Schützen Sie den Namen Ihrer Firma mit Code Signing EV

04.10.2018 | Petra Alm

Haben Sie auch von dem Sicherheitsvorfall der Software-Firma LeagSoft Technology gehört? Ihr Code Signing Zertifikat wurde zum Verbreiten von Malware missbraucht. Dieses Ereignis hat uns zu dem folgenden Artikel inspiriert, schauen wir uns in ihm somit zusammen an, wie es zu dieser Kompromittierung gekommen ist und wie diesem Szenario, welches unerwartet oft auftaucht, vorzubeugen ist.

Hinter allem suche den privaten Schlüssel

Die Funktion der Code Signing Zertifikate ist Ihnen sicher gut bekannt – sie versehen das Software-Produkt (zum Beispiel die Dateien .exe oder .jar) mit einer digitalen Signatur, die dem Client ermöglicht, seine Herkunft, also den Entwickler, zu identifizieren und die seine Echtheit und Unabänderlichkeit garantiert, also dass es während seines Weges zu dem Kunden nicht geändert worden ist. Falls jedoch der private Schlüssel zu diesem Zertifikat wegen einer unzureichenden Absicherung entwendet wird, kann der Angreifer das Zertifikat einfach zum Signieren einer Malware missbrauchen. Diese wird dann von dem Client für vertrauenswürdig gehalten, weil sie mit der originalen Unterschrift des legitimen Unternehmens ausgestattet und mit seinem gestohlenen Namen verbreitet wird.

In dem illustrierten Beispiel wurde somit unter unbekannten Umständen der private Schlüssel von dem für die Firma LeagSoft Technology ausgestellten Zertifikat entwendet. Der Täter war die sich hinter dem niedlichen Namen LuckyMouse verbergende Hackergruppe, die das gestohlene Zertifikat zum Signieren eines eigenen Drivers, welcher einen Schadcode enthielt, genutzt hat. Aufgrund des ausgestellten Zertifikats wurde die Anwendung von den Clients als vertrauenswürdig eingestuft – dank der legitimen Unterschrift eschien auch die Malware als eine Distribution von einem verifizierten Hersteller. Die Herkunft des trojanischen Pferdes hat Kaspersky Labs aufgespürt.

Was sind die Folgen? Misstrauen der Kunden

Nicht nur im Fall von LeagSoft Technology, sondern auch allgemein werden durch solche Vorfälle der Name und Vertrauenswürdigkeit der Firma verletzt – die Kunden von LeagSoft sind dem Dilemma ausgesetzt, ob die unterschriebenen Produkte tatsächlich von dieser Firma als von dem deklarierten Author stammen. Das Potenzial des Kundenverlustes ist hier somit eigentlich 1:1. Eine weitere Auswirkung ist die niedrigere Bewertung von Filtern wie Microsoft SmartScreen, die die Softwarepakete aufgrund der Anzahl von Downloads bewerten, zu welchen sich die Nutzer nach dem (nicht)erstatteten Vertrauen entschieden haben. Dieser Bestandteil von Internet Explorer 9 und 10 bewertet die Vertrauenswürdigkeit der heruntergeladenen Anwendung und falls diese in die positive Indexierung nicht fällt, wird sie als nicht erkannt bezeichnet, die Nutzer werden vor ihrer Aktivierung gewarnt und auf die mögliche Gefährdung des Computers hingewiesen.

Was ist die Prävention? Code Signing EV Zertifikat

Worin ist das Code Signing EV Zertifikat revolutionär und warum wird eben dieses Produkt ihre Firma schützen? Wie wir uns auf der Geschichte oben erklärt haben, endet der Diebstahl des privaten Schlüssels üblicherweise mit einer absoluten Kompromittierung des Zertifikats. Bei den EV-Zertifikaten droht dieses Risiko nicht. Sie werden ausschließlich auf einem HW Token genutzt, welches dem Antragsteller die Zertifizierungsstelle per einen Kurier liefert. Nach seinem Erhalt lädt der Antragsteller auf das Gerät von einer abgesicherten Schnittstelle das Zertifikat selbst herunter. Das Token sichert dann der frische Inhaber des Code Signing Zertifikats mit einem Passwort ab.

Diese neue Generation von Zertifikaten muss und eigentlich auch kann nicht in dem Computer gespeichert sein. Auch in dem Fall, dass das Token physisch entwendet wird, ist der Missbrauch dieses spezialisierten Zertifikats ausgeschlossen – der private Schlüssel wird immer mit einem Passwort geschützt und falls dieses merhmals falsch eingegeben wird, wird das Token blockiert. Das Passwort lässt sich somit auch nicht mit einem Wörterbuchangriff durchbrechen.

Ohne das Token lässt sich die Anwendung nicht signieren und auch falls es physisch entwendet wird, wird dem Dieb noch immer das Passwort im Wege stehen.

Nicht nur, dass die Nutzung des Code Signing EV Zertifikats die Kompromittierung Ihrer Firma verhindert, sie stellt auch eine Maßnahme gegen die Blockierung vonseiten des SmartScreen Filters dar. Die mit einem EV Zertifikat signierte Anwendung wird keine Systemmeldung hervorrufen, weil sie die Reputation augenblicklich erwirbt.

Wie lässt sich das Code Signing EV Zertifikat erwerben?

Das prestigehaft Code Signing EV Zertifikat erwerben sie bei dem größten Anbieter von SSL/TLS-Zertifikaten in Mitteleuropa, SSLmarket.de Es stellt einen 100% Schutz vor dem Missbrauch ihrer Signatur dar und stellt auch sicher, dass die von ihnen angebotenen Daten während des Transportes nicht geändert oder von Microsoft blockiert werden. Unser Kundensupport führt sie durch den Verifizierungsprozess durch und ebenfalls hilft ihnen mit der Aktivierung des Zertifikats.

Quellen

Chinese malware campaign aided by compromised digital certificate

Hacker-Gruppe Luckymouse signiert Malware mit legitimem Zertifikat

 


Petra Alm
Spezialistin für TLS-Zertifikate
DigiCert TLS/SSL Professional
e-mail: info(at)sslmarket.de