Вчера вечером Verisign действовала оперативно и аннулировала второй похищенный сертификат, использовавшийся для подписи одной из версий драйвера-руткита Stuxnet. Как уже говорилось ранее, этот сертификат принадлежит известной тайваньской компании – производителю компьютерного оборудования JMicron Technology Corp.
Мы подготовили небольшой список вопросов-ответов о Stuxnet и об аннулированных похищенных сертификатах.
- Слышал, что Microsoft и Verisign аннулировали похищенный сертификат Realtek. Могу ли я считать, что сейчас я в полной безопасности?
Исходя из того, как работают сертификаты, аннулированный сертификат не означает, что зловреды не будут больше запускаться. Вы по-прежнему можете заразиться Stuxnet, а драйвер по-прежнему сможет загружаться без предупреждения. Единственное следствие аннулирования сертификата – в том, что плохие парни больше не смогут подписать им какую-либо вредоносную программу.
- О каком количестве похищенных сертификатов мы говорим?
На данный момент нам попадались драйверы Stuxnet, подписанные сертификатами JMicron Technology Corp и Realtek Semiconductor Corp. Обе компании, похоже, имеют офисы на территории Hsinchu Science and Industrial Park на Тайване. Это может означать, что это дело рук инсайдеров. Возможно также, что сертификаты были украдены с использованием специальных троянских программ, таких как ZeuS, или каких-то других.
- У меня на компьютере установлена плата Realtek/JMicron motherboard/network. Значит ли это, что я в опасности?
Пока мы не обнаружили ничего подозрительного в драйверах Realtek/JMicron.
- Теперь, когда Microsoft и Verisign аннулировали свои сертификаты Realtek/JMicron, значит ли это, что мои драйверы Realtek/JMicron перестанут работать?
Нет. Благодаря тому, как устроена работа сертификатов и подписей, аннулирование не влияет на уже подписанные драйверы. Обе компании выпустили новые сертификаты, которые они используют для подписи новых драйверов.
- Новые подписанные зловреды могут появиться в будущем?
Скорее всего, да. В настоящее время существуют десятки тысяч подписанных вредоносных программ – и это факт. Для получения более подробной информации предлагаю всем ознакомиться с новой, очень интересной презентацией Йарно Нимела (Jarno Niemelä) «Подписано – значит безопасно?», с которой он выступил на конференции CARO Workshop в начале этого года:
http://www.f-secure.com/weblog/archives/Jarno_Niemela_its_signed.pdf
Подписанные сертификаты Stuxnet: наиболее часто задаваемые вопросы