Nieuws

Microsoft: gestolen certificaten gebruikt voor malware

maandag 16 december 2013, 10:35 door Redactie, 7 reacties

Microsoft waarschuwt voor verschillende malware-exemplaren die met gestolen certificaten van softwareontwikkelaars gesigneerd zijn, waardoor het lijkt alsof de malware van een legitiem bedrijf afkomstig is. Door een digitale handtekening kunnen gebruikers zien van wie het programma afkomstig is.

Ook maakt het duidelijk dat er sinds het signeren niet met de inhoud van het programma is geknoeid. Het signeren van malware met een geldig certificaat biedt dan ook verschillende voordelen voor cybercriminelen. Zo kan het helpen om bepaalde beveiligingsmechanismes van het besturingssysteem en virusscanner te omzeilen.

Het signeren van malware met geldige certificaten is de afgelopen jaren dan ook flink gestegen. Het gaat hier echter om certificaten die de malwaremakers bij Certificate Authorities hebben aangevraagd. Dit zijn de partijen die certificaten uitgeven en vaak niet weten dat het uitgegeven certificaat voor kwaadaardige doelen wordt gebruikt.

Diefstal

Het gebruik van gestolen certificaten van bestaande softwareontwikkelaars komt echter zelden voor, aldus Microsoft. Recentelijk heeft de softwaregigant verschillende malware-exemplaren ontdekt die met gestolen certificaten gesigneerd zijn. Het gaat om twee nep-virusscanners genaamd FakePav en Winwebsec en een Trojaans paard genaamd Ursnif.

Winwebsec kwam in november al in het nieuws, omdat het het certificaat van een ingenieursbureau uit Enschede gebruikte. De scareware, die zich op computers als "Antivirus Security Pro" voordoet, zou in totaal 12 gestolen certificaten van legitieme bedrijven hebben gebruikt.

Microsoft waarschuwt softwareontwikkelaars dan ook om hun privésleutels voor het signeren goed te beveiligen. Er is namelijk verschillende malware in omloop die in staat is om certificaten en de bijbehorende privésleutel te stelen, waarna die door de malwaremakers te gebruiken zijn.

'Virusscanners stoppen meer dan 90% malware'

Botnet laat Firefox-gebruikers naar lekke websites zoeken

Reacties (7)

16-12-2013, 11:12 door Anoniem

"Door een digitale handtekening kunnen gebruikers zien van wie het programma afkomstig is."

Tuurlijk. Maar niet of het goedaardige software is, of malware. Of goedaardige software met lekken die malware binnen
kan laten. Dus wat heb je nou aan zo'n handtekening? Helemaal niks toch?

"Het signeren van malware met geldige certificaten is de afgelopen jaren dan ook flink gestegen. Het gaat hier echter om certificaten die de malwaremakers bij Certificate Authorities hebben aangevraagd. Dit zijn de partijen die certificaten uitgeven en vaak niet weten dat het uitgegeven certificaat voor kwaadaardige doelen wordt gebruikt."

Tja dat is ook een beetje een raar systeem, is niet? Een authority geeft een certificaat af zonder dat ze kunnen weten
waar het voor gebruikt wordt. Waarom geven we vertrouwen aan dat soort certificaten?
Code signing zou wat mij betreft alleen waarde hebben als het door een onafhankelijke partij gedaan wordt die niet de maker
van de software is.

16-12-2013, 12:35 door wizzkizz - Bijgewerkt: 16-12-2013, 12:36

Door Anoniem: "Door een digitale handtekening kunnen gebruikers zien van wie het programma afkomstig is."

Tuurlijk. Maar niet of het goedaardige software is, of malware. Of goedaardige software met lekken die malware binnen
kan laten. Dus wat heb je nou aan zo'n handtekening? Helemaal niks toch?

