McAfee Focus 2013

[Andreea]

"Am identificat 1,2 milioane de piese noi malware doar in ultimul trimestru", a anuntat David Marcus, director de cercetare avansata si inteligenta amenintarii in cadrul McAfee. Acesta este malware semnat prin utilizarea certificatelor digitale legitime care nu au fost furate sau falsificate, ci achizitionate de la autoritati de certificare (CA) sau de la subcontractorii acestora, a precizat Marcus. 

 

Analiza bazei de date malware a McAfee a relevat faptul ca certificatele cel mai frecvent abuzate, din punct de vedere al volumului, sunt emise de catre Thawte, Comodo si Verisign, a informat Marcus in cadrul McAfee Focus 2013 din Las Vegas. 

 

"Atacatorii stiu ca controalele de securitate Whitelisting si sandboxing permit sa treaca orice este semnat cu un certificat digital, astfel incat adopta aceasta solutie in ceea ce priveste malware-ul", a declarat Marcus pentru Computer Weekly. 

 

Acest lucru poate fi remediat, cel putin partial, prin abonarea la un serviciu de reputatie CA, a declarat James Wolfe, chief security engineer ePO in cadrul Lockheed Martin. 

 

Insa nu exista nicio solutie rapida pentru aceasta problema, astfel incat companiile trebuie sa fie constiente de faptul ca nu se mai poate presupune ca software-ul semnat digital este sigur, a declarat Marcus. 

 

Singura modalitate de a rezolva aceasta problema in mod corespunzator este aceea prin care companiile de securitate si CA ar colabora indeaproape pentru a se asigura ca certificatele abuzate de autorii malware sunt identificate si revocate rapid, a apreciat Marcus. 

 

Intre timp, a explicat Wolfe, profesionistii in domeniul securitatii informatiilor nu ar trebui sa se increada in orice nou binar, chiar daca este semnat, si ar trebui sa treaca toate noile binare printr-un sandbox, pentru a verifica daca nu sunt malware. 

 

Amenintarea este mare si in crestere rapida. Cercetarea McAfee a constatat ca malware-ul semnat digital reprezenta doar 1,3% din totalul noilor programe malware in 2010, insa procentul a crescut la 2,9 in 2011 si 6,6% in 2012. 

 

"Acestea au fost salturi uriase, de 136% si 393%", a declarat Marcus, iar ritmul continua sa se accelereze. In doar noua luni din anul 2013, malware-ul semnat a fost cu 20% mai mult fata de cifra totala aferenta anului 2012. 

 

Cea mai mare crestere s-a inregistrat in ceea ce priveste malware-ul Android semnat digital, care reprezinta 24% din totalul malware-ului semnat digital, comparativ cu doar 5,2% in cazul malware-ului PC. 

 

"Din 2010 pana in 2011, malware-ul Android semnat digital a crescut cu 1,412%", a declarat Marcus. 

 

Ca masura de securitate, toate aplicatiile Android trebuie sa fie semnate inainte de a le fi permis accesul in magazinul de aplicatii. "Pentru a rezolva aceasta problema, autorii malware pur si simplu obtin certificate digitale pentru malware-ul lor, a relevat Marcus. 

 

Semnarea digitala a malware-ului inseamna ca acesta poate sa ocoloeasca radarele celor mai multe dintre organizatiile care folosesc tehnologia whitelisting. 

 

"Aceasta strategie ofera un nou inteles termenului advanced persistent threat (APT)", a declarat Wolfe. 

 

In lumina acestei descoperiri, companiile trebuie sa inteleaga ca fisierele semnate nu sunt neaparat mai sigure decat alte fisiere si sa actioneze in consecinta", a mai spus Marcus, adaugand ca "Companiile care folosesc whitelisting ar trebui sa se asigure ca au capacitatea de a revoca certificatele, daca este necesar". 

 

Pe termen mai lung, Marcus a sustinut ca cercetarea in ceea ce priveste malware-ul semnat digital are un mare potential, iar viitoarele produse de securitate vor include, probabil, reputatia certificatului ca modalitate de identificare a potentialelor programe malware". 

 

"Pe termen scurt, marile organizatii ar putea dori sa ia in considerare infiintarea unui CA intern, astfel incat sa poata sena toate codurile care ruleaza", a concluzionat Marcus.