A vírusok írói ellopják és lemásolják az érvényes aláírásokat, hogy elhitessék a felhasználóval és a vírusirtó programmal, hogy a fájl biztonságos. A Kaspersky Lab a folyamatos fenyegetést képviselő támadások (APT) módszerei között évek óta megfigyelte már ezt a megoldást – mondta Andrey Ladikov stratégiai kutatásokért felelős vezető.
A hírhedt Stuxnet féreg a Realtek és a JMicron ellopott tanúsítványait használta. A Winnti hackercsoport feltört rendszerű játékfejlesztő cégek tanúsítványait hasznosította újra támadásaiban. Arra is láthattunk már példát, hogy több kínai hacker támadásaiban ugyanaz a tanúsítvány került elő.
Hogy ne telepítsünk malware-t azért, mert az érvényesnek tűnő tanúsítványt nem szűri ki a víruskereső rendszer, a következő biztonsági előírások betartásával kell figyelni az aláírással rendelkező fájlokra:
1. Tiltassuk le az olyan programok telepítését, amelyek ismeretlen szoftvergyártó digitális aláírásával rendelkeznek: a legtöbb ellopott tanúsítvány kis fejlesztőktől származik.
2. Amikor ismeretlen tanúsítványközpontból érkező tanúsítvánnyal találkozunk, ne fogadjuk el!
3. Ne engedélyezzük a programok telepítését pusztán azért, mert a tanúsítvány nevéből azt feltételezzük, hogy megbízható! Vizsgáljuk meg a tanúsítvány többi paraméterét is, például a sorozatszámát és a tanúsítvány ujjlenyomatát (hash sum)!
4. Telepítsük a Microsoft MS13-098 jelű frissítést, ez megszünteti az abból fakadó hibát, hogy az aláírt fájl további adatokat tartalmazhat, anélkül, hogy a fájl aláírását megsértené.
5. Használjunk olyan vírusirtót, amely saját adatbázissal rendelkezik a megbízható és nem megbízható tanúsítványokról!
