Los certificados digitales legítimos pueden enmascarar virus
Un análisis de McAfee indica un fuerte aumento en la cantidad de malware firmado con certificados digitales legítimos, no falsificados ni robados.
El malware firmado con certificados legítimos se ha disparado desde 2010, cuando apenas suponía el 1,3 por ciento de los virus detectados, de acuerdo con McAfee. Esto casi se duplicó en 2011, hasta alcanzar el 2,9 por ciento, y se triplicó hasta el 6 por ciento, en 2012. Aunque la tasa es ligeramente más baja, en lo que va de este año la cantidad total de este tipo de ataques sigue creciendo, ya que el número de nuevo malware se duplica, más o menos, cada año.
En su intervención, en la conferencia anual de usuarios de la compañía en Las Vegas la semana pasada, David Marcus, director de investigación avanzada e inteligencia de amenazas en McAfee Labs, también ha señalado la existencia de malware firmado legítimamente en plataformas Android, algo casi inexistente en 2010, que ya suponía el 7 por ciento de todo el malware para Android en 2012 y, en la actualidad, asciende al 24 por ciento.
“Los certificados por ahora no son piratas, no son falsos o robados pero se abusa de ellos”, concreta Marcus. Esto significa que el atacante ha utilizado un certificado legítimo de una empresa típica asociada a una entidad emisora de certificados, como Comodo, Thawte o VeriSign. El atacante utiliza este certificado legítimo para firmar código de malware, con el fin de engañar a las defensas de seguridad, del tipo listas blancas o sandbox”, señala.
McAfee reconoce casos en los que se han firmado varios cientos de muestras de malware con el mismo certificado, mientras que en otros no se ha observado ningún uso malicioso del certificado. Todo esto plantea la cuestión de si debe haber un “servicio de reputación” de los certificados, para que las empresas puedan protegerse contra el malware firmado con certificados legítimos.
Certificados vulnerados, apoyo de otros ataques
Este experto estuvo acompañado en su presentación por James Wolfe, jefe de ingenieros de seguridad de información en Lockheed Martin, quien dijo que la cuestión de los certificados vulnerados que se utilizan para autenticar malware está recibiendo más atención desde principios de este año, cuando se conoció públicamente una serie de ataques dirigidos, aunque la técnica no es del todo nueva. Wolfe considera que el malware firmado con certificados legítimos puede observarse como una especie de “amenaza persistente avanzada” para la seguridad en las organizaciones.
McAfee sólo ha recopilado y analizado los datos de los últimos meses, y no los ha contrastado con las autoridades de certificación, y está estudiando la forma de identificar de forma efectiva los certificados vulnerados, para bloquear malware. “Esta información nos daría la capacidad de tomar una decisión”, concluye Marcus.
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.