Certyfikaty a zaufanie...czy na pewno dają 100% pewności
#1
Co łączy tak znane aplikacje jak Comodo, CCleaner oraz tak znane szkodniki jak Stuxnet i Zeus? Łączą je certyfikaty...certyfikaty czyli standaryzowane cyfrowe podpisy poświadczające, że aplikacje posługujące się nimi są zaufane dla systemu, dla programów zabezpieczających i dalej użytkownika. Czy jednak na pewno taki certyfikat to 100% pewności...100% zaufania? No nie...a poniższe wyniki analiz 5000 próbek plików zaufanych i szkodliwych (50 na 50%) wskazują, jak wiele plików szkodliwych wykorzystuje zaufane certyfikaty.

[Obrazek: root-CA.png]
źródło obrazka
https://www.intezer.com/digital-certific...is-broken/

Jak widać z wykresu szkodliwie certyfikaty Comodo są kilkunastokrotnie częściej używane niż w przypadku aplikacji rzeczywiście zaufanych. Z drugiej strony jedynie certyfikaty Microsoftu nie zostały użyte...w tym badaniu...w aplikacjach szkodliwych, co prawdopodobnie wynikać może z tego, że MS udziela zaufania tylko swoim własnym programom (podobnie ma się rzecz również w przypadku m.in. takich producentów jak Intel czy Adobe).

Poniżej właściwości jednej z odmian trojana bankowego Zeus i jego certyfikat...od Comodo Smile

[Obrazek: pasted-image-0.png]
źródło
https://www.intezer.com/dont-fooled-malw...-security/

Poniżej lista szkodników wykorzystujących zaufane certyfikaty
http://signedmalware.org/

Dla bardziej wnikliwych "czy zaufanie to faktycznie istotny problem nie tylko w przypadku pojedynczych plików, ale również w skali systemu?" polecam to video z wywiadem z Joanna Rutkowską
http://www.cyberdefence24.pl/dazymy-do-o...-days-2018
oraz artykuł na temat jej wystąpienia na BLACK HAT EUROPE w ubiegłym roku w Londynie
https://www.darkreading.com/vulnerabilit...id/1330587
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#2
Ciekawe porównanie. Ja to widzę w inny sposób - zarówno systemy oraz AV posiadają coraz lepsze zabezpieczenia. Sam system Windows 10 wprowadza ograniczenia co do uruchamiania niepodpisanych plików, dlatego coraz częściej są one podpisane. A fakt, że certy Comodo są prawie najbardziej popularne, to świadczy o tym, że są... tanie. Wystarczy porównać ceny pozostałych. Co więcej taki cyfrowy podpis jest czasami skutecznym sposobem na oszukanie zabezpieczeń, jeśli AV w ciemno "ufa" wydawcom zaufanych certyfikatów.
Odpowiedz
#3
Ale antywirus też musi dodać certyfikat do swojej listy z drugiej strony jak by uruchomić program w trybie blokuj z pustą listą procesów to by pewnie sie system zablokował.
bo program by zablokował podstawowe funkcje/procesy niezbędne do działania systemu.
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
#4
Antywirus nie dodaje certyfikatów do listy bo przeważnie jej nie ma. A jeśli ma to dotyczy Root CA, albo korzysta z certów wbudowanych w system, w tym i pośrednich. Jeśli widzi zaufanego wydawcę to plik dopuszcza do działania, ale też może śledzić jego zachowanie - i tak robi chyba większość renomowanych antywirusów. Nie ważne czy plik jest podpisany czy nie jest - będzie coś modyfikował w systemie lub tworzył pliki w podejrzanych miejscach / uruchamiał procesy to może zostać uznany za niebezpieczny. Jeśli nie może zweryfikować wydawcy, to zapyta czy go dodać do wbudowanej listy. Mało które AV to robią. Mam na myśli przede wszystkim programy pokroju SecureAPlus.
Odpowiedz
#5
Programy zabezpieczające...nie tylko AV przecież...mogą dodać zaufane certyfikaty/dostawców, jeśli im to "zlecimy" w ustawieniach. Większość poważniejszych...bardziej skomplikowanych...narzędzi natomiast ma wbudowane takie własne bazy albo łączy się z chmurą w celu ich weryfikacji i to jest pewien sposób na przefiltrowanie plików uznanych za zaufane..."uznanych" jest słowem chyba kluczowym, bo to mechanizmy aplikacji mają za zadanie rozpoznać certyfikat i dopuścić do uruchomienia-instalacji-akcji mniej lub bardziej ingerujących w system.
To od dawna nie był mechanizm, które obdarzano pełnym zaufaniem, co widać w starszego rodzaju softach typu zapora, HIPS/monitor gdzie funkcja zaufania aplikacjom Microsoft czy tym z folderu Program Files jest opcjonalna i zależna od decyzji użytkownika. Uwzględnienie takiego "masowego" zaufania jest wygodne i powoduje z pewnością mniej alertów czy FP w przypadku AV/IS, ale jak widać niesie czasem ryzyko. Często wspomagano się reputacją określaną przez społeczność użytkowników np. Online Armor, Mamutu czy ThreatFire, ale to mechanizm, który też posiada swoje wady.
Dobrym przykładem polityki zaufania w aplikacjach zabezpieczający jest SpyShelter, który posiada wbudowaną bazę zaufanych dostawców/certyfikatów idącą w dziesiątki tysięcy i w zależności od przyjętego poziomu ochrony działa albo ta baza, albo certyfikaty tylko MS albo nie działa żadna. Ponadto w ustawieniach możemy dodać własnych dostawców, a na dodatek u tych zaufanych wyłączyć monitorowanie określonych akcji.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#6
Cytat:certyfikaty czyli standaryzowane cyfrowe podpisy poświadczające, że aplikacje posługujące się nimi są zaufane dla systemu, dla programów zabezpieczających i dalej użytkownika.
Nie zgadzam się.

Zgadzam się natomiast z tym, co jest napisane na zdjęciu, które wstawiłeś:

[Obrazek: qg0vzr9.png]
Odpowiedz
#7
Jeśli Comodo będzie w taki sposób dystrybuować certyfikaty, to mogą skończyć jak Symantec.
Odpowiedz
#8
Większość nielegalnych uzyskanych certów jest dostępna przestępcom z powodu oszustwa niż włamać do sieci urzędy certyfikacji. Fałszywe certyfikaty są tworzone dla konkretnych nabywców, tylko na żądanie i zarejestrowane przy użyciu skradzionych tożsamości korporacyjnych. Jak działa zamawianie certyfikatu do podpisywania kodu ?
Oszuści działają za pośrednictwem sklepów internetowych. Klienci składają zamówienie, a właściciel sklepu udaje się do urzędu certyfikacji, aby uzyskać żądany certyfikat dla fałszywej aplikacji lub strony internetowej. Aby go uzyskać, wykorzystuje skradzione tożsamości od legalnej firmy i jej pracowników.

Wiadomo że urząd wydający certyfikat powinien bardziej przyglądać się (monitorować) danych nabywców. Jest tak ale chyba nie do końca da się to kontrolować.

https://www.recordedfuture.com/code-sign...tificates/
Odpowiedz
Podziękowania
#9
@morphiusz
No nie spodziewałem się jakiejś innej odpowiedzi Smile Wytykasz mi nieścisłości, ale mnie nie chodziło o rozprawkę tematyczną na temat podpisów cyfrowych, ale krótkie info we wstępie, jakie konsekwencje dla systemu, aplikacji i użytkownika mają naruszenia/podszywanie się pod takie zabezpieczenia.
Zapewne masz rację w swoim stwierdzeniu i nie będę kruszyć kopii, ale dobrze wiesz, że wykorzystanie przez szkodliwy kod zaufanych certyfikatów ma swoje opłakane skutki w postaci traktowania takiego kodu w systemie jako tego, któremu zezwala się na wiele niemonitorowanych/nieblokowanych akcji. W wielu przypadkach taki kod może być po prostu ignorowany lub wykluczony spod kontroli.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz




Użytkownicy przeglądający ten wątek: 1 gości