Když se v roce 2010 objevil vir Stuxnet, který napadal především průmyslové systémy, nepřekvapil odbornou veřejnost ani tak svou sofistikovaností, jako spíše tím, že používal komponenty podepsané digitálními certifikáty ukradenými ze společností Realtek a JMicron. Bezpečnostní experti již tehdy varovali, že se touto cestou mohou v budoucnosti vydat i tvůrci jiných malwarů. Vzhledem k poslednímu vývoji se zdá, že měli pravdu.
Například „backdoor“ v systému Windows objevený společností Symantec v listopadu loňského roku umožňoval instalaci rootkitového ovladače podepsaného digitálním certifikátem nejmenované firmy. Certifikát byl sice na žádost majitele odvolán o devět dní později společností VeriSign, použitelnost malwaru však byla zcela jistě delší, protože „Windows kontroluje seznam CRL (certificate revocation lists) jen velmi zřídka nebo je dokonce nekontroluje vůbec,“ říká Mircea Ciubotariu ze Symantecu.
I kdyby však Windows tyto seznamy kontrolovat častěji, nemělo by to na působení digitálně podepsaného malwaru zřejmě velký vliv. Blokování některých odvolaných certifikátů by totiž mohlo mít negativní dopad na činnost běžného uživatele. Dobrým příkladem je certifikát Realteku v již zmíněném viru Stuxnet. Pokud by Microsoft zabránil načítání všech souborů podepsaných tímto certifikátem, pravděpodobně by tím vyřadil z provozu počítače miliónů uživatelů hardwaru od RealTeku.
Na jiný případ podepsaného malwaru upozornili nedávno výzkumníci z Kaspersky Lab. Šlo o malware zneužívající digitální certifikát švýcarské firmy Conpavi AG, která spolupracuje s tamními vládními organizacemi. Vir Trojan-Dropper.Win32/Win64.Mediyes využíval odkazů na falešné webové stránky. O pozornost bezpečnostních expertů se pak zasloužil také vir Gh0st RAT (Remote Access Trojan), který cílil na tibetské aktivisty.
PŘEDPLATNÉ
ČLÁNKY DO MAILU