11. März, 2013 | News

Hacker unterschreiben mit digitaler Signatur

Digital signierten Programmen schenkt man von Haus aus mehr Vertrauen. Doch der Fund eines Online-Banking-Trojaners in einer zertifizierten Software bewies aufs Neue, dass digitale Unterschriften keine Sicherheitsgarantie darstellen. Die von ESET kürzlich entdeckte Malware wurde zudem von einem Zertifikatsherausgeber beglaubigt, der schon lange nicht mehr existiert.

Hacker unterschreiben mit digitaler SignaturDigitale Unterschriften genießen ein hohes Vertrauen in der breiten Masse der Nutzer. Sie vermitteln Authentizität und Integrität eines Softwareherstellers. Dabei sagen signierte Zertifikate im Grunde nichts über dessen Sicherheit aus. Vielmehr scheinen sie sich zu einer Art Freifahrtschein für Malware-Autoren entwickelt zu haben. Gefälschte oder gestohlene Zertifikate sind inzwischen keine Ausnahmeerscheinungen mehr.

ESET-Virenforscher sind in der vergangenen Woche auf einen Online-Banking-Trojaner mit gültiger digitaler Signatur gestoßen. Damit schlüpft der Spion bei einer oberflächlichen Prüfung unter Umständen durchs Raster und schleust sich so unerkannt ins System ein. Besorgnis erregend ist auch, dass der Zertifikatsherausgeber DigiCert die digitale Unterschrift an die Firma „NS Auto“ vergab, die zu diesem Zeitpunkt schon über ein Jahr nicht mehr existierte. Diese hatte verschiedene zertifizierte Programme auf den Markt gebracht, die nun genauer unter die Lupe genommen wurden. Wie sich herausstellen sollte, betrieb „NS Auto“ scheinbar Online-Banking-Betrug im großen Stil: Die meisten ihrer Softwares erwiesen sich als wahre Virenschleudern.

ESET-Experten durchsuchten die gesamte Datenbank und entdeckten insgesamt 70 ähnliche Samples. Darunter befanden sich auch einige Dateien, die in .NET geschrieben wurden und verschiedene Formen an Schadcode ausführen. Auffällig war, dass diese Samples von ein und demselben Autor stammten.

Inzwischen ist auch DigiCert von der Bildfläche verschwunden. Zuvor aber stellte der Zertifikatsherausgeber ein gültig signiertes Papier an eine Scheinfirma in Brasilien aus. Die Methoden, mit denen die Identität eines Softwareherstellers geprüft wird, lassen große Zweifel aufkommen. Die Zeiten, in denen man seine Hoffnung auf signierte Programme setzen konnte, scheinen nun endgültig vorbei.