Vlákno názorů k článku
V oběhu je infikovaná verze PuTTY
od Filip Jirsák - Obávám se, že nemalý podíl na tom má...
-
Filip JirsákStříbrný podporovatelObávám se, že nemalý podíl na tom má autor, který trvá na tom, že oficiální adresa je http://www.chiark.greenend.org.uk/~sgtatham/putty/ a není potřeba nějaká zapamatovatelnější doména (která by byla dostupná přes HTTPS), protože si to každý najde Googlem. Je vidět, že vyhledávání Google lidé evidentně používají…
-
Ľubomír Mlích (neregistrovaný)
odkaz z putty.org vede na http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
-
Filip JirsákStříbrný podporovatel
Ano, to platí pro vás a pro mne a platí to teď. Jenže nikde není řečeno, že provozovatel putty.org ten odkaz sem tam nepřehodí někam jinam.
-
Ľubomír Mlích (neregistrovaný)
ok, podle
je vlastníkem domény putty.org nějaký Denis Bider
https://www.blogger.com/profile/02662743799740973736
a to zcela zjevně není autor putty
-
Filip JirsákStříbrný podporovatel
Když útočník udělá jakoukoli jinou pěknou doménu a pořídí k ní důvěryhodný certifikát, bude to od něj vyžadovat alespoň určité úsilí. Navíc není problém si pamatovat, že Putty je třeba na .io, stejně jako si pamatuju, že Mozilla je na .org.
Pěkná doména samozřejmě nevyřeší všechny problémy, ale současný stav, kdy oficiální doporučení je „hledejte Googlem“, vede to na adresu, kterou nikdo není schopen ověřit jinak, než že bude hledat ještě někde jinde, a web projektu je dostupný pouze přes HTTP – to je přímo magnet na problémy tohoto typu a je vlastně záhadou, proč to někdo zneužil až teď.
-
Filip JirsákStříbrný podporovatel
Jenže k tomu, abych se z Windows dostal do nějaké rozumné distribuce, potřebuju právě Putty. Takže nic dalšího už si pamatovat nemusím :-)
-
Karel (neregistrovaný)
Já osobně to vnímám z té druhé strany: když mi google najde zdroj na doméně http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html, tak na to ani nekliknu a hledám dál. Takže ne, že bych putty.org nějak automaticky věřil, jako spíš že tomu greenend.org.uk automaticky nevěřím.
-
Filip JirsákStříbrný podporovatel
Když je ta binárka hostovaná na webu s HTTPS, je to pro mne o dost důvěryhodnější, než podepsaná binárka. Protože certifikát webu umím ověřit několika způsoby, podpis binárky (pokud je myšleno ten integrovaný do EXE) neumím ověřit ani jedním způsobem. Nějaké podpisy těch souborů na webu jsou, ale pořád je to HTTP, takže jim moc věřit nejde.
-
Filip JirsákStříbrný podporovatel
Já jsem psal o ověření. Kliknout pravým tlačítkem umím, ale to pro mne není ověření, protože to dělá bůhvíco.
-
Filip JirsákStříbrný podporovatel
V Linuxové distribuci říkám předem, že tomuhle distributorovi balíčků věřím, a pak od něj můžu instalovat libovolný software. Ale je dobře, že Microsoft to implementuje alespoň nějak.
Mimochodem, čím je ten autor pro Windows identifikován? Konkrétním certifikátem asi ne (to by nemělo moc smysl označovat za důvěryhodný certifikát s platností jeden rok, když nová verze vyjde jednou za dva roky), jméno zase není jednoznačné…
-
Lol Phirae (neregistrovaný)
Mimochodem, čím je ten autor pro Windows identifikován? Konkrétním certifikátem asi ne
Trusted Publishers Certificate Store
No. A teď prosímtě zas běž mudrovat vo něčem, cos viděl aspoň z rychlíku. Pááá, brouku.
-
Filip JirsákStříbrný podporovatel
Takže je tam opravdu konkrétní certifikát. To je mi ale celkem k ničemu připíchnout si tam autorův certifikát s roční platností, když Putty vychází průměrně jednou za dva roky.
-
Filip JirsákStříbrný podporovatel
Na webu je certifikát pro ten daný web. Takže když přijdu letos na putty.io a je tam platný certifikát, a přijdu tam za tři roky a bude tam zase platný certifikát pro putty.io, je mi úplně jedno, že je to jiný certifikát. Když budu chtít instalovat Putty na novém počítači, opět mi stačí kontrola certifikátů vestavěná v prohlížeči a pamatovat si tu jednu správnou doménu. Kdybych takhle chtěl ověřovat podpis binárky, budu si muset pamatovat, že autorem je Simon Tatham, což si opravdu nepamatuju, a budu muset (asi marně) doufat, že je to neobvyklé jméno a že útočníci nepřemluví jiného Simona Tathama, aby jim podepsal jejich binárku.
-
Filip JirsákStříbrný podporovatel
Nikoli, samozřejmě ověřím podpis binárky. To, že mezitím vydavatele (firmu, společnost) vlastní někdo jiný a místo původního programu tam šoupnul malware, řešit nebudu. To je supr ověření. Ještě že jste mi ten rozdíl ukázal.
