Вы используете устаревший браузер!

Страница может отображаться некорректно.

Незваные гости

Незваные гости

Другие выпуски этой рубрики (97)
  • добавить в избранное
    Добавить в закладки

Цифровой автограф

Прочитали: 3890 Комментариев: 84 Рейтинг: 113

23 ноября 2017

Вирусные базы и сами продукты Dr.Web снабжены цифровой подписью. Что она собой представляет и зачем нужна?

Злоумышленники пытаются подменять и приложения известных разработчиков, и их компоненты (в случае с Dr.Web – вирусные базы). Понятно, насколько привлекательна для преступника возможность заменить одну базу на другую, не имеющую нужной записи. Цифровая подпись гарантирует, что подгружаемое приложение (или компонент) создано определенным разработчиком и после того, как было подписано, никем не изменялось.

Во всех версиях Windows, начиная с Windows XP SP2, в момент запуска или установки программного обеспечения (в том числе драйверов) проверяется наличие цифровой подписи. Если ее нет, пользователь получает сообщение о том, что издатель приложения неизвестен и запуск данной программы не рекомендуется. Если же продукт подписан, выводится информация о его разработчике, а также используемом сертификате.

#drweb

Узнать немного больше об используемом сертификате можно, кликнув по ссылке.

#drweb

Процедура подписи предполагает получение разработчиком сертификата Code Signing, он же «сертификат разработчика».

Такие сертификаты выпускаются разными компаниями и различаются по назначению, возможностям и стоимости. Получив нужный сертификат, можно подписывать не только исполняемые файлы и библиотеки, но и другие объекты – скрипты, макросы для файлов MS Office, Java-приложения…

Как ставится и проверяется подпись?

#drweb

https://habrahabr.ru/company/tuthost/blog/152867

Получив нужный сертификат, разработчик с помощью специальной утилиты подсчитывает контрольную сумму подписываемого кода (хеш), кодирует полученный результат и помещает пакет данных, включающий зашифрованный хеш (и, возможно, другие данные), в файл с подписываемым кодом. Скажем, дописывает эти данные в конец файла.

#drweb

https://habrahabr.ru/company/tuthost/blog/152867

В момент запуска или загрузки приложения система подсчитывает хеш проверяемого кода с использованием того же алгоритма, который использовался для подсчета хеша при подписи файла. Для этого используется публичный ключ издателя, который содержится в сертификате. Система производит расшифровку и сравнивает между собой два хеша.

При этом есть маленький нюанс. Выше мы говорили, что сертификат может быть получен у известной компании, занимающейся данным бизнесом. Это так, но никто не мешает разработчику самостоятельно создавать сертификаты и подписывать с их помощью свои файлы. Естественно, это обеспечит целостность, но вот доверия пользователя к происхождению файла не даст. Решает ситуацию то, что сертификат – это не «вещь в себе», он связан с корневым сертификатом центра сертификации.

Пользовательские устройства, как правило, уже включают корневые сертификаты центров сертификации. Когда ПО расшифровывает цифровую подпись, оно проверяет также корневой сертификат в системе, источник проверенной информации. В случае использования «самоподписного» сертификата вы получите сообщение: «Издатель не может быть проверен».

#drweb

Как узнать, какие сертификаты используются на вашем устройстве, описано, например, здесь (http://pyatilistnik.org/gde-hranyatsya-sertifikatyi-v-windows-sistemah).

Казалось бы – вот и выход. Подписываем все самые распространенные приложения, проверяем их на целостность при запуске – и антивирус не нужен! Увы, не получится. Даже если не брать в расчет возможность взлома компании, занимающейся выдачей сертификатов, – это товар, который можно украсть и продать.

Троянец-шифровальщик Mac.Trojan.KeRanger.2 подписан действующим сертификатом разработчика приложений для OS X, благодаря чему программа могла обойти встроенную систему защиты ОС от Apple.

http://news.drweb.com/show/?c=5&i=9877&lng=ru

Мониторинг подпольных форумов, где осуществляется торговля сертификатами, указывает на печальную тенденцию: в последнее время сертификатов в продаже стало больше.

#drweb

В первом сообщении предлагали сертификаты по $980. У авторов явно есть постоянный поставщик, который имеет постоянный доступ к одному из пяти крупнейших центров сертификации.

Новые сертификаты поступают в продажу каждые 1-2 недели.

https://xakep.ru/2014/10/16/code-signing-sale

Исследователи обнаружили, что сертификаты для подписи цифрового кода продаются на черных рынках в Сети дороже оружия.

Продажа одного сертификата может принести киберпреступнику до 1200 долларов США. Для сравнения: кредитные карты могут стоить всего несколько долларов, паспорта США могут принести примерно 850 долларов, а пистолет можно купить за 600 долларов.

https://www.anti-malware.ru/news/2017-10-31-1447/24615

Эксперты, естественно, бьют тревогу.

«Украденные сертификаты практически не оставляют организациям шанса обнаружить вредоносную программу» – сказал Кевин Бочек, главный стратег по безопасности Venfai.

https://www.anti-malware.ru/news/2017-10-31-1447/24615

#цифровая_подпись #технологии #Windows

Антивирусная правДА! рекомендует

На самом деле не все так плохо. Подпись сертификатов, к счастью, – не единственный метод проверки файлов на заражение. Наличие подписи учитывается антивирусом Dr.Web в процессе оценки файла (антивирус – это не только вирусные базы!), но это не является единственным критерием истины.

Оцените выпуск

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Комментарии к другим выпускам | Мои комментарии

 
На страницу: