» »

Vdor v Sony odnesel tudi certifikate, nesnaga že tu

Vdor v Sony odnesel tudi certifikate, nesnaga že tu

Slo-Tech - Vdor v Sony skupine GOP (Guardians of Peace), katere motivi še vedno niso znani, je poskrbel tudi za zlonamerno programsko opremo, ki izkorišča Sonyjeve certifikate. Na internetu se je pojavila nova inačica programa Destover, ki nosi veljaven digitalni podpis Sony Pictures, zaradi česar se laže prihuli mimo varnostnih pregrad.

Destover je že znan kos škodljive programske opreme, novost je le izraba Sonyjevih certifikatov za podpis. Tako je verzija, ki je datirana na 5. december in vsebuje Sonyjevdigitalni podpis, sicer identična julijski varianti.

Destover je bil uporabljen že v napadih v Južni Koreji pred letom dni, isti program pa je zakrivil tudi napad na Sony Pictures. Ko so uspeli ukrasti certifikate, so zlikovci ta isti program, ki jim je omogočil krajo certifikatov, podpisali z omenjenimi certifikati. Podpisani Destover se še ne širi prosto, a njegov obstoj kaže, da so ključi Sonyjevega certifikata kompromitirani, zato je certifikat že preklican, za kar je poskrbel Sony pri overitelju DigiCertu.

Zlonamerna programska oprema je pogosto podpisana z veljavnimi, a ukradenimi certifikati; znan primer je bil ukraden Adobov certifikat. Nekateri varnostni programi podpisani kodo avtomatično zaupajo, drugi pa jo vseeno pregledujejo. Slednjih naj bi bilo okrog dve tretjini.

8 komentarjev

BlackMaX ::

Kje so aktivni te certifikati...katere storitve?

Gandalfar ::

Recimo zraven filma na torrent trackerju ti dajo codecs.exe, ki je podpisan s tem certifikatom. Tebi tam pise 'sony' v resnici je pa malware.

stb ::

Podpisan fajl iz screenshota ima tudi timestamp (Countersignature COMODO Time Stamp...), s čimer se zagotovi, da tak podpis ostane veljaven tudi po poteku certifikata. Kakšen učinek ima pa preklic v praksi? Ali preklic razveljavi vse podpise s tem certifikatom (tudi legitimne iz časa znatno pred krajo) ali samo tiste po nekem na oko določenem času pred krajo certifikata (=omejen preklic za nazaj)?

stb ::

dronyx ::

Če prebereš tole izpade, kot da so v tej ne tako majhni firmi (6500 zaposlenih) imeli skoraj vsa gesla shranjena kar v nekih datotekah oziroma v berljivi obliki!? Potem se niti ni za čudit, da v vsem tem času niso uspeli niti ukradenih certifikatov preklicati, za kar je verjetno dovolj telefonski klic izdajatelju oz. CA. Manjka mi samo še podatek, kakšen IT oddelek je to upravljal in koliko od njih je bilo zadolženih za informacijsko varnost (vem da ima vsaj 17 zaposlenih letno plačo nad milijon USD in to po vsej verjetnosti niso ljudje iz IT oddelka).

Zgodovina sprememb…

  • spremenil: dronyx ()

Phantomeye ::

Gandalfar je izjavil:

Recimo zraven filma na torrent trackerju ti dajo codecs.exe, ki je podpisan s tem certifikatom. Tebi tam pise 'sony' v resnici je pa malware.


k sreči vsak, vsaj povprečno razgledan torrentaš filmov, ne zaupa torrentom, ki vsebujejo exe fajle. tega se k filmom ne daje. tisti, ki pa klikajo, bi pa kliknili pa ce je podpisano ali ne.

Jst ::

It's been more than two weeks now since Sony's security nightmare was made public knowledge. Certificate revocation should have been one of the first things to happen, especially on certificates related to projects and business critical applications.

Yet, the certificate used to sign the variant of Destover was part of an employee's project requirements. If that certificate was valid a week after the breach became known, it's a safe bet the others were too.


DRM, DRM, where is DRM??? :)
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|

tomaz88 ::

a to je neka fora v smislu, sony napiše nek malware, uporabnike prisli, da ga naložijo, nekdo ga izrabi za zle namene, krivi so pa vsi razen sonya, ki je čisto nedolžen?


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Vdor v Sony resnejši od pričakovanj

Oddelek: Novice / Varnost
216980 (4646) dronyx
»

Višje sodišče potrdilo sodbo: NLB mora povrniti škodo zaradi vdora v e-banko (strani: 1 2 3 4 5 )

Oddelek: Novice / Varnost
23243496 (36707) sisemen 
»

NLB mora povrniti škodo zaradi phishinga (strani: 1 2 3 )

Oddelek: Novice / Varnost
12828863 (21934) tony1
»

Hekerski napadi na bankomate

Oddelek: Novice / Varnost
286927 (5169) Matthai
»

Napad z ničelno predpono na SSL/TLS certifikate že "v divjini"

Oddelek: Novice / Varnost
414824 (3202) McMallar

Več podobnih tem