Ukradené certifikáty NVIDIA slouží k podpisu malwaru; nedovolte, aby se to stalo i vám

21. 3. 2022 | Jindřich Zechmeister

Možná jste nedávno zaslechli o hacku společnosti NVIDIA a krádeži terabajtu dat, který byl zveřejněn na internetu. Během tohoto hacku byl odcizen i certifikát pro podpis kódu s privátním klíčem, který nyní podvodníci zneužívají k podpisu škodlivého kódu a šíření malware. V tomto článku se dozvíte jak takové krádeži účinně a snadno předejít.

Ukradený certifikát slouží k šíření malware

Známého výrobce hardware NVIDIA hackla skupina označující se jako Lapsus$ a po neúspěšné žádosti o výkupné zveřejnili 1TB ukradených dat. To další uživatele sice přímo nepoškozuje, ale součástí hacku byla bohužel i krádež certifikátu pro podpis kódu (Code Signing), který NVIDIA používala pro svůj podpis driverů či programů.

Nový držitel certifikátu a privátního klíče tak mohl začít podepisovat jakýkoliv škodlivý kód jménem NVIDIA a ten se tvářil jako pocházející od tohoto výrobce. To mohlo způsobit nemalé škody a nákazu mezi obětmi. I přesto, že byly certifikáty již expirované, jim systém Windows důvěřoval (pokud je podpis opatřen časovou známkou z doby, kdy certifikát ještě platil, nemá totiž expirace certifikátu na podepsanou aplikaci vliv).

Digitální podpis tohoto malware pomáhá zvýšit důvěryhodnost kódu v systému uživatele a právem vytváří dojem, že aplikace skutečně pochází od NVIDIe (umožňuje tuto autentizaci). Přitom si v tomto případě spuštěním závadné aplikace zavirujete počítač. Účinná prevence takového zneužití je však známá a dozvíte se ji i v následujícím odstavci. Podepisování kódu je přitom užitečné nejen kvůli průkaznosti původu, ale i proto, že podepsanou aplikaci nemůže nikdo změnit. Pokud by tak učinil a přidal například škodlivý kód, digitální podpis přestane být platný. To je další aspekt ochrany vašich zákazníků.

Řešením bezpečného podepisování je Code Signing EV certifikát a cloud

Certifikáty pro podpis kódu by měly být řádně zabezpečené; v opačném případě hazardujete s dobrým jménem vaší společnosti. Ukradený certifikát se téměř jistě objeví ve špatných rukou a bude zneužit pro šíření malwaru.

Tomuto incidentu však šlo předejít - stačilo zvolit vhodný typ Code Signing certifikátu odpovídající velikosti a významu společnosti NVIDIA. V naší nabídce máme dvojí řešení bezpečného podepisování - Code Signing EV certifikát a platformu DigiCert ONE.

Code Signing EV certifikát je umístěn na tokenu, který musí být před podepisováním vložen do PC a při podepisování musíte zadat heslo k tokenu (resp. k odemknutí privátního klíče). Pokud tak učiníte opakovaně špatně, tak se token zablokuje a jeho obsah smaže. Je vyloučeno, aby útočník trefil dostatečně složité heslo na 5 pokusů; pokud mu heslo nedáte na zlatém podnose (nalepené na monitoru), tak nemá jak certifikát na tokenu zneužít. Navíc by k němu potřeboval fyzický přístup.

DigiCert ONE je moderní platforma, která vám umožňuje podepisovat v cloudu. Nemusíte tak mít certifikát (a privátní klíč) v počítači lokálně, což je bezpečnější. Tomuto tématu se budeme na blogu věnovat v blízké budoucnosti a pokud máte zájem o více informací již nyní, neváhejte kontaktovat naši podporu.

Jste zvyklí podepisovat aplikace tradičně? Tak se to nebojte nyní změnit!

Už mnoho let útočníci dokazují, že podepisování aplikací pomocí lokálně uloženého certifikátu není správný a bezpečný postup. Pokud máte certifikát Code Signing uložen v úložišti certifikátů, nebo dokonce jako soubor PFX, změňte okamžitě tyto návyky. S SSLmarketem dosáhnete snadno vyšší bezpečnosti podepisování aplikací. Stačí se s námi poradit a se vším vám pomůžeme.

Bezpečnějším podepisováním aplikací a kódu nechráníte pouze svoje jméno, ale hlavně své uživatele! Jednou ztracená důvěra se velice těžko získává zpět. Poraďte se s námi a zabezpečte své aplikace ještě dnes!

Zdroj

  1. Bleepingcomputer: Malware now using NVIDIA's stolen code signing certificates

Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz