Symantec vs Google
Na obzore je novy zaujimavy spor, ktory bude zaujimace sledovat, pretoze pojde o suboj gigantov.
Google obvinil Symantec, ze nedodrziava bezpecnostne protokoly a zacal ignorovat nim vydane certifikaty pre weby. Symantec sa samozrejme brani, ze to nie je pravda a uz sa handrkuju ako baby na trhu.
Symantec je vsak jednym z lidrov na trhu CA (certikacnych autorit) s cca 30% podielom v roku 2015, takze to nie je ziaden trpaslik, aj ked bohuzial proti Googlu asi sancu nema.
Chrome zacal ignorovat vsetky certifikaty vydane Symantecom, ci jeho dcerskymi spolocnostami a momentalne je problem sa cez Chrome pripojit na tieto weby, respektive ono to ide, ale Chrome hlasi, ze web nie je zabezpeceny (cim trosku zavadza).
Tazko povedat o co presne ide, ci verit Googlu alebo Symantecu, nicmenej u par zakaznikov, ktori vyuzivali sluzby Symantecu v oblasti CA budem musiet urychlene zmenit certifikaty vzhladom na popularitu Chrome na CZ/SK.
Toľko nepresností ako v samotnej správičke, tak aj v komentároch pod ňou, že to radšej zhrniem do jedného príspevku, ako by som mal odpovedať jednotlivo. Mimochodom, o strate dôvery Google v certifikáty Symantecu som písal v správičke pred týždňom a čosi, kedy bolo jasné, že ide o dosť veľkú vec.
V prvom rade, obvinenie zo strany Google je postavené na prostých faktoch, zatiaľ čo Symantec celú situáciu neuveriteľne zľahčuje. Problémy Symantecu sú dlhodobé a v ich biznise, kde ide predovšetkým o dôveru v CA, dosť ťažko ospravedlniteľné. Google proti nim vystúpil síce ako prvý, ale je dosť možné, že onedlho už nebude sám. Mozilla, aj keď sa zatiaľ jednoznačne nevyjadrila, už doplnila do svojej wiki zoznam pochybení zo strany Symantecu, ktorý je tiež len zoznamom prostých faktov. Tento zoznam sa môže veľmi ľahko stať oficiálnym zdôvodnením Mozilly k tomu, že sa pripojí k postoju Google.
Kroky, ktoré Google navrhol, sú dosť mierne práve preto, že certifikáty Symantecu majú cca 30% podiel. Takže ich certifikáty neprestanú platiť zo dňa na deň, ako by k tomu došlo pri menej významnej CA, ale sa bude postupne skracovať ich platnosť. Píšeš o konkrétnom zákazníkovi, ktorému prestal platiť v Chrome certifikát - vieš dať aj odkaz na konkrétnu stránku, alebo aspoň informácie o certifikáte? Zatiaľ som o zneplatňovaní certifikátov čítal iba ako o návrhu, takže by ma zaujímalo, či k nemu už aj naozaj pristúpili. Ak áno, tak od dnes by mala byť skrátená platnosť certifikátov na 33 mesiacov, čo by znamenalo, že tvoj zákazník mal kúpený trojročný certifikát, ktorý by mu do troch mesiacov aj tak vypršal.
Zákazníci Symantecu, ktorí v tomto veria viacej Symantecu ako Googlu, sú buď neinformovaní alebo blázni alebo oboje naraz. Jednoduché "riešenie" s hláškou o nepodporovanom prehliadači nebude fungovať, pretože návštevníci stránok sa kvôli neplatnému certifikátu k tej hláške ani nedostanú. Obava z toho, že by certifikáty týmto krokom zo strany Googlu strácali na svojej hodnote, je dosť krátkozraká. Ono by to bolo totiž naopak - pokiaľ by sa certifikáty vydávali tak nedbalo, ako to robil Symantec, tak by certifikáty prakticky stratili svoj význam.
