`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Игорь Дериев

Инцидент с DigiNotar продемонстрировал слабость смартфонов

+44
голоса

Давеча я рекомендовал озаботиться защитой от поддельных SSL-сертификатов. Но насколько просто это сделать? На ПК вопрос, можно считать, закрыт. А на смартфонах?

Действительно, Google и Mozilla выпустили обновления своих настольных браузеров почти сразу. У Opera кстати, также появилось исправление, но оно к DigiNotar отношения не имеет. В этом браузере используется более надежный механизм проверки сертификатов - при каждом обращении к сайту, причем, при невозможности достучаться до проверочного сервера они в любом случае блокируются. Microsoft начала распространять заплатки для своих ОС чуть позже, а Apple созрела только под самый конец прошлой недели.

А что же со смартфонами? Игнорировать их уже опасно, на них приходится 5% мирового веб-трафика (более 8% в США). Но ни Apple, ни Google пока даже не высказались на эту тему. Допустим, Apple, как подлинно фруктовая компания, и в данном случае еще зреет. Но Google? А вот здесь как раз снова приходится вспомнить о фрагментации платформы Android. Терминалов много и разных, а ответственность за их обновление несет вовсе не Google. Да, она может (и должна) внести необходимые коррективы в Android, но дальше - дело OEM и сотовых операторов.

Картина на самом деле безрадостная. Я уже приводил пример, что много Android-терминалов по-прежнему содержат известные и исправленные в очередных версиях платформы уязвимости. Да, смартфоны лучше ПК защищены от malware, но перед атаками на основе социальной инженерии (а именно для таких могут пригодиться поддельные SSL-сертификаты) они так же бессильны. К счастью, в данном случае угрозе в основном подвержены иранские пользователи, но с таким же успехом эта или подобная история может коснуться и всех прочих.

В чем же причина? Из встреченных аргументов более-менее внятным мне показался только один: на самых крупных рынках смартфоны распространяются через сотовых операторов, которые завязывают на них каналы продаж своих услуг. А что если эти каналы обслуживаются (допустим, исключительно) сертификатами (не поддельными, естественно) именно DigiNotar? Ведь компания пока не лишена своего статуса (хотя все к тому идет)... Тоже, конечно, не очень убедительно. Поменять сертификаты - вроде бы не такое большое дело, тем более, что на Windows-десктопах они уже нелигитимны - Microsoft, как известно, заблокировала корневые сертификаты DigiNotar. А то, что вокруг них крутятся реальные денежные потоки, казалось бы, должно только повысить ответственность и желание минимизировать риски.

В случае с Android, впрочем, доступна помощь сообщества. В сети уже гуляет немалое количество советов, как можно самостоятельно блокировать корневые сертификаты DigiNotar. Правда, для этого терминал, кажется, должен быть разблокирован (rooted). Вот есть даже готовая утилита в Android Market. С Apple ситуация неясна. Она как-раз полностью контролирует платформу iOS и могла бы все исправить одним махом, возможно дело действительно в необходимости выяснения ситуации с операторами. А на Windows Phone и BlackBerry корневых сертификатов DigiNotar по какой-то причине не оказалось, так что их пользователям можно не переживать. В этот раз.

+44
голоса

Напечатать Отправить другу

Читайте также

Тут, оказывается, уже SSL 3.0 и TLS 1.0 ломать собираются.. http://redmondmag.com/articles/2011/09/20/researchers-claim-discovery-of...

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT