==Aktualizacja (16/09/2007)==
Certyfikat tutaj opisany nie zaświadcza, że program, który został nim podpisany jest bezpieczny, jakąkolwiek definicję bezpieczeństwa przyjmiemy. Zdanie to jest zawarte w poniższym tekście, jednak nie wszyscy są w stanie wyłowić taki niuans.
==Oryginał poniżej==
Upadkiem dobrych obyczajów i utratą zaufania można nazwać ostatnie znalezisko firmy Sunbelt Software z USA: spyware podpisany cyfrowo przez Thawte.
Tutaj można znaleźć wynik skanowania podpisanego przez Thawte pliku. Jak widać, całkiem nieciekawy widok.
Problem jest całkiem złożony. Zaczyna się od tego, że każdy komputer z zainstalowanym systemem Windows (praktycznie w dowolnej wersji) ufa firmie Thawte i jej certyfikatom jako zaufanym i wszystko co jest przez ich certyfikaty podpisywane, traktowane jest jako “bezpieczne”. Jednak firma Thawte jest także zwykłą firmą, której głównym celem jest zarabianie pieniędzy. Nic zatem dziwnego, że sprzeda swoją technologię także firmom czy osobom prywatnym, których celem jest dostarczanie użytkownikom komputerów niezgodnego z prawem oprogramowania: wirusów, adware, spyware, trojanów i temu podobnych. Taki certyfikat kosztuje niemało, ale też nie jest na tyle drogi, by średnio przedsiębiorczy autor szkodnika mógł osiągnąć zyski z takiego zakupu.
Sam certyfikat dostarczany przez Thawte oczywiście nie zaświadcza, że oprogramowanie nim podpisane nie wyrządzi szkód naszemu systemowi i danych na nim zawartych. Jak można zresztą wyczytać z powyższego obrazka, certyfikat oznacza “jedynie”, że kod pochodzi od firmy, dla której certyfikat wystawiono i że oprogramowanie nie zostało zmodyfikowane po jego podpisaniu. Nie ma wzmianki o tym, że program jest “bezpieczny”. Problemem jest interpretacja, jaką zwykło się przyjmować dla kodu podpisanego przez zaufane firmy. W Windows XP, 2000, 2003 i Vista wywołując polecenie certmgr.msc można zobaczyć listę instytucji certyfikujących zakwalifikowanych do grona zaufanych. Jest tam Thawte, VeriSign czy Globalsign. Programy podpisane przez certyfikaty tych firm nie spowodują wyświetlenia ostrzeżenia o uruchamianiu programu pochodzącego z nieznanego źródła.
Czy to może oznaczać, ze Microsoft zadecyduje o wyłączeniu opcji “ufaj Thawte” w jakiejś kolejnej poprawce, SP czy kolejnej wersji systemu operacyjnego? Raczej mało prawdopodobne. Ale może to oznaczać, że Thawte będzie musiało nieco zmienić swoją politykę dostarczania technologii podpisu cyfrowego każdemu kto o to poprosi i zapłaci wystarczająco dużo. W innym przypadku będziemy świadkami dośc poważnego kryzysu zaufania do instytucji certyfikujących (którą na marginesie jest także Microsoft).
Źródło: Sunbelt Software blog
Żadna firma wydająca certyfikaty do podpisywania kodu nie będzie w stanie zapanować nad tym co jest podpisywane za ich pomocą. Taki certyfikat może nabyć każdy i wcale nie jest drogi.
Natomiast w momencie gdy się okazało, że takie oprogramowanie zostało wypuszczone do sieci firma Thawte powinna umieważnić certyfikat którym zostało ono podpisane. Podejrzewam, że tak własnie było i nie ma wogóle o czym rozmawiać - równie dobrze dostawcą certyfikatu mógłby być Microsoft (VeriSign).
No to przecież jest oczywiste i musiało się stać prędzej czy później. Moim zdaniem umieszczanie w systemie takich, a nie innych certyfikatów jest działaniem szkodliwym i monopolistycznym.
Przeczy w ogóle idei i zasadom tego typu zabezpieczeń. Certyfikatowi należy ufać dlatego, że rozumiemy jak to działa. Nie dlatego, że domyślnie jest zainstalowany w systemie operacyjnym.
Thawte i inne tego typu firmy robią co robią nie dla bezpieczeństwa i dobra ludzkości tylko dla zarobku. Nie można wykluczyć sytuacji pomyłki czy stopniowego obniżania jakości usługi celem maksymalizacji zysków.
Na domiar złego większość tzw. zwykłych użytkowników nie potrafi weryfikować certyfikatów. Więc takich problemów będzie moim zdaniem więcej nie mniej.
Zawsze tak jest jak marketing wygrywa ze zdrowym rozsądkiem.
Polemizowalbym.
