Certyfikaty uzyskane przez oszustów

W styczniu 2001 r. Firma VeriSign wydała dwa certyfikaty cyfrowe klasy 3 do podpisywania formantów ActiveX i innego kodu osobom podszywającym się pod pracownika Microsoft. W rezultacie użytkownicy otrzymujący kod podpisany przy użyciu tych certyfikatów otrzymaliby prośbę o zaakceptowanie lub odrzucenie certyfikatu najwyraźniej podpisanego przez Microsoft 30 lub 31 stycznia 2001 r. Gdy Russ Cooper skomentował grupę Usenet NTBUGTRAQ, gdy wiadomości pojawiły się w marcu 2001:

Fakt, że jeśli nie sprawdzisz daty na Certyfikacie, nie będziesz wiedział, czy jest to [sic], któremu możesz zaufać, jest Złą Rzeczą ™ [sic], ponieważ oczywiście nie wszyscy (czytaj: obok nikogo) sprawdzi każdy otrzymany certyfikat. Zastanawiasz się, jak mechanizm wydawania VeriSign może być tak źle zaprojektowany i / lub wdrożony, aby pozwolić na coś takiego.

Tymczasem Microsoft [sic] pracuje nad łatką, która wbije palec w tamę. Zasadniczo certyfikaty VeriSign do podpisywania kodu nie wykorzystują funkcji listy odwołania certyfikatów (CRL) o nazwie CDP lub punktu dystrybucji CRL, co powoduje, że certyfikat jest sprawdzany pod kątem odwołania za każdym razem, gdy jest czytany. Nawet jeśli masz włączoną listę CRL w IE, certyfikaty VeriSign do podpisywania kodu nie są sprawdzane. Aktualizacja Microsoftu będzie migać w pewnym mechanizmie, który powoduje, że niektóre / wszystkie certyfikaty podpisujące kod sprawdzają lokalny plik / klucz rejestru pod kątem listy CRL, która (przynajmniej początkowo) będzie zawierać szczegóły tych certyfikatów. Zakładając, że działa to zgodnie z reklamą, każda próba zaufania do źle wydanych certyfikatów powinna zakończyć się niepowodzeniem.

Roger Thompson, dyrektor ds. Technicznych w Laboratoriach zapobiegania wykorzystywaniu luk, wyjaśnił, że motywy oszustów określają, jak złe byłyby wyniki fałszywych certyfikatów. „Jeśli był to ktoś, kto miał jakiś cel, to sześć tygodni to dużo czasu, aby coś zrobić” – powiedział. „Jeśli zadaniem było zainstalowanie sniffera, to mogło być w rezultacie zillionem backdoorów. ”Opublikowane raporty wskazują, że niepowodzenie uwierzytelnienia nastąpiło z powodu błędu w procesie wydawania w VeriSign: Certyfikaty zostały wydane przed otrzymaniem wiadomości e-mail z potwierdzeniem, że oficjalny kontakt z klientem autoryzował certyfikaty. Ta sprawa była pierwszą wykrytą awarią uwierzytelnienia w ponad 500 000 certyfikatów wydanych przez VeriSign. Niektóre ostatnie przypadki dotyczące skradzionych lub sfałszowanych certyfikatów obejmują:

* W listopadzie 2011 r. Sprzedawca oprogramowania antymalware Mikko Hypponen, firma F-Secure, poinformował, że „znalazł kawałek złośliwego oprogramowania, które zostało kryptograficznie podpisane fałszywym certyfikatem Adobe pochodzącym z rządu Malezji: malezyjski instytut badań i rozwoju rolnictwa…”

* We wrześniu 2012 r. Adobe poinformowało, że „… otrzymały dwa złośliwe narzędzia, które wyglądały na podpisane cyfrowo przy użyciu ważnego certyfikatu do podpisywania kodu Adobe”. Firma wyjaśniła: „Wyrafinowani aktorzy zagrożeń używają złośliwych narzędzi, takich jak podpisane próbki, podczas wysoce ukierunkowanych ataków uprzywilejowanie eskalacji i bocznego przemieszczania się w środowisku po początkowym naruszeniu bezpieczeństwa komputera. ”

* W lutym 2013 r. Bit9 Systems ujawnił, że „Ze względu na nadzór operacyjny nad Bit9 nie udało nam się zainstalować własnego produktu na kilku komputerach w naszej sieci. W rezultacie złośliwa strona trzecia mogła nielegalnie uzyskać tymczasowy dostęp do jednego z naszych certyfikatów do cyfrowego podpisywania kodu, którego następnie użyła do nielegalnego podpisania złośliwego oprogramowania. Nic nie wskazuje na to, że był to problem z naszym produktem. Nasze dochodzenie pokazuje również, że nasz produkt nie został naruszony. ”

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *