今年年初,一个木马程序感染了软件制造商Blackbaud的计算机,奇怪的是,攻击者并没有窃取信用卡信息、源代码或者客户信息,而是其他有价值的但往往被忽略的信息:公司用于软件签名的私钥。
Blackbaud公司主要制造帮助非盈利组织经营业务的软件。当某安全公司发现附有该公司私钥签名的恶意软件时,该公司才发现私钥被盗。讽刺的是,Blackbaud公司一直努力加强其企业安全,软件公司Charleston公司的产品和营销高级副总裁Jana Eggers表示。
“公司都非常关心他们的客户信息,但也有其他信息也需要得到保护,”Eggers表示,“病毒可以调整为搜索不同的信息,而很多公司都不会认为安全证书需要得到和客户信息一样的保护。”
Blackbaud公司并不是唯一被网络罪犯瞄上的公司,网络罪犯开始越来越多地攻击开发人员的系统以窃取私钥来进行软件签名。操作系统和安全软件会认为具有数字证书签名的软件更加安全。
使用数字证书的最知名的恶意软件应该是Stuxnet,这个木马程序在2009年和2010年感染了工业控制系统,并被广泛认为是针对伊朗核设施的打击。第一阶段的Stuxnet攻击使用的是由属于两家台湾公司的证书签名的代码,以此规避了安全软件的检查。
在2010年,知名Zeus银行木马程序使用了属于卡巴斯基公司的数字签名,以减少被识别为恶意软件程序的机会。童年的第三次攻击则利用了一个Adobe漏洞,并使用了储蓄互助社的证书来签名。
Venafi公司(企业密钥和证书管理软件制造商)首席执行官Jeff Hudson表示:“他们的目标并不是眼前利益,而是想‘直捣黄龙’。”
赛门铁克安全公司也发现并分析了一款专用于窃取私钥的恶意软件,称之为Infostealer.Nimkey。
成千上万的证书被盗,被用于恶意软件,安全公司AVG首席技术官Yuval Ben-Itzhak表示。在今日发布的季度安全报告中,AVG展示了两个使用盗窃证书的攻击:这两个证书分别属于Blackbaud和一家德国游戏公司GameForge Productions。Gameforge拒绝回应此事件。
根据AVG的报告显示,2011年上半年,被用于恶意软件签名的证书数量是2010年上半年的三倍多。企业必须更好地保护他们的证书,并且安全软件应该对已签名的代码持更加怀疑的态度。
“厂商并不急于撤销被盗证书,”他说, “现在盲目信任证书并不是一个好的做法。”
对于大型企业而言,证书管理系统可以确保企业不会出现证书突然过期或者存储在不安全位置的情况。很多时候,开发人员只是将用于软件签名的私钥放在他们的工作系统。
“我们建议大家先弄清楚你的网络中都有什么东西,”他表示,“然后确保私钥和公钥放在不同的位置,并且在收到攻击的时候,能够立即替换它们。”