PlatSec и социальный инжиниринг

[abbra]

Прочитал статью dtarasov о разработке троянского ПО для Symbian.Суть статьи сводится к тому, что организация, которая регистрирует юридические лица в программе ускоренной выдачи сертификатов для подписывания ПО, практически не может отследить корректность регистрируемой информации. Это позволяет использовать распространенные на пост-советской территории в 90-х и 00-х годах методы регистрации компаний на подставных лиц для создания такого "сертифицированного" юридического лица, от учетной записи которого и будет выдан запрос на подпись троянского ПО.

Два ключевых момента: учетная запись юрлица в системе сертификации Symbian не участвует нигде в самом сертификате и его проверке. То есть, получив подписанную версию троянского ПО, злоумышленник может забыть об этой учетной записи -- ее существование (или обнаружение "липовости") никак не влияет на проверку целостности и правильности сертификата при установке троянского ПО. Главное -- получить подписанную версию ПО до того, как "липовость" будет обнаружена организацией, выдающей сертификат.

Фактически, метод "взлома" сводится к социальному инжинирингу по отношению к лицам, ответственным за выдачу PublisherID при регистрации юрлиц. Такой throw-away account обойдется злоумышленнику в 200 долларов в год плюс 20 долларов на каждый сертификат.

Можно ли обеспечить надежное прикрытие таких социальных дыр в рамках мирового рынка? Практика того же Paypal показывает, что реалистично надеяться на это нельзя. Единственный внятный способ -- это сделать легкой возможность пожаловаться со стороны пользователей на поставщиков. Причем легкость здесь является ключевым понятием. Если для сообщения о неблагонадежности потребуется более одного-двух телодвижений или продолжительное время, система работать не будет.

Пример из параллельной области. Alec Muffett не смог оплатить свои домены, зарегистрированные через GoDaddy, с помощью MasterCard. При обращении в поддержку MasterCard, обнаружил, что уровень фрода со стороны GoDaddy настолько велик, что MasterCard собирается наложить вечную блокировку на все транзакции с GoDaddy. Оказалось, что уровень поддельных транзакций среди регистраторов доменов особенно велик именно со стороны GoDaddy и Trenitalia. О мошенничествах GoDaddy говорят давно, в данном случае потребовались годы, прежде чем система решилась на конкретные действия, учитывая отложенный характер жалоб по кредитным платежам и разорванность операций списывания и блокирования денег.

Update: По просмотру содержимого trustcenter.de, подозреваю совершенно аналогичные действия выполнимы и в отношении JavaME и Air.

Comments

[dtarasov.livejournal.com]

Полностью согласен. Что касается symbian, то Platfom Security, введенная с девятой версии ОС, осложнила жизнь хакерам-энтузиастам, но профессиональные разработчики вредоносного ПО по-прежнему в состоянии реализовать дееспособный боевой троян. И, более того, реализовывают.

[amarao-san.livejournal.com]

Пардон, PKI может обеспечить адекватную защиту только при условии публикации УЦ своих САС. Если в политике УЦ не предусмотрена публикация САС, то такой УЦ не может быть доверенным - мы не сможем узнать по фактах компрометации выданных сертификатов.

[vitus_wagner]

Вообше для подписи софта неправильной является любая PKI где окончательные решения о доверии принимает не владелец устроства.
Все, кто пытается надуть юзера и перехватить контроль над его устройством, неизбежно буддут надуты производителями вредоносного ПО.

Без кооперации пользователя хрен защитишь его устройство.

[amarao-san.livejournal.com]

С кооперацией тоже, кстати. Что мешает автору заявить, что это новый скринсевер для гнома? И юзверь поверит.

[vitus_wagner]

Поверить автору юзеру может помешать только осознание неприятностей, проистекающих из илишней доверчиости. Поскольку ценной информации у юзера, тем более на мобильном устройстве, обычно нет, и максимум, что ему грозит - переустановка ОС или перепрошивка устройства, то единственное, что может заставить юзера думать о информационной безопасности - это ответственность (материальная) за действия соего устройства в сети, независимо от того, понимал ли владелец, что творит его устройство.

[kiryl.livejournal.com]

> Поскольку ценной информации у юзера, тем более на мобильном устройстве, обычно нет

Список контактов с телефонами/еmail'ами является довольно ценным на мой взгляд.

[vitus_wagner]

Список контактов с телефонами/еmail'ами является довольно ценным на мой взгляд.
Вероятно, вы не юзер. Может быть у вас еще и бэкап этого списка на стационарном компьютере есть?

Типичный юзер, потеряв телефон, не восстанавливает старый номер, а покупает новую симку.

[golosptic.livejournal.com]

Вы полагаете, что ценность контактов ограничивается их доступностью владельцу?

[vitus_wagner]

Я полагаю, что информацию, которую юзер считает незаслуживающей защиты от потери доступности, он ТЕМ БОЛЕЕ не сочтет нужным защищать от чего-либо другого.
Поскольку если информация не заслуживает защиты от потери доступности, существует 100% надежный и известный каждому юзеру способ защиты её от НСД - не записывать.

[golosptic.livejournal.com]

Я немножечко не об этом говорил.
Можно сколь угодно бэкапить личные контакты - а при их попадании с устройства в нехорошие руки понести ущерб.

[vitus_wagner]

Защищают данные не от ущерба, который "можно" понести. Их защищают от того ущерба математическое ожидание которого оценивается достаточно высоко, чтобы потратить время и/или деньги на его предотвращение.

Параноики, которые считают, что данные, потеря которых не важна настолько, что от нее не стоит защищаться дешевым бэкапом, могут принести серьезный ущерб (от которого стоит защищаться) при попадании в нехорошие руки, встречаются редко.
Поэтому готовность пользователя приложить усилия для защиты от попадания данныз в чужие руки, следует рассматривать только для тех данных, для которых пользователь готов приложить усилия для защиты их доступности.

Нам же интересен не столько вопрос о том, какой ущерб понесут пользователи, сколько о том, насколько можно рассчитывать на их кооперацию в деле защиты их устройств от malware.

[golosptic.livejournal.com]

Нам же интересен не столько вопрос о том, какой ущерб понесут пользователи, сколько о том, насколько можно рассчитывать на их кооперацию в деле защиты их устройств от malware.
ни на сколько нельзя
средний юзер - это человек, который не хочет думать
поэтому этот вопрос не может быть особо интересен, т.к. это - данность.
единственным ограничителем для низкоквалифицированного пользователя от установки пакости является неудобство интерфейса этой установки. Т.е. в чистом виде секьюрити через обскурити.
Соответственно, оценивать ценность информации через то, делает ей пользователь бэкап или нет - методологически неверно.
Наукой показано, обратите внимание, что поведение человека не основано на рациональной оценке пользы. За исследования, в которых было продемонстировано то, что рациональные мотивации не являются определяющими, не так давно Нобелевку по экономике дали.

Параноики, которые считают, что данные, потеря которых не важна настолько, что от нее не стоит защищаться дешевым бэкапом, могут принести серьезный ущерб (от которого стоит защищаться) при попадании в нехорошие руки, встречаются редко.

Я пытался обратить Ваше внимание на то, что бэкап контактов с симки - вовсе не обязательная опция, т.к. для среднего юзера существует техническая возможность их восстановить не из бэкапа, а из головы/других каналов общения.

И, соответственно, на то, что Ваше утверждение о том, что Поскольку ценной информации у юзера, тем более на мобильном устройстве, обычно нет, и максимум, что ему грозит - переустановка ОС или перепрошивка устройства является фактически неверным.

Контакты сами по себе, даже несбэкапленные, являются ценной информацией, т.к., например, открывают возможность для усиления "фишинговой" атаки типа "Таня, у меня неприятности, кинь мне деньги на телефон".

Вполне очевидно, что если у злоумышленника есть наименование контакта (обычно - имя человека), то эффективность такой атаки резко возрастает.

Соответственно, по большому счёту, сохранность такой информации - это в большей степени проблема разработчика, чем пользователя.
Если только разработчику не наплевать на всё настолько, что он готов разрушать собственную экологическую нишу.

[vitus_wagner]

средний юзер - это человек, который не хочет думать
Вопрос в том, как его заставить, если не думать, то хотя бы выполнять определенные ритуалы. Потому что без этого - все абсолютно бесполезно. Как я писал в начале треда - без кооперации человека, являющегося собственником устройства, обеспечить на нем безопасность невозможно.

