Hlavní navigace

Podepsaný škodlivý kód je na vzestupu

Sdílet

Jan Fikar 24. 5. 2019
Notebook malware

Bezpečnostní společnost Chronicle udělala výzkum na vzorcích škodlivého kódu poslaného v průběhu jednoho roku  na službu Virustotal.net a našla 3 815 digitálně podepsaných škodlivých vzorků. Výzkum se týkal jen spustitelných PEsouborů pro Windows.

Mezi zneužitými CA byly firmy Sectigo, Thawte, VeriSign, Symantec, DigiCert, GlobalSign, WoSign, Go Daddy, WoTrus, GDCA, Certum, E-Tugra a  Entrust. Nejvíce zneužívanou CA je Sectigo (dříve Comodo) s téměř 1 800 podepsanými vzorky.

CA samozřejmě mohou zneplatnit falešně podepsané certifikáty. Nicméně celkové procento zneplatnění k 8. květnu bylo jen 21 %.

(zdroj: bleepingcomputer)


Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.
  • 24. 5. 2019 15:39

    Petr Komárek

    Velice zajímavý je ten odkaz potom na seznam těch certifikátů na githubu.
    Neobhajuji Comodo, ale z uvedeného vzorku je třeba v seznamu 694x podepsáno certifikátem pro LEMONADE EVENTS LIMITED. Mohli si tedy dát trošku práce a v kontingenční tabulce udělat opravdové počty certifikátů :)

    Například 16 vzorků podepsáno také firmou DELL TRADING LIMITED která vznikla Incorporated on 31 March 2018
    a nyní má status Dissolved / Dissolved on 14 May 2019. Toto je bohužel "vlastnost" všech certifikátů.

    Je tam i dost DigiCert EV Code Signing a ty nejsou zrovna nejlevnější. Comodo EV Code tam naopak v seznamu není.

  • 25. 5. 2019 12:42

    Vít Šesták

    No, hmm. Ze zprávičky ani z původního článku mi není úplně jasné, jak vlastně k podepsanému malwaru došlo. Jsou tu v zásadě tři možnosti:

    a. Nechám si vystavit certifikát na sebe a podepíšu malware.
    b. Zneužiju cizí certifikát, protože si někdo nechrání podpisový klíč nebo HSM.
    c. CA mi vystaví certifikát na někoho jiného.

    Přitom je to dost zásadní informace. Varianta C by byla alarmující. Varianta B by taky nebyla zrovna fajn, ale bylo by to poněkud menší riziko. A varianta A by naopak mohla být I dobrá zpráva.

    On totiž smysl podpisu není zabránit podepsání malwaru. CA tomu ani zabránit nemůže, ta jen vydá certifikát a pak si tím člověk může poodepsat ledacos, CA se o tom ani nemusí dozvědět, nebo se o něm může dozvědět až zpětně. Podpis a certifikát mi slouží jen k tomu, abych si ověřil „toto je skutečně od Franty Vopičky“. Jestli ale mám Frantovi Vopičkovi skutečně věřit, to je už druhá věc. Z odkazovaného článku nemám úplně pocit, že si to autor uvědomuje. Napovídá tomu například „The six CAs that signed certificates of 100 or more malware samples“ nebo „the popular trend of financially motivated threat actors buying code signing certificates illuminates the inherent flaws of trust-based security“.

  • 25. 5. 2019 19:41

    Milan Keršláger

    To, že obviňuje kořenové certifikační autority, svědčí taky o tom, že tomu moc nerozumí. Má smysl v první řadě peskovat (resp. dělat statistiku pro) koncové vlastníky (tj. kdo podepsal škodlivý kód) a teprve pak zjišťovat, zda nebyl certifikát vydán neoprávněné osobě (tj. vina mezilehlé CA). A když se to stane, tak teprve má smysl obviňovat (dělat statistiku pro) mezilehlé CA, nikoliv ty kořenové (ty až ve třetí řadě, jako že si lépe nehlídají ty mezilehlé).

  • 25. 5. 2019 23:31

    Vít Šesták

    Souhlas.

