Подписанные сертификаты Stuxnet: наиболее часто задаваемые вопросы

[Konstantin. 247]

Костин Раю

Эксперт «Лаборатории Касперского»

 

Вчера вечером Verisign действовала оперативно и аннулировала второй похищенный сертификат, использовавшийся для подписи одной из версий драйвера-руткита Stuxnet. Как уже говорилось ранее, этот сертификат принадлежит известной тайваньской компании – производителю компьютерного оборудования JMicron Technology Corp.

 

( http://www.securelist.com/ru/images/pictur...lblog/32853.png )

 

Мы подготовили небольшой список вопросов-ответов о Stuxnet и об аннулированных похищенных сертификатах.

 

1. Слышал, что Microsoft и Verisign аннулировали похищенный сертификат Realtek. Могу ли я считать, что сейчас я в полной безопасности?

 

Исходя из того, как работают сертификаты, аннулированный сертификат не означает, что зловреды не будут больше запускаться. Вы по-прежнему можете заразиться Stuxnet, а драйвер по-прежнему сможет загружаться без предупреждения. Единственное следствие аннулирования сертификата – в том, что плохие парни больше не смогут подписать им какую-либо вредоносную программу.

 

2. О каком количестве похищенных сертификатов мы говорим?

 

На данный момент нам попадались драйверы Stuxnet, подписанные сертификатами JMicron Technology Corp и Realtek Semiconductor Corp. Обе компании, похоже, имеют офисы на территории Hsinchu Science and Industrial Park на Тайване. Это может означать, что это дело рук инсайдеров. Возможно также, что сертификаты были украдены с использованием специальных троянских программ, таких как ZeuS, или каких-то других.

 

3. У меня на компьютере установлена плата Realtek/JMicron motherboard/network. Значит ли это, что я в опасности?

 

Пока мы не обнаружили ничего подозрительного в драйверах Realtek/JMicron.

 

4. Теперь, когда Microsoft и Verisign аннулировали свои сертификаты Realtek/JMicron, значит ли это, что мои драйверы Realtek/JMicron перестанут работать?

 

Нет. Благодаря тому, как устроена работа сертификатов и подписей, аннулирование не влияет на уже подписанные драйверы. Обе компании выпустили новые сертификаты, которые они используют для подписи новых драйверов.

 

5. Новые подписанные зловреды могут появиться в будущем?

 

Скорее всего, да. В настоящее время существуют десятки тысяч подписанных вредоносных программ – и это факт. Для получения более подробной информации предлагаю всем ознакомиться с новой, очень интересной презентацией Йарно Нимела (Jarno Niemelä) «Подписано – значит безопасно?», с которой он выступил на конференции CARO Workshop в начале этого года: http://www.f-secure.com/weblog/archives/Ja..._its_signed.pdf

 

Источник: Securelist

[_Strannik_ 905]

Да чем больше в лес тем больше дров...

[pit 3]

Строгое предупреждение от модератора vasdas

Предупреждение, флуд п. 21 правил форума.

[AlexNEW 143]

Единственное следствие аннулирования сертификата – в том, что плохие парни больше не смогут подписать им какую-либо вредоносную программу.

единственное и радует .

[Nikolay Lazarenko 658]

Раньше надо было тему создавать А то уже развязка всей этой истории Я начал читать "Мирт и Гуава" когда 3 эпизод вышел.

[Keeper-Volok 37]

Единственное следствие аннулирования сертификата – в том, что плохие парни больше не смогут подписать им какую-либо вредоносную программу.

И с каких пор подпись бинарника стала он-лайновой?

[Nikolay Lazarenko 658]

Читаем полностью "Мирт и Гуава" со всеми комментариями

http://www.securelist.com/ru/blog/34291/Mi..._guava_Epizod_1