- Anzeigen -


Sie sind hier: Home » Fachbeiträge » Grundlagen

Code Signing-Attacken verhindern


Neue Anforderungen für Code-Signing-Zertifikate treten in Kraft
Was heißt das für Entwickler?

- Anzeigen -

--Start TN Rectangle-->


Autor: GMO GlobalSign

Das Certification Authority Security Council (CASC) hat seine neuen Minimum Requirements für öffentlich vertrauenswürdige Code- Signing-Zertifikate offiziell bekannt gegeben. Zum ersten Mal sind Zertifizierungsstellen (CAs) damit an eine Reihe von standardisierten Ausstellungs- und Managementrichtlinien gebunden, die speziell für das Code Signing entwickelt wurden. Die Requirements gehen ausführlich auf CA-Richtlinien ein und behandeln Themen wie Zertifikatinhalte, Widerruf- und Statusprüfungen, Verifizierungspraktiken und vieles mehr. Zertifizierungsstellen haben hinter den Kulissen schon recht eifrig daran gearbeitet das Anforderungsprofil umzusetzen.

Was aber heißt das für die Benutzer? Wir wollen einen Blick darauf werfen, welche Anforderungen die User betreffen, die überhaupt Zertifikate zum Signieren von Code benutzen.

Private Schlüssel müssen auf kryptografischer Hardware gespeichert werden
Gemäß CASC ist eine der Hauptursachen für Code Signing-Attacken ein kompromittierter Schlüssel. Das heißt, ein potenzieller Angreifer kann auf den privaten Schlüssel eines legitimen, "guten" Herausgebers zugreifen und verwendet den Schlüssel, um eine schädliche Datei zu signieren. Dadurch wirkt diese Datei vertrauenswürdig und die Chancen steigen, dass sie tatsächlich heruntergeladen wird. Die übliche Methode vor den Requirements war es, den Schlüssel lokal zu speichern. Speichert man ihn aber stattdessen auf einer sicheren kryptografischen Hardware, wie beispielsweise einem USB-Token oder einem Hardware Security Module (HSM), ist es sehr viel unwahrscheinlicher, dass der Schlüssel kompromittiert wird.

Zertifizierungsstellen wie GlobalSign empfehlen schon seit längerem einen stärkeren Schutz des privaten Schlüssels - im Übrigen eine Voraussetzung für das Ausstellen von Extended Validation (EV) Code-Signing-Zertifikaten, seit sie 2014 eingeführt wurden. Unter den neuen Richtlinien wird diese Forderung aber für alle Code-Signing-Zertifikate verbindlich. Insbesondere müssen alle privaten Schlüssel auf FIPS 140-2 Level 2 HSM, einer gleichwertigen On-Premise-Hardware oder in einem sicheren Cloud-basierten Signaturdienst gespeichert werden.

Standardisierte und strikte Identitätsverifizierung
Der andere Hauptgrund für Code-Signing-Attacken, so der CASC, ist, dass Zertifikate an potenzielle Angreifer ausgegeben werden. Die nutzen das Zertifikat dann zum Signieren von Viren oder Malware. Um das zu verhindern, umreißen die neuen Requirements spezielle Vorkehrungen, die Zertifizierungsstellen vor der Ausstellung treffen müssen.

Dazu gehören:
• >> eine strikte Identitätsverifizierung des Herausgebers, wie beispielsweise die rechtliche Identität, Adresse, Gründungsdaten und weitere mehr
• >> ein Abgleich mit Listen von verdächtigen oder bereits bekannten Malware-Herausgebern, -Produzenten und -Vertreibern
• >> die Pflege und der Abgleich einer internen Liste von Zertifikaten, die widerrufen wurden, weil sie zum Signieren von verdächtigen Code- und Zertifikatanforderungen verwendet wurden, und die zuvor von der CA zurückgewiesen wurden

Viele CAs nutzen bereits die meisten dieser Prozesse. Aber eine Standardisierung erschwert es einem böswilligen Herausgeber, sich nach einer CA mit schwächeren Prüfverfahren umzusehen, wenn er von einer anderen bereits abgelehnt wurde.

