Перейти к содержанию

Подписанные сертификаты Stuxnet: наиболее часто задаваемые вопросы

Konstantin.

От Konstantin.
в Жизнь «Лаборатории Касперского»

 Share

Рекомендуемые сообщения

Konstantin. Профи

Konstantin.

Опубликовано
Опубликовано

Костин Раю

Эксперт «Лаборатории Касперского»

 

Вчера вечером Verisign действовала оперативно и аннулировала второй похищенный сертификат, использовавшийся для подписи одной из версий драйвера-руткита Stuxnet. Как уже говорилось ранее, этот сертификат принадлежит известной тайваньской компании – производителю компьютерного оборудования JMicron Technology Corp.

 

( http://www.securelist.com/ru/images/pictur...lblog/32853.png )

 

Мы подготовили небольшой список вопросов-ответов о Stuxnet и об аннулированных похищенных сертификатах.

 

1. Слышал, что Microsoft и Verisign аннулировали похищенный сертификат Realtek. Могу ли я считать, что сейчас я в полной безопасности?

 

Исходя из того, как работают сертификаты, аннулированный сертификат не означает, что зловреды не будут больше запускаться. Вы по-прежнему можете заразиться Stuxnet, а драйвер по-прежнему сможет загружаться без предупреждения. Единственное следствие аннулирования сертификата – в том, что плохие парни больше не смогут подписать им какую-либо вредоносную программу.

 

2. О каком количестве похищенных сертификатов мы говорим?

 

На данный момент нам попадались драйверы Stuxnet, подписанные сертификатами JMicron Technology Corp и Realtek Semiconductor Corp. Обе компании, похоже, имеют офисы на территории Hsinchu Science and Industrial Park на Тайване. Это может означать, что это дело рук инсайдеров. Возможно также, что сертификаты были украдены с использованием специальных троянских программ, таких как ZeuS, или каких-то других.

 

3. У меня на компьютере установлена плата Realtek/JMicron motherboard/network. Значит ли это, что я в опасности?

 

Пока мы не обнаружили ничего подозрительного в драйверах Realtek/JMicron.

 

4. Теперь, когда Microsoft и Verisign аннулировали свои сертификаты Realtek/JMicron, значит ли это, что мои драйверы Realtek/JMicron перестанут работать?

 

Нет. Благодаря тому, как устроена работа сертификатов и подписей, аннулирование не влияет на уже подписанные драйверы. Обе компании выпустили новые сертификаты, которые они используют для подписи новых драйверов.

 

5. Новые подписанные зловреды могут появиться в будущем?

 

Скорее всего, да. В настоящее время существуют десятки тысяч подписанных вредоносных программ – и это факт. Для получения более подробной информации предлагаю всем ознакомиться с новой, очень интересной презентацией Йарно Нимела (Jarno Niemelä) «Подписано – значит безопасно?», с которой он выступил на конференции CARO Workshop в начале этого года: http://www.f-secure.com/weblog/archives/Ja..._its_signed.pdf

 

Источник: Securelist

Ссылка на комментарий
Поделиться на другие сайты
AlexNEW Ветеран

AlexNEW

Опубликовано
Опубликовано
Единственное следствие аннулирования сертификата – в том, что плохие парни больше не смогут подписать им какую-либо вредоносную программу.
единственное и радует :).
Ссылка на комментарий
Поделиться на другие сайты
Nikolay Lazarenko Ветеран

Nikolay Lazarenko

Опубликовано
Опубликовано

Раньше надо было тему создавать :) :huh: А то уже развязка всей этой истории :) Я начал читать "Мирт и Гуава" когда 3 эпизод вышел.

Ссылка на комментарий
Поделиться на другие сайты
Keeper-Volok Опытный

Keeper-Volok

Опубликовано
Опубликовано
Единственное следствие аннулирования сертификата – в том, что плохие парни больше не смогут подписать им какую-либо вредоносную программу.
И с каких пор подпись бинарника стала он-лайновой?
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Elly
      Викторина по часто задаваемым вопросам. Правила
      От Elly
      Друзья!
       
      Почти все пользователи нашего клуба так или иначе пользовались или в настоящее время пользуются продуктами «Лаборатории Касперского». И у большинства из нас всегда возникали вопросы, связанные с выбором, покупкой или настройкой приложений. Сегодня мы предлагаем вам пройти викторину по "Часто задаваемым вопросам" и ответам на эти вопросы. Эти ответы помогут вам решить некоторые ваши вопросы.
       
      ПРАВИЛА
      Викторина состоит из 10 несложных вопросов, ответы на которые вы найдете на сайте Поддержки Лаборатории Касперского в одной из полезных ссылок раздела "Поддержка приложений для дома".
       
      НАГРАЖДЕНИЕ
      Без ошибок — 800 баллов Одна ошибка — 500 баллов Две ошибки — 300 баллов Баллами можно оплатить лицензии и сувениры в магазине Клуба. 
       
      ПРАВИЛА ПРОВЕДЕНИЯ
      Викторина проводится до 20:00 02 марта 2025 года (время московское).
      Правильные ответы будут опубликованы не позднее 10 дней с момента окончания викторины. Публичное обсуждение вопросов и ответов викторины запрещено. Итоги будут подведены в течение десяти дней с момента публикации правильных ответов. Баллы будут начислены в течение двадцати дней с момента опубликования итогов викторины.

      Все вопросы, связанные с корректностью проведения викторины, необходимо отправлять пользователю @oit (пользователя @Elly включать в копию адресатов) через систему личных сообщений с подробным описанием ситуации. Ответ будет дан коллегиальным решением организаторов викторины и дальнейшего обсуждения не предполагает.
      Вопросы по начислению баллов направлять пользователю @Elly через систему личных сообщений.

      Вопросы по викторине принимаются только через личные сообщения в течение срока проведения викторины и не позднее трёх дней после публикации ответов (время московское). Ответы направляются представителем от организаторов викторины через личные сообщения в рамках созданной переписки.

      Администрация, официально уведомив, может в любой момент внести изменения в правила викторины, перезапустить или вовсе прекратить её проведение, а также отказать участнику в получении приза, применить иные меры (вплоть до блокировки аккаунта) в случае выявления фактов или существенных подозрений со стороны Администрации клуба его недобросовестного участия в ней и/или нарушения правил викторины, передачи ответов на викторину иным участникам. При ответе на вопросы викторины запрещается использовать анонимайзеры и другие технические средства для намеренного сокрытия реального IP-адреса.

      Вопросы по начислению баллов, принимаются в течение 30 дней с момента подведения итогов викторины. Викторина является собственностью клуба «Лаборатории Касперского», её использование на сторонних ресурсах без разрешения администрации клуба запрещено.

      Участие в викторине означает безоговорочное согласие с настоящими правилами.
      Для перехода к вопросам викторины нажмите ЗДЕСЬ.
×
×
  • Создать...