Ďalšie obvinenia z nekalej súťaže, že Google si chce získať zákazníkov pre svoju CA, padajú na tom, že Google svoje certifikáty nepredáva verejne, aspoň zatiaľ. Okrem toho sú spolu s Mozillou veľkým sponzorom Let's Encrypt, ktorý umožňuje získať DV certifikáty zadarmo.
No a perlička na záver: API, ktoré poskytuje Symantec pre vydávanie certifikátov, má údajne také nedostatky, ktoré môžu viesť až k zverejneniu privátnych kľúčov. Preto milé deti, keď si generujete žiadosť o certifikát (CSR), tak neposielajte svoje privátne kľúče certifikačnej autorite, aj keď vám poskytnú tool, ktorý to všetko spraví za vás.
OK, pak je to samozrejme o necem jinem.
Zeptam se teda jeste, ty problemy, ktere Mozilla vytyka od 2014, jak je to treba u jinych CA, jestli proste to Symantec opravu nezvladal a zaslouzil si to nebo jestli je treba vic CA, ktere maji podobne problemy a jde v podstate sice o blby ale bezny stav s s certifikaty?
Doteraz to bolo tak, že pokiaľ mala nejaká CA takéto problémy, tak jednoducho skončila. Neviem o žiadnej CA, ktorá by mala toľko problémov, aby si dal niekto tú prácu a spísal celý zoznam. Hlavný problém Symantecu je v tom, ako sa stavia k riešeniu vzniknutých problémov. Už v minulosti boli doslova donútení upraviť svoj proces vydávania certifikátov tak, aby spĺňali určité požiadavky. Problémy ignorujú ako dlho to len ide a nakoniec sa bránia tým, že žiadnu reálnu škodu nezaznamenali. Google tvrdí, že nesprávne vydaných certifikátov bolo okolo 30 tisíc, ale Symantec tvrdí, že ich bolo len 127. Symantec sa jednoducho musí začať viacej snažiť, ak chce svojich zákazníkov presvedčiť, že sú naozaj dôveryhodná CA.
Dovolím si poznamenat jednu věc: Nejsem zastáncem ani Google, ani Symantecu, nemám vůči nim žádné zájmy a ani jim nějak nefandím. Symantec (ale i google) je typický korporátní dodavatel, který poskytuje služby uzpůsobené potřebám těchto firem (a věřím, že se tam i nějaké chyby najdou - to ostatně u všech takto velkých firem).
Co mně osobně přijde nebezpečné, je způsob jakým Google ovlivňuje internet - dnes totiž je G. hegemonem, který všeobecně internet ovládá, jak přes svůj vyhledávač, tak přes prohlížeč Chrome. A pokud přijde i se svou CA, je to na můj vkus příliš velká koncentrace moci, přičemž k naprostému ovládnutí internetu už chybí jen převzetí rootovských DNS serverů.
A abych se vrátil k výše uvedenému, způsob který zvolil G. v boji se Symantecem mně přijde jako ten nejhorší možný. Dále si je třeba uvědomit, že popisované problémy (nebo alespoň část z nich) se nemusí vůbec zakládat na pravdě, protože jsou jen velmi těžko ověřitelné zvenčí, popřípadě nejsou ověřitelné vůbec. Vzbuzuje to ve mně dojem (a omlouvám se za to, protože dnešní postfaktická doba dojmologii přeje), že se jedná o předem připravenou kampaň, která má výše uvedený cíl.
Nakonec bych dodal jen jeden postřeh, analogii: Kdysi, skoro už před 25 lety, uvedl MS Windows 95, jehož součástí byl MSN (Microsoft Network) a MS si sliboval, že uživatelé "zahodí" běžný internet a přejdou na MSN. Nestalo se tak, i proto, že MSN nebyl "povinný" a internet zablokovaný. Dnes, v této kauze, majoritní prohlížeč svévolně blokuje certifikáty široce používané CA, tedy lze říci, že je to analogický případ k tomu, kdy by MS v roce 1995 ve svých Windows aktivně blokoval internetová připojení a naopak "tlačil" své MSN jako jediný způsob pro připojení do světové počítačové sítě.
Spochybniť pravdivosť popisovaných problémov Symantecu bude veľmi ťažké, vzhľadom na to že sú buď zdokumentované v Bugzille alebo na Google fóre, kde sa k ním vyjadrujú aj zástupcovia zo Symantecu, alebo sú dohľadateľné priamo na stránkach Symantecu, prípadne sa dajú nájsť na webe aj výsledky auditov, ktoré tam prebiehali. Takže určite nie je pravda, že by tie pochybenia boli zvonka ťažko overiteľné. Môžeš síce zľahčovať niektoré z popísaných problémov, ale skús si dohľadať, že kvôli čomu Symantec začiatkom tohto roka ukončil svoj RA program. Dôvody, ktoré ich k tomu donútili, boli podľa mňa tou poslednou kvapkou, pri ktorej pretiekol pohár. Potom sa ti už nebude zdať prístup Googlu ako "najhorší možný", pretože Symantec sa vlastnou vinou dostal do situácie, kedy už dobré riešenia neexistujú.
Ja som naopak rád, že sa Google rozhodol problémy okolo Symantecu aktívne riešiť, pretože celá bezpečnosť komunikácie cez SSL stojí a padá na certifikačných autoritách. Myslím, že je dosť zrejmé, ako veci zvyknú dopadnúť, keď sa bezpečnosť rieši prístupom "však o nič nejde". Analógiu s MSN som nepochopil, ale reči o tom, že Google je ten zlý kvôli snahe zvyšovať bezpečnosť sprevádzajú aj ich Project Zero, v rámci ktorého upozorňujú na bezpečnostné chyby. Reakcie dotknutých spoločností alebo ich fanúšikov, ktorí potom hľadajú skrytú motiváciu, že prečo sa Google zameral práve na nich, sú potom vcelku zábavné počteníčko.
Já nezpochybňuju samotný fakt že se něco stalo, ale zpochybňuju jeho závažnost ve smyslu svévolně-záměrného a "tajeného" konání Symantecu. A právě to, že se do jednoho seznamu dají "hříšky" a velké hříchy a pak se z toho dělá velké divadlo mě vede k názoru, že to je záměrná kampaň.
A co se samotného G. týká, jeho snahy o řešení bezpečnostních problémů jsou moc pěkné, ale na druhé straně sám ani po X letech není schopen zajistit ani základní bezpečnost své mobilní platformy a tuto záležitost ponechává farizejsky na výrobcích HW. Podobně je na tom Play store.
Lenže ten zoznam je od Mozilly, nie od Googlu. A pokiaľ si všimneš, tak číslovanie nie je A,B,C,D... ale B,D,E,F..., takže by som si tipol, že to prešlo ešte aj nejakým filtrom cez právnikov. Bezpečnosť Androidu alebo Play store takpovediac nesúvisí s prípadom a ide o rovnaké odvádzanie pozornosti, o ktorom som písal vyššie.
Ad souvislost s případem (tímto to prohlašuju za OT, nicméně považuju za vhodné to dát do souvislosti, jak hodný velký bratr G. dbá na bezpečnost) - u nás se říká, že si člověk má zamést nejprve před svým vlastním prahem.
Přijde mi tedy docela zábavné sledovat pinožení G. v oblasti cizích bezpečnostních problémů a přitom mít roky v portfoliu bezpečnostní megadíru jménem Android, u které autor OS tiše předpokládá, že 0-day vulnerabilities závažného charakteru bude opravovat výrobce HW. Podobně je doslova chucpe fakt, že AndroidOS může výrobce HW opatřit spywarem nebo dokonce keyloggerem. Pokud sleduješ vývoj Androidu, tak od verze 2 do dnešní doby (verze 7) došlo doslova ke kosmetickým úpravám z pohledu bezpečnosti a proces návrhu a implementace Androidu do HW vendorů, stejně jako následný patching je stále tentýž - tj. (zřejmě záměrně) z pohledu G. nekontrolovaný.