    Popravdě jsem si moc nevšímal, jestli jde o kořenové, nebo mezilehlé autority. Ale ono je to možná často jedno. Přijde mi, že mezilehlá je často tatáž organizace, ale z nějakých praktických důvodů má jednu nebo více intermediate.

    A jinak mám pocit, že tam ještě zmiňuje resellery. Neviděl jsem, že by reseller ověřoval identitu, to má (snad vždy) pod palcem CA. Reseller tvoří jen frontend. Snad jediné, čím by mohl reseller škodit (pokud si privátní klíč vygenerujeme sami a nedámu mu k němu přístup), je modifikace žádosti k podepsání, nejlépe výměna veřejného klíče. Pak by reseller mohl získat certifikát na moji identitu pro svůj klíč. Má to ale nějaké háčky.

    * Musím chtít služby tohoto resellera.
    * Reseller se musí chovat zákeřně – ať už přímo (zlé úmysly resellera) nebo nepřímo (napadení resellera)
    * Reseller sice dostane certifikát, ale I mohl by mít problém dostat dva certifikáty na jedno ověření. Pak by mi nemohl dát, co slíbil. To je poněkud nápadné a nelze to dělat často.

  • 26. 5. 2019 12:22

    Honzucha

    K těm resellerum, například ksoftware je reseller Sectigo, ale v podstatě jen zprocesuje platbu a pak vás odstřelí směrem k Sectigo, kde vám vytvoří ticket na HelpLine, která vás zverifikuje a výstavu certifikát, takže reseller alespoň v tomto konkrétním případě se s vaším certifikátem nepotká ani vzdáleně. Toť moje zkušenost, více viz můj komentář ohledně Sectigo OV certifikátu zde pod článkem.

  • 26. 5. 2019 22:27

    Vít Šesták

    Což je ještě víc do extrému to, co jsem popsal. Může to souviset s druhem certifikátu. U domain validated se ten proces dá udělat tak, že žadatel bude v kontaktu jen s resellerem, aniž by CA musela vkládat v resellera velkou důvěru. U OV to tak jednoduše nejde.

    A není se čemu divit, že resellerova role je takto omezená. Co je levnější? Auditovat X resellerů, nebo mít ověření ve vlastní režii?

  • 27. 5. 2019 7:22

    Milan Keršláger

    Podvod u nových klíčů půjde obvykle na vrub toho, kdo žádá. Třeba u Cesnetu je EV kontrola z CA jen o telefonátu na telefonní číslo z databáze škol od Ministerstva školství, ale na počátku Cesnet totožnost ověřuje. Krádež existujících klíčů je možná, ve firmách k tomu má obvykle přístup více lidí a zabezpečení sítí nemusí být dobré.

  • 26. 5. 2019 12:03

    Honzucha

    Prijde mě to divné, nedávno (měsíc dozadu) jsem zrovna u Sectigo žádal o pouhý OV certifikát k podpisu Office VSTO doplňků a proces byl sice přímočarý, nikoliv jednoduchý. Vyžádali si u notáře face to face verifikované dokumenty a to Pas, druhý doklad s adresou, 2x účet za elektřinu na stejnou adresu, někdy ještě vyžadují verifikaci telefonu, kdy to musí být pevná linka která je zveřejněna providerem s totožnou adresou zmíněnou víše (toto ale netřeba pokud vše jiné dobře zpracováno notářem). To sice stačí naskenovat a poslat jim to, ale z mé zkušenosti, jim nedělá problém tomu notáři zavolat a celé to s ním zverifikovat.

    Celý proces trvá cca 3 dny a na straně Sectigo to je řešeno člověkem v rámci ticketu, který s vámi komunikuje. To je moje zkušenost. Ten článek

  • 27. 5. 2019 0:21

    Martin Dráb

    Podobnou zkušenost jsem zažil se Symantecem, když jsem u nich před lety pořizoval certifikát pro podpis kódu (včetně ovladačů). Tehdy ještě Symantec tyto certifikáty vydával i osobám, ne jen na společnosti.

    Pak jsem přesel k Certum, kde zatím verifikace (OV) probíhala vždy velmi rychle a stačila fotokopie OP a důkaz existence adresy (účet za el. či jiné služby). Jen je to webové rozhraní místy čistě v polštině :-).