Шокирующая утечка: как Qihoo 360 раскрыла приватный ключ SSL и что это значит для вас

Вступление

В мире кибербезопасности каждый день появляются новые угрозы, но иногда самые громкие новости исходят от компаний, которые сами обещают защищать пользователей. Так случилось с китайским гигантом Qihoo 360 – крупнейшим поставщиком решений по защите информации в Китае, у которого более 460 млн активных пользователей. Недавно в публичном установщике их нового продукта «360 Security Lobster», использующего искусственный интеллект, был найден приватный ключ SSL для домена *.myclaw.360.cn. Утечка такого ключа ставит под вопрос не только безопасность конкретного продукта, но и доверие к всей инфраструктуре сертификации, управляемой самой компанией.

В конце вступления – небольшое японское хокку, отражающее суть произошедшего:

Тень утечки —
ключи в открытом поле,
тишина гаснет.

Пересказ Reddit‑поста своими словами

Пользователь Reddit, опубликовавший материал, сообщил, что в публичном установщике нового AI‑продукта «360 Security Lobster» обнаружен приватный ключ SSL, предназначенный для всех поддоменов myclaw.360.cn. Ключ находится в архиве /namiclaw/components/OpenClaw/openclaw.7z/credentials. Сертификат, к которому относится ключ, был выдан дочерней компанией Qihoo 360 – WoTrus CA Limited. Эта организация ранее известна под именем WoSign, которой в 2016 году браузеры Chrome, Firefox и Safari отказали в доверии из‑за подделки дат сертификатов SHA‑1.

Ключ действителен до апреля 2027 года и покрывает любой поддомен myclaw.360.cn. Сравнение MD5‑отпечатков подтверждает, что найденный файл действительно является приватным ключом, а не лишь публичным сертификатом. На момент публикации компания не сделала официального заявления и не отозвала сертификат, хотя шесть дней назад её глава Чжоу Хунъи обещал, что продукт «не будет утекать пароли и другую личную информацию».

Полный разбор с техническими деталями, историей владения CA и хронологией событий доступен по ссылке: https://blog.barrack.ai/qihoo-360-ssl-key-leak-wotrus-ca-fraud/.

Суть проблемы, хакерский подход и основные тенденции

Утечка приватного ключа SSL – это один из самых критических видов компромисса. Приватный ключ позволяет:

• Подписывать произвольный трафик, выдавая его за легитимный сервер.
• Создавать поддельные сертификаты, которые будут приниматься клиентскими приложениями без предупреждений.
• Проводить атаки «человек посередине», перехватывая и расшифровывая зашифрованные соединения.

Хакерский подход к использованию такой утечки обычно включает:

1. Скачивание публичного установщика и поиск в нём файлов с расширениями .key, .pem или .pfx.
2. Вычисление хеш‑сумм (MD5, SHA‑256) и сравнение их с известными отпечатками сертификатов.
3. Создание собственного сертификата, подписанного найденным приватным ключом, и внедрение его в целевые сервисы.

Тенденция, наблюдаемая в последние годы, – рост количества инцидентов, связанных с неправильным управлением криптографическими материалами внутри компаний, даже тех, кто позиционирует себя как «защитники» киберпространства. Часто причиной служат:

• Отсутствие строгих политик доступа к ключам.
• Неправильное включение ключей в дистрибутивы программ.
• Недостаточный аудит процессов выпуска.

Детальный разбор проблемы с разных сторон

Техническая сторона

Приватный ключ находился в архиве openclaw.7z, что указывает на то, что разработчики включили его в состав продукта «для удобства», вероятно, для автоматической генерации сертификатов на стороне клиента. Однако такой подход нарушает базовый принцип «ключи никогда не должны покидать защищённую среду». При включении ключа в публичный пакет любой пользователь может извлечь его, а злоумышленник – использовать для подделки сертификатов.

Сертификат, выданный WoTrus CA Limited, имеет срок действия до 2027 года, что делает потенциальный ущерб длительным. Кроме того, WoTrus – переименованная WoSign, которой уже был отказ в доверии из‑за манипуляций с датами сертификатов. Это усиливает опасения, что компания может повторять прежние ошибки.

Юридическая и репутационная сторона

Отсутствие официального заявления от Qihoo 360 усиливает недоверие со стороны клиентов и партнёров. В Китае, где регулирование кибербезопасности ужесточается, такие инциденты могут привести к штрафам и ограничениям. Кроме того, обещание главы компании о «неутечке паролей» выглядит пустым, когда уже раскрыт один из самых ценных криптографических артефактов.

Экономическая сторона

Qihoo 360 обслуживает более 460 млн пользователей, а их продукты часто предустанавливаются на смартфоны и ноутбуки. Утечка может привести к оттоку пользователей, падению стоимости акций и потере доверия к другим продуктам компании, включая антивирусы и VPN‑сервисы.

Перспектива индустрии сертификации

Случай поднимает вопрос о надёжности частных центров сертификации (CA), особенно тех, которые находятся под контролем крупных технологических компаний. Браузеры уже ввели строгие требования к CA, но в закрытых экосистемах (например, в китайском интернете) такие проверки могут быть менее строгими.