Přitom by stačilo, aby G. nutil kontrolou na svých online službách spjatých s Androidem (Play, Gmail, YT...), aby měl daný OS aktuální verzi OS - tím by donutil výrobce k akci. Jenže tam jde o byznys, o příjmy z reklamy, a tak jde bezpečnost stranou (stejně jako v případě Symantec). G. místo toho vydá upravené zdrojáky odstraňující chyby a jako Pilát Pontský si nad problémem umyje ruce. Že mu po světě běhá pár miliard neopatchovaných systémů, je mu šumák. Kauza spyware aplikací v Play store, které nikdo nekontroluje na bezpečnost (a celý tento blikavý cirkus pak ovládají mudlové, kteří umí telefon jen zapnout a používat), to je pak už jen taková trapná třešinka na dortu.
Z toho, čo píšeš, skoro až vyplýva, že situácia by bola lepšia, keby sa Google hľadaniu bezpečnostných chýb vôbec nevenoval. No, nebola.
Čo sa týka Androidu, tak súčasný stav síce nie je dobrý, ale riešenie, ktoré navrhuješ, by tú platformu zabilo. Tiež keď si používateľ chce nejaký spyware nainštalovať, tak mu v tom žiaden zázračný vynález nezabráni.
Ne, to z toho nevyplývá. Vyplývá z toho jen docela jednoduchý závěr, že mají sami máslo na hlavě a vůbec jim to nevadí.
Mimochodem, zabití platformy (byznysu) je dostatečná omluva pro relaxed security? Pak ovšem měřme stejným metrem i tomu Symantecu.
Ale veď píšeš, že si majú najprv zamiesť pred vlastným prahom. Čiže ich kritizuješ za to, že hľadajú bezpečnostné chyby. A vadí ti teda konkrétne to, že oni neaktualizujú Android na zariadeniach, ktoré nemajú pod kontrolou. Ja neviem, ale vidím tam dosť zásadný rozdiel oproti Symantecu. Hrušky a jablká.
Ne, kritizuju je za to, že sami pro bezpečnost svých produktů nedělají dost, ale mají tolik volného času, aby se zabývali chybami jiných a ještě ukazovali prstem.
Čiže presne ako som písal. Keď nerobia dosť pre Android (takže nie produkty, ale jeden produkt), tak ako si môžu dovoliť robiť na niečom inom. Vysvetlenie je prosté: Google je moloch, takže ten "voľný" čas sa nájde. Tvoja kritika sa mi jednoducho zdá nepochopiteľná. Okrem toho, situácia s Androidom je dosť špecifická, keďže lepšia alternatíva zatiaľ neexistuje.
Android je přece celá sada služeb, to není jen OS. A stojím si za tím, že největší přínos pro bezpečnost by mělo zabezpečení vlastních produktů, ne kolektování cizích bezpečnostních problémů (ať je jejich závažnost jakákoli) a poukazování na ně - tohle totiž zvládnou i malé organizace, na to není třeba molochu jako je G.
A co se samotného Androidu týká, fakt, že je "specifický" na tom nic nemění, respektive ještě hůře - taková platforma by bezpečnost měla mít na prvním místě. Když to zvládala firmička jako RIM/Blackberry, nevidím důvod, aby to nezvládl daleko větší a bohatší Google.
No a tu sa práve nezhodneme. Keď chceš porovnávať prínos v bezpečnosti, tak jednoducho musíš zohľadniť aj závažnosť bezpečnostných problémov. Či to zvládne malá organizácia alebo to spraví Google, je potom už úplne irelevantné. A o tom, že zrovna toto robí Google dobre, svedčia jeho výsledky.
