Previous Entry Share Next Entry
2016-01

когда-то это должно было случиться

хоть я и подозреваю, что некоторые сделали это уже давно, но если еще не сделали - пришла пора блэклистить цифровые подписи отдельных компаний, в частности, Mail.Ru.

TL;DR: сертификат слили в партнерку по раздаче разнокалиберных троянов под видом обновлений для Firefox, Opera, IE, Skype и т.д.; в комментах есть несколько представителей mail.ru (выделяются по заминусованным комментам), которые считают, что так и надо.

http://habrahabr.ru/post/172393/

This entry was originally posted at http://wizzard.dreamwidth.org/270027.html. It has comment count unavailable comments. Please comment there using OpenID.

  • 1
the_aaa13 March 12th, 2013
Ну вся эта хренотень с подписями, она изначально не учитывает, что в мире есть не только жулики и честные люди, но и огромное количество промежуточных состояний.

wizzard0 March 12th, 2013
1. Да

2. А какое действие система безопасности должна предпринять, вооруженная знанием того, что экзешник с вероятностью 20% нежелателен для пользователя? Запускать в 80% случаев?)

the_aaa13 March 13th, 2013
Ну примерно такое же, как нормальный человек, рядом с какими-то типами подозрительными - приглядывать за детьми и ценными вещами :)

wizzard0 March 13th, 2013
Хе, а вот тут начинается интересное. Сейчас ни ОС, ни юзер не знают, что из хлама на винте - ценное.

Сможешь более детально расписать, как это могло бы работать?

thedeemon March 13th, 2013
Запускать 80% экзешника. :)

metaclass March 13th, 2013
Задавать больше вопросов на предмет его обращений к API.

(Deleted comment)
thedeemon March 13th, 2013
Вроде как там распространяют не чужие трояны, а мэйлрушные спутники всякие.

А в целом это закон природы: пока есть бизнес-модель "распространять фривару и зарабатывать на рекламе", будет и наглая адварь, лезущая всеми мыслимыми способами, и все эти даунлоадеры с мелкими галочками.

wizzard0 March 13th, 2013
> не чужие трояны, а мэйлрушные спутники всякие.

Насколько я понял, в довесок к спутнику можно посадить любой свой exe.

thedeemon March 13th, 2013
Да. Полагаю, в данном случае такими ехе были браузеры или их апдейтилки. Автор статьи так и не удосужился проверить, что именно там скачивалось в итоге. Или я пропустил?

wizzard0 March 13th, 2013
> даунлоадеры с мелкими галочками.
Угу(

nponeccop March 13th, 2013
PUP называется

Serge Shikov March 13th, 2013
Вот кто-бы объяснил простую вещь: какой к черту может быть заработок на такой рекламе? Неужели кто-то в здравом уме не только смотрит эту рекламу, но и что-то по ней покупает? А если не покупают - то какой дурак платит за ее показ?

wizzard0 March 13th, 2013
Мммм, это зависит от того, есть ли способ оценить, от этой ли рекламы пришел покупатель. Мне почему-то кажется, что нету...

thedeemon March 13th, 2013
Как я понимаю процесс:
1. Всякие сайты/порталы вроде мэйлру, ask.com, babylon и др. научились конвертировать поток посетителей в бабло. Видимо, показываемая ими реклама таки приносит деньги, кто-то по ней кликает. Процесс этот хорошо отлажен тем же гуглом, будучи основным источником его дохода.
2. Порталы выпускают свои тулбары и другие средства, заманивающие/затаскивающие юзеров на их сайты.
3. Эти тулбары нужно юзерам втюхать, для этого делаются партнерки, где за каждую установку тулбара или другого подобного овна платят от нескольких центов до доллара тому, кто довел тулбар до юзера (участнику партнерки). Популярный способ установки - сделать это частью процесса инсталляции чего-то. Так возникают всевозможные даунлоадеры.
4. Авторы фривар и просто охочие до наживы господа заворачивают фривару в такие инсталлеры. Для фривар это один из немногих способов как-то их монетизировать.

nponeccop March 13th, 2013
> сертификат слили в партнерку

приватный ключ?

wizzard0 March 13th, 2013
Естественно.

Serge Shikov March 13th, 2013
Нет. Партнерке дали загрузчик, уже подписанный. Если бы партнерке дали реально возможность подписывать - вот это было бы ого-го.

Загрузчик уже качает всякую хрень - причем хрень-то в общем и не трояны, а просто хлам всякий от мейла, но почти ничто ему при таком контроле не мешает качать и трояны.

Впрочем, ради объективности, при попытке запустить хлам он не будет подписан этой же подписью, очевидно. Не в этом случае.

wizzard0 March 13th, 2013
Ммм, как я понял, люди насобирали далеко не один EXE, и все подписаны, но ничего не timestamped.

Это не очень похоже на "подписанный загрузчик", скорее на API для подписи или сертификат.

_winnie March 13th, 2013
Я далёк от безопасности, из любопытсва:

Если подписаный софт грузит DLL-плагины или скрипты, значит ли это что я могу запускать любой софт, и винда ничего не спросит? Ну там, "cmd.exe /k мой.exe"

Как windows выбирает, показывать ли раздрающий диалог "вы запускаете хрень, доверяете ли вы ей" при клике на файл? Я кликаю на свои скомпилированные exe или какой-нибудь c:/cygwin/bin/xargs - и windows ничего не спрашивает, хотя вряд ли windows что-то знает про их издателя. А про какие-то сообщает, "издатель не известен".

Edited at 2013-03-13 12:16 pm (UTC)

ti_ua March 13th, 2013
О, я пару дней назад снес какой-то хром у матери, который почему то был в документах и подписан был по-моему меилру.

nponeccop March 13th, 2013
Хром всегда "в документах" живет

ti_ua March 13th, 2013
Отнюдь:
"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"
И назывался он "Интернет".

loginex March 13th, 2013
Да давно известно, что мэилру - серая лошадка. У нее есть почта, а так же все остальное, что приносит просто огромные доходы весьма грязным способом. Контекстная реклама, bitch!

Макс Миронов March 14th, 2013
У мэилру неплохой сайт hh.ru есть - так что не все еще потеряно )

mailware!

_winnie March 13th, 2013
если уж Mail.ru можно писать mailware то почему

  • 1
?

Log in

No account? Create an account