如何檢測(cè)出看起來真實(shí)的假證書?
Nick Lewis(CISSP,GCWN))是一名信息安全分析師。他主要負(fù)責(zé)風(fēng)險(xiǎn)管理項(xiàng)目,并支持該項(xiàng)目的技術(shù)PCI法規(guī)遵從計(jì)劃。2002年,Nick獲得密歇根州立大學(xué)的電信理學(xué)碩士學(xué)位;2005年,又獲得Norwich大學(xué)的信息安全保障理學(xué)碩士學(xué)位。在他09年加入目前的組織之前,Nick曾在波士頓兒童醫(yī)院、哈佛醫(yī)學(xué)院初級(jí)兒科教學(xué)醫(yī)院,以及Internet2和密歇根州立大學(xué)工作。
報(bào)道稱Zeus又回來了,這次它還有自己真實(shí)的數(shù)字證書。那么該如何檢測(cè)出具有看似真實(shí)證書的木馬程序呢?
Nick Lewis:公共密鑰基礎(chǔ)設(shè)施在設(shè)計(jì)時(shí)考慮了多個(gè)安全功能,這些功能讓終端實(shí)體來決定自己的信任。也就是說,在這個(gè)系統(tǒng)中,如果證書被感染,證書頒發(fā)機(jī)構(gòu)(CA)發(fā)布的數(shù)字證書會(huì)被撤銷,或者證書頒發(fā)機(jī)構(gòu)可能被吊銷發(fā)放證書的資格。
Netscape在提高其Web瀏覽器的電子商務(wù)取得了顯著的進(jìn)步,CA證書被捆綁在Web瀏覽器來支持新的SSL協(xié)議。雖然這種做法將系統(tǒng)設(shè)置為在默認(rèn)情況下信任這些CA,一個(gè)最大的問題是,任何CA都可以發(fā)布任何名稱的證書。例如,www.google.com可以由惡意CA簽名,仍然看起來像是合法的www.google.com網(wǎng)頁。
Zeus變體使用的真實(shí)數(shù)字證書被合法CA分配到合法軟件公司,但這并不能保護(hù)終端免受攻擊。當(dāng)該CA吊銷該證書(防止某些系統(tǒng)信任這個(gè)簽名的惡意軟件)時(shí),大多數(shù)系統(tǒng)沒有檢查撤銷情況,這里原因有很多(例如,Web瀏覽器、操作系統(tǒng)或其他應(yīng)用在默認(rèn)情況下沒有啟用該功能),而淪為這個(gè)假證書和惡意軟件的受害者。
企業(yè)可以在安裝軟件之前,檢查已簽名軟件的證書吊銷情況,從而檢測(cè)出看似真實(shí)的證書是否為假證書。企業(yè)還可以檢查通過HTTP下載的每個(gè)文件,看看文件是否由已吊銷證書簽名,然而可以阻止下載。另外,企業(yè)可以檢查本地系統(tǒng)的每個(gè)文件以確定文件是否由已吊銷證書簽名,如果發(fā)現(xiàn)由已吊銷證書簽名的文件,應(yīng)該調(diào)查該文件所在系統(tǒng)。