Alcuni consigli su come ridurre il pericolo di essere colpiti con successo

Secondo Kaspersky Lab, nell’ultimo anno è raddoppiato il numero dei certificati non attendibili utilizzati per firmare i software nocivi. Infatti, a fine 2014 il database dell’azienda comprendeva più di 6.000 di questi certificati. Tenendo conto dell’aumento delle minacce legate alla firma di file dannosi, i nostri esperti avvertono gli amministratori di sistema e gli utenti di verificare prima di fidarsi delle firme digitali e di non tenere conto solo della fama che precede la firma.

“Gli hacker rubano e imitano firme notoriamente affidabili per ingannare gli utenti e le soluzioni antivirus. Kaspersky Lab ha osservato per anni gli attori APT utilizzare questa tecnica” ha commentato Morten Lehn, Managing Director di Kaspersky Lab Italia.

Il famigerato worm Stuxnet usava certificati rubati da Realtek e JMicron. La banda Winnti rubava certificati da aziende gaming compromesse e li riutilizzava per nuovi attacchi. Inoltre, sono stati rilevati esempi degli stessi certificati usati in attacchi lanciati da gruppi di hacker cinesi, il che suggerisce la presenza di un mercato nero. Il gruppo Darkhotel era solito firmare la sua backdoor con certificati digitali e aveva accesso ai codici segreti necessari per creare certificati falsi.

Per ridurre il rischio di avviare nuovi malware che gli antivirus ancora non sono in grado di riconoscere ed evitare che il vostro computer li identifichi come certificati digitali validi, è necessario mantenere un maggior controllo sulle firme dei file con un’adeguata protezione antivirus e rispettare le policy di sicurezza:

  1. Imporre il divieto di lanciare programmi firmati digitalmente da un vendor di software sconosciuto: la maggior parte dei certificati rubati vengono da piccoli sviluppatori.
  2. Non installare in memoria certificati provenienti da centri di certificazione sconosciuti
  3. Non tenere conto solo della notorietà del certificato quando si acconsente a lanciare un programmi certificato. Controllare anche il numero di serie e la fingerprint del certificato (hash sum).
  4. Installare l’aggiornamento Microsoft MS13-098, elimina l’errore che può includere informazioni aggiuntive sul file firmato senza violarne la firma.
  5. Usare una soluzione antivirus che abbia a disposizione un suo proprio database di certificati affidabili o da evitare.

Articoli correlatiAltro dello stesso autore