<<< Szeptemberi BME előadásaim diáiPKI tanfolyam, 2010. november >>>

Aláírt vírusok2010-10-03
Az utóbbi időben olyan vírusok jelentek amelyeket érvényes code signing tanúsítvány szerint írtak alá.

Ha az Internetről letöltünk egy programot, a Windows - nagyon helyesen - erősen bizalmatlan vele szemben. Figyelmeztet, hogy a programban vírus vagy már rosszindulatú kód lehet, és kárt okozhat a számítógépen. A megbízható gyártók aláírják a termékeiket, és a Windows felismeri, ha egy terméken aláírás szerepel, és kevésbé bizalmatlan vele szemben: attól függően, hogy milyen programról van szó, és a Windows hogyan van beállítva, vagy kérdés nélkül futtatja, vagy telepítés előtt kiírja, hogy ez és ez gyártotta a programot.

A code signing tanúsítvány szerint készített aláírás természetesen nem azt jelenti, hogy az aláírt szoftver nem okoz kárt, és azt sem jelenti, hogy jószándékkal készítették. Csak annyit jelent, hogy ismert forrásból származik. Az is igaz, hogy a hitelesítés szolgáltatók visszavonják a code signing tanúsítványt, ha valaki tudatosan rossz célra használja. (Esetünkben is ez történt, a szolgáltató visszavonta a tanúsítványt.)

A vírus készítője természetesen nem a saját tanúsítványa, hanem egy lopott tanúsítvány szerint írta alá a kódot. Elég egyetlen rosszul őrzött code signing magánkulcsot lemásolni, és a készített vírus rögtön megbízható gyártótól származó kódnak minősül.

Várható volt, hogy a vírusok is használni fogják e technológiát, csak idő kérdése volt, hogy mikor következik be.

 

 

 
Ez az én személyes honlapom, amit itt írok, az az én saját, személyes véleményem, nem feltétlenül egyezik a munkahelyem véleményével. A blogomban szereplő tartalom a Creative Commons CC BY licenc szerint (azaz a szerző és a forrás megnevezésével) szabadon felhasználható.