Перейти к содержанию

Подписанные сертификаты Stuxnet: наиболее часто задаваемые вопросы

Konstantin.

От Konstantin.
в Жизнь «Лаборатории Касперского»

 Share

Рекомендуемые сообщения

Konstantin. Профи

Konstantin.

Опубликовано
Опубликовано

Костин Раю

Эксперт «Лаборатории Касперского»

 

Вчера вечером Verisign действовала оперативно и аннулировала второй похищенный сертификат, использовавшийся для подписи одной из версий драйвера-руткита Stuxnet. Как уже говорилось ранее, этот сертификат принадлежит известной тайваньской компании – производителю компьютерного оборудования JMicron Technology Corp.

 

( http://www.securelist.com/ru/images/pictur...lblog/32853.png )

 

Мы подготовили небольшой список вопросов-ответов о Stuxnet и об аннулированных похищенных сертификатах.

 

1. Слышал, что Microsoft и Verisign аннулировали похищенный сертификат Realtek. Могу ли я считать, что сейчас я в полной безопасности?

 

Исходя из того, как работают сертификаты, аннулированный сертификат не означает, что зловреды не будут больше запускаться. Вы по-прежнему можете заразиться Stuxnet, а драйвер по-прежнему сможет загружаться без предупреждения. Единственное следствие аннулирования сертификата – в том, что плохие парни больше не смогут подписать им какую-либо вредоносную программу.

 

2. О каком количестве похищенных сертификатов мы говорим?

 

На данный момент нам попадались драйверы Stuxnet, подписанные сертификатами JMicron Technology Corp и Realtek Semiconductor Corp. Обе компании, похоже, имеют офисы на территории Hsinchu Science and Industrial Park на Тайване. Это может означать, что это дело рук инсайдеров. Возможно также, что сертификаты были украдены с использованием специальных троянских программ, таких как ZeuS, или каких-то других.

 

3. У меня на компьютере установлена плата Realtek/JMicron motherboard/network. Значит ли это, что я в опасности?

 

Пока мы не обнаружили ничего подозрительного в драйверах Realtek/JMicron.

 

4. Теперь, когда Microsoft и Verisign аннулировали свои сертификаты Realtek/JMicron, значит ли это, что мои драйверы Realtek/JMicron перестанут работать?

 

Нет. Благодаря тому, как устроена работа сертификатов и подписей, аннулирование не влияет на уже подписанные драйверы. Обе компании выпустили новые сертификаты, которые они используют для подписи новых драйверов.

 

5. Новые подписанные зловреды могут появиться в будущем?

 

Скорее всего, да. В настоящее время существуют десятки тысяч подписанных вредоносных программ – и это факт. Для получения более подробной информации предлагаю всем ознакомиться с новой, очень интересной презентацией Йарно Нимела (Jarno Niemelä) «Подписано – значит безопасно?», с которой он выступил на конференции CARO Workshop в начале этого года: http://www.f-secure.com/weblog/archives/Ja..._its_signed.pdf

 

Источник: Securelist

Ссылка на комментарий
Поделиться на другие сайты
AlexNEW Ветеран

AlexNEW

Опубликовано
Опубликовано
Единственное следствие аннулирования сертификата – в том, что плохие парни больше не смогут подписать им какую-либо вредоносную программу.
единственное и радует :).
Ссылка на комментарий
Поделиться на другие сайты
Nikolay Lazarenko Ветеран

Nikolay Lazarenko

Опубликовано
Опубликовано

Раньше надо было тему создавать :) :huh: А то уже развязка всей этой истории :) Я начал читать "Мирт и Гуава" когда 3 эпизод вышел.

Ссылка на комментарий
Поделиться на другие сайты
Keeper-Volok Опытный

Keeper-Volok

Опубликовано
Опубликовано
Единственное следствие аннулирования сертификата – в том, что плохие парни больше не смогут подписать им какую-либо вредоносную программу.
И с каких пор подпись бинарника стала он-лайновой?
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем
×
×
  • Создать...