Jak wynika z obserwacji producenta programów antywirusowych F-Secure, w Sieci krąży coraz więcej podpisanych cyfrowo szkodliwych programów dla Windows - również scareware coraz częściej dysponuje ważnym cyfrowym podpisem
Jak wynika z obserwacji producenta programów antywirusowych F-Secure, w Sieci krąży coraz więcej podpisanych cyfrowo szkodliwych programów dla Windows - również scareware coraz częściej dysponuje ważnym cyfrowym podpisem.
W ten sposób autorzy wirusów chcą ominąć przeszkody w systemach Windows i wyeliminować ostrzeżenia, które ukazują się np. przy instalacji sterowników czy kontrolki ActiveX w Internet Explorerze. Na liście potencjalnie niepożądanych programów F-Secure zgromadził już 4. tysięcy cyfrowo podpisanych próbek. W przypadku malware'u skala zjawiska ogranicza się jedynie do 24 tysięcy próbek.
W systemie Windows do podpisywania i weryfikowania oprogramowania służy Authenticode; narzędzie to sprawdza jego pochodzenie. Zwykle użytkownicy z zaufaniem odnoszą się do oprogramowania podpisanego cyfrowo. W przypadku software'u niepodpisanego okno dialogowe ostrzega użytkownika, który musi wtedy wyrazić zgodę na dalszą instalację. W 64-bitowych wersjach Windows 7 i Visty instalacja niepodpisanego cyfrowo sterownika nie jest możliwa, nawet jeśli użytkownik wyrazi na to zgodę w oknie dialogowym.
Według F-Secure autorom wirusów za pomocą różnych sztuczek udaje się uzyskać ważne cyfrowe podpisy, a także certyfikaty dla ich programów. Najbardziej skuteczną metodą jest wyłudzenie certyfikatu Codesigning w jednostce Certificate Authority. Jak wiele na to wskazuje, przeszkody, które należy w tym celu pokonać, są równie łatwe, jak te w przypadku ważnego certyfikatu dla serwera SSL - wystarczy poprawny adres e-mailowy. Poza tym oszuści i przestępcy używają także serwisów takich jak Digital River, które podpisują oprogramowanie dla swoich klientów.
Ukradzione certyfikaty albo klucze prywatne również są wykorzystywane przez autorów wirusów do podpisywania własnego oprogramowania. Niektóre wersje "szkodników" z rodziny botnetów Adrenalin, Ursnif i ZeuS zawierają funkcje, które są w stanie odczytywać takie dane z zainfekowanych komputerów programistów. Do tej pory jednak F-Secure w tworzonej bazie malware'u nie odnotował wirusa, w którym faktycznie wykorzystany byłby skradziony klucz.
Za to coraz częściej zdarza się, że trojan obecny w systemie programisty infekuje pliki, w wyniku czego później cały pakiet oprogramowania jest rozprowadzany i sygnowany wraz z jego kopiami. Poza tym programiści tworzący wirusy bardzo często podpisują próbki samodzielnie sygnowanymi kluczami i certyfikatami, w których fałszywe informacje o wystawcy albo właścicielu mają wprowadzać w błąd programy antywirusowe i użytkowników.
Według oceny F-Secure omawiana kwestia nie jest szczególnie paląca, ponieważ autorzy wirusów nie zaczęli jeszcze na wielką skalę stosować wspomnianych metod uwiarygadniania malware'u. Jednak to się może zmienić wraz z coraz szerszym rozpowszechnieniem Windows 7, ponieważ w tym systemie Autenthicode odgrywa ważniejszą rolę niż we wcześniejszych wersjach Okien. Istotne jest, aby producenci programów antywirusowych ściśle współpracowali z ośrodkami Certificate Authorities, aby szybko blokować skompromitowane albo wykorzystywane do złych celów certyfikaty (i klucze).
wydanie internetowe www.heise-online.pl