![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
PlatSec и социальный инжиниринг
Jan. 6th, 2010 04:31 pmПрочитал статью ![[livejournal.com profile]](https://www.dreamwidth.org/img/external/lj-userinfo.gif)
dtarasov о разработке троянского ПО для Symbian.Суть статьи сводится к тому, что организация, которая регистрирует юридические лица в программе ускоренной выдачи сертификатов для подписывания ПО, практически не может отследить корректность регистрируемой информации. Это позволяет использовать распространенные на пост-советской территории в 90-х и 00-х годах методы регистрации компаний на подставных лиц для создания такого "сертифицированного" юридического лица, от учетной записи которого и будет выдан запрос на подпись троянского ПО.
Два ключевых момента: учетная запись юрлица в системе сертификации Symbian не участвует нигде в самом сертификате и его проверке. То есть, получив подписанную версию троянского ПО, злоумышленник может забыть об этой учетной записи -- ее существование (или обнаружение "липовости") никак не влияет на проверку целостности и правильности сертификата при установке троянского ПО. Главное -- получить подписанную версию ПО до того, как "липовость" будет обнаружена организацией, выдающей сертификат.
Фактически, метод "взлома" сводится к социальному инжинирингу по отношению к лицам, ответственным за выдачу PublisherID при регистрации юрлиц. Такой throw-away account обойдется злоумышленнику в 200 долларов в год плюс 20 долларов на каждый сертификат.
Можно ли обеспечить надежное прикрытие таких социальных дыр в рамках мирового рынка? Практика того же Paypal показывает, что реалистично надеяться на это нельзя. Единственный внятный способ -- это сделать легкой возможность пожаловаться со стороны пользователей на поставщиков. Причем легкость здесь является ключевым понятием. Если для сообщения о неблагонадежности потребуется более одного-двух телодвижений или продолжительное время, система работать не будет.
Пример из параллельной области. Alec Muffett не смог оплатить свои домены, зарегистрированные через GoDaddy, с помощью MasterCard. При обращении в поддержку MasterCard, обнаружил, что уровень фрода со стороны GoDaddy настолько велик, что MasterCard собирается наложить вечную блокировку на все транзакции с GoDaddy. Оказалось, что уровень поддельных транзакций среди регистраторов доменов особенно велик именно со стороны GoDaddy и Trenitalia. О мошенничествах GoDaddy говорят давно, в данном случае потребовались годы, прежде чем система решилась на конкретные действия, учитывая отложенный характер жалоб по кредитным платежам и разорванность операций списывания и блокирования денег.
Update: По просмотру содержимого trustcenter.de, подозреваю совершенно аналогичные действия выполнимы и в отношении JavaME и Air.
dtarasov о разработке троянского ПО для Symbian.Суть статьи сводится к тому, что организация, которая регистрирует юридические лица в программе ускоренной выдачи сертификатов для подписывания ПО, практически не может отследить корректность регистрируемой информации. Это позволяет использовать распространенные на пост-советской территории в 90-х и 00-х годах методы регистрации компаний на подставных лиц для создания такого "сертифицированного" юридического лица, от учетной записи которого и будет выдан запрос на подпись троянского ПО.Два ключевых момента: учетная запись юрлица в системе сертификации Symbian не участвует нигде в самом сертификате и его проверке. То есть, получив подписанную версию троянского ПО, злоумышленник может забыть об этой учетной записи -- ее существование (или обнаружение "липовости") никак не влияет на проверку целостности и правильности сертификата при установке троянского ПО. Главное -- получить подписанную версию ПО до того, как "липовость" будет обнаружена организацией, выдающей сертификат.
Фактически, метод "взлома" сводится к социальному инжинирингу по отношению к лицам, ответственным за выдачу PublisherID при регистрации юрлиц. Такой throw-away account обойдется злоумышленнику в 200 долларов в год плюс 20 долларов на каждый сертификат.
Можно ли обеспечить надежное прикрытие таких социальных дыр в рамках мирового рынка? Практика того же Paypal показывает, что реалистично надеяться на это нельзя. Единственный внятный способ -- это сделать легкой возможность пожаловаться со стороны пользователей на поставщиков. Причем легкость здесь является ключевым понятием. Если для сообщения о неблагонадежности потребуется более одного-двух телодвижений или продолжительное время, система работать не будет.
Пример из параллельной области. Alec Muffett не смог оплатить свои домены, зарегистрированные через GoDaddy, с помощью MasterCard. При обращении в поддержку MasterCard, обнаружил, что уровень фрода со стороны GoDaddy настолько велик, что MasterCard собирается наложить вечную блокировку на все транзакции с GoDaddy. Оказалось, что уровень поддельных транзакций среди регистраторов доменов особенно велик именно со стороны GoDaddy и Trenitalia. О мошенничествах GoDaddy говорят давно, в данном случае потребовались годы, прежде чем система решилась на конкретные действия, учитывая отложенный характер жалоб по кредитным платежам и разорванность операций списывания и блокирования денег.
Update: По просмотру содержимого trustcenter.de, подозреваю совершенно аналогичные действия выполнимы и в отношении JavaME и Air.
