Počet nedůvěryhodných certifikátů sloužících k podpisu škodlivého softwaru se za poslední rok zdvojnásobil. Antivirová databáze Kaspersky Lab jich obsahovala na konci roku 2014 více než šest tisíc. Analytici společnosti proto radí systémovým administrátorům a uživatelům, aby slepě nedůvěřovali digitálním podpisům a nespouštěli podepsané soubory čistě jen na základě síly jejich podpisu. (TZ)
Autoři virů kradou a imitují validní podpisy, aby uživatele a antivirová řešení obelhali v tom, že je soubor bezpečný. Analytici tuto techniku sledují již několik let zejména u představitelů APT (advanced persistant threat).
Nechvalně známý Stuxnet využíval certifikáty ukradené z Realteku a JMicronu. Gang Winnti odcizil certifikáty z napadených herních společností a využil je pro nové útoky. Existují navíc i příklady stejných certifikátů použitých pro spuštění útoků dalších skupin čínských hackerů, což naznačuje, že se s nimi obchoduje na černém trhu. Skupina stojící za Darkhotelem obvykle podepisovala své backdoory digitálními certifikáty a zřejmě měla přístup k tajným klíčům potřebným k tvorbě falešných certifikátů.
Ke snížení rizika malwaru, který virové skenery nepoznají a počítač si myslí, že je podpořen validním digitálním certifikátem, je nezbytné zachovávat zvýšenou kontrolu nad podepsanými soubory s odpovídajícím antivirem a dodržovat bezpečnostní pravidla:
- Zaveďte zákaz spuštění programů podepsaných neznámým prodejcem softwaru. Většina ukradených certifikátů pochází od drobných vývojářů.
- Když narazíte na certifikáty z neznámých certifikačních center, neinstalujte je do úložiště.
- Nepovolte spuštění programů podepsaných důvěryhodnými certifikáty jen na základě jejich jména. Zkontrolujte další atributy, jako je sériové číslo a otisk (hash sum).
- Instalujte aktualizaci Microsoft MS13-098 – ta eliminuje chybu, která může přidat dodatečná data v podepsaném souboru bez narušení podpisu.
- Použijte antivirové řešení s vlastní databází důvěryhodných a nedůvěryhodných certifikátů.
Více se dozvíte na webu Securelist.com.
O společnosti Kaspersky Lab
Kaspersky Lab je největším soukromě vlastněným poskytovatelem koncových bezpečnostních řešení na světě. Společnost se řadí mezi čtyři největší prodejce bezpečnostních řešení pro koncové uživatele.* Již více než 17 let patří Kaspersky Lab mezi přední inovátory v oblasti informačních technologií a poskytuje efektivní digitální bezpečnostní řešení velkým podnikům, malým a středním firmám i domácím uživatelům. Aktuálně společnost registrovaná ve Velké Británii působí v bezmála 200 zemích a oblastech a poskytuje ochranu více než 400 milionům uživatelů. Více informací o společnosti Kaspersky Lab najdete na www.kaspersky.cz.
* Společnost zařadil na čtvrté místo žebříček „IDC Worldwide Endpoint Security Revenue by Vendor, 2013“. Žebříček vyšel ve zprávě „IDC Worldwide Endpoint Security 2014-2018 Forecast and 2013 Vendor Shares (IDC #250210, August 2014)“ a řadil poskytovatele software podle zisku z prodeje koncových bezpečnostních řešení v roce 2013.