McAfee przez pomyłkę odwołał swój certyfikat

dodał 15 lutego 2013 o 10:58 w kategorii Wpadki  z tagami:
McAfee przez pomyłkę odwołał swój certyfikat

Podpis cyfrowy to ważny element bezpieczeństwa komputerowego. Dzięki infrastrukturze klucza publicznego można potwierdzić, czy dana aplikacja faktycznie pochodzi od jej domniemanego producenta. Co dzieje się jednak, kiedy klucz zostanie odwołany?

Lista unieważnionych certyfikatów, prowadzona przez Apple, wskazuje certyfikat McAfee jako unieważniony 6. lutego z powodu ujawnienia jego klucza. Nie był to jednak skutek incydentu bezpieczeństwa – po prostu jeden z administratorów w firmie McAfee nie miał dobrego dnia. W trakcie wymiany sprzętu używanego do rozwoju oprogramowania, przez pomyłkę, zamiast odwołać swój osobisty klucz, odwołał klucz firmowy, służący do podpisywania programów autorstwa McAfee, przeznaczonych dla platformy OS X. Na skutek tego błędu próba instalacji lub aktualizacji programu antywirusowego McAfee wywoła ostrzeżenie o nieważnym certyfikacie.

Od unieważnienia certyfikatu minęło już 9 dni. Czemu zatem McAfee do tej pory nie wypuścił nowych plików, podpisanych nowym kluczem? Po pierwsze, problem został odkryty dopiero 2 dni temu. Po drugie, oprócz wygenerowania nowego klucza oraz skompilowania i podpisania nowych plików, niezbędne są odpowiednie testy akceptacyjne oprogramowania. Teoretycznie wykorzystanie tych samych kodów źródłowych nie powinno wymagać ponownego testowania aplikacji, jednak praktyka pokazuje, że lepiej dmuchać na zimne. McAfee zatem testuje swojego antywirusa – a co mają zrobić klienci firmy?

Jeden z użytkowników poinformował redaktorów Ars Technica, że usłyszał od działu wsparcia McAfee, by chwilowo włączył opcję ignorowania nieważnych certyfikatów. Niestety, takie podejście rujnuje fundamenty systemu zaufania dla podpisu cyfrowego. Najpierw uczymy użytkowników, by nie ufali nieznanym wystawcom, a następnie mówimy im, żeby akceptowali część z niebezpiecznych certyfikatów. Nie prowadzi to do niczego dobrego. Jedynym rozwiązaniem pozostaje oczekiwanie na zaktualizowane wersje antywirusa.

Wpadka McAfee, choć niefortunna, nie jest jednak tak kompromitująca jak przypadki firm Bit9 czy Adobe, które musiały unieważnić swoje klucze po tym, jak skorzystali z nich przestępcy.