被破坏的代码签名证书让黑客能够伪造数字签名和欺骗浏览器。
黑客正在使用被破坏的代码签名证书来对恶意软件进行签名。这反过来能够欺骗反病毒程序,让它们认为恶意软件来自一个可靠来源。反病毒程序并没有将软件标记为不可信或恶意,然后一个用户下载了它,突然,他的电脑就被感染了。
这是一个出色的游戏,但也是一个危险的游戏。
什么是代码签名证书?
代码签名证书是一个数字证书,能够让个人开发者或企业对一个脚本或可执行文件进行数字签名。数字签名有两个目的。首先,它允许终端用户验证发布者的身份。其次,它允许终端用户验证软件是他们想要的,并没有被篡改。
诸如谷歌安全浏览和微软SmartScreen等的网络过滤器,以及反病毒程序都要求对软件进行签名,否则他们就会把下载的东西标记为不可信和存在潜在安全隐患。这一警告足以使大多数终端用户望而却步。
代码签名证书遭到破坏时,会发生什么情况?
代码签名证书遭到破坏时,就可以用来它来对恶意软件和愚蠢的反病毒程序等的恶意软件进行签名。因为受信任的发行者拥有一个数字签名,所以程序认为软件肯定也是可靠的。因此,系统就不会发出警告,终端用户就会下载恶意软件。
分析了赛门铁克在全球1100万台主机上收集到的现场数据后,马里兰大学的安全研究人员发现有72个证书遭到了破坏。其中一个研究人员告诉El Reg :“这些例子中的大多数之前都并不为人所知,并且在受到这72个证书背书的恶意软件样本中,有三分之二仍旧有效,签名审查也并没有产生任何错误。在Stuxnet之前,证书遭到破坏似乎已经十分普遍,并且并不局限于民族国家开发的高级威胁。我们也发现有27个证书颁发给了伪装成合法公司的恶意分子,他们不开发软件,也不需要代码签名证书,如向一个韩国客户交付服务。这一漏洞对34个反病毒产品造成了不同程度的影响,同时利用这一漏洞的恶意软件样本也普遍存在。”
在一些案例中,恶意软件制作者甚至都不需要拥有一个代码签名证书。他们只需要复制一个数字签名(或代码验证签名)到软件中,这样就足以创建一个无效的签名,从而达到欺骗反病毒程序的目的。
网络安全研究院和Venafi近来的一项研究发现,代码签名证书在暗网上的售价大约为1200美元。
Venafi首席安全分析师表示:“我们的研究表明,代码签名证书对于网络犯罪分子来说是十分有利可图的目标。利用窃取的代码签名证书,企业要想检测恶意软件几乎是不可能的。此外,在代码签名证书的价值开始降低以前,它们可以被多次出售,这从而使得黑客和暗网商人可以赚取大量金钱。所有这些都刺激了对被盗代码签名证书的需求。”
为了解决这一问题,可以采取何种措施?
这一问题需要从多个层次上进行处理。首先,CA需要加强验证审查,以避免向并没有开发软件的实体颁发代码签名证书。一个可靠的CA应当能够快速辨别出申请证书的公司是否可疑,而他们申请该证书是为了交付服务,如向一个韩国人提供服务——就像前面给出的例子一样。
此外,反程序公司也需要加强安全防范。特别地,一个无效的签名应当被认为是没有签名。滥用的签名足以骗取程序信任,在用户下载前不发出警告,这一点是十分可怕的。
最后,对于其证书已经遭到破坏的公司来说,大多数案例都可以归结于对密钥的更好的管理。如果你丢失了那个密钥,你的证书就一文不值了。一个解决办法是将密钥存储在物理硬件令牌上,而不是网络上。这使得窃取密钥变得更加困难,因为它必须从实地拿取。在这种情况下,这是一个巨大优势。或者是,你也可以购买一个扩展验证(EV)代码签名证书。EV代码签名证书能够代表颁发机构CA进行更广泛的审查,并且它的密钥也是存储在物理硬件令牌上的。
关于更多代码签名证书服务,请参见https://www.bisend.cn/code-signing-ssl-certificate
申请创业报道,分享创业好点子。点击此处,共同探讨创业新机遇!