Контакты сами по себе, даже несбэкапленные, являются ценной информацией, т.к., например, открывают возможность для усиления "фишинговой" атаки типа "Таня, у меня неприятности, кинь мне деньги на телефон".
Ценной для кого? Для злоумышленника да. Но считает ли угрозу такой атаки существенной юзер? Если юзеру настолько наплевать на интересы тех, кто у него в контакт листе, что он меняет симку, не пытаясь даже восстановить номер, то с какой стати этот юзер будет считать для себя важной защиту людей в контакт-листе от фишинговой атаки?

[golosptic.livejournal.com]

Вопрос в том, как его заставить, если не думать, то хотя бы выполнять определенные ритуалы. Потому что без этого - все абсолютно бесполезно. Как я писал в начале треда - без кооперации человека, являющегося собственником устройства, обеспечить на нем безопасность невозможно.
На мой взгляд единственный способ - это тот, о котором я уже писал. Усложнить установку ПО и дальше - если человек всё равно хочет поставить - он вынужден учиться, включая, наконец, мозг или обращаться к специалисту.
А так - среднего пользователя заставить заботиться о своей безопасности невозможно. Никак.

Ценной для кого? Для злоумышленника да. Но считает ли угрозу такой атаки существенной юзер? Если юзеру настолько наплевать на интересы тех, кто у него в контакт листе, что он меняет симку, не пытаясь даже восстановить номер, то с какой стати этот юзер будет считать для себя важной защиту людей в контакт-листе от фишинговой атаки?
См. выше.
Априорные пользовательские оценки ценности информации не могут служить основной для того, чтобы ценность этой информации для пользователя оценивал разработчик.
Основываться на том, что думает по данному поводу пользователь - методологически неправильно, потому что пользователь вообще в среднем не думает.
Рассуждать в таком ключе - это всё равно, что отрицать ценность медицинских процедур на основе того, что 90% людей не выполняют рекомендации врача даже когда больны.

Для того, чтобы оценить ценность информации нужно смотреть объективно - в данном случае на то, сколько денег потенциально может попасть злоумышленникам.

[dtarasov.livejournal.com]

>>>ценной информации у юзера, тем более на мобильном устройстве, обычно нет
это вы напрасно так думаете. Помимо контактов и смс на телефоне всегда лежат деньги. Вот их можно потерять.

[vitus_wagner]

Сколько там тех денег?

[dtarasov.livejournal.com]

есть люди, для которых 5$ - серьезные деньги. И их немало.

[vitus_wagner]

Люди, для которых $5 серьезные деньги, обычно не готовы ничему учиться. Поэтому рассчитывать на их добровольную кооперацию в борьбе с malware сложно. В качестве покупателей коммерческого софта они тоже малоинтересны.
Ну и вообще, представить себе человека, который покупает себе смартфон, при том что для него $5 - серьезные деньги - сложно. Бывает, конечно, таким смартфоны дарят более зажиточные родственники, но это вряд ли составляет заметную долю платформ, на которых может исполнятьс malware.

[sergei-d.livejournal.com]

Ага. Значит, не зря я сбежал с GoDaddy в своё время. Помнится, доставили они тогда. Если бы хостер не помог, остался бы без доменов или платил бы кучу денег.

[luarvique.livejournal.com]

Меня не оставляет подозрение что вся эта затея с сертификатами была придумана кем-то из Симбиана с целью создать revenue stream, а затем навязана производителям железа. Уж очень все это похоже на какой-нибудь Комитет, издавший Стандарт и требующий деньги c людей желающих на него посмотреть.

[abbra]

Я не знаю всей исторической подноготной, потому что моя жизнь традиционно прошла мимо Симбиана, но обрати внимание, что слабая точка в данном случае находится вообще за пределами -- во внешней организации, которая выступает в роли УЦ. И слабина ее как раз в том, что свои задачи УЦ она крайне плохо делает.

[luarvique.livejournal.com]

Да там видимо с самого начала ни о какой security речи не шло, а чисто про отьем бабла у доверчивых сьютов.

