如何檢測出看起來真實的假證書?
責編:admin |2014-11-07 15:23:30報道稱Zeus又回來了,這次它還有自己真實的數字證書。那么該如何檢測出具有看似真實證書的木馬程序呢?
Nick Lewis:公共密鑰基礎設施在設計時考慮了多個安全功能,這些功能讓終端實體來決定自己的信任。也就是說,在這個系統中,如果證書被感染,證書頒發機構(CA)發布的數字證書會被撤銷,或者證書頒發機構可能被吊銷發放證書的資格。
Netscape在提高其Web瀏覽器的電子商務取得了顯著的進步,CA證書被捆綁在Web瀏覽器來支持新的SSL協議。雖然這種做法將系統設置為在默認情況下信任這些CA,一個最大的問題是,任何CA都可以發布任何名稱的證書。例如,www.google.com可以由惡意CA簽名,仍然看起來像是合法的www.google.com網頁。
Zeus變體使用的真實數字證書被合法CA分配到合法軟件公司,但這并不能保護終端免受攻擊。當該CA吊銷該證書(防止某些系統信任這個簽名的惡意軟件)時,大多數系統沒有檢查撤銷情況,這里原因有很多(例如,Web瀏覽器、操作系統或其他應用在默認情況下沒有啟用該功能),而淪為這個假證書和惡意軟件的受害者。
企業可以在安裝軟件之前,檢查已簽名軟件的證書吊銷情況,從而檢測出看似真實的證書是否為假證書。企業還可以檢查通過HTTP下載的每個文件,看看文件是否由已吊銷證書簽名,然而可以阻止下載。另外,企業可以檢查本地系統的每個文件以確定文件是否由已吊銷證書簽名,如果發現由已吊銷證書簽名的文件,應該調查該文件所在系統。