Chraňte jméno své firmy s Code Signing EV certifikátem

10. 12. 2018 | Jindřich Zechmeister

I vy jste možná zaslechli o bezpečnostním incidentu softwarové firmy LeagSoft Technology, jejíž code signing certifikát byl zneužit k šíření malwaru. Tato událost nás inspirovala k následujícímu článku, podívejme se v něm tedy společně na to, jak k této kompromitaci došlo a jak podobnému scénaři, který se objevuje až nečekaně často, předejít.

Za vším hledej privátní klíč

Funkce code signing certifikátů je vám jistě dobře známá – opatří softwarový produkt (například soubory .exe či .jar) digitálním podpisem, který klientovi umožní identifikovat jeho původ, tedy vývojáře, dokazuje jeho pravost a neměnnost, tedy že během distribuce nedošlo k jeho změně. Pokud je ovšem privátní klíč k tomuto certifikátu vinou nedostatečného zabezpečení odcizen, útočník může certifikát snadno zneužít k podpisu malwaru. Ten bude potom klientem pokládán za důvěryhodný, protože bude vybaven originálním podpisem legitimní společnosti a šířen jejím ukradeným jménem.

V ilustrovaném případě byl tak za neznámých okolností odcizen privátní klíč od certifikátu vystaveného pro firmu LeagSoft Technology. Pachatelem byla hackerská skupina ukrývající se pod roztomilým názvem LuckyMouse, která zcizený certifikát využila k podpisu vlastního driveru obsahující škodlivý kód. Na základě vystaveného certifikátu byla aplikace klienty hodnocena jako důveryhodná – díky legitimnímu podpisu se i malware jevil jako distribuce od ověřeného výrobce. Původ trójského koně se podařilo vystopovat firmě Kaspersky Labs.

Jaké jsou následky? Nedůvěra zákazníků

Nejen v případě LeagSoft Technology, ale i všeobecně dochází takovýmito incidenty logicky k poškození jména a důvěryhodnosti firmy – zákazníci LeagSoft jsou vystaveni dilematu, zda podepsané produkty opravdu pochází od této firmy jako deklarovaného vydavatele. Potenciál ztráty zákazníků je zde tak vlastně 1:1. Dalším následkem je snížené hodnocení filtry typu Microsoft SmartScreen, které softwarové produkty hodnotí na základě počtu stažení, ke kterým se uživatelé rozhodli na základě udělené (ne)důvěry. Tato součást Internet Exploreru 9 a 10 posuzuje důvěryhodnost stahované aplikace a pokud nezapadá do jejího indexu důvěryhodnosti, ohodnotí ji jako nerozpoznanou, varuje uživatele před jejím spuštěním a upozorňuje na možné ohrožení počítače.

Jaká je prevence? Code Signing EV certifikát

V čem je Code Signing EV certifikát revoluční a proč právě on vaši firmu ochrání? Jak jsme si vysvětlili na příběhu výše, končí odcizení privátního klíče běžně naprostou kompromitací certifikátu. U EV certifikátů toto riziko nehrozí. Užívají se výhradně na HW  tokenu, který žadateli o certifikát zašle certifikační autorita kurýrem. Po jeho obdržení si na něj žadatel ze zabezpečeného rozhraní stáhne samotný certifikát. Token si poté čerstvý majitel code signing certifikátu zabezpečí heslem.

Tato nová generace certifikátů tedy nemusí – a vlastně ani nemůže - být uložena v počítači. I pokud by došlo k fyzické krádeži tokenu, je zneužití tohoto specializovaného certifikátu vyloučeno - privátní klíč je stále chráněn heslem, po jehož několikerém špatném zadání je token zablokován. Heslo tak nelze prolomit ani slovníkovým útokem.

Bez tokenu není možné podepsat aplikaci a i v případě jeho fyzické krádeže by zloději stále stálo v cestě heslo.  

Kromě toho, že užití Code Signing EV certifikátu vylučuje kompromitaci vaší firmy, představuje i opatření proti blokaci ze strany SmartScreen Filteru. Aplikace podepsaná EV certifikátem nemůže nikdy vyvolat upozornění systému, protože získává reputaci okamžitě.

Jak Code Signing EV certifikát získat?

Prestižní Code Signing EV certifikát získáte u největšího poskytovatele SSL/TLS certifikátů ve střední Evropě, SSLmarket.cz. Nejen že vás 100% ochrání před zneužitím vašeho podpisu, ale také zaručí, že vámi distribuovaná data nebudou během přenosu změněna či zablokována Microsoftem. Naše zákaznická podpora vás provede ověřovacím procesem a s aktivací certifikátu vám rovněž pomůže.

Zdroje

Chinese malware campaign aided by compromised digital certificate

Hacker-Gruppe Luckymouse signiert Malware mit legitimem Zertifikat

 

 


Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz