这就是为什么我们不能拥有好东西……
一般来说,证书颁发机构和数字证书行业最常见的一种做法是“永远不要让私钥发生任何事情”。不幸的是,只是说,“可能发生的坏事”有点模糊,缺乏冲击力。所以这是一个真实世界的例子,可以作为每个人的警示故事。
研究人员发现了一对恶意软件家族,这些恶意软件家族使用来自台湾科技公司的妥协证书进行了数字签名,其中包括生产网络设备的跨国公司D-Link。
这些网络犯罪分子如何能够破坏私钥尚不得而知。众所周知,他们用密钥签署了恶意软件。
签署恶意软件会发生什么?
让我们回过头来讨论一下代码签名片刻,然后我们跳到你签署一些邪恶的东西时会发生什么。代码签名现在是一种标准做法,其中软件开发人员通过可信证书颁发机构的验证,并接收可用于签署脚本和可执行文件的证书和私钥。
现在,这里有一点点,解释事情的最简单方法可能是讨论当你不首先编码符号时会发生什么。几乎每个设备,操作系统和网络浏览器都经过硬编码,以尽可能少地信任。这完全是以安全的名义完成的。当您编写一个软件并将其上传到互联网而不签名时,会在浏览器中触发任何试图下载该软件的警告。警告将说明此下载源自未知来源,其内容无法信任。
那很好。这就是浏览器应该如何处理未知来源的下载。现在,当您对一个软件进行代码签名时,您正在做的是使用与代码签名证书关联的私钥添加数字签名。浏览器本身并不信任您,但如果他们可以将您的数字签名链接回受信任的根,即来自其中一个受信任的CA的证书,它会信任您,因为CA通过向您颁发证书,正在为你担保。
这是令人满意的,所以让我用另一种方式,当你正确地签署一些东西时,浏览器可以追溯到它信任的证书,这会让你信任。
就像我说的那样,现在预计代码签名。您需要它来在Apple和Android的应用商店中获取应用程序,您需要它来让所有主流浏览器下载您的软件。真的没办法解决它。为了使这种做法尽可能安全,在发布之前有一个验证过程,旨在清除不好的井和网络犯罪分子。
将所有这些归结为最简单的术语:只有受信任的开发人员才能够使用Code Sign,因为该数字签名可以提供即时信任。
你可能会看到这是怎么回事。
当私钥被泄露并且数字签名被应用于恶意软件时,它会欺骗通常扫描下载的浏览器过滤器和防病毒程序。现在,浏览器认为它来自D-Link,而不是看到这个脚本或可执行文件来自未知来源,并且浏览器允许下载开始。这是一个非常有效的攻击媒介。
与妥协的私钥签署了什么?
正如黑客新闻所解释的那样,两个恶意软件与受损密钥签署:
ESET的安全研究人员最近确定了两个恶意软件系列,这些恶意软件系列之前与网络间谍组BlackTech有关,这些恶意软件系列是使用属于D-Link网络设备制造商的有效数字证书和另一家名为Changing Information Technology的台湾安全公司签署的。
第一个恶意软件称为Plead。日本计算机安全事件响应小组(CSIRT)JPCERT 在6月对Plead进行了全面分析。它本质上是一个后门,可用于窃取信息和监视人。第二个恶意软件是一个相关的密码窃取程序,其目标是:
- 谷歌浏览器
- Microsoft Internet Explorer
- Microsoft Outlook
- 火狐浏览器
D-Link和变更信息技术已收到通知,并且已于7月4日撤销了证书。
BlackTech将继续使用已撤销的证书来签署恶意软件。这可能听起来很愚蠢,但是这个问题在许多不同的防病毒解决方案的漏洞中都有所启发:它们不会扫描代码签名证书的有效性。
应该发生的情况,如附带图像中的情况,防病毒程序会看到签署代码的证书被撤销,并通知用户或阻止下载。即使恶意软件被加上时间戳(顺便说一句,也是最佳做法,顺便说一下),仍然应该提前通知证书已被撤销。相反,许多防病毒程序根本不检查有效性,这意味着过期或受损的证书仍可构成相当大的威胁。
这甚至不是台湾科技公司第一次成为受害者。使用RealTek和JMicron的盗窃证书签署了2010 Stuxnet蠕虫。
让我们谈谈防止密钥泄露
回到本文开头的地方,你的私钥是至关重要的。密钥泄露可能会导致一连串的问题,无论是SSL证书,代码签名,个人身份验证 – 都无关紧要。显然,这些影响可能是灾难性的。希望签名的恶意软件系列最终不会导致大问题,但签署恶意软件 – 这将有助于它通过防病毒程序和浏览器过滤器获得 – 始终是一个危险的主张。
所以,这是我们可以给你的最佳建议:
将您的私钥存储在外部硬件令牌上
目前,将密钥存储在物理硬件令牌上的想法在很大程度上被加密货币行业所采用,后者将其称为硬件钱包。在某种程度上,加密货币行业对于各种私钥存储来说都是一个有趣的测试案例,因为它就像现在狂野的西部各种各样的黑客和蛇油营销,每个人都看着他们的肩膀作为人们失去的轶事证据财富坐骑和坐骑。
加密货币社区(不同于加密社区)推动了一系列关键存储解决方案,从层压纸钱包到将物理比特币侧面雕刻到“尖端”冷藏解决方案,其成本太高。这些都不是新的。
最好的解决方案一直是,并将继续在线下存储您的密钥。你如何做到这完全取决于你(有几种方法),只要记住把它保存在办公室保险柜或某个地方,以至于某人不容易掏腰包。
如果D-Link和不断变化的信息技术做到这一点,妥协他们的密钥将涉及一个真正的caper或抢劫,而不是只是一些花哨的黑客。谁现在有时间玩一个人呢?
来源:freebuf.com 2018-07-14 13:25:40 by: Gworg光网
请登录后发表评论
注册