Estudo aponta que comércio de certificados autuado por abuso representa um segmento emergente da economia clandestina
Por Redação IT Forum 365
Foi Ronald Regan quem disse “Confie, mas verifique”.
Duas semanas atrás, a Cylance, empresa de segurança digital, revelou um dos cenários mais complicados para atingir a segurança de websites neste ano, quando o revendedor de certificados SSL/TSL Trustico tentou livrar os clientes dos certificados emitidos pela Symantec e suas subsidiárias, terminando em uma briga no Twitter entre a Trustico e a DigiCert, seguido pelo vazamento de informações de 23 mil clientes e o site do Trustico temporariamente fora do ar.
Esta semana, um novo estudo, intitulado Issued for Abuse: Measuring the Underground Trade in Code Signing Certificates(Autuado por abuso: aferindo o comércio clandestino de certificados de assinatura de código, em tradução livre) foi lançado por pesquisadores norte-americanos e tchecos, investigando várias formas de abuso que permitem que autores de malware produzam assinaturas digitais – ainda que válidas – contendo códigos infectados por vírus.
O estudo sugere que os códigos de certificados de assinatura ilícitos, vendidos por fornecedores clandestinos, fazem parte de uma tendência crescente desencadeada pelo crescente uso do Windows Defender SmartScreen da Microsoft. O SmartScreen é um recurso incluído no Windows 10 que atua como uma camada adicional de segurança, alertando usuários, caso eles baixem arquivos ou acessem sites sem certificados válidos.
Quando o SmartScreen encontra um certificado pela primeira vez, ele alerta o usuário, que deve clicar um aviso para prosseguir. No entanto, por apenas alguns milhares de dólares, é possível comprar um certificado que o SmartScreen verá como confiável. O estudo sugere que o uso do SmartScreen “desempenha um papel crescente” nessa tendência.
O estudo examinou em profundidade dois aspectos desse comércio: primeiro, investigou quatro principais fornecedores de certificados Authenticode. Em seguida, coletou um conjunto de dados de malware assinados recentemente e usou isso para “estudar as relações entre desenvolvedores de malware, famílias de malware e os certificados”.
Os pesquisadores também estudaram a informação obtida do mercado negro para reconhecer como se dá o comércio de certificados e identificar quando são usadas para assinar malwares nos sistemas.
Os pesquisadores concluíram que, “enquanto estudos anteriores relataram o uso de códigos de certificados de assinatura que foram danificados ou obtidos diretamente de Autoridades de Certificação legítimas, observamos que (…) esses métodos tornaram-se secundários à compra de certificados de fornecedores clandestinos. Juntas, essas descobertas sugerem que o comércio de certificados autuado por abuso representa um segmento emergente da economia clandestina”.
O Google anunciou recentemente que está planejando descreditar todos os certificados SSL de uma grande empresa da área devido a “incidentes repetidos de segurança”. O novo estudo sugere que, uma vez que um editor malicioso tenha sido descoberto, todos os certificados fornecidos por esse editor devem ser revogados.
Fonte: ITFORUM365