賽門鐵克最近的研究報告指出,名為 Suckfly的中國進階威脅團體,已經鎖定程式碼簽章憑證相關的私有金鑰,在兩年期間散佈惡意軟體。這項發現再次確認,網路攻擊者透過合法檔案及應用程式散佈惡意軟體的趨勢,持續增加。
為什麼網路攻擊者要鎖定程式碼簽章憑證的私有金鑰?問題在於程式碼簽章的兩大目標,以及傳統程式碼簽章實務的監管。
程式碼簽章的關鍵目標在於 a) 驗證內容的完整性,確保並未遭到竄改,以及 b) 建立檔案或應用程式創造者的歸屬及不可否認性。程式碼簽章提升了檔案及應用程式的信任程度,確認內容未經修改,並讓內容與通過第三方驗證的身分建立關連。因此許多軟體公司及產業團體,都必須使用程式碼簽章。
就實務應用觀點而言,部分瀏覽器可保護使用者,在使用者嘗試下載任何未簽章應用程式時顯示警告訊息。至於在其他領域方面,部分安全應用程式可減輕風險,避免使用者下載及/或執行未簽章的檔案和應用程式,盡可能減少執行未知或未授權發佈者的程式碼。因此,我們發現更重視安全,且具有大量內部軟體或應用程式開發的組織,一般會為了發佈及減輕風險採用程式碼簽章。
在使用傳統程式碼簽章的情況下,簽章使用私有金鑰的安全問題,是由發佈組織負責。在這類組織之中,私有金鑰的安全性及管理事宜,一般是委交開發團隊負責,而檔案及應用程式則大多由應用程式或軟體開發人員發佈。如果團體沒有接受安全最佳實務訓練,或者不必為遺失、遭竊或濫用的金鑰負責,則龐大組織就可能面臨風險,導致自己的私有金鑰不慎簽章惡意軟體。
業界已有若干最理想實務,協助組織避免金鑰遭竊或濫用。其中包括:
- 維護私有金鑰安全
- HSM 或位於針對特定目的建置的安全環境
- 追蹤私有金鑰及簽章事件
- 提供可見度,掌握簽章者、簽章內容及簽章時間
- 管理發佈者的指派及撤銷事宜
- 確保只有獲得授權的使用者才可存取私有金鑰
- 有能力進行稽核
- 推動程式碼簽章活動的責任及鑑識見解
除了最佳實務以外,部分組織可能偏好更安全的作法,不在現場散佈私有金鑰,而是在集中、安全,且具備強大金鑰管理監管的地點進行作業。身為全球 65% 程式碼簽章憑證的供應者*,賽門鐵克提供次世代替代方案,有效因應缺乏監管的漏洞,以及傳統程式碼簽章實務的其他挑戰,妥善處置私有金鑰遭竊的風險問題。賽門鐵克安全應用程式服務 (Symantec Secure App Service)是全方位的雲端型程式碼簽章管理解決方案,可集中管理金鑰及追蹤程式碼簽章事件,並提供使用者管理。
網路罪犯將持續尋找各種方式,突破組織的安全措施竊取重要資料。嚴格遵循產業最佳實務,或利用賽門鐵克安全應用程式服務等解決方案,當能有效威嚇此類不法行動,並且重建程式碼簽章的公信力,回歸安全至上的初衷。
* 資料來源:rsEdge 2014 年國際意見調查