Rozdielov oproti BlackBerry je toľko, že to fakt nemá zmysel, aby som ti ich začal vysvetľovať. Stav bezpečnosti na Android platforme nie je dobrý, takže o tom ma presviedčať nemusíš. Ale vyvodzovať z toho záver, že Google by sa kvôli tomu nemal vôbec vyjadrovať k bezpečnosti, a už vôbec nie ju vyžadovať od niekoho iného, je scestné. Problémy so Symantecom majú bezprostredný dopad na bezpečnosť jeho prehliadača, takže už len to mu dáva právo, aby ho bolo počuť.
Ano, to se neshodneme - já to totiž vidím tak, že symantecgate je prakticky téměř zcela v rovině hypotetického útoku (viz ten SHA1, který ještě stále nebyl zcela prostřelen), kdežto u Androidu se jedná o reálné a prakticky zneužívané díry (ostatně typické rootování mnoha typů mobilů je postavené na exploitech), kterých není zrovna málo a zároveň se jedná o zásadní bezpečnostní problémy umístěné na horní části bezpečnostního měřítka, přičemž toto ohrožení je reálně projektováno na neznalé uživatele, a to s naprosto mizivou podporou výrobce OS i výrobce HW.
Rozdíly u BB samozřejmě jsou - tato platforma byla postavena už jako bezpečná, tj. se např. celý OS před bootem přepočítá, zda mu sedí kontrolní součty. Chtěl jsem tím ale jen demonstrovat, že takové řešení je možné a že existuje.
Takže když Google řeší reálnou (ne)bezpečnost jiných systémů a zároveň se nestará o uživatele svého OS a jejich reálnou bezpečnost, je to v mých očích totální farizejství, tím spíše že své zákazníky řádně neinformuje o nebezpečí (viz laxnost, s jakou se do Playstore implementovaly bezpečnostní mechanismy).
My se totiž možná nechápeme v jedné věci - dopadech. Zatím co problémy CA a certifikátů jsou problémy, které řeší admini, architekti a bezpečáci, problémy děravého OS dopadají na BFU, kteří nečtou a bezpečnost neřeší vůbec.
Hrubo podceňuješ dopady toho, o čo ide v prípade Symantecu. Fakt si pozri, čo sa tam dialo, lebo ináč nemá zmysel ďalej diskutovať. Problémy, ktoré to môže spôsobiť, nevyriešia admini, architekti a ani bezpečáci, ani keď o nich budú vedieť.
Hovoriť o farizejstve Google sa nesie v duchu kto chce psa biť, palicu si nájde - straw man. To je taký postoj, ktorý nikam nevedie.
Pokial ma Symantec take problemy ako hlasi Google a su podla teba obrovske a su tu uz podla vsetkeho dlho su zname nejake pripady zneuzitia tychto problemov v praxi?
Ci sa za cele tie roky bavime o obrovskej bezpecnostnej diere, ktorej prakticke zneuzitie nie je vobec zdokumentovane?
Ja som odkazy co si daval cital a hned na zaciatku som nadobudol postoj, co tu uz prezentoval tw...napri problem mechanizmov pri CA federalnych uradov a pod.
Btw...hovoris teraz za oboch losov, ci sa hadame len s jednym;o)?
Bavíme sa o tom, že Symantec delegoval časť svojej práce na iné spoločnosti bez toho, aby mal nad nimi dostatočný dohľad. Takže Symantec v konečnom dôsledku ani nemusí vedieť, ktoré certifikáty boli v jeho mene vydané v rozpore s pravidlami. Možností zneužitia "dôveryhodného" certifikátu je strašne veľa - neviem, čo tam chceš mať zdokumentované.
Hovoríš s jedným z losov. Druhý sa len čuduje, ako sme sa od Symantecu, z ktorého sa nakoniec stal StartCom, dostali k Androidu.
Já myslel že pracujete pro velkou společnost, protože delegace funkcí mimo firmu (a to i bezpečnostního rázu), typicky zvaná outsorcing, je v dnešní době docela častý jev.![]:)](https://static.poradna.net/images/smiley/evilsmile.gif)
Myšlení je matka omylu.