Программная недоработка в операционной системе компании Apple OS X*, делает проблематичным для пользователей Mac запретить компьютеру доверять некоторым цифровым сертификатом. Положение усугубилось после взлома голландского центра сертификации.\r\n\r\nПользователи Mac начали сообщать о данной проблеме во вторник, когда попытались отменить цифровые сертификаты, выпущенные DigiNotar, голландской компанией, сервера которой были успешно атакованы в прошлом месяце. Взлом центра сертификации в Голландии позволил хакерам выпускать мошеннические цифровые подписи. Владельцы Mac-ов пытались заблокировать данные сертификаты, но некоторые сайты все равно их использовали и отмечали как “заслуживающие доверия”.\r\n\r\nЦифровые подписи – важная часть работы Интернет, они необходимы каждый раз, когда два компьютера пытаются соединиться через протокол HTTPS. Проблема состоит в том, что ОС от Apple не разрешает пользователям вручную управлять сертификатами, и некоторые сайты помечаются как безопасные, в то время как они не являются таковыми.\r\n\r\nВо вторник проблему заметил Сет Бромбергер. После того как он прочитал в газете заметку о взломе DigiNotar, Сет решил взять дело в свои руки и отключить голландские сертификаты на своем Mac, используя программу AppleKeychain. Это означает, что при каждом посещение сайта, подписанного сертификатом DigiNotar или одним из его посредников, Бромбергер должен был получать предупреждения.\r\n\r\nНо у него ничего не вышло. Посещение веб-сайта DigiNotar подтвердило, что все HTTPS материалы на страничке, которые должны были блокироваться браузером, отображаются точно также как и до отмены сертификата. “Я просто хотел убедиться, что нашел способ решить проблему. Не сработало”, сообщает Сет.\r\n\r\nБольшинство пользователей не отключают цифровые сертификаты вручную, они полагаются на производителей браузеров. Google Chrome, Firefox и Internet Explorer уже заблокировали сертификаты DigiNotar, но Apple не сообщили что планируют сделать это в Safari. Это означает, что для пользователей Mac настали тяжелые времена.\r\n\r\nРайан Сливи, один из разработчиков Chrome, тоже заметил это проблему. Тем не менее, после детального изучения исходных кодов Mac OS X*, он раскрыл причину.\r\n\r\nПользователи могут блокировать сертификаты, используя Keychain, но если они посещают сайт, использующий расширенный сертификат безопасности (EV сертификат), то Mac все равно его примет, даже если центр, выпустивший этот сертификат, отмечен как небезопасный.\r\n\r\n“Когда Apple видят, что веб-сайт использует EV сертификат, то проверка надежности происходит по-другому”, сказал Сливи в своем интервью в среду. “Система отвергает все ваши персональные настройки и полностью игнорирует их”. Данные сертификаты широко используются на сайтах с большим HTTPS траффиком.\r\n\r\nЭксперты отметили, что компании Apple следовало уделить больше внимания основным компонентам интернет безопасности и данная “дыра” в защите является существенным недостатком Mac. “По мировым меркам, данная проблема не затронет много людей, но лично меня данный недочет в защите немного беспокоит”, сказал Джереми Гроссман, главный инженер по безопасности WhiteHat.\r\n\r\nApple, которые всегда скрывали все касающееся компьютерной безопасности, не отвечают на какие-либо вопросы и не дают комментариев.\r\n\r\nПроблема с цифровыми подписями беспокоит, но хакерам довольно сложно использовать эту лазейку. Если даже кому-то и удалось выпустить поддельный цифровой сертификат, который будет показывать операционной системе, что поддельный сайт относится, например, к домену gmail.com – хакерам все еще необходимо убедить самих пользователей посетить это веб-сайт и заставить поверить, что он настоящий. Чтобы это случилось, плохим парням необходимо взять под контроль систему доменных имен жертвы (DNS), что, мягко говоря, очень непросто сделать на Mac OS X*.\r\n\r\nНо, кажется, кое-кто в этом заинтересован. Эксперты по безопасности говорят, что когда в июле был взломан сервер DigiNotar , хакеры создали сотни поддельных цифровых подписей для таких сайтов, как google.com, mozilla.com, yahoo.com и torproject.org.

Tagged with →  

Добавить комментарий

Ваш e-mail не будет опубликован.

 

Подробнее:
Apple обучают свой персонал

Как сообщают CNET, Apple стали повышать квалификацию своих менеджеров, в частности, обучать их работе с профсоюзными объединениями.

Закрыть