I Kaspersky Lab rendono note le statistiche di diffusione dei certificati non attendibili utilizzati per firmare i software nocivi. Secondo le stime, nell’ultimo anno la quota è raddoppiata, con un database che ha raggiunto le 6.000 unità.
Considerando l’aumento delle minacce legate alla firma di file dannosi, gli esperti consigliano agli amministratori di sistema e agli utenti di verificare le firme e di non tenere conto solo della “fama che precede la firma”.
Morten Lehn, Managing Director di Kaspersky Lab Italia
Gli hacker rubano e imitano firme notoriamente affidabili per ingannare gli utenti e le soluzioni antivirus. Kaspersky Lab ha osservato per anni gli attori APT utilizzare questa tecnica.
Il famigerato worm Stuxnet usava certificati rubati da Realtek e JMicron. La banda Winnti rubava certificati da aziende gaming compromesse e li riutilizzava per nuovi attacchi. Inoltre, sono stati rilevati esempi degli stessi certificati usati in attacchi lanciati da gruppi di hacker cinesi, il che suggerisce la presenza di un mercato nero. Il gruppo Darkhotel era solito firmare la sua backdoor con certificati digitali e aveva accesso ai codici segreti necessari per creare certificati falsi.
Per ridurre il rischio di avviare nuovi malware che gli antivirus ancora non sono in grado di riconoscere ed evitare che il vostro computer li identifichi come certificati digitali validi, è necessario mantenere un maggior controllo sulle firme dei file con un’adeguata protezione antivirus e rispettare le policy di sicurezza:
1. Imporre il divieto di lanciare programmi firmati digitalmente da un vendor di software sconosciuto: la maggior parte dei certificati rubati vengono da piccoli sviluppatori;
2. Non installare in memoria certificati provenienti da centri di certificazione sconosciuti;
3. Non tenere conto solo della notorietà del certificato quando si acconsente a lanciare un programmi certificato. Controllare anche il numero di serie e la fingerprint del certificato (hash sum);
4. Installare l’aggiornamento Microsoft MS13-098, elimina l’errore che può includere informazioni aggiuntive sul file firmato senza violarne la firma;
5. Usare una soluzione antivirus che abbia a disposizione un suo proprio database di certificati affidabili o da evitare.
