Certyfikaty cyfrowe – ufaj, ale sprawdzaj

29 stycznia, 2015

Z danych Kaspersky Lab wynika, że liczba niezaufanych certyfikatów wykorzystywanych do podpisywania szkodliwego oprogramowania zwiększyła się dwukrotnie w ciągu ubiegłego roku i wynosi ponad 6 000. Wniosek jest jeden – pliki podpisane cyfrowo należy dodatkowo kontrolować przed uruchomieniem.

„Twórcy szkodliwego oprogramowania kradną oraz imitują legalne sygnatury, aby przekonać użytkowników oraz systemy operacyjne, że dany plik jest bezpieczny. Kaspersky Lab od wielu lat obserwuje wykorzystywanie tej techniki przez cyberprzestępców odpowiedzialnych za zaawansowane długotrwałe zagrożenia” – powiedział Andriej Ladikow, szef działu badań strategicznych, Kaspersky Lab.   

Biorąc pod uwagę wzrastającą liczbę zagrożeń związanych z podpisywaniem szkodliwych plików, eksperci z Kaspersky Lab zalecają użytkownikom, a w szczególności administratorom sieci firmowych, aby nie zezwalali na uruchamianie plików wyłącznie na podstawie podpisów.   
    
Niesławny robak Stuxnet wykorzystywał certyfikaty skradzione z firm Realtek oraz JMicron. Gang Winnti kradł certyfikaty ze zhakowanych firm zajmujących się tworzeniem gier oraz wykorzystywał je w nowych atakach. Co więcej, znane są przykłady wykorzystania tych samych certyfikatów w atakach przeprowadzanych przez inne grupy cyberprzestępców, co sugeruje istnienie dobrze prosperującego czarnego rynku. Grupa stojąca za kampanią cyberszpiegowską Darkhotel zwykle podpisywała cyfrowo swoje moduły i najprawdopodobniej posiadała dostęp do sekretnych kluczy niezbędnych do generowania fałszywych certyfikatów.

Aby zmniejszyć ryzyko uruchomienia na komputerze nowego szkodliwego oprogramowania, które posiada – według systemu operacyjnego – ważny certyfikat cyfrowy, niezbędne jest zapewnienie zwiększonej kontroli nad podpisanymi plikami przy użyciu skutecznej ochrony antywirusowej oraz przestrzeganie podstawowych zasad bezpieczeństwa:      

1. Wprowadź zakaz uruchamiania programów, które są podpisane cyfrowo przez nieznanego twórcę oprogramowania: większość skradzionych certyfikatów pochodzi od drobnych twórców.
2. Nie instaluj certyfikatów pochodzących z nieznanych centrów certyfikacji.
3. Nie zezwalaj na uruchomienie programów podpisanych przez zaufane certyfikaty wyłącznie na podstawie nazwy certyfikatu. Sprawdź inne atrybuty, takie jak numer seryjny oraz cyfrowy odcisk palca certyfikatu.
4. Zainstaluj aktualizację Microsoft MS13-098 usuwającą błąd, który powala na zapisanie dodatkowych danych (także niebezpiecznych) w plikach podpisanych cyfrowo.
5. Korzystaj z rozwiązania antywirusowego, które posiada własną bazę zaufanych i niezaufanych certyfikatów.

źródło: Kaspersky Lab

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]