Ecossistema quebrado de certificações: confiar ou não?

Foi Ronald Regan quem disse “Confie, mas verifique”. Duas semanas atrás, a Cylance, empresa de segurança digital, revelou um dos cenários mais complicados para atingir a segurança de websites neste ano, quando o revendedor de certificados SSL/TSL Trustico tentou livrar os clientes dos certificados emitidos pela Symantec e suas subsidiárias, terminando em uma briga no Twitter entre a Trustico e a DigiCert, seguido pelo vazamento de informações de 23 mil clientes e o site do Trustico temporariamente fora do ar.

Esta semana, um novo estudo, intitulado Issued for Abuse: Measuring the Underground Trade in Code Signing Certificates (Autuado por abuso: aferindo o comércio clandestino de certificados de assinatura de código, em tradução livre) foi lançado por pesquisadores norte-americanos e tchecos, investigando várias formas de abuso que permitem que autores de malware produzam assinaturas digitais – ainda que válidas – contendo códigos infectados por vírus.

O estudo sugere que os códigos de certificados de assinatura ilícitos, vendidos por fornecedores clandestinos, fazem parte de uma tendência crescente desencadeada pelo crescente uso do Windows Defender SmartScreen da Microsoft. O SmartScreen é um recurso incluído no Windows 10 que atua como uma camada adicional de segurança, alertando usuários, caso eles baixem arquivos ou acessem sites sem certificados válidos.

Quando o SmartScreen encontra um certificado pela primeira vez, ele alerta o usuário, que deve clicar um aviso para prosseguir. No entanto, por apenas alguns milhares de dólares, é possível comprar um certificado que o SmartScreen verá como confiável. O estudo sugere que o uso do SmartScreen “desempenha um papel crescente” nessa tendência.

O estudo examinou em profundidade dois aspectos desse comércio: primeiro, investigou quatro principais fornecedores de certificados Authenticode. Em seguida, coletou um conjunto de dados de malware assinados recentemente e usou isso para “estudar as relações entre desenvolvedores de malware, famílias de malware e os certificados”.

Os pesquisadores também estudaram a informação obtida do mercado negro para reconhecer como se dá o comércio de certificados e identificar quando são usadas para assinar malwares nos sistemas.

Os pesquisadores concluíram que, “enquanto estudos anteriores relataram o uso de códigos de certificados de assinatura que foram danificados ou obtidos diretamente de Autoridades de Certificação legítimas, observamos que (…) esses métodos tornaram-se secundários à compra de certificados de fornecedores clandestinos. Juntas, essas descobertas sugerem que o comércio de certificados autuado por abuso representa um segmento emergente da economia clandestina”.

O Google anunciou recentemente que está planejando descreditar todos os certificados SSL de uma grande empresa da área devido a “incidentes repetidos de segurança”. O novo estudo sugere que, uma vez que um editor malicioso tenha sido descoberto, todos os certificados fornecidos por esse editor devem ser revogados.