Problemem nie jest to, ze firma-oszust XXX dostala certyfikat od zaufanej firmy YYY, lecz to, ze ogolnie zostala wytworzona kultura ufania wszystkiemu, co jest podpisane. Czy to mailom, serwerom (SSL) czy tez wlasnie programom.
Wiadomo wszak, ze podpis cyfrowy gwarantuje tylko i wylacznie dwie rzeczy: pochodzenie oraz integralnosc podpisywanego materialu.
Thawte podpisalo certyfikat dla innej firmy, sprawdzajac jej istnienie, adres oraz zapewne prawo do uzywania danej nazwy, oraz za oplata wydalo certyfikat, ktory te dane poswiadcza. Thawte spelnilo swoj obowiazek. Sam napisales, ze podpis nie uwiarygadnia oprogramowania (czy maila, serwera), tylko poswiadcza, ze material NAPRAWDE pochodzi od danego nadawcy.
Do kogo wiec miec nalezy pretensje? Do Thawte? Za co? Do calej architektury PKI? Tez za co?
Ja mam pretensje do roznych publikacji, ktore pozwolily ludziom utozsamiac istnienie tej magicznej zoltej/zielonej klodki w mailach czy programach — z bezpieczenstwem. Przeciez profesjonalne strony Phishingujace dane rowniez od lat juz uzywaja poprawnych i waznych certifykatow SSL. Klodka jest, jest OK!
Nie bez winy jest tez Microsoft (i inni producenci OS/przegladarek internetowych). OS ufa podpisanym programom, mimo, ze niekoniecznie powinien…
Zatem moj apel: troche wiecej dystansu do kryptografii i PKI.
Hmmm - Microsoft nie jest waścicielem VeriSign (bo coś takiego obiło mi się o uszy na jakiś wykładzie gdzie ktoś wspomial, że Microsoft po zakupie veriSign pozostawił serwery na Linuxie)?
W każdym bądź razie miałem na myśli to, że zakup takiego certyfikatu jest bardzo tani i bez znaczenia jest to czy chodzi o Thawte czy inną firmę:
http://www.verisign.com/products-services/security-services/code-signing/digital-ids-code-signing/index.html
http://www.verisign.com/code-signing/msft-partner-code-signing/index.html
Zaletą tego rozwiązania jest jednak to, że po certyfikacie możemy dotrzeć do firmy - autora szkodliwego oprogramowania.
Sorry chlopaki ale jestescie troche niekompetenti. Przeczytajcie dokladnie. Thawte nic nie podpisalo!! Thawte wydalo certyfikat jakiejs firmie (Newtech) i tyle. Ten Newtech wypuscil spyware i go podpisal swoim certyfikatem. Ma do tego prawo. Thawte tylko gwarantuje ze podpis jest autentyczny, tzn. ze na pewno podpisala go firma Newtech.
Podobnie kazdy z nas moze zakupic certyfikat na swoja firme. Certyfikat wyda Ci Thawte, Verisign itd. I wtedy sobie mozesz podpisac co chcesz.
Zenujace jest to ze chip przedrukowal wpis do tego bloga. Szkoda ze ludzie nie czaja o co biega.
Andrzej,
Nie ucz ojca jak sie dieci robi. I nie wytykaj niekompetencji niewlasciwym osobom.
To co ty nazywasz “wydaniem” certyfikatu, w swiecie PKI jest wlasnie podpisaniem go.
Thawte ma swoj certifikat, ktory moze uzyc (i uzywa) do podpisywania sprzedawanych certyfikatow — czy to do celow “code signing”, czy S/MIME albo SSL. W ten sposob tworzy sie lancuszek zaufania, a wiarygodnosc podpisu sprawdza sie wlasnie poprzez sprawdzanie autentycznosci podpisow wszystkich certyfikatow w lancuchu, az po certyfikat glowny (root CA), ktoremu ufa sie z zalozenia.
Certyfikat bez podpisu wydawcy nie jest certifikatem.
Szkoda, ze nie czaisz o co biega.
Ja mam takie zajmujące pytanie z innej beczki, na temat konkurencji na rynku internetowym firm Google i Microsoft.
Otóż nie tak dawno temu pewna agencja reklamowa dzwoniła do ludzi z branży czy by nie chcieli poprzeć jedynie słusznej sprawy- petycji o tym że niby google wykorzystuje pozycje monopolistyczną. Petycja oczywiście w trosce o klienta! Oczywiście!
Wyczytałem że petycja pojawiła się w kilku krajach, a głównym organizatorem jest jedna z agencji w Londynie- na zlecenie?
Na zlecenie Microsoft.
Bo chyba żadna inna firma nie jest zdolna do tak obrzydliwych działań.
Co Pan na to Panie Michale? Jest ta sprawa Panu znana?
Chciałbym usłyszeć zdanie obu stron- do przedstawiciela MS na pewnym forum też się zgłosiłem.
Więcej na wykop.pl
lub tu: http://prawo.vagla.pl/node/7476