V roce 2014 se zdvojnásobil počet falešných certifikátů
Analytici společnosti proto radí systémovým administrátorům a uživatelům, aby slepě nedůvěřovali digitálním podpisům a nespouštěli podepsané soubory čistě jen na základě síly jejich podpisu.
Autoři virů kradou a imitují validní podpisy, aby uživatele a antivirová řešení obelhali v tom, že je soubor bezpečný. Analytici tuto techniku sledují již několik let zejména u představitelů APT (advanced persistant threat).
Nechvalně známý Stuxnet využíval certifikáty ukradené z Realteku a JMicronu. Gang Winnti odcizil certifikáty z napadených herních společností a využil je pro nové útoky. Existují navíc i příklady stejných certifikátů použitých pro spuštění útoků dalších skupin čínských hackerů, což naznačuje, že se s nimi obchoduje na černém trhu. Skupina stojící za Darkhotelem obvykle podepisovala své backdoory digitálními certifikáty a zřejmě měla přístup k tajným klíčům potřebným k tvorbě falešných certifikátů.
Ke snížení rizika malwaru, který virové skenery nepoznají a počítač si myslí, že je podpořen validním digitálním certifikátem, je nezbytné zachovávat zvýšenou kontrolu nad podepsanými soubory s odpovídajícím antivirem a dodržovat bezpečnostní pravidla:
- Zaveďte zákaz spuštění programů podepsaných neznámým prodejcem softwaru. Většina ukradených certifikátů pochází od drobných vývojářů.
- Když narazíte na certifikáty z neznámých certifikačních center, neinstalujte je do úložiště.
- Nepovolte spuštění programů podepsaných důvěryhodnými certifikáty jen na základě jejich jména. Zkontrolujte další atributy, jako je sériové číslo a otisk (hash sum).
- Instalujte aktualizaci Microsoft MS13-098 – ta eliminuje chybu, která může přidat dodatečná data v podepsaném souboru bez narušení podpisu.
Použijte antivirové řešení s vlastní databází důvěryhodných a nedůvěryhodných certifikátů.
