Ellopott NVIDIA tanúsítványokat használnak rosszindulatú programok aláírására; ne hagyja, hogy ez Önnel is megtörténjen

2022. márc. 21. | Pataki Tamás

Az NVIDIA ért hackertámadás során 1 TB adatot tettek közzé és károsították a vállalatot, valamint ellopták a privát kulcscsal együtt a kódaláíró tanúsítványt is, amelyet most csalók rosszindulatú kód aláírására és malware programok terjesztésére használnak. Ebből a cikkbőén megtudhatja, hogyan lehet hatékonyan és egyszerűen megelőzni az ilyen lopásokat.

Az ellopott tanúsítvány malware terjesztést teszi lehetővé

A jól ismert hardvergyártót, az NVIDIA-t feltörte egy magát Lapsus$-nak nevező hackercsoport. A sikertelen zsarolási kísérlet, "váltságdíjkövetelés" után 1TB ellopott adatot tettek közé. Bár ez közvetlenül nem károsítja a többi felhasználót, a hackelés érinti a Code Signing tanúsítvány ellopását, amelyet az NVIDIA az illesztőprogramjai vagy programjai aláírására használt.

Az így megszerzett kódaláíró tanúsítvány és privátkulcs új birtokosa az NVIDIA nevében, magát az NVIDIA-nak kiadva bármilyen rosszindulatú kódot aláírhat. Ez jelentős károkat és vírusokat okozhatott volna a felhasználók között. Annak ellenére, hogy a tanúsítványok már lejártak a Windows megbízhatónak mutatta őket (ha az aláírás időbélyegzője abból az időből származik, amikor a tanúsítvány még érvényes volt, a tanúsítvány lejárata nincs hatással az aláírt alkalmazásra).

Az így megszerzett digitális aláírás így növeli a kártékony malware megbízhatóságát a felhasználók rendszerében és jogosan ítélhetik meg úgy, hogy az alkalmazás az NVIDIA-tól származik - ezt erősíti meg a hitelesítés. Ebben az esetben azonban egy rosszindulatú alkalmazás, malware futtatásával vírust telepít a számítógépre. Az ilyen visszaélések ellen van megoldás, amit a következő bekezdésben ismertetünk. A kódaláírás nemcsak a származás és háttér miatt hasznos, hanem azért is, mert az aláírt alkalmazást senki sem tudja megváltoztatni. Ha ez megtörténik, például rosszindulatú kódot adnak hozzá, a digitális aláírás többé nem lesz érvényes. Ez egy másik aspektusa a felhasználók védelmének.

A biztonságos aláírás megoldása a Code Signing EV tanúsítvány cloud segítségével

A kódaláíró tanúsítványokat megfelően biztonságosan kell tartani, máskülönben a vállalat hírnevét kockáztatja. Az ellopott tanúsítvány szinte biztosan rossz kezekbe kerül, és rosszindulatú programok terjesztésére használják.

Ez az incidens azonban elkerülhető lett volna, ha az NVIDIA méretének és jelentőségének megfelelő típusú kódaláíró tanúsítványt választanak. Két biztonságos aláírási megoldást kínálunk - Code Signing EV tanúsítvány és a DigiCert ONE platformot.

A Code Signing EV tanúsítvány egy tokenre kerül, amelyet aláírás előtt csatlakoztatni kell a számítógéphez, és aláíráskor meg kell adni a token jelszavát (vagy a privátkulcs feloldásához). Ha ezt ismételten helytelenül teszi, a token zárolásra kerül, és tartalma törlődik. Lehetetlen, hogy egy támadó 5 próbálkozás alatt eltaláljon egy kellően összetett jelszót; hacsak valaki nem kínálja azt aranytálcán nyújtva (pl. a monitorra ragasztva), nincs módja arra, hogy visszaéljen a tokenen lévő tanúsítvánnyal. Ráadásul fizikai hozzáférésre is szüksége lenne hozzá.

A DigiCert ONE egy modern platform, amely lehetővé teszi a felhőben történő aláírást. Ez azt jelenti, hogy a tanúsítványt (és a privát kulcsot) nem kell helyben a számítógépén tartania, ami nagyobb biztonságot jelent. A közeljövőben foglalkozni fogunk ezzel a témával a blogon, ha pedig most szeretne bővebb információt kapni, kérjük, forduljon bátran ügyfélszolgálatunkhoz.

Hagyományosan szokta aláírni az alkalmazásokat? Ne féljen a változástól!

A támadók már évek óta bizonyítják, hogy az alkalmazások helyben tárolt tanúsítvánnyal történő aláírása nem helyes és biztonságos gyakorlat. Ha a kódaláíró tanúsítványt tanúsítványtárolóban vagy akár PFX-fájlként tárolja, azonnal változtassa meg ezeket a szokásokat. Az SSLmarket segítségével könnyedén elérheti a nagyobb alkalmazás-aláírási biztonságot. Kérdés esetén állunk rendelkezésére.

Az alkalmazások és a kód biztonságosabb aláírásával nem csak a cég jó hírnevét, hanem a felhasználóit is védi! Ha a bizalom egyszer elveszett, nagyon nehéz azt visszaszerezni. Konzultáljon velükn, és tegye biztonságossá alkalmazásait még ma!

Forrás

  1. Bleepingcomputer: Malware now using NVIDIA's stolen code signing certificates

Pataki Tamás
Biztonságos SSL tanúsítványok szakértője
Symantec Sales Expert Plus
e-mail: pataki(at)zoner.hu