Uważaj na fałszywe certyfikaty bezpieczeństwa w sieci. Cyberprzestępcy wciąż działają

Liczba niezaufanych certyfikatów wykorzystywanych do podpisywania szkodliwego oprogramowania zwiększyła się dwukrotnie w ciągu ubiegłego roku i wynosi już ponad 6 tysięcy. Wniosek jest jeden - pliki podpisane cyfrowo należy dodatkowo kontrolować przed uruchomieniem.

Twórcy szkodliwego oprogramowania kradną oraz imitują legalne sygnatury, aby przekonać użytkowników oraz systemy operacyjne, że dany plik jest bezpieczny. Od wielu lat specjaliści obserwują wykorzystywanie tej techniki przez cyberprzestępców odpowiedzialnych za zaawansowane długotrwałe zagrożenia. Biorąc pod uwagę wzrastającą liczbę zagrożeń związanych z podpisywaniem szkodliwych plików, eksperci zalecają użytkownikom, a w szczególności administratorom sieci firmowych, aby nie zezwalali na uruchamianie plików wyłącznie na podstawie podpisów.

Aby zmniejszyć ryzyko uruchomienia na komputerze nowego szkodliwego oprogramowania, które posiada - według systemu operacyjnego - ważny certyfikat cyfrowy, niezbędne jest zapewnienie zwiększonej kontroli nad podpisanymi plikami przy użyciu skutecznej ochrony antywirusowej oraz przestrzeganie podstawowych zasad bezpieczeństwa:

1.Wprowadź zakaz uruchamiania programów, które są podpisane cyfrowo przez nieznanego twórcę oprogramowania: większość skradzionych certyfikatów pochodzi od drobnych twórców.
2.Nie instaluj certyfikatów pochodzących z nieznanych centrów certyfikacji.
3.Nie zezwalaj na uruchomienie programów podpisanych przez zaufane certyfikaty wyłącznie na podstawie nazwy certyfikatu. Sprawdź inne atrybuty, takie jak numer seryjny oraz cyfrowy odcisk palca certyfikatu.
4.Zainstaluj aktualizację Microsoft MS13-098 usuwającą błąd, który powala na zapisanie dodatkowych danych (także niebezpiecznych) w plikach podpisanych cyfrowo.
5.Korzystaj z rozwiązania antywirusowego, które posiada własną bazę zaufanych i niezaufanych certyfikatów.

Dlaczego jest to takie ważne? Dla przykładu, niesławny robak Stuxnet wykorzystywał certyfikaty skradzione z firm _ Realtek _ oraz _ JMicron _. Gang *Winnti *kradł certyfikaty ze zhakowanych firm zajmujących się tworzeniem gier oraz wykorzystywał je w nowych atakach. Co więcej, znane są przykłady wykorzystania tych samych certyfikatów w atakach przeprowadzanych przez inne grupy cyberprzestępców, co sugeruje istnienie dobrze prosperującego czarnego rynku. Grupa stojąca za kampanią cyberszpiegowską *Darkhotel *zwykle podpisywała cyfrowo swoje moduły i najprawdopodobniej posiadała dostęp do sekretnych kluczy niezbędnych do generowania fałszywych certyfikatów.

Bezpieczeństwo oraz kontrola przepływu informacji na nasz temat w sieci są bardzo ważne. Jeśli coś szczególnie zwróci twoją uwagę lub jeśli nie jesteś pewien, czy dany element (strona, formularz, powiadomienie etc.) jest bezpieczny, koniecznie go zweryfikuj. Warto poświęcić dłuższą chwilę na znalezienie odpowiedzi w celu ochrony swojej prywatności i zapewnieniu sobie bezpieczeństwa w internecie. W takich sytuacjach najlepiej skontaktować się z bankiem lub inną instytucją w celu potwierdzenia autentyczności strony.

Źródło: _ Kaspersky Lab _