Možno ste nedávno začuli o hacknutí spoločnosti NVIDIA a krádeži terabajtu dát, ktorý bol zverejnený na internete.
Počas tohto hackerského útoku bol odcudzený aj certifikát na podpis kódu s privátnym kľúčom, ktorý teraz podvodníci zneužívajú na podpis škodlivého kódu a šírenie malvéru.
Spoločnosť NVIDIA hackla skupina označujúca sa ako Lapsus$ a po neúspešnej žiadosti o výkupné zverejnili 1 TB ukradnutých dát. To ďalších používateľov síce priamo nepoškodzuje, ale súčasťou útoku bola bohužiaľ aj krádež certifikátu na podpis kódu (Code Signing), ktorý NVIDIA používala na svoj podpis driverov či programov.
Nový držiteľ certifikátu a privátneho kľúča tak mohol začať podpisovať akýkoľvek škodlivý kód pod menom NVIDIA a ten sa tváril ako pochádzajúci od tohto výrobcu. To mohlo spôsobiť nemalé škody. Aj napriek tomu, že boli certifikáty už exspirované, systém Windows im dôveroval (pokiaľ podpis disponuje časovou známkou z doby, keď certifikát ešte platil, nemá totiž exspirácia certifikátu na podpísanú aplikáciu vplyv).
Digitálny podpis tohto malvéru pomáha zvýšiť dôveryhodnosť kódu v systéme používateľa a oprávnene vytvára dojem, že aplikácia skutočne pochádza od firmy NVIDIA. Pritom si v tomto prípade spustením škodlivej aplikácie zavírite počítač.
Podpisovanie kódu je pritom užitočné nielen kvôli overeniu pôvodu, ale aj preto, že podpísanú aplikáciu nemôže nikto zmeniť. Ak by tak urobil a pridal napríklad škodlivý kód, digitálny podpis prestane byť platný. To je ďalší aspekt ochrany vašich zákazníkov.
Riešením bezpečného podpisovania je Code Signing EV certifikát a cloud
Certifikáty na podpis kódu by mali byť riadne zabezpečené; v opačnom prípade hazardujete s dobrým menom vašej spoločnosti. Ukradnutý certifikát sa takmer určite objaví v zlých rukách a bude zneužitý na šírenie škodlivého softvéru.
Tomuto incidentu sa však dalo predísť – stačilo zvoliť vhodný typ Code Signing certifikátu zodpovedajúcej veľkosti a významu spoločnosti NVIDIA.
Code Signing EV certifikát je umiestnený na tokene, ktorý musí byť pred podpisovaním vložený do počítača a pri podpisovaní je potrebné zadať heslo k tokenu (resp. na odomknutie privátneho kľúča). Pri opakovaných nesprávnych pokusoch sa token zablokuje a jeho obsah zmaže. Je vylúčené, aby útočník trafil dostatočne zložité heslo na 5 pokusov.
DigiCert ONE je moderná platforma, ktorá vám umožňuje podpisovať v cloude. Nemusíte tak mať certifikát (a privátny kľúč) v počítači lokálne, čo je bezpečnejšie. Tejto téme sa budeme na blogu venovať v blízkej budúcnosti a pokiaľ máte záujem o viac informácií už teraz, neváhajte kontaktovať podporu SSL Market.
Bezpečnejším podpisovaním aplikácií a kódu nechránite iba svoje meno, ale hlavne svojich používateľov. Raz stratená dôvera sa veľmi ťažko získava späť.
Ing. Peter Tomaščík, špecialista na bezpečnostné SSL certifikáty, www.sslmarket.sk
