Zorgen over groei malware met gestolen certificaten

door

verisign symantec

door

Analyse - Malwaremakers gebruiken steeds vaker gestolen certificaten om hun kwaadaardige code te ondertekenen. Het is relatief simpel en effectief, en je hoeft geen hele CA zoals DigiNotar te hacken.

Deze week dook het zoveelste geval of van malware die is ondertekend met een gestolen, geldig certificaat. Kaspersky waarschuwt voor een Trojan, die is gesigned met een VeriSign-certificaat op naam van het Zwitserse ict-bedrijfje Conpavi.

Trend bij cybercriminelen

Security-experts maken zich zorgen over de opkomst van malware die is ondertekend met gestolen certificaten. Sinds het 'grote voorbeeld' Stuxnet weten steeds meer cybercriminelen en malwaremakers hun Trojans en malware met deze methode te 'legitimeren'.

Daardoor slikt Windows de malware als zoete koek, zelfs als er sprake is van verplichte certificering van code en drivers, zoals in de 64-bitversies van Windows Vista en 7. En veel antivirusprogramma's negeren installers met een valide certificaat, constateert Bogdan Botezatu van BitDefender.

Diefstal is voldoende

Daar komt bij dat het bemachtigen van dit type 'code signing certificaten relatief eenvoudig is. Het is niet nodig om een hele CA-server te hacken, zoals bij DigiNotar gebeurde, en nieuwe certificaten aan te maken.

Om softwarecode te ondertekenen kan namelijk een bestaand certificaat worden hergebruikt, omdat certificaten van dit type, anders dan bij SSL sitebeveiliging, niet aan een server zijn gebonden, vertelt certificaatexpert Paul van Brouwershaven van GlobalSign aan Webwereld.

De hacker hoeft dus niet zijn pijlen te richten op de meestal goed beveiligde CA's, maar graast simpelweg de talloze bedrijven af die gebruikers zijn van codecertificaten. Eenmaal ingebroken is het ontvreemden van de private sleutel van het certificaat voldoende om aan de slag te gaan. Een alternatieve methode is dat een hacker met een valse identiteit een geldig certificaat weet te kopen.

Intrekken soms onmogelijk

Bovendien is het vaak ondoenlijk om na ontdekking van misbruik het certificaat in te trekken, omdat dan alle legitieme software van het gehackte bedrijf óók wordt geblokkeerd, omdat die immers hetzelfde certificaat gebruikt als de malware.

In het geval van Stuxnet, dat gebruik maakte van gestolen certificaten van Realtek en JMicron, zou intrekking automatisch betekenen dat duizenden, wellicht miljoenen pc's ineens niet meer werken, omdat de moederborden en netwerkkaarten van deze fabrikanten plots worden geblokkeerd door Windows.

Extended Validation

Is er een oplossing? Ja, zegt Van Brouwershaven: extended validation, kortweg EV genoemd. Deze extra beveiligde certificaten zijn al gemeengoed voor SSL en bestaan, ten minste in theorie, ook voor code signing certificaten. Hierbij is vereist dat het certificaat wordt opgeslagen op speciaal beveiligde hardware, zoals een USB token, die moet voldoen aan level 2 van de FIPS 140-2 standaard.

Echter, EV code signing wordt in de praktijk nog niet gebruikt, al zal het groeiende misbruik van codecertificaten hier wel eens verandering in kunnen brengen. Van Brouwershaven: “Ik verwacht wel dat dit binnenkort gaat komen en dat het misschien wel eens een eis zou kunnen worden.."

eerst ▾ Reacties

De reacties worden ingeladen...

Insider naam

 
{$quantity}%

Mijn insider overzicht Uitloggen

Briefcase({$quantity}) Mijn Downloads({$quantity})

Word insider

  • Exclusieve content
  • Achtergrond verhalen
  • Praktische tips

Topbedrijven met ICT vacatures

IT Innovation Day 2014
 
dagen
:
 
uren
:
 
min.
:
 
sec.

Webwereld nieuwsbrief

Ontvang dagelijks een overzicht van het laatste ICT-Nieuws in uw mailbox.