Víctor Hdez Martín
INFORMATICA, SEGURIDAD

Malware con certificado de confianza


Según F-Secure, el número de  Malware firmado digitalmente para Windows está creciendo, y cada vez más programas “ scareware” también incluyen un firma digital válida. Los creadores de  Virus usan este método para evitar diversos obstáculos establecidos en los sistemas Windows, suprimiendo las alertas generadas cuando un programa intenta instalar un  ActiveX en Internet Explorer o antes de instalar un driver. La lista de programas potencialmente indeseables de F-Secure contiene casi 4.000 ejemplos firmados digitalmente. En términos de malware, la lista incluye casi 24.000 ejemplos.

Authenticode se usa para firmar y chequear el software bajo Windows y está destinado a verificar el origen del software. Los usuarios suelen confiar en el software firmado; el que no está firmado ofrece un diálogo que le pregunta explícitamente al usuario por una confirmación antes de proceder a la instalación. En las versiones de 64-bits de Windows 7 y Vista no es posible instalar un driver no firmado, incluso aunque el usuario quiera hacerlo.

F-Secure afirma que los creadores de virus usan diversos trucos para obtener una firma digital válida o certificados para sus programas. El más usado es engañar a la Autoridad Certificadora para que emita el certificado. Parece que esto es tan fácil como obtener un certificado SSL válido para un servidor, donde en algunos casos es suficiente con una dirección de correo electrónico válida. Los ciberdelincuentes también usan servicios como “Digital River”, que firma software para sus clientes.

Los creadores de virus también dan mal uso a certificados robados o claves privadas para firmas su propio software. Se sabe que varias versiones de las botnets “Adrenalin”, “Ursnif” y “Zeus” contienen funciones para leer información relevante de los ordenadores usados por desarrolladores. Sin embargo, F-Secure no ha encontrado ningún malware que use actualmente una clave robada en su base de datos de malware.

Lo que parece suceder cada vez más a menudo es que un  Troyano infecte los archivos del ordenador de un desarrollador, y que el software de empaquetado, incluyendo el troyano, sea, por consiguiente, firmado. A menudo, los desarrolladores de virus también firman sus ejemplos con claves y certificados autofirmados, usando información falsa acerca del emisor o propietario para engañar a los programas y usuarios.

F-Scure estima que el problema no ha alcanzado proporciones críticas porque los autores de virus todavía no han comenzado a explotar este método a gran escala. Sin embargo, esto podría cambiar con la amplia expansión de Windows 7, que requiere controles Authenticode más estrictos que las versiones anteriores de Windows. En este caso, los vendedores  Antivirus podrían necesitar trabajar cooperando estrechamente con las Autoridades Certificadoras para asegurar que los certificados mal usados y comprometidos(y sus claves) pueden ser bloqueadas lo más rápidamente posibles.

Fuente

Acerca de VICTOR

Víctor Hernández Martín (Técnico de Sistemas) Podría parecer que hemos llegado a los límites alcanzables por la tecnología informática, aunque uno debe ser prudente con estas afirmaciones, pues tienden a sonar bastante tontas en cinco años - Víctor Hernández - informaticayseguridadvhmsat@gmail.com

Comentarios

Aún no hay comentarios.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

Escribe tu dirección de correo electrónico para suscribirte a este blog, y recibir notificaciones de nuevos mensajes por correo.

Únete a otros 727 seguidores

A %d blogueros les gusta esto: