Aan die certificaten is niets geheim, ze worden met elk digitaal ondertekend bestand gedistribueerd.

Het probleem is dat de aanvallers één of meer private keys in handen hebben gekregen, horend bij evenzovele digitale (X.509) certificaten. Om precies te zijn, elke private key is gekoppeld aan 1 public key in 1 certificaat. Je hebt de private key nodig om digitaal te signeren.

Dat is mooi, maar helaas zijn certificate revocation checks niet erg betrouwbaar. Google vindt ze bijvoorbeeld onzin, daarom checkt Android daar helemaal niet op. Nu is het wel zo dat Android apps niet met commercieel uitgegeven certificaten worden gesigneerd, dus de aanvallers hebben -voor Android- niet zoveel aan deze Sony sleutels. Niet iedereen weet dat, waardoor de mening van Google -m.i. onterecht- ook op andere markten uitstraalt. Met alle risico's van dien.

[
Google heeft een ander protectiemechanisme [Google Play Store]. Op Chrome worden (SSL)-cert checks gewoon uitgevoerd.
Windows doet wel aan cert-checks, en daar richt [deze] malware zich op, dat is belangrijker.
Om nou te zeggen dat certificate revocation checks niet betrouwbaar zijn omdat Google het niet doet vindt ik een rare conclusie en zelfs een drogredenering.

Als de schrijver van dit artikel wat research had gedaan, dan had hij/zij geweten dat dit een joke was tussen researchers.
bron: http://www.csoonline.com/article/2857659/disaster-recovery/destover-variant-signed-with-stolen-sony-certificate-was-part-of-a-joke.html

Niet "gewoon". Zie bijvoorbeeld https://scotthelme.co.uk/certificate-revocation-google-chrome/.

Zie https://www.imperialviolet.org/2014/04/19/revchecking.html voor de achtergronden hierbij.

Die checks zijn, by default, fail-open. Dat wil zeggen dat als een CRL niet gedownload kan worden, of een OCSP responder niet bereikbaar is, ervan uitgegaan wordt dat het certificaat niet is ingetrokken.

Ik draai al jaren met Firefox zo ingesteld dat OCSP checks fail-safe zijn (een foutmelding als OCSP niet lukt). Ik kan je verzekeren dat dit regelmatig tot foutmeldingen leidt. En niet van de minste CSP's.

Ik zou graag willen dat je gelijk had.

Exact omdat Google OCSP checks in Chrome niet belangrijk vindt, is in de user interface van de Firefox instellingen de mogelijkheid om OCSP-checks mandatory (verplicht) te maken, verwijderd.

Uit https://bugzilla.mozilla.org/show_bug.cgi?id=1034360#c6:
Voor aanvullende info over Firefox zie mijn bijdrage in https://www.security.nl/posting/410482/Mozilla+dicht+9+lekken+in+Firefox+34+en+schakelt+SSLv3+uit?channel=rss#posting410509.

'Geen' probleem, in de Firefox ESR 31.3.0 versie is zij nog wel aanwezig als zichtbare instelling.
Wat echt jammer is is dat Firefox het niet standaard geactiveerd heeft, dan doet het er ook niet meer zo toe of die instelling wel of niet zichtbaar is.

Daarnaast is het zo dat als je als gebruiker die instelling had geactiveerd, dit in je Firefox profiel is opgeslagen en onveranderd blijft met de nieuwe Firefox versie waarin deze instelling niet meer zichtbaar is.

Kortom, het verwijderen van de functie uit de zichtbare voorkeuren is vooral jammer voor nieuwe gebruikers van de standaard Firefox versie en diegenen die de functie nog niet geactiveerd hadden, zolang Firefox het niet default activeert. Misschien komt dat ooit nog.

Joke of niet: een certificaat wordt niet voor niets ingetrokken.

Inderdaad. Er vanuit gaande dat het hier niet gaat om een Sony medewerker (met legitieme toegang tot de private key) die deze "grap" uithaalde, moet een aanvaller in het bezit zijn van de private key (of toegang hebben gehad tot de code signing server - die vaak deel uitmaakt van een build-straat). Dat is een goede reden om alle certificaten, met de public key horende bij de gestolen private key, in te trekken.

Zie ook mijn bijdrage in https://isc.sans.edu/forums/diary/Malware+Signed+With+Valid+SONY+Certificate+Update+This+was+a+Joke/19049/1#32697.

Aanvulling 07:20: sorry, ik had de artikelen niet goed gelezen. Ik maak er nu uit op dat zich onder de gelekte documenten ook een versleuteld bestand met private key voor code-signing bevond. Een onderzoeker, die anoniem wil blijven, heeft ontdekt wat het wachtwoord was van het versleutelde bestand (naar verluidt de bestandsnaam zelf) en heeft toegang gekregen tot de private key. Daarmee heeft de onderzoeker de Destover malware gesigneerd en geupload naar Virustotal, vermoedelijk om "aan de wereld" kenbaar te maken dat de betreffende private key is gelekt.

Dat is natuurlijk geen "grap" (in de zin van humor), maar verstandig als je als onderzoeker ergens voor wilt waarschuwen terwijl je tegelijkertijd anoniem wilt blijven.

Nb. als de onderzoeker kwaadwillend was geweest, had hij die private key op de zwarte markt verkocht. Aan de andere kant, vroeger of later is er altijd wel weer iemand anders die zo'n private key ontdekt en daar kwaad mee doet.

In elk geval is het helemaal terecht dat een certificaat is ingetrokken, want er ligt een private key "op straat".