Konstantin. 247 Опубликовано 22 июля, 2010 Share Опубликовано 22 июля, 2010 Костин Раю Эксперт «Лаборатории Касперского» Вчера вечером Verisign действовала оперативно и аннулировала второй похищенный сертификат, использовавшийся для подписи одной из версий драйвера-руткита Stuxnet. Как уже говорилось ранее, этот сертификат принадлежит известной тайваньской компании – производителю компьютерного оборудования JMicron Technology Corp. ( http://www.securelist.com/ru/images/pictur...lblog/32853.png ) Мы подготовили небольшой список вопросов-ответов о Stuxnet и об аннулированных похищенных сертификатах. 1. Слышал, что Microsoft и Verisign аннулировали похищенный сертификат Realtek. Могу ли я считать, что сейчас я в полной безопасности? Исходя из того, как работают сертификаты, аннулированный сертификат не означает, что зловреды не будут больше запускаться. Вы по-прежнему можете заразиться Stuxnet, а драйвер по-прежнему сможет загружаться без предупреждения. Единственное следствие аннулирования сертификата – в том, что плохие парни больше не смогут подписать им какую-либо вредоносную программу. 2. О каком количестве похищенных сертификатов мы говорим? На данный момент нам попадались драйверы Stuxnet, подписанные сертификатами JMicron Technology Corp и Realtek Semiconductor Corp. Обе компании, похоже, имеют офисы на территории Hsinchu Science and Industrial Park на Тайване. Это может означать, что это дело рук инсайдеров. Возможно также, что сертификаты были украдены с использованием специальных троянских программ, таких как ZeuS, или каких-то других. 3. У меня на компьютере установлена плата Realtek/JMicron motherboard/network. Значит ли это, что я в опасности? Пока мы не обнаружили ничего подозрительного в драйверах Realtek/JMicron. 4. Теперь, когда Microsoft и Verisign аннулировали свои сертификаты Realtek/JMicron, значит ли это, что мои драйверы Realtek/JMicron перестанут работать? Нет. Благодаря тому, как устроена работа сертификатов и подписей, аннулирование не влияет на уже подписанные драйверы. Обе компании выпустили новые сертификаты, которые они используют для подписи новых драйверов. 5. Новые подписанные зловреды могут появиться в будущем? Скорее всего, да. В настоящее время существуют десятки тысяч подписанных вредоносных программ – и это факт. Для получения более подробной информации предлагаю всем ознакомиться с новой, очень интересной презентацией Йарно Нимела (Jarno Niemelä) «Подписано – значит безопасно?», с которой он выступил на конференции CARO Workshop в начале этого года: http://www.f-secure.com/weblog/archives/Ja..._its_signed.pdf Источник: Securelist Цитата Ссылка на сообщение Поделиться на другие сайты
_Strannik_ 905 Опубликовано 23 июля, 2010 Share Опубликовано 23 июля, 2010 Да чем больше в лес тем больше дров... Цитата Ссылка на сообщение Поделиться на другие сайты
pit 3 Опубликовано 24 июля, 2010 Share Опубликовано 24 июля, 2010 Строгое предупреждение от модератора vasdas Предупреждение, флуд п. 21 правил форума. Цитата Ссылка на сообщение Поделиться на другие сайты
AlexNEW 143 Опубликовано 24 июля, 2010 Share Опубликовано 24 июля, 2010 Единственное следствие аннулирования сертификата – в том, что плохие парни больше не смогут подписать им какую-либо вредоносную программу. единственное и радует . Цитата Ссылка на сообщение Поделиться на другие сайты
Nikolay Lazarenko 658 Опубликовано 25 июля, 2010 Share Опубликовано 25 июля, 2010 Раньше надо было тему создавать А то уже развязка всей этой истории Я начал читать "Мирт и Гуава" когда 3 эпизод вышел. Цитата Ссылка на сообщение Поделиться на другие сайты
Keeper-Volok 37 Опубликовано 27 июля, 2010 Share Опубликовано 27 июля, 2010 Единственное следствие аннулирования сертификата – в том, что плохие парни больше не смогут подписать им какую-либо вредоносную программу.И с каких пор подпись бинарника стала он-лайновой? Цитата Ссылка на сообщение Поделиться на другие сайты
Nikolay Lazarenko 658 Опубликовано 29 июля, 2010 Share Опубликовано 29 июля, 2010 Читаем полностью "Мирт и Гуава" со всеми комментариями http://www.securelist.com/ru/blog/34291/Mi..._guava_Epizod_1 Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.