一般來說,證書機構和數字證書行業中最常見的限制是“永遠不要讓私有密鑰出現任何問題。”不幸的是,只說‘不好的事情可能會發生’有點含糊不清,而且缺乏衝擊力。因此,以下這個真實的例子,希望可以對每個人起到警醒作用。
研究人員發現一個惡意軟件家族,他們利用臺灣科技公司,如生產網絡設備的跨國企業D-Link等公司缺乏保護的憑證進行數字簽名。
網絡犯罪分子是如何偷盜私有密鑰的目前還不知道,但已知的是,犯罪分子已用密鑰簽名惡意軟件。
對惡意軟件進行簽名會發生什麼?
在我們討論惡意軟件簽名會發生什麼之前,先回顧一下代碼簽名(https://www.bisend.cn/code-signing-ssl-certificate)。代碼簽名標準流程是,軟件開發人員通過可信證書頒發機構驗證,獲得可用於腳本和可執行文檔進行簽名的證書和私鑰。
現在,還有一點需要進一步闡釋,最簡單的方式就是,討論如果你一開始沒有對代碼進行簽名會發生什麼。幾乎所有的設備、操作系統和web瀏覽器都進行過硬編碼,以信任儘可能少的來源。這完全是以安全的名義而進行的。如果你編寫了一款軟件,沒有對其進行簽名就把它上傳到網絡上,在別人試圖下載時,瀏覽器會彈出警告信息。警告內容爲此下載來自未知源,其內容不能被信任。
瀏覽器就應該這麼處理未知來源的下載。現在,當你對軟件進行簽名時,是使用與代碼簽名證書相關的私有密鑰來添加數字簽名。瀏覽器可能不會信任你,但如果你的數字簽名能鏈回到任一家他們信任的CA證書的根,它們就會信任你,因爲通過爲你簽發證書的CA能爲你擔保。
這個解釋可能有點複雜,讓我換一種方式,當你進行簽名後,瀏覽器如果能追溯到它所信任的證書,則其會給予你信任。
正如我所說,代碼簽名被廣泛使用是意料之中的。你需要通過它從Apple和Android的應用商店獲取App,以及通過他讓所有主流瀏覽器都能爲你的軟件提供下載服務。你無法避開它,而且爲了確保這做法更安全,在簽發之前需要進行驗證,將遊手好閒的人和網絡犯罪分子清除在外。
將這些歸結爲最簡單的術語:因爲數字簽名會即時授予信任,所以只有受信任的開發人員纔有資格對代碼進行簽名。
你已經大概知道其中的工作原理了。
當私鑰被破壞後數字簽名被應用於惡意軟件,它會欺騙下載掃描時的瀏覽過濾器和反病毒程序。瀏覽器可能認爲該腳本或可執行文檔來自D-Link,而不是來自未知源,所以允許開始下載。這是一個有效的攻擊途徑。
被盜取的私有密鑰的簽名對象
正如The Hacker News所闡述的,被盜取的密鑰對兩類惡意軟件進行了簽名:
“近來,來自ESET的安全研究人員發現了兩大惡意軟件家族,它們之前與網絡間諜集團BlackTech有關聯。這兩大惡意軟件家族使用D-Link網絡設備製造商和另一家名爲Changing Information Technology的臺灣安全公司的數字簽名證書進行簽名。”
第一類惡意軟件名爲Plead。六月,日本計算機安全事件響應團隊(CSIRT)JPCERT對Plead做了一個全面的分析。分析後發現,它的本質是個後門,能夠盜取信息和窺探信息。第二類惡意軟件是與密碼竊取者相關,它的主要目標是:
- Google Chrome
- Microsoft Internet Explorer
- Microsoft Outlook
- Mozilla Firefox
D-Link和Changing Information Technology公司在知道這一漏洞後,在7月4日撤銷了相關受損證書。
然而,Black Tech還繼續使用已被撤銷的證書來簽名惡意軟件。這聽起來可能有些愚蠢,但這個問題卻暴露了許多不同的反病毒解決方案的缺陷:它們不會掃描代碼簽名證書的有效性。
如附圖的情形,正確的做法是:反病毒程序檢測到簽署代碼的證書被撤銷,可以向用戶發送通知或者阻止下載。即使惡意軟件添加了時間戳(順便說一下,這也是個好方法),系統也仍然應該提前發送證書已被撤銷的通知。相反,許多反病毒程序根本不會檢查有效性,這意味着過期或被盜的證書仍然會構成相當大的威脅。
臺灣科技公司不是首個受害者。2010年,Stuxnet蠕蟲就使用從RealTek和JMicron那裏盜取來的證書進行簽名。
如何防止密鑰被盜?
回到文章開頭提到的內容,私鑰至關重要。密鑰被盜會導致一連串的問題,不管它是用於SSL證書,代碼簽名,還是個人身份驗證。顯然,其影響可能是災難性的。希望已簽名的惡意軟件家族最終不會引起大的問題,但簽署惡意軟件將幫助它繞過反病毒程序和瀏覽器過濾器,始終存在危險。
因此,以下是我們能給你的最好的建議:
將私有密鑰存儲在外部硬件令牌上
現在,將密鑰存儲在物理硬件令牌上的這一想法主要應用於加密貨幣行業,該行業稱其爲硬件錢包。對於不同種類的私有密鑰存儲,加密貨幣行業在某種程度上是一個有趣的測試案例,因爲它就像瘋狂的美國西部,現在有各類黑客和“蛇油”營銷,當看到有人失去其財富時,每個人都會競相觀望,感到唏噓不已。
加密貨幣社區(與加密社區不同)推出了一系列重要的存儲解決方案,從層壓紙錢包到把它雕刻在物理比特幣的側面,再到價格高昂的、處於“最前沿”的冷存儲解決方案。這些解決方案都不是最新的技術。
最好的解決方案是,離線存儲密鑰。如何做到這一點完全取決於你(有幾種方法),但要記住要把它妥善保管在辦公室的保險箱裏,或者放在別人不易竊取到的地方。
D-Link和Changing Information Technology公司如果之前這樣做,那麼要想竊取其密鑰就必須進行真正的盜竊或搶劫,而不是進行一些花哨的黑客行爲。現在,誰又有時間進行黑客攻擊呢?