File firmato ergo sicuro? Per F-Secure non è così

Mikko H. Hyppönen, Chief Research Officer di F-Secure, pone l’accento su un aspetto legato alla sicurezza informatica che è spesso sottovalutato. Per presentare il tema, Hyppönen – citando l’indagine condotta da Jarno Niemelä (ved. questo documento PDF) – esordisce con una domanda: “è firmato digitalmente, quindi è sicuro“. Si tratta ovviamente di un quesito provocatorio perché le cose non stanno in questi termini.

Secondo uno studio condotto dagli esperti di F-Secure, infatti, il numero dei campioni di malware firmati digitalmente starebbe crescendo a vista d’occhio. Sarebbero infatti sempre di più, ad esempio, gli “scareware” che vengono distributi ricorrendo a file dotati di una firma digitale. Gli “scareware“, che sono sostanzialmente sovrapponibili ai “rogue software” (ved., ad esempio, questo articolo e queste pagine), sono applicazioni malware che mostrano falsi messaggi d’allerta invitando l’utente ad installare programmi nocivi, presentati come software per la sicurezza (solitamente antivirus e firewall) oppure utilità per la pulizia del registro di Windows. Una volta in esecuzione sul sistema, tali malware installando altri componenti dannosi, prelevandoli dalla rete Internet oppure sottraggono informazioni personali o dati sensibili.

Gli autori dei malware stanno ricorrendo all’utilizzo delle firme digitali per evitare la comparsa di molti messaggi d’allerta generalmente esposti dal sistema operativo (ad esempio quelli visualizzati all’atto dell’installazione di un controllo ActiveX in Internet Explorer o prima dell’applicazione di un nuovo driver). Nella “lista nera” stilata da F-Secure ci sono già ben 400.000 file nocivi che dispongono di una firma digitale.

Come spiegano i tecnici della società finlandese, gli autori di malware ricorrono sempre più frequentemente alla tecnologia “Authenticode” di Microsoft. Essa viene impiegata per firmare un file ed è sfruttata da Windows con l’intento di verificare l’origine di ciascun software.
Il problema è che, come spiega F-Secure, gli utenti tendono a dar fiducia a quei software che dispongono di una firma digitale: i programmi non firmati, infatti, generano solitamente la comparsa di una finestra di dialogo che chiede esplicita conferma prima di procedere all’eventuale installazione. Nelle versioni a 64 bit di Windows Vista e Windows 7 non è proprio possibile avviare l’installazione di un driver sprovvisto della firma digitale.

Hyppönen ha chiarito che coloro che sviluppano malware sfruttano vari espedienti per ottenere firme digitali valide o certificati da utilizzare in abbinamento ai propri software maligni. Come abbiamo più volte sottolineato, è purtroppo sempre più semplice ottenere certificati SSL validi semplicemente fornendo un indirizzo e-mail.

Secondo F-Secure il fenomeno non avrebbe ancora assunto dimensioni preoccupanti ma dovrebbe essere considerato come una sorta di “sorvegliato speciale”. Windows 7, infatti, poggia su “Authenticode” molto più di qualunque precedente versione di Windows: per evitare la diffusione di pericolose infezioni, i produttori di software antivirus dovranno collaborare, spalla a spalla, con le autorità di certificazione (“Certificate Authorities“) per fare in modo che l’utilizzo illegittimo dei certificati possa essere bloccato il più tempestivamente possibile.

La tecnologia “Authenticode“ si prefigge come obiettivi quello di controllare l’origine di un software e verificare che esso non sia stato modificato. Tutti gli sviluppatori, affinché possano usare il logo di Windows, devono firmare i loro prodotti.