Практические примеры и кейсы

Для иллюстрации последствий рассмотрим два гипотетических сценария.

Сценарий 1: Атака «человек посередине» в корпоративной сети

Злоумышленник, получив приватный ключ, создаёт поддельный сертификат для login.myclaw.360.cn. Пользователь, подключаясь к корпоративному VPN, получает предупреждение о «незащищённом соединении», но из‑за доверия к сертификату браузер принимает соединение без вопросов. Злоумышленник получает доступ к учетным данным сотрудников.

Сценарий 2: Фишинговая кампания с поддельным сайтом

С помощью украденного ключа создаётся поддельный сайт support.myclaw.360.cn, полностью имитирующий оригинал. Пользователи, получив письмо с ссылкой, вводят свои пароли, полагая, что соединение защищено. Данные сразу же попадают в руки атакующего.

Экспертные мнения из комментариев

«Wow. Just…wow. It’s bad enough to have this happen but on a security product is just the icing on the cake»

— Secret_Account07

Пользователь подчёркивает, что ошибка особенно позорна, учитывая, что продукт позиционируется как средство защиты.

«Is all this "claw" shit just coming from OpenClaw, or was there some AI-related "claw" stuff that predated that? Also it's always interesting to see these massive companies that no one in the west has ever heard of.»

— Frothyleet

Здесь задаются вопросы о происхождении названия «claw» и отмечается, что такие крупные, но малоизвестные на Западе компании часто оказываются в центре скандалов.

«I remember following the CA/B forum when all the WoSign drama was going down. That guy lied any way he could and always did the bare minimum to try to appease the browser community. I couldn't believe how trusting the CA community was, even I could tell this guy had no idea what security even meant.»

— ifpfi

Комментарий напоминает о прошлой истории WoSign и указывает на недостаточную бдительность сообщества сертификации.

«Ahaha, nowadays not only the AI himself but even the AI installer leaks vital security info. Great job!»

— Walbabyesser

Ироничный взгляд на то, что даже установщик, управляемый ИИ, может стать источником утечки.

«Ooh a self-own.»

— TheJesusGuy

Краткое замечание о том, что компания сама подставила себя в неловкое положение.

Возможные решения и рекомендации

Для разработчиков

• Изоляция ключей. Приватные ключи должны храниться в защищённых хранилищах (HSM) и никогда не включаться в дистрибутивы.
• Автоматический аудит. Внедрить CI/CD‑проверки, сканирующие артефакты сборки на наличие файлов с расширениями .key, .pem, .pfx.
• Ротация сертификатов. При обнаружении компромисса немедленно отозвать сертификат и выпустить новый.
• Прозрачность. Публично информировать пользователей о проблеме и мерах её устранения.

Для администраторов и конечных пользователей

• Проверять сертификаты серверов с помощью инструментов openssl или встроенных функций ОС.
• Отслеживать отозванные сертификаты через CRL/OCSP.
• Не доверять сертификатам, выданным малоизвестными CA без достаточной истории.

Заключение и прогноз развития

Утечка приватного ключа SSL от Qihoo 360 – яркий пример того, как даже компании, заявляющие о своей экспертизе в кибербезопасности, могут допускать фундаментальные ошибки. В ближайшие годы ожидается усиление требований к управлению криптографическими материалами, а также рост автоматизированных систем аудита, способных обнаруживать подобные уязвимости до выхода продукта в свет. Тем не менее, пока индустрия будет полагаться на саморегуляцию, такие инциденты будут продолжать подрывать доверие пользователей.

Для тех, кто хочет самостоятельно проверять свои пакеты на наличие приватных ключей, ниже представлен практический пример скрипта на Python.

Практический пример (Python)

import os
import hashlib

def compute_md5(file_path):
    """Вычисляет MD5‑хеш файла."""
    hash_md5 = hashlib.md5()
    with open(file_path, "rb") as f:
        for chunk in iter(lambda: f.read(4096), b""):
            hash_md5.update(chunk)
    return hash_md5.hexdigest()

def find_private_keys(root_dir):
    """Рекурсивно ищет файлы, типичные для приватных ключей."""
    key_extensions = (".key", ".pem", ".pfx")
    found = []
    for dirpath, _, filenames in os.walk(root_dir):
        for name in filenames:
            if name.lower().endswith(key_extensions):
                full_path = os.path.join(dirpath, name)
                md5 = compute_md5(full_path)
                found.append((full_path, md5))
    return found

# Пример использования: сканируем текущую директорию
if __name__ == "__main__":
    directory = "."  # можно заменить на путь к распакованному установщику
    keys = find_private_keys(directory)
    if keys:
        print("Найдены потенциальные приватные ключи:")
        for path, md5 in keys:
            print(f"{path} — MD5: {md5}")
    else:
        print("Приватные ключи не обнаружены.")

Скрипт рекурсивно просматривает указанную директорию, ищет файлы с типичными расширениями приватных ключей и выводит их пути вместе с MD5‑отпечатком. Это простой, но эффективный способ быстро проверить, не попал ли ключ в публичный пакет.