מתקפות סייבר
מספר התעודות הדיגיטליות הנגועות בקוד זדוני הכפיל את עצמו ב-2014
מי שחשב שהתעודות הדיגיטליות ישימו קץ לחששות שלנו ממסמכים מזויפים, טעה. מומחי מעבדת קספרסקי מייעצים למנהלי מערכות ולמשתמשים שלא לבטוח בכל מצב בחתימות דיגיטליות, ולא להרשות הפעלה של קבצים חתומה רק משום שיש להם חתימה. הסיבה לכך: מספר התעודות הדיגיטליות שאינן אמינות, אשר שימשו כדי ליצור חתימה דיגיטלית לתוכנות זדוניות, הכפיל את עצמו במהלך השנה שחלפה, שנת 2014, כך על פי מעבדת קספרסקי. עד סוף שנת 2014 בסיס נתוני האנטי וירוס של מעבדת קספרסקי כלל יותר מ- 6,000 תעודות כאלו.
"כותבי וירוסים גונבים ומחקים חתימות כשרות כדי לגרום למשתמשים ולפתרונות אנטי וירוס לבטוח בקובץ. מעבדת קספרסקי רואה שימוש בטכניקה זו מצד גורמי ריגול מקוון ואיומים מתמשכים זה כבר מספר שנים", אמר אנדריי לאדיקוב, ראש מחקר אסטרטגי במעבדת קספרסקי.
תולעת הסטוקסנט הידועה לשמצה השתמשה בתעודה שנגנבה מ- Realtek ו- JMicron. כנופיית Winnti גנבה תעודות מחברות גיימינג שנפרצו והשתמשה בהן בהתקפות חדשות. יותר מכך, ישנן דוגמאות לכך שאותן תעודות שימשו במסגרת תקיפה שביצעה קבוצת האקרים סינים אחרת, דבר המעיד על שוק מחתרתי לתעודות. כנופיית Darkhotel חתמה את פרצת הדלת האחורית שלה באמצעות תעודה דיגיטלית, וכנראה הייתה לה גישה למפתחות סודיים שנדרשים כדי לזייף את התעודות.
כדי להפחית את הסיכון להפעלת קוד זדוני חדש שסורקי וירוסים אינם מכירים, ושהמחשב שלך 'מאמין' שהוא מגובה בתעודת אמינות, חיוני לשמור על שליטה גדולה יותר על קבצים חתומים באמצעות הגנת אנטי וירוס מתאימה ולעקוב אחר מדיניות האבטחה:
- להטיל איסור על הפעלת תוכנות חתומות דיגיטלית מצד ספק תוכנה בלתי מוכר: רוב התעודות הגנובות מגיעות ממפתחים קטנים.
- כאשר נתקלים בתעודה ממרכז אישורים שאינו מוכר, לא להתקין אותם באחסון.
- לא לאפשר להפעיל תוכנות החתומות בתעודה אמינה רק על בסיס שם התעודה. בדוק מאפיינים נוספים, כגון מספר סידורי ותביעת האצבע של התעודה (סכום ה- hash)
- להתקין את עדכון Microsoft MS13-098 update – הוא מחסל את השגיאה שמאפשרת לכלול מידע נוסף בקובץ ללא הפרת החתימה של הקובץ.
- להשתמש בפתרון אנטי וירוס שיש לו בסיס נתונים של תעודות אמינות ושאינן אמינות.
מידע נוסף אפשר למצוא בבלוג Securelist.com
תמונה: ויקיפדיה