Microsoft: Hold dine digitale nøgler tæt ind på kroppen

17. december 2013 kl. 11:356
I et blogindlæg fortæller Microsoft, at malware og spyware i stigende grad gør brug af stjålne certifikater for at liste sig ombord på operativsystemet. Opfordringen fra software-giganten lyder derfor nu, at man bør være ekstra varsom med opbevaringen af sine digitale nøgler.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Den seneste måned er brugen af stjålne certifikater brugt til at liste malware og spyware forbi diverse antivirus-programmer blevet mere almindelige. Sådan skriver Microsoft i et blogindlæg om malware-trusler.

I blogindlægget fremhæver Microsoft særligt den såkaldte ‘Winwebsec’-malware, der er en familie af ondsindet software, som under påskud af at kunne rense din computer for netop malware, finder adskillige falske trusler, og beder dig registrere og betale for at få dem fjernet.

En ny variant af denne kalder sig Antivirus Security Pro og har været distribueret under mindst 12 forskellige certifikater, som har været stjålet fra legitime softwareudviklere.

På baggrund af indsendte eksempler fra brugere, der har gjort Microsoft opmærksomme på det svigefulde program, har firmaet kunnet afdække hvor mange stjålne certifikater, der har været i omløb. Det fremgår også, at nogle af de stjålne certifikater har været helt nyudstedte og dukker i øvrigt op mange forskellige geografiske steder i verden

Artiklen fortsætter efter annoncen

Microsoft opfordrer derfor til, at udviklere genlæser deres ‘best practice’ angående omgang med digitale certifikater. Heri fremgår det, at udviklere bør have deres certifikat fysisk adskilt fra internettet for eksempel på en USB-pind for at undgå tyveri af det digitale fingeraftryk.

6 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
3
17. december 2013 kl. 15:56

Det er det problem linus beskriver her https://lkml.org/lkml/2013/2/25/487

encourage things like per-host random keys - with the stupid UEFI
checks disabled entirely if required. They are almost certainly going
to be <em>more</em> secure than depending on some crazy root of trust based
on a big company, with <strong>key signing authorities that trust anybody with
a credit card.</strong> Try to teach people about things like that instead.
Encourage people to do their own (random) keys, and adding those to
their UEFI setups (or not: the whole UEFI thing is more about control
than security), and strive to do things like one-time signing with the
private key thrown out entirely. IOW try to encourage <em>that</em> kind of
"we made sure to ask the user very explicitly with big warnings and
create his own key for that particular module" security. Real
security, not "we control the user" security.

SecureBoot i MS UEFI-light variant har aldrig været en specielt god løsning på nogle af de sikkerhedsproblemer vi idag har. At valide certificater nu flyder rundt blandt kriminelle var absolut forudsagt, fordi det er hvad der altid sker. Og når UEFI er implementeret på en måde hvor bruger ikke kan opdatere listen over betroede certifikater er der intet forsvar imod den type andgreb.

4
17. december 2013 kl. 18:00
6
18. december 2013 kl. 07:38

Hvis jeg skal ud af døren med min NemID er det med mit token i en lynet inderlomme.

2
17. december 2013 kl. 13:22

Ha!

Hvad har NemID med udvikleres code signing certifikater at gøre? :)