Первым «утечку» закрытых ключей для цифровых подписей обнаружил голландский ИБ-исследователь в процессе загрузки прошивки для приобретенной компанией камеры видеонаблюдения D-Link DCS-5020L. В частности, он выяснил, что для данного устройства сертификат был выдан 27 февраля и находился в свободном интернет-доступе более полугода. И хотя его срок действия уже истек 3 сентября, нет гарантий, что им не успели воспользоваться злоумышленники.
Инцидент с «утечкой» получил широкую огласку после публикации на голландском веб-сайте Tweakers.net. Здесь же в дальнейшем выкладывались все заявления исследований о ходе расследования. Обнаруживший «утечку» специалист, в частности, рассказал, что, помимо самих закрытых ключей, в свободном интернет-доступе были еще и кодовые фразы, которые используются для подписания программного обеспечения.
По горячим следам расследованием данного инцидента занялись в ИБ-компания Fox-IT, специалисты которой, хотя и подтвердили сам факт «утечки», но от вынесения своего вердикта пока воздержались, ссылаясь на необходимость более детального изучения всех добытых материалов. Комментируя инцидент, исследователь Fox-IT Ионатан Клейнсма заявил: «По всей видимости, ошибку совершил человек, ответственный за подготовку пакетов с исходным кодом. Сертификат присутствовал лишь в одной версии прошивки. В более ранних и более поздних версиях этой прошивки сертификатов обнаружено не было. Скорее всего, это банальная ошибка, связанная с тем, что папку с сертификатами забыли исключить из пакета».
При этом он указал, что специалисты в ходе изучения добытых материалов смогли обнаружить и другие рассекреченные в сертификаты. Помимо доступа к кодам D-Link, в сети были обнаружены ключи к прошивкам Starfield Technologies, KEEBOX Inc. и Alpha Networks. К счастью, все сертификаты для этого ПО оказались либо просрочены, либо аннулированы. Тем не менее, исследователи FOX-IT не исключают, что злоумышленники все-таки могли в течение срока их действия совершать кибератаки и распространение вредоносного ПО.
В своем комментарии Клейнсма подчеркнул, что «утечка подобного файла крайне нежелательна», поскольку это может иметь очень серьезные последствия. Например, яркий пример использования краденных подписей — это хакерские атаки на Sony Pictures Entertainment, когда внедряемый вирус был подписан украденным у Sony сертификатом.
Получив информацию о проблеме, компания Microsoft сразу же удалила из своих баз информацию для доверенных сертификатов компании Symantec, выданных D-Link, Alpha Networks, а также для сертификатов GoDaddy, выданных KEEBOX и TRENDnet. Отзыв доверия к сертификатам, как сообщалось в заявлении Microsoft, будет осуществлен в ходе автоматического обновления клиентских версий Windows 8, 8.1, 10, Windows Server 2012, Windows Server 2012 R2, Windows RT, Windows Phone 8 и 8.1.
.jpg)
.jpg)
