Falsk sikkerhet hadde gyldig sertifikat

Falsk sikkerhetsvare for pc-er er for tiden den mest utbredte trussel, sier danske CSIS.

Det danske IT-sikkerhetsselskapet CSIS har utført en analyse på materiale samlet fra sine kunder, og konkluderer med at falske sikkerhetsprogrammer er i øyeblikket den mest utbredte trussel hos private brukere og virksomheter, heter det i en pressemelding.

Ifølge CSIS er det en sverm av falske sikkerhetsprogrammer i omløp. De anvender oppfinnsomme navn som er egnet til å vinne brukerens tillit. De kan til og med være utstyrt med gyldige sertifikater som får pc-en og brukeren til å tro at de er legitime.

De virker i to trinn: Først en gratis sikkerhetssjekk som alltid ender opp med å påvise fiktive virusinfeksjoner, gjerne gjennom blinkende gule og røde lys. Så må man betale for en like fiktiv rens: Programmet man laster ned kan avinstallere legitim sikkerhetsvare, og installere ulike typer trojanere, slik at pc-en tappes for personopplysninger eller kan misbrukes i et botnett.

CSIS sier de den siste uke har oppsporet 69 nye domener som distribuerer denne typen falsk sikkerhetsvare. (De har et produkt, CSIS Sec-DNS, som verner mot kontakt med slike domener.)

Det advares spesielt mot et program som distribueres under navnet «Windows Antivirus XP 2008», og som er forsynt med sertifikat fra Globalsign.

Andre typiske navn er «WinFixer», «Windows Antivirus XP 2009», «XP Antivirus 2008» XP Antivirus 2009» og «FiksdinPC».

Lørdag meldte Globalsign at de hadde trukket tilbake sertifikatet til Antivirus XP 2008, etter å ha blitt varslet av IT-sikkerhetsselskaper om at programmet i praksis var en ondsinnet trojaner.

Globalsign unnskyldte seg med at sertifikater de gir ikke attesterer annet enn at innholdet i programvare er uendret siden de fikk det til signering: De tar ikke stilling til hva programmet faktisk gjør eller til hva slags kvalitetsnivå det holder seg til. De sjekker selskapet som leverer programvaren «etter strenge retningslinjer», men fanget altså i dette tilfellet ikke opp at leverandøren drev med alt annet enn sikkerhet.

Tilfellet viser svakheten i sertifikatsordningen for nedlastet programvare. Et annet eksempel på ondsinnet kode som har vært distribuert med gyldig sertifikat er «180 Search Assistant». De hadde sertifikat fra Verisign, selv om de under dekke av å gi bedre søk etter porno inneholdt invaderende adware.

Globalsign skryter av at de har den «laveste TCO» («total cost of ownership») av alle sertifikatutstedere.

Til toppen