Новость дня: По имеющимся сведениям, 30 и 31 января неизвестный, представившийся как сотрудник Microsoft, сумел получить у компании VeriSign, специализирующейся на средствах электронной подписи, два сертификата на имя софтверного гиганта. Такие сертификаты обычно используются для подписи программного обеспечения, загружаемого из Интернета: различных заплаток, обновлений, а также модулей ActiveX и макросов MS Office. То есть, человек или организация, в руки которой попали сертификаты, может выпустить вирус или другую вредоносную программу, выдав ее за официальный продукт Microsoft. О случившемся стало известно только на прошлой неделе, когда представители VeriSign сообщили в Microsoft об ошибочном выпуске сертификатов по вине одного из своих сотрудников. Как только выянилось, что сертификаты были выпущены по ошибке, они были занесены в черный список VeriSign, однако сами сертификаты не содержат ссылок на этот список или каких-либо других средств проверки своего происхождения. Пока что Microsoft и VeriSign рекомендуют всем пользователям обращать внимание на срок действия сертификатов, которыми подписано устанавливаемое из Интернета программное обеспечение от Microsoft. Если поле "Valid from" содержит дату 29 января 2001 г. или 30 января 2001 г., то пользователь имеет дело с незаконно полученным сертификатом и потенциально опасной программой. Кроме этого, Microsoft просит всех, столкнувшихся с такими сертификатами сообщить об этом в компанию по адресу secure@microsoft.com. (Иван Карташев)

Наш комментарий:

Шутка с нешуточной бородой о том, что операционные системы от Microsoft представляют собой огромные вирусы, а значит и сама компания является распространителем компьютерной заразы, неожиданно приобрела актуальность.

Нельзя сказать, что Microsoft редко упоминается в контексте проблем компьютерной безопасности, но сегодняшняя новость дня – яркий пример того, когда с больной головы валят на здоровую. Чего стоят заголовки зарубежных агентств: Microsoft warns of hijacked certificates(CNet), Microsoft says beware of stolen certificates (ZDNet, эта та же статья, что и на Cnet, только в профиль ;-).

Довольно радикально настроенный по отношению «ко всяким там мастдаям» /. вообще обсуждает эту новость под заголовком Don't Trust Code Signed by 'Microsoft Corporation'.

Желание снабдить новость привлекательным заголовком понять, конечно, можно, но на самом деле Microsoft тут почти ни при чем.. Такое могло произойти с любой компанией. Вина за ошибку лежит целиком и полностью на Verisign. Она же и подписала сертификат – Microsoft вообще никакого касательства к этой процедуре не имеет.

Тем не менее, в силу большей «раскрученности» марки Microsoft, она упоминается и запоминается куда активней настоящего виновника и, думается, что через некоторое время этот ляп Verisign будет вспоминаться только как «проблема с сертификатами Microsoft».

Что же до реального решения этой проблемы… Существует несколько возможных способов обезопасить себя. Самый жестокий – удаление Verisign из Tools-->Internet Options-->Content-->Certificates-->Trusted Root Certification Aithorities (путь указан для IE 5 Eng, но, думаю, что в прочих версиях уполномоченные по выдаче сертификатов находятся примерно по тому же адресу). Однако, поскольку Verisign сертификаты выдает довольно активно, то подобную ампутацию лучше не производить.

Более разумно, как мне кажется, спокойно жить дальше до выхода соответствующих апдейтов Microsoft (которые, как написано на сайте, уже готовятся), попутно отвергая все сертификаты, подписанные от имени Microsoft Corporation, если они датированы 29.01.2001 и 30.01.2001. По меньшей мере, одно предупреждение увидит каждый пользователь - даже тот, кто ранее в предупреждающем окошке напротив строки «Always Trust Content from Microsoft Corporation» поставил галочку.

Обсудить материал можно в форуме