Amikor a számítógépünkre telepítünk valamilyen szoftvert, például játékot, segédprogramot, vagy épp egy eszközünk meghajtóprogramjának frissítését, a rendszer akkor engedélyezi a telepítést, ha egy tanúsítvány által bizonyítottan elfogadott gyártótól származik. Ilyenkor lehetünk biztosak benne, hogy a telepítéssel nem okozunk kárt a gépben, például nem valamilyen vírust, vagy egyéb kártékony programot eresztünk rá a rendszerünkre.
A Kaspersky Lab kutatói szerint az elmúlt évben megduplázódott az olyan esetek száma, amikor rosszindulatú programok használtak valamilyen megbízhatónak tűnő tanúsítványt, így a rendszer figyelmeztetése nélkül lehetett őket telepíteni. 2014 végén a cég vírusirtó adatbázisa több mint 6000 ilyen tanúsítványt tartalmazott. A rosszindulatú fájlok hitelesítéséből fakadó veszélyek egyre növekvő száma miatt a szakértők azt tanácsolják, hogy mindenki kezelje fenntartásokkal a digitális aláírásokat, és ne engedélyezzék a hitelesített fájlok futtatását pusztán az aláírás megléte miatt. Egyszerűbben fogalmazva: használja mindenki a józan eszét, és mondjuk egy Office-t, vagy egy hivatalos forrásból származó eszközmeghajtót telepítsen, de egy kalóz oldalról származó, megbízhatónak tűnő, de furcsa előnyöket kínáló szoftvert (például olyanokat, amik “hihetetlenül felgyorsítják a számítógépet”, vagy hozzáférést ígérnek titkos weboldalakhoz, semmiképp se installáljanak.
Például itt a hírhedt Stuxnet féreg esete: ez az erőműveket, kormányhivatalokat is megbénító, világszinten támadó vírus a Realtek és a JMicron ellopott tanúsítványait használta, így saját magát egy PC-s alkatrész vezérlőprogramjának álcázta. A Winnti hackercsoport pedig játékfejlesztő cégek rendszerét törte fel titokban, és az ő tanúsítványaikat hasznosította újra támadásaiban. Arra is láthattunk már példát, hogy több kínai hacker támadásaiban ugyanaz a tanúsítvány került elő.
Annak érdekében, hogy ne telepítsünk rosszindulatú programot azért, mert az érvényesnek tűnő tanúsítványt nem szűri ki víruskereső rendszer, alapvető fontosságú, hogy egy fejlett antivírus program használatával és a következő biztonsági előírások betartásával fokozottan odafigyeljünk az aláírással rendelkező fájlokra:
- Tiltsuk le az olyan programok telepítését, amelyek ismeretlen szoftvergyártó digitális aláírásával rendelkeznek: a legtöbb ellopott tanúsítvány kis fejlesztőktől származik.
- Amikor ismeretlen tanúsítványközpontból érkező tanúsítvánnyal találkozunk, ne fogadjuk el azt.
- Ne engedélyezzük a programok telepítését pusztán azért, mert a tanúsítvány nevéből azt feltételezzük, hogy az megbízható. Vizsgáljuk meg a tanúsítvány többi paraméterét is, például a sorozatszámát és a tanúsítvány ujjlenyomatát (hash sum).
- Telepítsük a Microsoft MS13-098 jelű frissítést, ez megszünteti az abból fakadó hibát, hogy az aláírt fájl további adatokat tartalmazhat, anélkül, hogy a fájl aláírását megsértené.
- Használjunk olyan vírusirtó megoldást, amely saját adatbázissal rendelkezik a megbízható és nem megbízható tanúsítványokról.
