Microsoft: Hold dine digitale nøgler tæt ind på kroppen

I et blogindlæg fortæller Microsoft, at malware og spyware i stigende grad gør brug af stjålne certifikater for at liste sig ombord på operativsystemet. Opfordringen fra software-giganten lyder derfor nu, at man bør være ekstra varsom med opbevaringen af sine digitale nøgler.

Den seneste måned er brugen af stjålne certifikater brugt til at liste malware og spyware forbi diverse antivirus-programmer blevet mere almindelige. Sådan skriver Microsoft i et blogindlæg om malware-trusler.

I blogindlægget fremhæver Microsoft særligt den såkaldte ‘Winwebsec’-malware, der er en familie af ondsindet software, som under påskud af at kunne rense din computer for netop malware, finder adskillige falske trusler, og beder dig registrere og betale for at få dem fjernet.

En ny variant af denne kalder sig Antivirus Security Pro og har været distribueret under mindst 12 forskellige certifikater, som har været stjålet fra legitime softwareudviklere.

På baggrund af indsendte eksempler fra brugere, der har gjort Microsoft opmærksomme på det svigefulde program, har firmaet kunnet afdække hvor mange stjålne certifikater, der har været i omløb. Det fremgår også, at nogle af de stjålne certifikater har været helt nyudstedte og dukker i øvrigt op mange forskellige geografiske steder i verden

Microsoft opfordrer derfor til, at udviklere genlæser deres ‘best practice’ angående omgang med digitale certifikater. Heri fremgår det, at udviklere bør have deres certifikat fysisk adskilt fra internettet for eksempel på en USB-pind for at undgå tyveri af det digitale fingeraftryk.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Daniel Udsen

Det er det problem linus beskriver her https://lkml.org/lkml/2013/2/25/487

encourage things like per-host random keys - with the stupid UEFI
checks disabled entirely if required. They are almost certainly going
to be more secure than depending on some crazy root of trust based
on a big company, with key signing authorities that trust anybody with
a credit card.
Try to teach people about things like that instead.
Encourage people to do their own (random) keys, and adding those to
their UEFI setups (or not: the whole UEFI thing is more about control
than security), and strive to do things like one-time signing with the
private key thrown out entirely. IOW try to encourage that kind of
"we made sure to ask the user very explicitly with big warnings and
create his own key for that particular module" security. Real
security, not "we control the user" security.

SecureBoot i MS UEFI-light variant har aldrig været en specielt god løsning på nogle af de sikkerhedsproblemer vi idag har. At valide certificater nu flyder rundt blandt kriminelle var absolut forudsagt, fordi det er hvad der altid sker. Og når UEFI er implementeret på en måde hvor bruger ikke kan opdatere listen over betroede certifikater er der intet forsvar imod den type andgreb.

  • 0
  • 1
Bjarke I. Pedersen
  • 0
  • 1
Log ind eller Opret konto for at kommentere