Ранее в этом году троян инфицировал компьютер производителя программного
обеспечения Blackbaud. Но вместо того, чтобы красть деньги, исходный код или
данные пользователей, атака была направлена на получение другой ценной
информации, которой не уделяют должного внимания — на получение закрытых ключей,
которыми подписывают программное обеспечение компания.

Blackbaud, которая выпускает программное обеспечение для некоммерческих
организаций, обнаружила кражу после того, как фирма по обеспечению безопасности
сообщила об обнаружении вредоносного программного обеспечения, подписанного ее
ключами. По иронии судьбы, Blackbaud уже работала над укреплением своей
корпоративной безопасности, говорит Яна Эггерс, старший вице-президент по
продуктам и маркетингу этой компании по производству программного обеспечения,
расположенной в Чарльстоне, Южная Каролина.

"Компании осведомлены и стараются защитить данные своих клиентов, но
существует и другая информация, которая должна быть защищена", — говорит Эггерс.
"Вирус может быть создан таким образом, что он будет искать что-то совсем
другое, чем ожидается, и сертификат безопасности – совсем не то, что в первую
очередь защищают и что защищают в той же степени, что и данные клиентов".

Blackbaud не одна подверглась такой атаке. Киберпреступники все чаще
нацеливаются на разработчиков с целью кражи личных ключей, используемых для
подписи программного обеспечения. Программы, подписанные цифровым сертификатом,
считаются операционной системой и программным обеспечением по обеспечению
безопасности надежнее, и авторы вредоносного ПО поняли это.

Вероятно самое совершенное вредоносное ПО, использующее цифровые сертификаты

Stuxnet
. Троян инфицировал промышленные системы управления в 2009 и 2010
годах и многие считали его атакой государства против заводов ядерной программы в
Иране. На первой стадии атаки Stuxnet использовал код, подписанный
сертификатами, принадлежащими двум Тайваньским компаниям, чтобы казаться
надежным и безобидным для систем безопасности.

В 2010 году версия банковского
трояна Zeus
использовала цифровую подпись, принадлежащую фирме по производству средств
безопасности Kaspersky Labs с целью уменьшить шанс распознавания себя как
вредоносного ПО. И третий вирус в том же году использовала уязвимость Adobe и
был подписан сертификатом кредитного союза.

"Они хотят получить ключи от королевства", — говорит Джефф Хадсон, главный
исполнительный директор компании Venafi, которая занимается выпуском ключей для
предприятий и программного обеспечения по работе с сертификатами. "Они не хотят
чего-то незначительного, они метят прямо в сердце".

Тысячи сертификатов были украдены и в настоящее время используются
вредоносным ПО, говорит Юваль Бен-Ицхак, технический директор AVG. В
ежеквартальном отчете по безопасности, изданном во вторник, AVG зафиксировала
две атаки в ходе которых использовались украденные сертификаты: один принадлежал
Blackbaud, а другой – немецкой игровой компании GameForge Productions. GameForge
не ответили на просьбу прокомментировать это.

В первой половине 2011 используется уже в 3 раза больше сертификатов для
подписи вредоносного ПО, чем в первой половине 2010 года, согласно докладу AVG.
Компаниям нужно лучше защищать свои сертификаты и программы по обеспечению
безопасности должны меньше доверять подписям, говорит Бен-Ицхак.

"Производители не спешат аннулировать украденные сертификаты", — говорит он.
"Слепо верить сертификатам сегодня – плохая идея".

Для крупных компаний системы управления сертификатами – такие, как Venafi,
могут сделать так, что компании не пострадают от сертификатов, срок действия
которых закончился или от сертификатов, которые хранятся в ненадежных местах. Во
многих случаях разработчики хранят личные ключи, нужные для подписи программного
обеспечения, на своих рабочих системах, говорит Хадсон из Venafi. "Мы побуждаем
людей, во-первых, знать, что находится в сети", — говорит он. "Во-вторых,
удостоверьтесь в том, что личные ключи отделены от публичных ключей, чтобы была
возможность в случае необходимости немедленно их заменить если вас взломают".

Эггерс из Blackbaud теперь точно может согласиться с утверждением, что им
нужно ценить цифровые сертификаты так же, как ценят их атакующие. "Как можно
больше людей должны быть осведомлены об угрозе", — говорит она.



Оставить мнение