Цифровые сертификаты ПО: доверяй, но проверяй
Защита ПО с помощью цифровых сертификатов уже не является стопроцентной гарантией безопасности. Паспорт обычного гражданина могут украсть преступники, а затем с его помощью осуществить те или иные правонарушения. Точно такая же ситуация и в области ПО. По данным компании “Лаборатория Касперского”, вдвое увеличилось количество недоверенных цифровых сертификатов, подписывающих вредоносное или нежелательное ПО. К концу 2014 года в базе “Лаборатории Касперского” находились описания свыше 6 тысяч скомпрометированных, то есть украденных или поддельных сертификатов, что представляет собой 6% всех сертификатов для цифровой подписи ПО, известных компании. Это реальная угроза, во многих случаях компании формируют стратегию ИБ именно на цифровых сертификатах, когда пользователям разрешено самостоятельно устанавливать и запускать приложения, обеспеченные такими сертификатами.
Насколько эффективной остается система цифровых сертификатов ПО, не устарела ли она морально? С этим вопросом мы обратились к Андрею Ладикову, руководителю отдела стратегических исследований “Лаборатории Касперского”. По его словам, математические методы, используемые при подписании файла, до сих пор являются надежными и их компрометация является трудно решаемой математической задачей. Поэтому цифровая подпись до сих пор является надежным средством для проверки целостности и авторства файла.
Как получают файл злоумышленники? Андрей Ладиков рассказал о двух способах. Первый - кража сертификата, чаще всего у небольшой компании, не уделяющей должного внимания ИБ). Второй - невнимательность со стороны удостоверяющих центров, занимающихся выдачей сертификатов. “Однако данное условие не нарушает двух основных назначений цифровой подписи: проверка целостности файла и подлинности издателя. В данном случае удостоверяющий центр подтверждает весьма комичный факт – сертификат действительно принадлежит разработчику вредоносного ПО”, - говорит он.
Как разработчику защититься от кражи цифровых сертификтов? По мнению Андрея Ладикова, наиболее надежным, но при этом и наиболее дорогим способом защиты, стало приобретение и внедрение в организации специализированных аппаратных модулей, позволяющих безопасно хранить сертификаты и осуществлять работу с ними. Однако чаще всего они похищаются злоумышленниками с помощью вредоносного ПО. “Поэтому наиболее простым способом защиты будет являться установка на компьютер, хранящий сертификаты разработчика, комплексного средства антивирусной защиты, включающего в себя такие компоненты как: антивирусный модуль, межсетевой экран, систему распознавания и предотвращения вторжений”, - объясняет Андрей Ладиков.
Что касается способов защиты в корпоративной сети от ПО с недостоверными сертификатами, то здесь Андрей Ладиков в качестве наиболее надежного варианта предлагает полный запрет на запуск пользователями программ, явно неодобренных администратором безопасности. Но важно соблюсти баланс между надежностью системы и ее гибкостью. “Одним из способов смещения баланса в сторону гибкости, при незначительном ухудшении защищенности, является формирование администратором корпоративной сети политик безопасности, разрешающих запуск ПО подписанного только теми сертификатами, которым доверяет администратор безопасности”, - комментирует эксперт. При этом он, правда, отмечает, что подобная задача может оказаться весьма трудоемкой для администратора сети, не обладающего в должном объеме знаниями о том, какой сертификат является доверенным, а какой - нет. Но подобной экспертизой обладают производители средств антивирусной защиты.