Védje meg vállalkozása nevét Code Signing EV tanúsítvánnyal

2018. dec. 6. | Pataki Tamás

Talán Ön is hallott a LeagSoft Technology céget ért biztonsági incidenséről, amikor a code signing tanúsítványukkal visszaéltek és a nevükben malware támadást hajtották végre. Ez az esemény arra ösztökélt bennünket, hogy alaposabban utánajárjunk az esetnek, és hogy megoldást kínáljunk hasonló forgatókönyvek megelőzésére.

A privát kulcs "mizéria"

A Code Signing tanúsítvány használata bizonyára jól ismert - Biztosítja szoftver termék (például .exe fájlok vagy .jar) digitális aláírását, amely lehetővé teszi az ügyfél számára a szoftver eredetének meghatározását, vagyis a fejlesztő bizonyítja annak hitelességét és állandóságát, vagyis hogy a forgalmazás során azt nem fog megváltozni. Azonban, ha a tanúsítványhoz tartozó privát kulcsot a nem megfelelő biztonság miatt ellopják, a támadó könnyedén kihasználhatja a tanúsítványt a rosszindulatú programok terjesztésére. Ezt az ügyfél megbízhatónak fogja látni, mert az az eredeti és legitim vállalat ellopott aláírásával lesz felszerelve.

Az említett esetben a LeagSoft Technology-nak kiállított tanúsítványból származó privát kulcsot ismeretlen körülmények között ellopták. Az elkövető a LuckyMouse névre hallgató hackercsoport volt, amely az eltulajdonított aláíró tanúsítványt a saját rosszindulatú program aláírására és terjesztésére használták. A kiadott tanúsítvány alapján az ügyfelek megbízhatónak, hitelesnek ítélték azt meg – a legitim aláírásnak köszönhetően a malware is az eredeti kiadó termékeként volt feltüntetve. A trójai eredetét a Kaspersky Labsnak sikerült megtalálnia.

Mik a következmények? Ügyfelek bizalmatlansága, bizalomvesztése

Nem csak a LeagSoft Technology esetére jellemző, hanem általánosan elmondható, hogy az ilyen jellegű incidensek logikus következménye a vállalatba vetett bizalom és hitelesség megrendülése az ügyfelek szemében, akik jogosan vetik fel a kérdést, hogy a vállalat által aláírt termékek valóban az adott cégtől származnak-e. Az ügyfelek elvesztésének aránya ilyen esetekben becslések szerint 1: 1-hez. A másik negatív hatás az értékelés csökkenése Mirosoft SmartScreen szűrőjében, amely értékelés a felhasználók által letöltött alkalmazások véleményezéseiből, visszajelzéseiből rangsorol, a szoftver termék iránt táplált bizalom vagy bizalmatlanság szemszögéből. Ez a Internet Explorer 9 és 10 kiegészítő a letöltési bizalom alapján értékeli az alkalmazásokat, és ha az nem esik az általa megbízhatónak vélt értékhez, úgy ismeretlenként fogja értékelni azt, figyelmeztetni fogja a felhasználókat az indítás előtt és felhívni a figyelmet a számítógépet ért lehetséges támadásokról.

Hogyan előzhető ez meg? A megoldás: Code Signing EV tanúsítvány

Miben forradalmi a Code Signing EV tanúsítvány és miért pont ez fogja megvédeni a vállalatát? Ahogy fentebb a kapcsolódó esettel is szemléltettük a privát kulcs ellopása a tanúsítvány kompromittálódásához vezet. Az EV tanúsítványok esetében ez a kockázat nem áll fent. Ezeket kizárólag HW tokennal használhatják, amelyet a Hitelesítési Hatóság küld el postán a kérvényezőnek. Az átvétel után a kérelmező letölti erre a tanúsítványt a biztonságos felületről. A tokent ezután az új Code Signing EV tanúsítvány tulajdonosa jelszóval védheti le.

Ez a Code Signing tanúsítványok új generációja, amelyek nem tárolhatóak a számítógépen. Még ha fizikailag el is lopják a tokent, a visszaélés ezzel a speciális tanúsítványnál kizárt, mivel a privát kulcs még mindig jelszóval védett, amelynek többszörös hibás megadása után a token letiltódik. A jelszavat így nem lehet feltörni „szótár“ támadással.

A token nélkül nem lehet alkalmazásokat aláírni, és annak esetleges fizikai ellopása esetén is jelszó áll a tolvajok útjában 

Azon túlmenően, a Code Signing EV tanúsítványok használata kizárja, hogy visszaéljenek vállalata nevével, garantálja a SmartScreen Filter blokkolás létrejöttét. Az EV tanúsítvánnyal aláírt alkalmazások sose fognak rendszer riasztást kiváltani, mivel ezeket egyből ismertnek, megbízhatónak ismeri fel az operációs rendszer.

Hogyan juthat hozzá egy Code Signing EV tanúsítványhoz?

A nagy presztízsű Code Signing EV tanúsítvány elérhető SSL / TLS tanúsítványok legnagyobb szolgáltatójánál Közép-Európában, az SSLmarket.hu-n. Nem csak hogy 100% -os védelmet nyújt a jogosulatlan aláírás használat ellen, de azt is biztosítja, hogy az Önök által szolgáltatott adatok nem módosíthatók az átvitel során, illetve nem lesznek blokkolva a Microsoft által. Ügyfélszolgálatunk végigvezeti Önt a hitelesítési folyamaton, és segít a tanúsítvány aktiválásában is.

Forrás:

Chinese malware campaign aided by compromised digital certificate

Hacker-Gruppe Luckymouse signiert Malware mit legitimem Zertifikat

 

 


Pataki Tamás
Biztonságos SSL tanúsítványok szakértője
Symantec Sales Expert Plus
e-mail: pataki(at)zoner.hu