Pourquoi les éditeurs de sécurité falsification de certificats numériques?

0
103

digital padlocks

Davey Enrouleur part de ses réflexions sur le sujet délicat de l’aide de certificats numériques

Kaspersky Lab a pris contact à la fin de la semaine dernière à-dire le nombre de certificats numériques non autorisés utilisé pour signer les logiciels malveillants avait doublé au cours de la dernière année, avec son anti-virus de base de données mettant en évidence plus de 6 000 de la les choses, juste pour mettre les choses dans leur contexte.

Un peu de contexte n’est jamais une mauvaise chose, car il y a beaucoup d’administrateurs système qui ont l’habitude de la confiance des signatures numériques, sans complément d’enquête et sont heureux d’installer les fichiers signés sur cette faille confiance hypothèse, ce qui est inquiétant. Surtout quand volés ou faux signatures ont été utilisés pour l’âne dans les années à tromper les utilisateurs en leur faisant croire des fichiers malveillants sont à l’exact opposé. Rappelez-vous Stuxnet, n’importe qui?

Il ya beaucoup de preuves pour suggérer que les cybercriminels activement le commerce des certificats numériques volés dans l’obscurité, marché en ligne, et certains (comme le Darkhotel folk) semblent même avoir accès aux clés nécessaires pour créer de faux certificats.

Kaspersky Lab suggère, à juste titre, que numériquement signé applications venant de l’inconnu, les vendeurs de logiciels sont empêchés de lancement et de l’autorisation ne devrait pas être accordée pour les lancer sans vérification des numéros de série et le hachage des sommes d’abord.

Il recommande également que les certificats de l’inconnu de la certification des centres ne sont pas installés dans le stockage et les systèmes des utilisateurs sont conservées patché (Microsoft MS13-098 mise à jour permettra d’éliminer l’erreur qui permet à des données supplémentaires dans le fichier signé sans violer la signature du fichier, par exemple).

Il y a une certaine ironie dans la réception de cette pièce de la sécurité de l’information à partir d’un fournisseur de sécurité, quand vous pensez à la façon dont les logiciels de sécurité (bien que je ne sais pas si Kaspersky utilise cette méthode, mais certains des principaux fournisseurs certainement) des analyses de contenu à des fins malveillantes à partir d’un navigateur avec une connexion SSL.

Le SSL doit être décodé à la volée, comme c’était le cas, puis ré-emballés et de l’ensemble de telle façon transparente à l’intérieur de la couche réseau que personne ne le sait. C’est fait, et c’est là l’ironie de bits, par jouir d’une Autorité de certification dans votre magasin de confiance et de générer un faux certificat pour chaque site visité et analysé.

Il est intelligent, et filtrage de contenu web est un must si vous voulez rester protégé, mais l’utilisation de ces à la volée certs ajouté dans le magasin de Certificat Racine dans Windows et dans les principaux navigateurs semble être averti méfier de ce que les méchants sont en train de faire.

Mais, n’est-ce pas une sorte de l’homme dans le milieu de l’attaque, bien que l’homme porte un chapeau blanc? La confiance est une voie à double sens, et le mien commence à être un peu trop plein de nids-de-poule pour négocier en toute sécurité.