Certificados robados de NVIDIA se utilizan para firmar malware; no permitas que te suceda a ti.

21/3/2022 | Jindřich Zechmeister

Es posible que hayas oído hablar recientemente del hackeo de NVIDIA y del robo de un terabyte de datos que se publicó en Internet. Durante este hackeo, también se robó el certificado para firmar el código con la clave privada, que ahora está siendo utilizado por estafadores para firmar código malicioso y propagar malware. En este artículo, aprenderás a prevenir este tipo de robos de forma eficaz y sencilla.

Certificado robado se utiliza para distribuir malware

Un conocido fabricante de hardware, NVIDIA, fue hackeado por un grupo que se autodenomina Lapsus$, y tras la solicitud fallida de un rescate, publicaron 1TB de datos robados. Esto no daña directamente a otros usuarios, pero lamentablemente el hackeo también incluyó el robo de un certificado de firma de código (Code Signing) que NVIDIA utilizaba para firmar sus drivers o programas.

El nuevo poseedor del certificado y la clave privada podía empezar a firmar cualquier código malicioso a nombre de NVIDIA y pretendía ser procedente de este fabricante. Esto podría causar daños considerables e infecciones entre las víctimas. Incluso aunque los certificados ya hayan expirado, el sistema Windows les confiaba (siempre que la firma estuviera acompañada de una marca de tiempo del período en que el certificado era válido, la expiración del certificado no afecta a la aplicación firmada).

La firma digital de este malware ayuda a aumentar la credibilidad del código en el sistema del usuario y crea con razón la impresión de que la aplicación realmente procede de NVIDIA (permite esta autenticación). Sin embargo, en este caso, ejecutando una aplicación defectuosa, infectarás tu computadora. La prevención efectiva de tal abuso es conocida y la aprenderás en el siguiente párrafo. Firmar código no solo es útil por la credibilidad del origen, sino también porque una aplicación firmada no puede ser alterada. Si alguien lo hiciera y, por ejemplo, añadiera código malicioso, la firma digital ya no sería válida. Este es otro aspecto de la protección de tus clientes.

La solución para una firma segura es el certificado Code Signing EV y la nube

Los certificados para la firma de código deberían estar debidamente asegurados; de lo contrario, arriesgas la reputación de tu empresa. Un certificado robado casi seguramente terminará en manos equivocadas y será explotado para distribuir malware.

Sin embargo, este incidente se pudo haber evitado; era suficiente elegir el tipo adecuado de certificado Code Signing acorde al tamaño y la importancia de NVIDIA. En nuestra oferta, tenemos dos soluciones para una firma segura - certificado Code Signing EV y la plataforma DigiCert ONE.

El certificado Code Signing EV se encuentra en un token, que debe insertarse en la PC antes de firmar, y al firmar, debes introducir la contraseña del token (o sea, para desbloquear la clave privada). Si se introduce incorrectamente varias veces, el token se bloquea y su contenido se borra. Es imposible que un atacante adivine una contraseña suficientemente compleja en 5 intentos; a menos que le des la contraseña en bandeja (pegada al monitor), no puede abusar el certificado en el token. Además, necesitaría acceso físico a él.

DigiCert ONE es una plataforma moderna que te permite firmar en la nube. Por lo tanto, no tienes que tener el certificado (y la clave privada) localmente en la computadora, lo cual es más seguro. Nos dedicaremos a este tema en el blog en un futuro cercano y si ya estás interesado en más información, no dudes en contactar a nuestro soporte.

¿Estás acostumbrado a firmar aplicaciones de manera tradicional? ¡No te preocupes en cambiarlo ahora!

Durante muchos años, los atacantes han demostrado que firmar aplicaciones utilizando un certificado almacenado localmente no es un procedimiento correcto ni seguro. Si tienes el certificado Code Signing almacenado en un almacén de certificados o incluso como un archivo PFX, cambia estos hábitos de inmediato. Con SSLmarket, lograrás fácilmente una mayor seguridad al firmar aplicaciones. Solo consulta con nosotros y te ayudaremos en todo.

Firmando aplicaciones y código de manera más segura, no solo proteges tu nombre, sino principalmente a tus usuarios. Recuperar la confianza perdida es muy difícil. Consulta con nosotros y asegura tus aplicaciones hoy mismo.

Fuente

1. Bleepingcomputer: Malware utilizando los certificados de firma de código robados de NVIDIA