Цифровой автограф
23 ноября 2017
Вирусные базы и сами продукты Dr.Web снабжены цифровой подписью. Что она собой представляет и зачем нужна?
Злоумышленники пытаются подменять и приложения известных разработчиков, и их компоненты (в случае с Dr.Web – вирусные базы). Понятно, насколько привлекательна для преступника возможность заменить одну базу на другую, не имеющую нужной записи. Цифровая подпись гарантирует, что подгружаемое приложение (или компонент) создано определенным разработчиком и после того, как было подписано, никем не изменялось.
Во всех версиях Windows, начиная с Windows XP SP2, в момент запуска или установки программного обеспечения (в том числе драйверов) проверяется наличие цифровой подписи. Если ее нет, пользователь получает сообщение о том, что издатель приложения неизвестен и запуск данной программы не рекомендуется. Если же продукт подписан, выводится информация о его разработчике, а также используемом сертификате.
Узнать немного больше об используемом сертификате можно, кликнув по ссылке.
Процедура подписи предполагает получение разработчиком сертификата Code Signing, он же «сертификат разработчика».
Такие сертификаты выпускаются разными компаниями и различаются по назначению, возможностям и стоимости. Получив нужный сертификат, можно подписывать не только исполняемые файлы и библиотеки, но и другие объекты – скрипты, макросы для файлов MS Office, Java-приложения…
Как ставится и проверяется подпись?
Получив нужный сертификат, разработчик с помощью специальной утилиты подсчитывает контрольную сумму подписываемого кода (хеш), кодирует полученный результат и помещает пакет данных, включающий зашифрованный хеш (и, возможно, другие данные), в файл с подписываемым кодом. Скажем, дописывает эти данные в конец файла.
В момент запуска или загрузки приложения система подсчитывает хеш проверяемого кода с использованием того же алгоритма, который использовался для подсчета хеша при подписи файла. Для этого используется публичный ключ издателя, который содержится в сертификате. Система производит расшифровку и сравнивает между собой два хеша.
При этом есть маленький нюанс. Выше мы говорили, что сертификат может быть получен у известной компании, занимающейся данным бизнесом. Это так, но никто не мешает разработчику самостоятельно создавать сертификаты и подписывать с их помощью свои файлы. Естественно, это обеспечит целостность, но вот доверия пользователя к происхождению файла не даст. Решает ситуацию то, что сертификат – это не «вещь в себе», он связан с корневым сертификатом центра сертификации.
Пользовательские устройства, как правило, уже включают корневые сертификаты центров сертификации. Когда ПО расшифровывает цифровую подпись, оно проверяет также корневой сертификат в системе, источник проверенной информации. В случае использования «самоподписного» сертификата вы получите сообщение: «Издатель не может быть проверен».
Как узнать, какие сертификаты используются на вашем устройстве, описано, например, здесь (http://pyatilistnik.org/gde-hranyatsya-sertifikatyi-v-windows-sistemah).
Казалось бы – вот и выход. Подписываем все самые распространенные приложения, проверяем их на целостность при запуске – и антивирус не нужен! Увы, не получится. Даже если не брать в расчет возможность взлома компании, занимающейся выдачей сертификатов, – это товар, который можно украсть и продать.
Троянец-шифровальщик Mac.Trojan.KeRanger.2 подписан действующим сертификатом разработчика приложений для OS X, благодаря чему программа могла обойти встроенную систему защиты ОС от Apple.
http://news.drweb.com/show/?c=5&i=9877&lng=ru
Мониторинг подпольных форумов, где осуществляется торговля сертификатами, указывает на печальную тенденцию: в последнее время сертификатов в продаже стало больше.
В первом сообщении предлагали сертификаты по $980. У авторов явно есть постоянный поставщик, который имеет постоянный доступ к одному из пяти крупнейших центров сертификации.
Новые сертификаты поступают в продажу каждые 1-2 недели.
https://xakep.ru/2014/10/16/code-signing-sale
Исследователи обнаружили, что сертификаты для подписи цифрового кода продаются на черных рынках в Сети дороже оружия.
Продажа одного сертификата может принести киберпреступнику до 1200 долларов США. Для сравнения: кредитные карты могут стоить всего несколько долларов, паспорта США могут принести примерно 850 долларов, а пистолет можно купить за 600 долларов.
Эксперты, естественно, бьют тревогу.
