Вы используете устаревший браузер!

Страница может отображаться некорректно.

Незваные гости

Незваные гости

Другие выпуски этой рубрики (54)
  • добавить в избранное
    Добавить в закладки

Цифровой автограф

Прочитали: 1742 Комментариев: 85 Рейтинг: 100

Вирусные базы и сами продукты Dr.Web снабжены цифровой подписью. Что она собой представляет и зачем нужна?

Злоумышленники пытаются подменять и приложения известных разработчиков, и их компоненты (в случае с Dr.Web – вирусные базы). Понятно, насколько привлекательна для преступника возможность заменить одну базу на другую, не имеющую нужной записи. Цифровая подпись гарантирует, что подгружаемое приложение (или компонент) создано определенным разработчиком и после того, как было подписано, никем не изменялось.

Во всех версиях Windows, начиная с Windows XP SP2, в момент запуска или установки программного обеспечения (в том числе драйверов) проверяется наличие цифровой подписи. Если ее нет, пользователь получает сообщение о том, что издатель приложения неизвестен и запуск данной программы не рекомендуется. Если же продукт подписан, выводится информация о его разработчике, а также используемом сертификате.

#drweb

Узнать немного больше об используемом сертификате можно, кликнув по ссылке.

#drweb

Процедура подписи предполагает получение разработчиком сертификата Code Signing, он же «сертификат разработчика».

Такие сертификаты выпускаются разными компаниями и различаются по назначению, возможностям и стоимости. Получив нужный сертификат, можно подписывать не только исполняемые файлы и библиотеки, но и другие объекты – скрипты, макросы для файлов MS Office, Java-приложения…

Как ставится и проверяется подпись?

Получив нужный сертификат, разработчик с помощью специальной утилиты подсчитывает контрольную сумму подписываемого кода (хеш), кодирует полученный результат и помещает пакет данных, включающий зашифрованный хеш (и, возможно, другие данные), в файл с подписываемым кодом. Скажем, дописывает эти данные в конец файла.

В момент запуска или загрузки приложения система подсчитывает хеш проверяемого кода с использованием того же алгоритма, который использовался для подсчета хеша при подписи файла. Для этого используется публичный ключ издателя, который содержится в сертификате. Система производит расшифровку и сравнивает между собой два хеша.

При этом есть маленький нюанс. Выше мы говорили, что сертификат может быть получен у известной компании, занимающейся данным бизнесом. Это так, но никто не мешает разработчику самостоятельно создавать сертификаты и подписывать с их помощью свои файлы. Естественно, это обеспечит целостность, но вот доверия пользователя к происхождению файла не даст. Решает ситуацию то, что сертификат – это не «вещь в себе», он связан с корневым сертификатом центра сертификации.

Пользовательские устройства, как правило, уже включают корневые сертификаты центров сертификации. Когда ПО расшифровывает цифровую подпись, оно проверяет также корневой сертификат в системе, источник проверенной информации. В случае использования «самоподписного» сертификата вы получите сообщение: «Издатель не может быть проверен».

#drweb

Как узнать, какие сертификаты используются на вашем устройстве, описано, например, здесь (http://pyatilistnik.org/gde-hranyatsya-sertifikatyi-v-windows-sistemah).

Казалось бы – вот и выход. Подписываем все самые распространенные приложения, проверяем их на целостность при запуске – и антивирус не нужен! Увы, не получится. Даже если не брать в расчет возможность взлома компании, занимающейся выдачей сертификатов, – это товар, который можно украсть и продать.

Троянец-шифровальщик Mac.Trojan.KeRanger.2 подписан действующим сертификатом разработчика приложений для OS X, благодаря чему программа могла обойти встроенную систему защиты ОС от Apple.

http://news.drweb.com/show/?c=5&i=9877&lng=ru

Мониторинг подпольных форумов, где осуществляется торговля сертификатами, указывает на печальную тенденцию: в последнее время сертификатов в продаже стало больше.

#drweb

В первом сообщении предлагали сертификаты по $980. У авторов явно есть постоянный поставщик, который имеет постоянный доступ к одному из пяти крупнейших центров сертификации.

Новые сертификаты поступают в продажу каждые 1-2 недели.

https://xakep.ru/2014/10/16/code-signing-sale

Исследователи обнаружили, что сертификаты для подписи цифрового кода продаются на черных рынках в Сети дороже оружия.

Продажа одного сертификата может принести киберпреступнику до 1200 долларов США. Для сравнения: кредитные карты могут стоить всего несколько долларов, паспорта США могут принести примерно 850 долларов, а пистолет можно купить за 600 долларов.

https://www.anti-malware.ru/news/2017-10-31-1447/24615

Эксперты, естественно, бьют тревогу.

«Украденные сертификаты практически не оставляют организациям шанса обнаружить вредоносную программу» – сказал Кевин Бочек, главный стратег по безопасности Venfai.

https://www.anti-malware.ru/news/2017-10-31-1447/24615

#цифровая_подпись #технологии #Windows

Dr.Web рекомендует

На самом деле не все так плохо. Подпись сертификатов, к счастью, – не единственный метод проверки файлов на заражение. Наличие подписи учитывается антивирусом Dr.Web в процессе оценки файла (антивирус – это не только вирусные базы!), но это не является единственным критерием истины.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: