• Новости
  • » Новости компании
  • » Мировые события
• Продукты
  • » Список продуктов
  • » Security Suite
  • » Autorun Manager
  • » Proactive Defense
  • » Personal Firewall
  • » Партнерство
  • » OEM партнерство
  • » Утилиты
  • » Скачать
• Компания
  • » О компании
  • » История
  • » Форум
  • » Контактная информация
• Работа
  • » Как мы работаем
  • » Где мы работаем
  • » Наши преимущества
  • » Наши вакансии

Новости компании

• Мировые события

Duqu, возможно, атаковал центры сертификации ради ключей шифрования

20 октября, 2011

Дальнейший анализ последней версии Stuxnet говорит о том, что червь Duqu мог атаковать центры сертификации, чтобы заполучить легальные ключи и замаскироваться под доверенное приложение.

Пока Symantec продолжает анализ Duqu, новейшего зловреда, атаковавшего фирмы промышленного контроля и базирующегося на черве Stuxnet, другие исследователи считают, что центры сертификации также могли попасть в число его жертв.

Компания Symantec опубликовала предварительный анализ Duqu 18 октября. Похоже, что Duqu сосредотачивается на системах промышленного контроля, но, в отличие от Stuxnet, его целью является сбор информации, а не поломка оборудования. Однако пара исследователей из McAfee заметили, что команда, стоящая за Duqu, могла попутно навредить и центрам сертификации.

Исследователи из компании McAfee, Гиллерме Венерэ и Питер Зор уверены, что Duqu был создан для шпионажа и запуска нацеленных атак на центры сертификации. При том, что в Symantec рассказали о нескольких компаниях из Европы, которые стали жертвами Duqu, команда Symantec Security Response не смогла представить ни каких-либо подробностей об этих компаниях, ни примеров информации, которая могла быть украдена.

Основываясь на своем собственном анализе, Венерэ и Зор утверждают, что Duqu использовался в “профессиональных, нацеленных атаках” на различные центры сертификации в Европе, на Среднем Востоке, в некоторых регионах Азии и Северной Африки.

“Скорее всего, ключ, как и в предыдущих двух случаях, не был украден, а вместо этого был напрямую сгенерирован от имени компаний в центре сертификации в ходе прямой атаки”, - написали Венерэ и Зор, заметив, что Stuxnet тоже использовал два цифровых сертификата, принадлежащих компаниям в Тайване.

В McAfee Labs посоветовали центрам сертификации “тщательно проверить” свои системы, чтобы удостовериться, что они не подверглись влиянию Duqu или других “вариаций”. Согласно McAfee, цифровой сертификат, который использовался Duqu, принадлежал тайваньской компании C-Media Electronics. Очень вероятно, что его никто не крал, а он просто был законным образом выпущен подвергнутым атаке центром сертификации.

Сомнительный сертификат 14 октября был аннулирован центром сертификации VeriSign, который недавно приобрела компания Symantec. Однако, проведя внутренне расследование, в Symantec заявили, что частный ключ, использованный в сертификатах, был украден у клиентов компании. Согласно Symantec, сертификаты не были получены у VeriSign обманным путем. Компания применяла “корректные процессы” для аутентификации и проверки сертификата по запросу своего законного клиента.

“Корневые и промежуточные центры сертификации компании Symantec не подвергались риску. И также не было никаких трудностей касательно центров сертификации, их посредников, и других брендов и сертификатов VariSign и Thawte”, - сказали в Symantec.

“Полученный преступниками сертификат SSL аутентифицировался и использовался преступниками для подписи файлов драйвера Duqu, согласно Symantec. Это позволило Duqu действовать как доверенное приложение и соединяться с другими системами и приложениями в рамках сети, потому что его компоненты были подписаны “настоящим” сертификатом”, - сказал в интервью eWEEK Джеф Хадсон, президент компании Venafi.

“Организации должны провести полную инвентаризацию всех сертификатов, выпущенных центрами сертификации, проверить их и узнать, какие из них относятся к политике компании. Таким образом администраторы поймут, какие из них не совместимы с политикой и смогут отозвать их”, - добавил Хадсон.

“IT отделам нужно вкладываться в “надежные инфраструктуры регистрации данных”, чтобы замечать связи с неизвестными, иностранными хостами”, - сказал в интервью eWEEK Билл Рот, главный директор по маркетингу компании LogLogic. “Не проверять свои сети с помощью инфраструктуры управления регистрации данных – это то же самое, что покупать для охраны своего дома фальшивые камеры наблюдения. Обязательно обворуют”, - добавил он.

“Дело не только в регистрации данных. Организациям нужно использовать различные инструменты для обнаружения и блокирования подозрительной активности”, - объяснил в интервью eWEEK Джейсон Льюис, главный директор по технологиям компании Lookingglass. “Сюда может включаться веб-прокси для контроля над сайтами, которые посещают работники, firewall и система предотвращения вторжения могут блокировать вредоносный трафик, а двухфакторную аутентификацию лучше всего использовать для защиты аккаунтов и служб, нежели только паролей”, - рассказал Льюис. “Использование всех этих инструментов вкупе значительно увеличивает шансы быстро пресечь вредоносную деятельность”, - добавил он.

Xakep.ru

←      →

Мировые события