Digitális tanúsítványok léptek a vírusterjesztés szolgálatába

A kiberbűnözők egyre gyakrabban teljesen legális digitális tanúsítványok kíséretében terjesztik a nemkívánatos programjaikat, ami aggasztó biztonsági nehézségekhez vezet.
 

A vírusterjesztőktől már megszokhattuk, hogy folyamatosan megújuló és egyre kifinomultabb módszerekkel próbálják átjuttatni a szerzeményeiket a védelmi rendszereken. Ezért aztán a víruskeresők és egyéb biztonsági eszközök fejlesztőinek folyamatosan újabb technológiákat kell bevetniük annak érdekében, hogy lépést tudjanak tartani a vírusírókkal. Az egyik biztonsági megoldásuk közé tartozik, amikor az egyes kódokat, szoftvereket aszerint értékelik, hogy azokhoz tartozik-e érvényes digitális aláírás, illetve tanúsítvány. Ezeket a programokat ugyanis fehérlistára lehet tenni, és úgy tekinteni rájuk, mint ártalmatlan alkalmazásokra. Ez az elmélet azonban egyre inkább megdőlni látszik, és már messze nem garantál olyan fokú megbízhatóságot, mint évekkel ezelőtt.

David Marcus, a McAfee Labs kutatási igazgatója a vállalat éves konferenciáján megtartott előadásában arról számolt be, hogy a tanúsítványok használata egyre inkább elterjedté válik a kiberbűnözők körében. 2010-ben a kártékony kódok 1,3 százalékához, míg 2011-ben a 2,9 százalékához tartozott digitális aláírás. Ez az arány 2012-ben 6,6 százalékra emelkedett. Ennél rosszabb a helyzet a mobilos károkozók frontján. Míg 2010-ben tulajdonképpen nem is volt olyan androidos vírus, amelyhez digitális tanúsítvány tartozott volna, addig tavaly már 7 százalékra emelkedett e kártevők aránya. Napjainkban pedig már eléri a 24 százalékot. Vagyis egy olyan kockázati tényezőről van szó, amit nem lehet figyelmen kívül hagyni a védelmi megoldások tervezésekor, fejlesztésekor, illetve használatakor.

"A szóban forgó tanúsítványok valójában nem kártékonyak, hamisítottak vagy lopottak, hanem azokat egyszerűen visszaélésekre használják. Ez azt jelenti, hogy a támadók vásárolnak egy legális tanúsítványt tipikusan olyan cégektől, szervezetektől, mint amilyen például a Comodo, a Thawte vagy a VeriSign. Aztán e tanúsítvány segítségével aláírják a kártékony kódjaikat, hogy ilyen módon tévesszék meg a fehérlistákra, sandbox-ra épülő védelmi megoldásokat" - mondta David Marcus. Majd hozzátette, hogy manapság egy-egy tanúsítvány általában nemcsak egy kártékony program terjesztésében kap szerepet, hanem akár több száz ártalmas kódhoz is kapcsolódhat.

Mit lehet tenni?

A digitális tanúsítványokkal való visszaélések elleni védekezés sem tűnik egyszerű feladatnak. Az a megközelítés, miszerint - a szignatúraalapú víruskeresés mintájára - a biztonsági szoftverek adatbázisát folyamatosan frissítenék a nem megfelelő célokra használt tanúsítványok adataival, korántsem a legjobb ötlet. Ezzel ugyanis azt lehetne elérni, hogy a kiberbűnözők mind több digitális aláírást használnának, és akár vírusonként eltérő tanúsítványokat vetnének be, még ha ez számukra plusz kiadást is jelentene.

Az egyik sokkal inkább megfontolandó védelmi lehetőségnek a hírnévalapú technológiák tanúsítványokra történő kiterjesztése számít. A McAfee szakértője szerint ugyanis gyakran tapasztalják azt, hogy a kártékony programokhoz tartozó tanúsítványok kizárólag vírusterjesztést szolgálnak, és legális célokra egyáltalán nem használják azokat. Így ha lennének olyan reputációs szolgáltatások, amelyekkel lekérdezhetők lennének az egyes tanúsítványok "hírnevére" vonatkozó információk, akkor az megkönnyítené a védelmi eszközök dolgát.

James Wolfe, a Lockheed Martin vezető információbiztonsági mérnöke is megalapozottnak tartotta David Marcus aggodalmait. Wolfe szerint az ilyen jellegű vírusterjesztési és visszaélésekre lehetőséget adó technikák különösen ez év eleje óta kerülnek mind gyakrabban felszínre. A szakember úgy látja, hogy a tanúsítványok ilyen módon történő bevetése fejlett, perzisztens fenyegetésként (APT-ként) vagy azok részeként értékelhető, ezért hathatós védelmi intézkedésekre lenne szükség.