Původně jsem si myslel, že ověřovat programy podle toho, odkud je stahuju, místo ověřování podpisu samotného programu, je hlavně pohodlnější, zejména proto, že se k tomu používají univerzální prostředky, které používám dnes a denně. Ale vy jste nechtěně poukázal na tolik nevýhod podepisování programů…
-
Lol Phirae (neregistrovaný)
Ano, ověřím podpis binárky, kde vidím datum, kdy byla podepsána a ověřím si, že od té doby s ní nikdo nic nedělal. Nepodepsané binárka je mi zcela k hovnu i když ji stáhnu z webu s nádhernou doménou a certifikátem s EV, protože na ten web si po hacknutí můžu každý nahrát, co chce, o nejrůznějších mirrorech ani nemluvě. Již tady několik takových příkladů ostatně padlo. Čili ve skutečnosti si ověřuješ leda hovno, ale hlavně, že na to jdeš vědecky.
-
Filip JirsákStříbrný podporovatel
Evidentně každý ověřujeme úplně něco jiného. Vás zajímá datum, kdy byla binárka podepsána, které mne vůbec nezajímá. Mne naopak zajímá, kým byla podepsána, to je zase úplně jedno vám.
Podstata mého prvního komentáře byla v tom, že dnes si v případě Putty nelze ověřit prakticky nic. (Vlastně jediné, co si lze ověřit, jsou právě ty podpisy binárek – a jak je vidět ze zprávičky, nepomohlo to.)
-
Filip JirsákStříbrný podporovatel
Jistě, ty „cryptographic signatures“ odkazované na oficiálním webu jako „RSA sig“ a „DSA sig“, to určitě nejsou podpisy.
-
Lol Phirae (neregistrovaný)
Ano, nejsou. Takhle binárky pro Windows "podepisuje" skutečně pouze magor. Tuhle nezdokumentovanou kokotinu skutečně nikdo ověřovat nebude. Ono se do civilizovaně podepisuje takhle:
http://i61.tinypic.com/2wrknpw.png
http://i57.tinypic.com/2mfehi.png
http://i59.tinypic.com/2ngcrpf.png -
Lol Phirae (neregistrovaný)
Což mimochodem má tu výhodu, že je možné omezit spuštění souboru pouze na binárky podepsané, podepsané určitým autorem, podepsané určitým autorem a pouze určité verze apod. Nic z toho u téhle prasárny samozřejmě nejde, tam to můžu omezit maximálně tak na hash té binárky a po každé aktualizaci to předělávat, to je opravdu bezva na údržbu.
-
Ivan (neregistrovaný)
Kdysi jsem si predstavoval, ze kdyz chce ziskat ceritifikat takova instiruce jako je banka, tak musi: ziskat vypis z obchodniho rejstriku, nechat ho prelozit a preklad nechat overit notarem a ze pak posle letadlem nejakeho sveho statutarniho zastupce do Svycarska, aby tam predlozil potrebne doklady registracni autorite Verisignu. Nakonec se ukazalo ze cerifikat muze ziskat i ten nejposlednejsi ajtak a nemusi pri tom ani vytahnout paty z kanclu.
Staci poslat email ze spravne domeny, a odpovedet na par papirovych dopisu.
-
Filip JirsákStříbrný podporovatel
Záleží na tom, o jaký certifikát se jedná. Pokud o DV (domain validated), ten potvrzuje skutečně jen držitelství dané domény, tam je v pořádku, že ho může získat ajťák, protože on s tou doménou skutečně může manipulovat. Akorát v dnešní době tyhle certifikáty technologicky nedávají smysl, bezpečnější je umístit je do DNS a podepsat DNSSEC. Certifikáty, kvůli kterým certifikační autority původně vznikly, ověřují skutečně danou instituci. Posílat kvůli tomu někoho někam letadlem je zbytečné, ale certifikační autorita si musí ověřit, že žádá opravdu někdo, kdo je oprávněn za danou instituci vystupovat. Pokud oficiální korespondenci pro firmu může přebírat nejposlednější ajťák, bude falešný certifikát tím nejmenším problémem, který bude ta firma muset řešit.
-
Filip JirsákStříbrný podporovatel
Proč bych jí o tom měl přesvědčovat? To záleží na té certifikační autoritě, jaká si zvolí pravidla ověřování. Ta popíše v certifikační politice, a tou certifikační politikou se pak řídí ten, kdo se rozhoduje, zda té autoritě bude nebo nebude důvěřovat.
-
Lol Phirae (neregistrovaný)
Tak určitě. Jirsák neví, co to dělá, tak to dělá bůhví co. A co jako myslíš, jak asi tak bude BFU "ověřovat" to HTTPS. Aha, mám zalenou ikonku. Proč sem se vůbec do tý debaty s takovým dementem zase nechal zatáhnout.
Example C Program: Verifying the Signature of a PE File.
Windows Authenticode Portable Executable Signature Format
PKCS7_verifyP.S. Máš v linku zelenou ikonku, doufám, že si ji aspoň 8x ověříš.
-
Filip JirsákStříbrný podporovatel
Češtinářský koutek: „pro mne“, „umím“, „neumím“ a „nevím“ znamená, že se to týká mne osobně. Kdybych chtěl napsat, že to neumí nikdo nebo že to neumí spousta lidí, nenapsal bych „neumím“.
-
Zero (neregistrovaný)
Jj zase len HTTPS...
http://www.root.cz/zpravicky/logjam-tls-zranitelnost-podobna-freaku/ -
OMG (neregistrovaný)
takze si zaregistruji domenu putty.cz, dam tam neco jako This is a mirror, koupim si hezky certifikat a budu pro vas duveryhodnejsi nez podepsana binarka... Filipe, jako Microsoft guru by jste mohl vedet jak overit podepsanou binarku ve Windows (a nesouvisi to s podpisy na webu).
-
Ochm (neregistrovaný)
a co treba http://putty.cz ?
Je to dostatecne zapamatovatelne?
ČLÁNKY DO MAILU