Melden von und Reagieren auf Zertifikatmissbrauch oder verdächtigen Code
Zu verhindern, dass solche Zertifikate überhaupt ausgestellt werden ist die eine Seite. Die Requirements legen aber zusätzlich fest, dass CAs ein "Certificate Problem Reporting" -System betreiben Hier können Dritte (z. B. Anti-Malware-Anbieter, vertrauenswürdige Parteien, Softwareanbieter) eine "vermutete Kompromittierung eines privaten Schlüssels, Zertifikatmissbrauch, Zertifikate, die zum Signieren von verdächtigem Code verwendet wurden, Takeover-Attacken oder andere Arten von möglichen Betrug, Kompromittierung, Missbrauch, unangemessenem Verhalten oder anderen Dingen im Zusammenhang mit Zertifikaten" melden.

Das hat auch für die CAs Folgen, denn sie müssen sich an sehr strenge Standards hinsichtlich der Reaktion auf solcherart gemeldete Probleme halten. Beispielsweise müssen sie innerhalb von 24 Stunden mit der Untersuchung beginnen und alle Vorfälle rund um die Uhr melden. Es gibt zudem strenge Richtlinien und einen Zeitrahmen hinsichtlich des Widerrufs, für den Fall, dass Malware oder eine andere Art von Missbrauch vermutet wird.

Die neuen Meldesysteme sorgen dafür, dass selbst dann, wenn ein böswilliger Herausgeber den Verifizierungsprozess übersteht, sein Zertifikat umgehend gemeldet, untersucht und widerrufen werden kann.

Alle CAs müssen Zeitstempel haben
Eine weitere Anforderung, die besonders für Entwickler von Interesse sein kann, ist, dass alle CAs jetzt eine RFC-3161-kompatible Timestamp Authority (TSA) betreiben müssen. Und sie muss für alle Code-Signing-Kunden verfügbar sein. So kann man jeder Signatur einen vertrauenswürdigen Zeitstempel zuordnen.

Der Hauptvorteil eines Zeitstempels liegt darin, dass die Signatur nicht abläuft, wenn das Zertifikat abläuft. Das würde normalerweise ohne den Zeitstempel passieren. Stattdessen können Signaturen für die Lebensdauer des Zeitstempelzertifikats gültig bleiben, laut den Requirements bis zu 135 Monaten. Es gibt aber noch ein Szenario, das von einer Zeitstempelung profitiert: Wenn ein Schlüssel kompromittiert wurde und das Zertifikat widerrufen wird. Wenn ein Schlüssel beispielsweise dazu verwendet wurde, legitimen Code zu signieren, dann aber kompromittiert und zum Signieren von bösartigem Code verwendet wurde, kann man das Widerrufsdatum zwischen die beiden Ereignisse legen. Auf diese Weise ist der legitime Code weiterhin vertrauenswürdig, der schädliche Code aber nicht.

Eine sicherere Zukunft für Code Signing
Die neuen Standards und Requirements tragen ganz entscheidend dazu bei Code- Signing-Angriffe zu reduzieren. Microsoft ist der erste Anbieter von Anwendungssoftware, der die Richtlinien übernimmt und am 1. Februar 2017 damit beginnt sie umzusetzen.
(GMO GlobalSign: ra)

eingetragen: 22.01.17
Home & Newsletterlauf: 08.02.17


GMO GlobalSign: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Grundlagen

  • Ransomware: Es kommt schlimmer

    Seit ich im Jahr 2014 meine erste Keynote zu diesem Thema gehalten habe beschäftige ich mich mit Ransomware-Prognosen. Seinerzeit wagte ich etwa ein Dutzend Vorhersagen und tatsächlich sind alle eingetroffen. Vor kurzem wurde ich gebeten einen Beitrag für das ITSP Magazine beizusteuern. Und dieses Mal sollten die Prognosen nicht nur spezifischer sein, sondern die Sache auf die Spitze treiben. Sprich, welche Prognosen kommen dabei heraus, wenn man die aktuellen Szenarien bis zu Ende denkt. Soviel lässt sich sagen, alle sind einigermaßen beängstigend. Soeben hat eine Analyse von @David Formby eine der schlimmsten Befürchtungen bestätigt: Kritische Infrastrukturen geraten zunehmend ins Visier von Ransomware-Attacken (Targeting Critical Infrastructure for Ransom). Im letzten Frühjahr litten vornehmlich Krankenhäuser unter der sogenannten SamSam-Ransomware, und im Rahmen unserer Incident Containment-Methode haben wir drei Dinge übereinstimmend festgestellt.

