Según F-Secure, el número de Malware firmado digitalmente para Windows está creciendo, y cada vez más programas “scareware” también incluyen un firma digital válida. Los creadores de Virus usan este método para evitar diversos obstáculos establecidos en los sistemas Windows, suprimiendo las alertas generadas cuando un programa intenta instalar un ActiveX en Internet Explorer o antes de instalar un driver. La lista de programas potencialmente indeseables de F-Secure contiene casi 4.000 ejemplos firmados digitalmente. En términos de malware, la lista incluye casi 24.000 ejemplos.
Authenticode se usa para firmar y chequear el software bajo Windows y está destinado a verificar el origen del software. Los usuarios suelen confiar en el software firmado; el que no está firmado ofrece un diálogo que le pregunta explícitamente al usuario por una confirmación antes de proceder a la instalación. En las versiones de 64-bits de Windows 7 y Vista no es posible instalar un driver no firmado, incluso aunque el usuario quiera hacerlo.
F-Secure afirma que los creadores de virus usan diversos trucos para obtener una firma digital válida o certificados para sus programas. El más usado es engañar a la Autoridad Certificadora para que emita el certificado. Parece que esto es tan fácil como obtener un certificado SSL válido para un servidor, donde en algunos casos es suficiente con una dirección de correo electrónico válida. Los ciberdelincuentes también usan servicios como “Digital River”, que firma software para sus clientes.
Los creadores de virus también dan mal uso a certificados robados o claves privadas para firmas su propio software. Se sabe que varias versiones de las botnets “Adrenalin”, “Ursnif” y “Zeus” contienen funciones para leer información relevante de los ordenadores usados por desarrolladores. Sin embargo, F-Secure no ha encontrado ningún malware que use actualmente una clave robada en su base de datos de malware.
Lo que parece suceder cada vez más a menudo es que un Troyano infecte los archivos del ordenador de un desarrollador, y que el software de empaquetado, incluyendo el troyano, sea, por consiguiente, firmado. A menudo, los desarrolladores de virus también firman sus ejemplos con claves y certificados autofirmados, usando información falsa acerca del emisor o propietario para engañar a los programas y usuarios.
F-Secure estima que el problema no ha alcanzado proporciones críticas porque los autores de virus todavía no han comenzado a explotar este método a gran escala. Sin embargo, esto podría cambiar con la amplia expansión de Windows 7, que requiere controles Authenticode más estrictos que las versiones anteriores de Windows. En este caso, los vendedores Antivirus podrían necesitar trabajar cooperando estrechamente con las Autoridades Certificadoras para asegurar que los certificados mal usados y comprometidos(y sus claves) pueden ser bloqueadas lo más rápidamente posibles.
Fuente: Informática y Seguridad
Facturación Electrónica 