Je hebt er in zoverre iets aan dat je kunt controleren dat de software die je hebt gedownload ook daadwerkelijk door de auteur gemaakt is zoals jij deze binnen hebt gehaald. Zie het als vergelijkbaar met een PGP/GnuPG handtekening die je bij bij open source software geregeld tegenkomt, maar dan standaard ondersteund door de diverse Windows versies.

Het geeft geen garanties over de kwaliteit of werking van de software uiteraard, daar heb je gelijk in. Maar dat is altijd een kwestie van vertrouwen op de auteur (of community) of, als je tijd te veel hebt, op je eigen audit in geval van open source software.

16-12-2013, 13:50 door Anoniem

Door Anoniem: Waarom geven we vertrouwen aan dat soort certificaten?

Omdat er niets anders is, en we voorgehouden worden dat dit veilig is. Dat het dat nooit echt was, dat CAs je alleen beschermen tegen diegenen waarvan ze geen geld aannemen, dat zeggen ze er gemakshalve maar even niet bij. Certificaten verkopen is een gouden waterhandel.

Code signing zou wat mij betreft alleen waarde hebben als het door een onafhankelijke partij gedaan wordt die niet de maker van de software is.

Redmond kwam daarmee op de proppen. "We signeren je programma (driver) alleen als je ons eerst alle source opstuurt." Ja nee dat wekt vertrouwen.

Vervolgens doen ze het nog een keer door via "secure boot" op de sleutels tot jouw computer te gaan zitten, en dat te verkopen als beschermmiddel tegen malware. Nu moeten concurrerende systemen vriendelijk aan redmond vragen of ze alsjeblieft hun bootloader willen signeren anders snappen de toch al belegerde gebruikers het helemaal niet meer. Als dat tegen malware moet helpen dan is de definitie van malware van redmond een beetje anders dan de mijne.

Overigens zijn er wel meer partijen die met signeren werken, bijvoorbeeld op je smarsfoon. Blijkt allerlei louche figuren er niet van te weerhouden datakapende apps via de appstoor verkocht te krijgen. Op, nuja, alle smarsfoonplatformen.

16-12-2013, 16:00 door Anoniem

Vervolgens doen ze het nog een keer door via "secure boot" op de sleutels tot jouw computer te gaan zitten, en dat te verkopen als beschermmiddel tegen malware. Nu moeten concurrerende systemen vriendelijk aan redmond vragen of ze alsjeblieft hun bootloader willen signeren anders snappen de toch al belegerde gebruikers het helemaal niet meer.

He kom, dat flauwe gedoe over Microsoft die het zo slecht met de wereld voor heeft.

Secure Boot is een stap in de richting van betrouwbaardere systemen (in de eeuwigdurende strijd tussen beveiligers en aanvallers). En/maar het is een industrie-ding en geen Microsoft-only kunstje. Secure Boot kan gewoon met eigen sleutels. Lees de instructies op bijvoorbeeld de Ubuntu en Fedora sites.

Ja, het *kan* ook met door Microsoft gesignde binaries, en er is een generieke Linux bootloader die zo werkt.

Maar als een Linux vendor puur en alleen eigen sleutels wil gebruiken dan kan dat, zonder enige interactie met Microsoft.

16-12-2013, 23:29 door Anoniem

Zou het dan kunnen dat ik daar dan ook last van heb? Iedere keer haal ik de niet vertrouwde certificaten weg en komen bij de volgende opstart gewoon weer terug. De des betreffende certificaten zijn onder kopje: niet vertrouwt en een *-teken als een teken voor server.... Ik kan ze dus verwijderen maar... Komen net zo vrolijk weer terug. Ze staan bij overige. O.a addons.mozilla.org, globel trustee, kuix.de, login.live.com, login.skype.com, 3keer login.yahoo.com, mail.google.com en www.google.com. Allemaal builtin object token. Er word wel aangegeven dat het niet vertrouwd wordt maar komen iedere keer weer terug.

17-12-2013, 07:17 door Anoniem

Door Anoniem: Zou het dan kunnen dat ik daar dan ook last van heb? Iedere keer haal ik de niet vertrouwde certificaten weg en komen bij de volgende opstart gewoon weer terug. De des betreffende certificaten zijn onder kopje: niet vertrouwt en een *-teken als een teken voor server.... Ik kan ze dus verwijderen maar... Komen net zo vrolijk weer terug. Ze staan bij overige. O.a addons.mozilla.org, globel trustee, kuix.de, login.live.com, login.skype.com, 3keer login.yahoo.com, mail.google.com en www.google.com. Allemaal builtin object token. Er word wel aangegeven dat het niet vertrouwd wordt maar komen iedere keer weer terug.

Als dit op een Windows systeem is: ja, sinds Windows 8 worden root-certificaten, de Certificate Trust Lists en de lijst met "Untrusted Certificates" automatisch bijgewerkt op basis van informatie op Windows Update.

Op Windows Vista en 7 kan automatic updating ook geïnstalleerd worden.

En als je dat per se zou willen, kan automatic updating worden uitgezet. (Daar is geen reden voor, tenzij je per se certificaten die niet meer vertrouwd worden wilt/moet blijven gebruiken.)

Meer info op: http://support.microsoft.com/kb/2677070

17-12-2013, 22:18 door Anoniem

Door Anoniem:

He kom, dat flauwe gedoe over Microsoft die het zo slecht met de wereld voor heeft.

Het mocht eens waar zijn.

Snor voor de gein die volkskrant-special van rond hun monopolieproces eens op, en lees je in in de bedrijfscultuur. Ze geloven daar onder andere dat ze werkelijk de wereld verbeteren met hun fan-tas-ti-sche software, dat is het bedrijfsethos. Met andere woorden, iedereen is beter af als je hun software gebruikt, als je doet wat je doet op hun manier. Niet voor niets zetelt het hoofdkantoor op "1 Microsoft Way".

Maar dat betekent dus wel dat ze zichzelf een vrijbrief op jouw computer mogen geven, want jij wordt daar beter van. Zo zit de bedrijfscultuur inelkaar, dus is het waar.

Secure Boot is een stap in de richting van betrouwbaardere systemen (in de eeuwigdurende strijd tussen beveiligers en aanvallers).

Nee, dat is het niet. Het afschilderen als was het een oorlog is makkelijk maar te makkelijk en daarmee niet productief. Het mechanisme is een schaamlap die bovendien niet werkt, niet doet wat het belooft, maar wel een duidelijk risico op jouw vrijheid van handelen inhoudt. Het benaderd jouw computer op dezelfde wijze als TCPA en palladium dat deden: JIJ bent niet te vertrouwen.

En/maar het is een industrie-ding en geen Microsoft-only kunstje.

Dit zo zeggen is hoogst en valselijk misleidend.

Secure Boot kan gewoon met eigen sleutels. Lees de instructies op bijvoorbeeld de Ubuntu en Fedora sites.

"Kan", technisch gezien, maar is technisch en ingewikkeld en niet iets wat je de gemiddelde computergebruiker (of zelfs de gemiddelde security.nl-lezer!) mag verwachten dat ze zo even uit hun mouw schudden.

Ja, het *kan* ook met door Microsoft gesignde binaries, en er is een generieke Linux bootloader die zo werkt.

Nee, het moet met redmond-signatuur. Technisch gezien is het vooralsnog kan, maar practisch gezien is het zonder te ingewikkeld. Dus is jouw (en hun) "kan" alweer misleidend.

Maar als een Linux vendor puur en alleen eigen sleutels wil gebruiken dan kan dat, zonder enige interactie met Microsoft.

Met in de praktijk het effect dat ze zichzelf onmiddelijk marginaliseren. Dus niet redelijk. Dus is voorstellen dat het een prima optie zou zijn, misleidend.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Pick one:

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

32 reacties

Lees meer