[silpol.livejournal.com]

увы, там все было "от благих намерений", т.е. попытка вытащить ДЦТ4 в ДЦТ5 закончилась провалом, который переименовали в БиБиФайв, но... аппетит приходит во время еды, и этого показалось мало, и поверх "забавной" (но дававшей поток денег) схемы бизнеса по оптовым продажам через операторов (за неимением других желающих) начали накручивать "всю эту систему" под давлением все тех же операторов, которым хотелось и VOIP не пущать, и акционерам показать как они сделали чужими руками не за свой счет платформу для вполне честного отьема денег... а потом оно все завело в никуда...

к несчастью, парад маразма не закончен, клоуны отнюдь не уехали вместе с цирком, и есть шансы что оно все вернется, в еще более severe form, перемноженной на риаа, мпаа и весь остальной дрм - настоящаяя проблема, как известно не в сортирах, а в головах, желающих текущих рекой денег которые они не заслужили, но считают что они "вправе" :-/

[belnetmon.livejournal.com]

Мысль с сертификатами и подписями в симбиане коммерчески верная: этот ход дает шанс комьюнити разработчиков зарабатывать на софте для этой платформы. А то что есть пути ухода - это серьезно. Меня убило, что на левых китайских сайтах без проблем по имею генерируют индивидуальные сертификаты всем желающим бесплатно, что показывает провал затеи.

[luarvique.livejournal.com]

Мысль с сертификатами и подписями в симбиане коммерчески верная: этот ход дает шанс комьюнити разработчиков зарабатывать на софте для этой платформы.
Нет, не дает.

-- разработчик для платформы Симбиан.

[belnetmon.livejournal.com]

Но ведь задумка с сертификатами была исключительно в эту сторону, сделать "авторизованное комьюнити" ? Или задумка была именно в защите устройств вот левых программ?

[abbra]

А фиг его знает, luarvique, конечно, имеет свое циничное мнение про распил бабла, но не надо недооценивать и человеческую глупость во внедрении сложных технологий.

[vitus_wagner]

Что такое "левая программа"? Если это "несанкционированная копия программы легитимного разработчика", то электронная подпись в том виде, в каком это есть в Symbian и J2ME, от неё никак не защищает. Если мы определяем "левую программу" любым другим способом, то запрещение "левых программ" никак не способствует зарабатыванию денег на программировании данной платформы.

[golosptic.livejournal.com]

обана

надо будет валить от этих ребят - а то, боюсь, они после таких санкций мастеркарда навернутся к чёртовой матери...

[abbra]

Ага. Я пользуюсь уже несколько лет name.com и в целом доволен. Они небольшие и спокойные. Также они поддерживают верисайновские keyfob для дополнительной верификации учетных записей.

[golosptic.livejournal.com]

С доменами то ладно.
Надо искать дешевого поставщика SSL-сертификатов.

[vitus_wagner]

Самое простое - научиться их делать самому. И устанавливать в качестве доверенного во все используемое программное обеспечение.
А таким, которое этого не позволяет - просто не пользоваться.

Кстати, тогда можно будет пользоваться не RSA (тут давеча пробегали ссылки что уже 768 бит хакнули), а нормальными криптоалгоритмами на эллиптических кривых.

[golosptic.livejournal.com]

Да, это один из возможных путей. Я над ним с лета думаю.

Но на центральных серверах нашего сервиса - похоже, что только VeriSign или что-то типа. Просто потому что в нашем случае А таким, которое этого не позволяет - просто не пользоваться. абсолютно не катит. Мне тут осенью пришлось обеспечивать совместимость даже с iPhone с прошивками версии 2.xx. Оказалось, что они не могут работать с SSL-сертификатами из непредопределённого списка контор, помянутый GoDaddy например не воспринимают в упор никакими ухищрениями. А сэйлы требуют.

[vitus_wagner]

На самом деле правильным решением для публичного сервиса является приобретения у VeriSign сертификата secondary CA. Хотя бы с pathLen=1.
Цепочку сертификатов длины 3 сейчас по-моему любой софт выстраивать умеет.

[golosptic.livejournal.com]

/* мрачным голосом
ну я теперь знаю, на какой платформе тестироваться :) - благо у самого такой же iPhone с такой же прошивкой 2.xx

[dmarck.livejournal.com]

trustico.com ?