I certificati NVIDIA rubati vengono utilizzati per firmare malware; non lasci che succeda anche a Lei

21/mar/2022 | Jindřich Zechmeister

Recentemente potrebbe aver sentito parlare di hack dell'azienda NVIDIA e del furto di un terabyte di dati che è stato pubblicato su Internet. Durante il hack è stato rubato anche il certificato della firma del codice con la chiave privata che i truffatori ora usano per firmare il codice dannoso e diffondere malware. In questo articolo scoprirà come prevenire tale furto efficacemente e semplicemente.

Il certificato rubato viene utilizzato per diffondere malware

Gruppo chiamato Lapsus$ ha hackerato il noto produttore di hardware NVIDIA, e, dopo una richiesta di riscatto fallita, ha rilasciato 1TB di dati rubati. Questo non danneggia direttamente gli altri utenti, ma purtroppo una parte del hack era anche il furto del certificato della firma del codice (Code Signing), il quale ha NVIDIA utilizzato per la sua firma di driver e programmi.

Il nuovo possessore del certificato e della chiave privata così poteva iniziare a firmare qualsiasi codice dannoso per conto di NVIDIA, mentre il codice sembrava provenire dal produttore. Questo avrebbe potuto causare notevoli danni e infezione tra le vittime. Anche se i certificati erano già scaduti, il sistema Windows li ha considerati attendibili (se la firma ha una marca temporale da quando il certificato era ancora valido, la scadenza del certificato non influisce sull'applicazione firmata).

La firma digitale di questo malware aiuta ad aumentare la credibilità del codice nel sistema dell'utente e crea giustamente l'impressione che l'applicazione provenga effettivamente da NVIDIA (consente questa autenticazione). E invece, in questo caso, l’avviamento dell’applicazione dannosa infetta il Suo computer. È però nota una prevenzione efficace di tali abusi e la scoprirà nel prossimo paragrafo. Firmare il codice è inoltre utile non solo per la prova dell'origine, ma anche perché un’applicazione già firmata non può essere modificata da nessuno. Se lo farebbe e aggiungerebbe per esempio un codice dannoso, la firma digitale non sarà più valida. Questo è un altro aspetto della protezione dei Suoi clienti.

La soluzione della firma sicura è il certificato EV Code Signing e il cloud

I certificati della firma del codice dovrebbero essere adeguatamente protetti; altrimenti arrischia il buon nome della Sua azienda. Il certificato rubato apparirà molto probabilmente nelle mani sbagliate e verrà utilizzato in modo improprio per diffondere malware.

Questo incidente era però evitabile: avrebbe bastato scegliere un appropriato tipo del certificato della firma del codice corrispondente alle dimensioni e all'importanza di NVIDIA. Nella nostra offerta abbiamo due soluzioni di firma sicura: certificato EV Code Signing e piattaforma DigiCert ONE.

Il certificato Code Signing EV si trova sul token che deve essere inserito nel PC prima della firma ed è necessario inserire la password per il token al momento della firma (i.e. per sbloccare la chiave privata). Se sbaglierà ripetutamente, il token verrà bloccato e il suo contenuto verrà eliminato. È escluso che un aggressore indovinerebbe una password sufficientemente complessa in 5 tentativi; se non gli darà la password su un vassoio d'oro (incollato sul monitor), non ha modo di abusare il certificato sul token. Inoltre, avrebbe bisogno di un accesso fisico ad esso.

DigiCert ONE è una piattaforma moderna che Le consente di firmare al cloud. Non è quindi necessario avere un certificato (e una chiave privata) al Suo computer localmente, cioè anche più sicuro. Discuteremo questo argomento sul blog nel prossimo futuro; se è interessato a saperne di più già ora, non esiti a contattare il nostro supporto.

È abituato a firmare applicazioni nel modo tradizionale? Non abbia paura di cambiarlo ora!

Già da molti anni gli aggressori dimostrano che la firma delle applicazioni tramite un certificato archiviato localmente non è un processo giusto e sicuro. Se dispone di un certificato Code Signing archiviato nell'archivio certificati o addirritura come file PFX, modifichi immediatamente queste abitudini. Con SSLmarket può facilmente ottenere la maggiore sicurezza per la firma delle applicazioni. Basta consultare con noi e Le aiuteremo con tutto.

Con la firma e il codice sicuri non protegge solamente il Suo nome, ma soprattutto i Suoi utenti! È molto difficile da recuperare la fiducia una volta persa. Consulti con noi e protegga le Sue applicazioni oggi stesso!

La fonte

  1. Bleepingcomputer: Malware now using NVIDIA's stolen code signing certificates

Ing. Jindřich Zechmeister
Specialista per i certificati SSL di sicurezza
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz