie został unieważniony?
A przy okazji tematu to pracowałem w firmie gdzie nikt nie przejmował się specjalnie bezpieczeństwem. Zamiast chociażby wewnętrznej i zabezpieczonej usługi do podpisywania kodu to klucze i hasła walały się w wielu miejscach, do których na dodatek dostęp mieli wszyscy programiści. Jestem ciekaw czy to był ewenement czy w innych firmach jest podobnie. Stawiam niestety na to drugie.
https://pl.wikipedia.org/wiki/Online_Certificate_Status_Protocol
https://pl.wikipedia.org/wiki/CRL