«Украденные сертификаты практически не оставляют организациям шанса обнаружить вредоносную программу» – сказал Кевин Бочек, главный стратег по безопасности Venfai.
https://www.anti-malware.ru/news/2017-10-31-1447/24615
#цифровая_подпись #технологии #WindowsАнтивирусная правДА! рекомендует
На самом деле не все так плохо. Подпись сертификатов, к счастью, – не единственный метод проверки файлов на заражение. Наличие подписи учитывается антивирусом Dr.Web в процессе оценки файла (антивирус – это не только вирусные базы!), но это не является единственным критерием истины.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Денисенко Павел Андреевич
23:27:41 2018-08-02
Неуёмный Обыватель
07:01:26 2018-06-20
vasvet
15:46:25 2018-04-04
a13x
02:19:13 2017-12-18
павел
04:45:43 2017-11-30
Anton_S
20:50:59 2017-11-25
Dagedra
15:55:31 2017-11-24
zsergey
07:27:01 2017-11-24
В...а
23:45:32 2017-11-23
ek
23:37:33 2017-11-23
НинаК
23:21:05 2017-11-23
vla_va
23:02:24 2017-11-23
kva-kva
22:31:56 2017-11-23
duduka
22:06:51 2017-11-23
mk.insta
22:02:48 2017-11-23
razgen
22:01:24 2017-11-23
GREII
21:21:59 2017-11-23
Любитель пляжного футбола
21:08:06 2017-11-23
Дороговато только, проще пистолет купить. :)
Dvakota
20:35:42 2017-11-23
Alex_1774
20:13:34 2017-11-23
Я за Доктор Веб.
Сергей
19:58:39 2017-11-23
korova Marta
19:30:39 2017-11-23
Шалтай Александр Болтай
18:36:51 2017-11-23
Toma
17:41:23 2017-11-23
La folle
16:10:14 2017-11-23
Masha
16:04:45 2017-11-23
Lia00
16:03:44 2017-11-23
vinnetou
15:58:11 2017-11-23
Damir
15:43:16 2017-11-23
Alexander
15:01:26 2017-11-23
С утверждением Кевин Бочек не согласен. Это у него какое-то упадническое настроение, а еще и называет себя "стратег". Способов борьбы с воровством и инсайдерством много.
Для потребителей программных продуктов, в конечном итоге, важна их качественная работа по принципу - делай дело и не навреди. А вопросы легитимности используемых фирмой сертификатов руководителей интересуют в первую очередь с точки зрения не допущения юридического и финансового преследования.
Но ведь продукты с поддельными сертификатами могут и навредить, тем более, если это их основная цель. Вот тут-то и приходят на помощь комплексные продукты Dr.Web. Основная цель которых не проверка подлинности сертификатов, хотя, это тоже учитывается, - а реальная защита от возможных разнообразных атак, скрывающихся за якобы легитимным сертификатом цифрового продукта. Главное - не как "он" выглядит, а что "он" делает. Использую Dr.Web Security Space - прекрасная и надежная защита.
Геральт
14:21:58 2017-11-23
Alexander
13:33:41 2017-11-23
Alexander
13:22:12 2017-11-23
Татьяна
13:10:31 2017-11-23
Дмитрий
13:09:56 2017-11-23
AxooxA
12:49:36 2017-11-23
SGES
12:36:26 2017-11-23
Yra.Ka.
12:33:58 2017-11-23
Dmur
12:17:01 2017-11-23
Анатолий
12:15:50 2017-11-23
Mehatronik
12:07:04 2017-11-23
DrKV
11:42:15 2017-11-23
Oleg
11:40:13 2017-11-23
МЕДВЕДЬ
11:39:01 2017-11-23
dyadya_Sasha
11:17:12 2017-11-23
Возможно он имел ввиду, что не все открытые технологии одинаково безопасны?..."
Не соблюдение правил безопасности приведет к перестановке ОС и возможно с форматированием на низком уровне.
Владимир
11:08:18 2017-11-23
dyadya_Sasha
11:04:25 2017-11-23
Легкий запах перегара и слегка заплетающая речь дали повод усомниться в подлиности издателя Деда Мороза. Сканированный с шеи QR-код сертификата показал, что Дед Мороз подлинный и объяснения по поводу предыдущих инсталяций в нестандартных условиях было принято. Праздник продолжился!)))
orw_mikle
11:03:40 2017-11-23
Сергей
10:55:15 2017-11-23
Zserg
10:48:11 2017-11-23