阿里云優惠券 先領券再下單

被破壞的代碼簽名證書讓黑客能夠偽造數字簽名和欺騙瀏覽器。

黑客正在使用被破壞的代碼簽名證書來對惡意軟件進行簽名。這反過來能夠欺騙反病毒程序，讓它們認為惡意軟件來自一個可靠來源。反病毒程序并沒有將軟件標記為不可信或惡意，然后一個用戶下載了它，突然，他的電腦就被感染了。

這是一個出色的游戲，但也是一個危險的游戲。

什么是代碼簽名證書?

代碼簽名證書是一個數字證書，能夠讓個人開發者或企業對一個腳本或可執行文件進行數字簽名。數字簽名有兩個目的。首先，它允許終端用戶驗證發布者的身份。其次，它允許終端用戶驗證軟件是他們想要的，并沒有被篡改。

諸如谷歌安全瀏覽和微軟SmartScreen等的網絡過濾器，以及反病毒程序都要求對軟件進行簽名，否則他們就會把下載的東西標記為不可信和存在潛在安全隱患。這一警告足以使大多數終端用戶望而卻步。

代碼簽名證書遭到破壞時，會發生什么情況?

代碼簽名證書遭到破壞時，就可以用來它來對惡意軟件和愚蠢的反病毒程序等的惡意軟件進行簽名。因為受信任的發行者擁有一個數字簽名，所以程序認為軟件肯定也是可靠的。因此，系統就不會發出警告，終端用戶就會下載惡意軟件。

分析了賽門鐵克在全球1100萬臺主機上收集到的現場數據后，馬里蘭大學的安全研究人員發現有72個證書遭到了破壞。其中一個研究人員告訴El Reg ：“這些例子中的大多數之前都并不為人所知，并且在受到這72個證書背書的惡意軟件樣本中，有三分之二仍舊有效，簽名審查也并沒有產生任何錯誤。在Stuxnet之前，證書遭到破壞似乎已經十分普遍，并且并不局限于民族國家開發的高級威脅。我們也發現有27個證書頒發給了偽裝成合法公司的惡意分子，他們不開發軟件，也不需要代碼簽名證書，如向一個韓國客戶交付服務。這一漏洞對34個反病毒產品造成了不同程度的影響，同時利用這一漏洞的惡意軟件樣本也普遍存在。”

在一些案例中，惡意軟件制作者甚至都不需要擁有一個代碼簽名證書。他們只需要復制一個數字簽名(或代碼驗證簽名)到軟件中，這樣就足以創建一個無效的簽名，從而達到欺騙反病毒程序的目的。

網絡安全研究院和Venafi近來的一項研究發現，代碼簽名證書在暗網上的售價大約為1200美元。

Venafi首席安全分析師表示：“我們的研究表明，代碼簽名證書對于網絡犯罪分子來說是十分有利可圖的目標。利用竊取的代碼簽名證書，企業要想檢測惡意軟件幾乎是不可能的。此外，在代碼簽名證書的價值開始降低以前，它們可以被多次出售，這從而使得黑客和暗網商人可以賺取大量金錢。所有這些都刺激了對被盜代碼簽名證書的需求。”

為了解決這一問題，可以采取何種措施?

這一問題需要從多個層次上進行處理。首先，CA需要加強驗證審查，以避免向并沒有開發軟件的實體頒發代碼簽名證書。一個可靠的CA應當能夠快速辨別出申請證書的公司是否可疑，而他們申請該證書是為了交付服務，如向一個韓國人提供服務——就像前面給出的例子一樣。

此外，反程序公司也需要加強安全防范。特別地，一個無效的簽名應當被認為是沒有簽名。濫用的簽名足以騙取程序信任，在用戶下載前不發出警告，這一點是十分可怕的。

最后，對于其證書已經遭到破壞的公司來說，大多數案例都可以歸結于對密鑰的更好的管理。如果你丟失了那個密鑰，你的證書就一文不值了。一個解決辦法是將密鑰存儲在物理硬件令牌上，而不是網絡上。這使得竊取密鑰變得更加困難，因為它必須從實地拿取。在這種情況下，這是一個巨大優勢?；蛘呤?，你也可以購買一個擴展驗證(EV)代碼簽名證書。EV代碼簽名證書能夠代表頒發機構CA進行更廣泛的審查，并且它的密鑰也是存儲在物理硬件令牌上的。

關于更多代碼簽名證書服務，請參見https://www.bisend.cn/code-signing-ssl-certificate

申請創業報道，分享創業好點子。點擊此處，共同探討創業新機遇！