Certyfikat nie gwarantuje, że program jest bezpieczny. Podpis można kupić
Zabezpieczenie Windows Defender SmartScreen nie jest idealne nie tylko dlatego, że czasami blokuje instalację bezpiecznych programów. Analitycy z firmy Symantec zauważyli, że przy okazji napędza handel certyfikatami do podpisywania programów. Nie jest to jednak wina tylko filtra Microsoftu.
Wprowadzenie filtra SmartScreen do Windowsa zmusiło atakujących do zmiany taktyki. Wyniki badania wskazują na to, że producenci szkodliwych programów zaczęli szukać złamanych certyfikatów dla swoich produktów. W 2017 roku jednak rozkwitł czarny rynek cyfrowych podpisów, generowanych przed wydawców z podziemia.
Badacze śledzili losy czterech wydawców na angielskojęzycznych i rosyjskojęzycznych forach. Co ciekawe, sklepy z certyfikatami nie zawsze są ukryte w darknecie. W większości były to młode firmy, których głównym celem nie jest rozwijanie oprogramowania i które zdobyły środki niezbędne do generowania certyfikatów w miesiąc po otwarciu, bez weryfikacji tożsamości założyciela. To pokazuje słabość całego systemu wydawania certyfikatów.
Dzięki publikacji wiemy mniej-więcej ile kosztuje taki podpis. Jeden z wydawców generował nowy certyfikat co kilka dni. Z około 50 podpisów zyskał niewiele ponad 16 tysięcy dolarów, co sugeruje, że podróbkę można kupić za niecałe 300 dolarów.
Certyfikat tego typu nie gwarantuje jeszcze, że uda się wprowadzić złośliwy program na komputery ofiar, co być może tłumaczy niską cenę. Windows Defender SmartScreen zbiera informacje o reputacji cyfrowych podpisów i kiedy pierwszy raz spotyka się z certyfikatem, podchodzi do niego neutralnie i ostrzega użytkownika, przed instalacją trzeba więc wykonać kilka kliknięć.
Jeśli atak ma pozostać niezauważony, potrzebny jest certyfikat z pozytywną reputacją. To z kolei wymaga działań na większą skalę i instalacji bezpiecznego programu na wielu maszynach. Droższym rozwiązaniem jest nabycie kosztującego od 1,6 do 7 tysięcy dolarów certyfikatu Extended Validation, który ma już zbudowaną pozytywną reputację. Do nich zwykle dostarczane są pocztą sprzętowe tokeny do dwuetapowej autoryzacji.
Trzeba zwrócić uwagę na to, że to nie SmartScreen jest tu problemem. Możliwość bezkarnego założenia firmy-wydmuszki, która będzie wydawać „lewe” certyfikaty dla producentów szkodliwych programów pokazuje, jak słaby jest obecnie system przydzielania certyfikatów. Nie jest też żadnym problemem podszywanie się pod inną firmę na podstawie ogólnodostępnych danych. Ponadto po wykryciu podejrzanego pochodzenia certyfikatu wypadałoby wycofać autoryzację dla pozostałych podpisów tego samego wydawcy, co często się nie dzieje.