  • Von IT-Sicherheitsexperten lernen

    Die Varonis Blog-Autoren haben inzwischen mit etlichen Sicherheitsexperten aus den unterschiedlichsten Bereichen gesprochen: mit Penetrationstestern, Anwälten, CDOs, Datenschützern, IT-Experten und sogar einem IT-Security-Guru. Wir haben die wichtigsten Analysen und Tipps hier für Sie zusammengetragen. Die Weltformel: Das Internet der Dinge (IoT) ist ein guter Ausgangspunkt, um seine Lehren in Sachen IT-Sicherheit zu ziehen. Mit dem IoT, also dem Internet der Dinge mit seiner überwältigen Zahl an Geräten, werden Unternehmen und Endverbraucher mit praktisch allen Datenschutz- und Datensicherheitsproblemen konfrontiert, die man sich denken kann.

  • Lösegeld-Erpressung über Ransomware

    Die Erpressung von Lösegeld war im abgelaufenen Jahr weltweit das häufigste Motiv für Angriffe auf Netzwerke, Server und Anwendungen von Unternehmen und Organisationen. Das geht aus dem jetzt veröffentlichten Global Application and Network Security Report 2016-2017 von Radware hervor, in dem über 40 Prozent der knapp 600 befragten Unternehmen angaben, dass die Lösegelderpressung 2016 der häufigste Grund für Angriffe auf ihre Netzwerke gewesen sei. Speziell in Europa liegt dieser Wert mit 49 Prozent noch deutlich höher als im weltweiten Durchschnitt. Die Erpressung von Lösegeld erfolgt in der Regel über Ransomware oder über Ransom Denial of Service (RDoS). Ransomware nennt man einen Trojaner, einen Wurm oder eine andere Schadsoftware, die ein System unter ihre Kontrolle bringt und den legitimen Zugriff darauf unmöglich macht, bis ein Lösegeld gezahlt wird (und manchmal auch darüber hinaus). In der Regel werden dabei die Daten verschlüsselt, und das Opfer muss für die Entschlüsselung zahlen.

  • Volumetrische DDoS-Angriffe abwehren

    Experten sind sich einig. IoT-Geräte - gerade für Endverbraucher - bekommen mangelnde Sicherheit quasi automatisch mitgeliefert. Und wir in den letzten Wochen die Quittung. Für Sicherheitsspezialisten keine große Überraschung, sie warnen schon lange. Die jüngsten Angriffe aber haben gezeigt, in welche Dimensionen uns IoT-basierte Botnetze bei DDoS-Angriffen katapultieren und welche Schäden sie in der Lage sind anzurichten. Die Attacke auf den DNS-Provider Dyn im Oktober dieses Jahres war ein solcher Weckruf. Das prognostizierte Szenario ist keine bloß theoretische Annahme mehr, sondern real. Und es gibt Handlungsbedarf. Unternehmen und Verbraucher fragen sich angesichts einer steigenden Zahl von im Internet der Dinge verbundenen Geräten wie sie sich besser schützen können. Es ist kein großes Geheimnis, dass IoT-fähige Geräte aus sicherheitstechnischer Hinsicht wenig überzeugend sind. Die überwiegende Zahl von ihnen integriert kaum Sicherheitsmechanismen, und ist mit äußerst simplen Standard-Passwörtern ausgestattet. Das macht die Geräte für potenzielle Angreifer zu einer leichten Beute. Die Folge: Hacker machen sie beispielsweise zum Teil eines Botnetzes von dem DDoS-Angriffe mit enormer Bandbreite ausgehen können.

  • S/MIME und wie es funktioniert

    S/MIME, oder Secure/Multipurpose Internet Mail Extensions, ist eine relativ bekannte Technologie um E-Mails zu verschlüsseln. S/MIME basiert auf asymmetrischer Verschlüsselung, um E-Mails vor unerwünschtem Zugriff zu schützen. Zusätzlich dient S/MIME dazu E-Mails digital zu signieren, um den legitimen Absender einer Nachricht als solchen zu verifizieren. Das macht S/MIME zu einer effektiven Waffe gegen verschiedene Arten von Phishing-Angriffen. Das ist, kurz gefasst, worum bei S/MIME geht. Wenn es allerdings darum geht, S/MIME praktisch einzusetzen, taucht meist noch eine Reihe von Fragen beim Anwender auf.