image

McAfee: gesigneerde bestanden niet meer te vertrouwen

maandag 10 maart 2014, 11:00 door Redactie, 4 reacties

Bestanden die met een certificaat zijn gesigneerd, wat de identiteit van de ontwikkelaar of uitgever moet bevestigen, zijn niet langer te vertrouwen, zo stelt anti-virusbedrijf McAfee. In het vierde kwartaal van vorig jaar was er een sterke stijging van het aantal gesigneerde malware-exemplaren zichtbaar.

Het signeren van malware met een digitaal certificaat heeft verschillende voordelen voor cybercriminelen. Gebruikers kunnen denken dat het om een legitiem bestand gaat, daarnaast kan het ook worden gebruikt om beveiligingssoftware en systeeminstellingen te omzeilen. Om malware te signeren kunnen cybercriminelen de certificaten van een ander bedrijf stelen of zelf een certificaat aanvragen. De certificaten worden door Certificate Authorities uitgegeven.

De grote hoeveelheid gesigneerde malware zal er volgens McAfee voor zorgen dat op een gegeven moment gebruikers certificaten niet meer kunnen vertrouwen om te bepalen of een applicatie veilig is, wat vervolgens het bestaansrecht van het Certificate Authority-model ondermijnt. In het vierde kwartaal van vorig jaar werden 2,3 miljoen nieuwe en unieke malwarebestanden ontdekt die met een certificaat waren gesigneerd.

Content distributienetwerken

Hoewel gestolen en gekochte certificaten een rol spelen, is het gebruik van dubieuze content distributienetwerken (CDN) de voornaamste oorzaak van de groei. Dit zijn websites en bedrijven die ontwikkelaars in staat stellen om hun programma's, of een URL die naar een externe applicatie wijst, in een installatieprogramma te verpakken dat van een legitiem digitaal certificaat is voorzien. Dit biedt niet alleen een distributiekanaal voor cybercriminelen, maar laat de software ook legitiem lijken. Met name CDN Firseria SL blijkt hiervoor te worden gebruikt.

"Gebruikers kunnen niet langer op alleen een certificaat vertrouwen. Ze moeten op de reputatie van de leverancier vertrouwen die het bestand heeft gesigneerd en zijn mogelijkheid om de eigen data te beveiligen", aldus de virusbestrijder in een nieuw kwartaalrapport.

Image

Reacties (4)
10-03-2014, 11:52 door Wim ten Brink
Hier lijkt een taak te liggen bij de uitgevers van deze certificaten. Als het goed is bevat het certificaat duidelijke aanwijzingen naar diegene die het heeft uitgegeven. Omdat deze een certificaat heeft uitgegeven dat voor frauduleuze doeleinden werd gebruikt zou je bij hen een schadeclaim kunnen indienen. Waarom? Omdat ze een certificaat aan een onbetrouwbaar persoon hebben afgegeven om deze zo betrouwbaar te doen lijken. Ze zullen dan direct dat certificaat ongeldig moeten verklaren. Daarnaast zullen ze het nodige moeten doen om de oplichters te identificeren zodat de schade op de oplichters verhaald kunnen worden.
Mocht de certificaat-gever hier niet aan meewerken dan ga je een stapje hoger en wordt hij zelf mogelijk ongeldig verklaard.
-
Dat was de opzet van het certificerings-systeem maar ondertussen is het veel te verwaterd geraakt en een te grote chaos geworden. We zouden eigenlijk een nieuw systeem moeten bedenken.
10-03-2014, 12:45 door Anoniem
Soms denk je: nog even en het hele internet dondert krakend in elkaar. Nou ja, het zal wel blijven bestaan, maar steeds minder bruikbaar zIjn voor serieuze doeleinden. Een speeltuin voor appende pubers (en hen die het puberstadium maar niet willen of kunnen ontstijgen). "Dat rokje van Chantal, nou jaaaa !!!!!!!". Dat soort, wat ook nu al een groot deel van de internetcommunicatie uitmaakt.
10-03-2014, 14:01 door Anoniem
Die certificaten waren al nooit te vertrouwen. Tenzij je werkelijk gelooft dat bescherming tegen iedereen van wie de commercieele certificaatuitgevers geen geld aannemen voldoende is.

Daarnaast is het hierarchische model waardeloos in situaties waar er niet een enkele partij die werkelijk door iedereen te vertrouwen is, is aan te wijzen. Binnen bedrijven werkt zoiets nog wel, maar tussen bedrijven onderling wordt het problematisch. Landelijk betekent het dat de overheid de complete eindcontrole over jouw hele identiteit in handen krijgt. Ook iets wat je niet wil. Daarnaast creert het een single point of failure. Gek genoeg help het niet om meerdere rootCAs te hebben: Heb je een collectie van 600 verschillende rootCAs, heb je 600 single points of failure. Een aanvaller hoeft er maar een enkele te compromitteren en hij kan zichzelf precies zo tegenover jou voordoen als hij maar wil, en jij kan het verschil niet zien.
10-03-2014, 16:33 door Anoniem
"niet te vertrouwen" dat snap ik, maar waar dat woordje "meer" vandaan komt dat begrijp ik niet helemaal....
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.