Официальное заявление "Лаборатории Касперского" по Vault8

Официальное заявление "Лаборатории Касперского" по Vault8

Пресс-служба "Лаборатории Касперского"

Дополнительные разъяснения по публикации на WikiLeaks:

Мы изучили заявления, которые были опубликованы 9 ноября в отчете Vault 8, и можем подтвердить, что сертификаты, имитирующие наши, являются ненастоящими.

Начнем с понятия Центр сертификации (ЦС). Это сторона (организация), в отношении которой есть абсолютное доверие. Очень грубо, она имеет два ключа – публичный и приватный. Приватный надежно спрятан, публичный – доступен всем. Для авторитетных ЦС (а Thawte, указанный в публикации WikiLeaks, – авторитетный) публичный ключ также предустановлен в большинстве ОС.

Есть понятие получателя сертификата. Что делает ЦС? По сути, подтверждает своим авторитетом что вот этот сертификат, выданный этим ЦС получателю сертификата (и об этом информация записана в сертификате), выдан именно этому лицу, а не какому-либо еще лицу, выдающему себя за получателя сертификата.

ЦС создает сертификат при помощи своего приватного ключа, а все остальные могут его проверить при помощи публичного ключа центра сертификации. Если в такой сертификат внесены изменения – проверка не пройдет.

Что, по информации WikiLeaks, происходило? Публичные сертификаты «Лаборатории Касперского» (они доступны всем, кто заходил на наши сайты) рассматривались в качестве образца – чтобы знать, как они выглядят. И только. Потом ситуация развивалась по двум путям:

1.     Взяли настоящий сертификат, выданный Thawte кому-то, и, вместо «кого-то» написали Kaspersky Laboratory – после этого такой сертификат проверку при помощи публичного ключа ЦС, конечно, не пройдет.

2.     Создали свой ЦС, похожий на Thawte, и от имени его выпустили поддельный сертификат Kaspersky Laboratory. Разумеется, проверку с помощью публичного ключа Thawte такой сертификат не пройдет.

Все это было сделано с целью замаскировать трафик, идущий от зараженного вредоносным ПО компьютера к серверам управления, под трафик к серверам «Лаборатории Касперского». Никакой проверки такая маскировка не выдержит.

Все это никак не затрагивает наши продукты и наших пользователей, а также никак не нарушает безопасность передачи данных нашими продуктами.

Сервисы и клиенты «Лаборатории Касперского» находятся в безопасности, продукты компании не были затронуты, и нет никаких данных о том, что сам вирус был замаскирован под наши продукты.

К тому же, подделка сертификатов и попытки кражи настоящих цифровых сертификатов – распространенные приемы не только для кибершпионажа, но и в целом в среде киберпреступников.