Kaspersky Lab: szkodliwe programy XI 2011

Przeczytaj także: Kaspersky Lab: szkodliwe programy X 2011

Więcej problemów z certyfikatami

Mijający rok obfitował w incydenty, których ofiarą padły centra certyfikacji. Na pierwszy ogień poszedł Comodo, a potem poległa holenderska firma DigiNotar. Ponadto, wiele skradzionych certyfikatów zostało wykorzystanych w szkodliwych programach, łącznie z Duqu. Incydenty te poważnie podważyły zaufanie do certyfikatów i jak na razie nie widać rozwiązania tego problemu.

W listopadzie kolejne holenderskie centrum certyfikacji poinformowało, że zostało zaatakowane przez hakerów i musiało zaprzestać wydawania certyfikatów.

Włamanie wykryto na serwerze sieciowym KPN związanym z infrastrukturą kluczy publicznych (ang. PKI public key infrastructure). Atak miał miejsce cztery lata temu.

KPN, znany głównie ze swoich usług telekomunikacyjnych, zakupił Getronics cztery lata temu, nabywając podmiot certyfikacji podobny do DigiNotar. Podobnie jak DigiNotar, KPN może wydawać “specjalne” certyfikaty dla holenderskiego rządu i instytucji świadczących usługi publiczne. Wiele organizacji, które zostały dotknięte atakiem na DigiNotar, przeszło na certyfikaty KPN.

Jak na razie nie wiadomo, czy hakerzy włamali się do serwerów tego podmiotu certyfikacji. Kolejną kwestią, która wymaga wyjaśnienia, jest to, w jaki sposób narzędzie DDoS nie zostało wykryte przez cztery lata.

Co ciekawe, oświadczenie KPN można interpretować jako zapowiedź, że niezależnie od wszystkiego, aktualne certyfikaty pozostaną ważne.

Ofiarą jeszcze poważniejszego incydentu padła malezyjskie centrum certyfikacji Digicert (CA Digicert Malaysia). W efekcie, została usunięta z listy zaufanych instytucji przez wszystkich producentów przeglądarek oraz przez Microsoft. Te drastyczne środki zostały uznane za konieczne, po tym jak instytucja ta wydała 22 certyfikaty o słabych 512-bitowych kluczach oraz bez odpowiednich rozszerzeń lub informacji o odwołaniu.

Jerry Bryant z Microsoftu powiedział, że nie ma żadnego dowodu na to, że jakiekolwiek z tych certyfikatów zostały wydane w ramach oszustwa, jednak słabe klucze umożliwiały złamanie zabezpieczeń niektórych z nich.

Co ciekawe, w listopadzie wykryto wiele szkodliwych programów, które zostały podpisane przy pomocy certyfikatów wydanych przez malezyjski instytut ds. badań i rozwoju w zakresie rolnictwa (organ rządowy). Rzecznik przyznał, że certyfikat został wcześniej skradziony z tego instytutu. Rodzi się pytanie: jeżeli pracownicy instytutu wiedzieli o kradzieży, dlaczego certyfikat nie został od razu odwołany?