Egyre több vírus terjed digitális aláírással

Egyre több olyan kártékony program terjed, amelyek érvényes digitális aláírással rendelkeznek. Ez pedig egyes védelmi mechanizmusok átgondolását is szükségessé teszi.
 

A szoftverek megbízhatóságának és integritásának ellenőrzésére már régóta bevált technikának számít a digitális aláírások alkalmazása. A megfelelően aláírt fájlok, kódok ugyanis egy nagyobb biztonsági szintet képviselnek, mivel kizárható a manipulációjuk és a készítőik is visszakövethetők. Sajnos azonban az utóbbi időben mindez már nem ennyire egyértelmű, mivel a vírusírók is felismerték a digitális aláírásban rejlő lehetőségeket.
 
Kezdetben az volt a jellemző, hogy digitális aláírást a komolyabb, elsősorban célzott támadásokban szerepet kapó malware-ek kaptak. Mostanában azonban már jóval több ilyen - megbízhatónak látszó - károkozóval lehet találkozni. Ezt támasztja alá a Chronicle biztonsági cég legutóbbi tanulmánya is, amelynek készítése során a kutatók a VirusTotal adatbázisát vették alaposabban szemügyre annak érdekében, hogy az aláírt kártevőket kiszűrjék.
 
Több ezer aláírt vírus
 
A vizsgálatok során több mint 3.800 olyan malware került elő, amelyek rendelkeztek digitális aláírással. Ráadásul ez mindössze egy év "termése", tehát az elmúlt egy évben VirusTotalra feltöltött kártevőkre vonatkozik.
 
A kutatók arra is kíváncsiak voltak, hogy az aláírásokhoz tartozó tanúsítványok mely hitelesítésszolgáltatóktól (CA) származtak. Ezek toplistája a következőképpen alakult:

• Sectigo
• Thawte
• VeriSign
• Symantec
• DigiCert
• GlobalSign
• WoSign
• Go Daddy

 
A szakembereket nem igazán lepte meg a Sectigo (korábban Comodo) első helye, hiszen világszinten ez a legnagyobb, kereskedelmi célú hitelesítésszolgáltató. A VirusTotalon megközelítőleg 2000 olyan kártékony program volt feltárható, amelyek Sectigo-hoz köthető tanúsítványokkal rendelkeztek.
 
A harc már folyik
 
A Chronicle szerint megfigyelhető, hogy a hitelesítésszolgáltatók próbálják felvenni a kesztyűt a kiberbűnözéssel, és a rendelkezésükre álló lehetőségek figyelembevételével gátat szabni az aláírt vírusok terjedésének. Például a Sectigo az utóbbi időben 348 tanúsítványt vont vissza kártékony program terjesztésére hivatkozva.
 
A biztonsági szakemberek azt javasolják, hogy a jövőben szigorúbban kellene ellenőrizni a tanúsítványok kibocsátásakor az igénylő kilétét. Nyilván ez nem minden esetben egyszerű feladat, de e nélkül nehéz lesz tartani a lépést a kiberbűnözéssel. Ráadásul nemcsak a hitelesítésszolgáltatóknál kellene megerősíteni az ellenőrzéseket, hanem azok viszonteladó partnereinél is.
 
A legfontosabb tanulság azonban az, hogy manapság már nem szabad vakon megbízni az aláírt kódokban sem. Ezért a védelmi megoldásokat olyan módon kell konfigurálni, hogy a digitális aláírások ellenőrzése csak egy legyen a sok kontroll közül.