惠普通过分拆的方式刚刚摆脱PC业务,但一些安全旧账却沉渣泛起,剪不断理还乱。
惠普近日向部分客户发出警告,将撤销一个用于签发大量PC软件和硬件驱动的数字签名。因为惠普发现该证书被用于签发一种恶意软件,事情的起因是该恶意软件通过感染一位惠普开发者的电脑获得数字签名。在给一些客户的建议中,惠普告知将于2014年10月21日撤销该证书吗,大量旧型号惠普电脑上运行的软件都由该证书签发。
据惠普全球首席信息安全官Brett Wahlin透露,惠普近日接到赛门铁克的安全警报:一个Windows木马使用惠普数字证书长达四年之久!
据惠普安全人员调查,一个木马恶意程序感染了一位惠普开发者的电脑,将自己重命名伪装成惠普软件测试中常用的文件,然后该恶意软件鱼目混珠作为软件包的一部分获得了签名,惠普相信之所以恶意软件出现在惠普内网之外是因为该恶意软件具有向传播源头回传拷贝的功能。
Wahlin表示,虽然恶意程序用惠普的证书在互联网上传播,但提供给惠普客户的软件包并没有这个木马程序,问题软件业从未在生产环境使用过。他坚称惠普的代码签名基础结构是100%完整的。而且也没有任何证据表明惠普的证书失窃。
用于签署程序代码的数字证书是黑客的最爱,尤其是几大软件厂商的私有证书,因为攻击者利用这些证书可以更好的伪装自己。最有名的案例莫过于震网(Stuxnet)超级病毒。
虽然惠普这次失窃的证书六年前就已经失效(只能给旧软件签名,无法签发新文件)但由于已经签发的软件和驱动数量巨大,撤销该证书意味着惠普必须重新签发客户正在使用的软件。
有趣的事,有一个问题即使是微软也无法回答,那些通过系统恢复分区恢复系统的客户怎么办?
在接受安全博客KrebsonSecurity采访时,Wahlin表示这种情况在实验室测试不了,需要等到10月21日Verisign撤销证书那天再看。