Norton Antivirus har det seneste årti stået for mig som værende ligeså irriterende som at have malware inde. Det kommer præinstalleret, og i visse tilfælde var 2007 og tidligere direkte svært at fjerne. Det stoppede heldigvis fra 2010 og frem, men jeg kommer ikke til at stole på deres produkter foreløbigt.

En sag som denne hjælper dem bestemt ikke - så velkommen til samme kasse som Kaspersky (de lavede malware for at snyde konkurrenterne og lagde falske positiver op i et fælles advarselssystem) og Lenovo (der via rootkit sniger malware ind på deres laptops, samt superfish) --- ting jeg direkte frabefaler folk at købe.

Med venlig hilsen
Jakob Dam | Administrator

#1 jakobdam

Jeg tror lige du skal læse lidt op på din SSL historie ;)

Når man i denne sammenhæng taler om Symantec og SSL har det formodentligt nok ikke noget med Symantec "AKA Norton" Antivirus. Men nok snare Symantec SSL tidligere VeriSign. Ja, DEM VeriSign, som Symantec købte for et par år siden.

Så det har absolut intet at gøre med samlingning af hverken Kaspersky eller Lenovo, eller pre-installeret certifakter.

Faktisk vil jeg våge at påstå at sagen er ENDNU værre end det ;)

Hvis du læser artiklen igen, så er Symantec's forsvar at det er "internt udstedte certifakter fra deres CA" til "test?", som øjensynligt er blevet leaked.

#2 >

Jeg er udmærket klar over hvordan underdivisionerne fungerer, og at det "ene onde" ikke har at gøre med andre afdelingers færden. Men beslutningerne om at gøre ting på en given måde, stammer fra en fælles investorgruppe og tildels ledelse. Eller man kunne kalde det en strømlinet politik overfor kunder, sikkerhed osv.

Jeg giver desuden ikke fem potter pis for Symantecs forsvar, idet:

What's worse is that these certificates were issued with an "extended validation" label, which means that Symantec had supposedly carried out extra checks on the client that requested the certificates to validate its real identity

Symantec har så fyret de 3 medarbejdere de fandt ansvarlige, men siden har de ikke foretaget sig noget.

Deres formulering af fyringerne er iøvrigt noget ....... "ond skurk"-agtig :D 

Despite their best intentions, this failure to follow policies has led to their termination after a thoughtful review process

.... Termination?? o_O

Med venlig hilsen
Jakob Dam | Administrator

#3

Er så enig at deres forsvar ikke er fem potter pis værd ;)

Kommenterede også mest fordi at du sammenligende med Lenovo og Kaspersky, og jeg syntes bare ikke dene sag har noget som helst lign. karakter, andet end at Symantec tilfædigvis også ejer en Antivirus afdeling.

Om det er en "fælles" strategi fra den øvre ledelse om at slække på sikkerhed, kan jeg på ingen måder blande mig i eller diskutere, da jeg ingen viden har om dette.

Jeg har dog lidt en slet skjult forhåbning, om at dette "selvfølgeligt" ikke er gennemsyrede i hele organisation, men en afdeling der har ageret selvstændigt.

Alt andet er kun ren spekulation, som jeg dog godt vil indrømme ikke ville overraske mig hvis det var sandt. Men so-far er det altså ren spekulation.

En CA der ikke har styr på deres signeringere......

Det er virkeligt DEFCON 6 i SSL-regi

Den egentlige historie er: Google valgte dialog inden de blokerede de certificater der ikke opføre sig ordentligt.