RU2708353C1 - Система и способ стойкой к атакам проверки ЭЦП файлов - Google Patents

Система и способ стойкой к атакам проверки ЭЦП файлов Download PDF

Info

Publication number
RU2708353C1
RU2708353C1 RU2018147244A RU2018147244A RU2708353C1 RU 2708353 C1 RU2708353 C1 RU 2708353C1 RU 2018147244 A RU2018147244 A RU 2018147244A RU 2018147244 A RU2018147244 A RU 2018147244A RU 2708353 C1 RU2708353 C1 RU 2708353C1
Authority
RU
Russia
Prior art keywords
certificate
file
eds
digital signature
certificates
Prior art date
Application number
RU2018147244A
Other languages
English (en)
Inventor
Андрей Владимирович Ладиков
Алексей Алексеевич Домашенко
Дмитрий Михайлович Чепель
Сергей Владимирович Козлов
Тагир Тальгатович Гадельшин
Original Assignee
Акционерное общество "Лаборатория Касперского"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Акционерное общество "Лаборатория Касперского" filed Critical Акционерное общество "Лаборатория Касперского"
Priority to RU2018147244A priority Critical patent/RU2708353C1/ru
Priority to US16/563,207 priority patent/US20200210624A1/en
Priority to EP19200950.4A priority patent/EP3674944B1/en
Priority to JP2019210089A priority patent/JP2020119503A/ja
Application granted granted Critical
Publication of RU2708353C1 publication Critical patent/RU2708353C1/ru
Priority to CN201911381535.7A priority patent/CN111538972A/zh

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/565Static detection by checking file integrity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • G06F21/645Protecting data integrity, e.g. using checksums, certificates or signatures using a third party

Abstract

Изобретение относится к вычислительной технике. Технический результат заключается в обеспечении проверки ЭЦП файла, осуществляемой при обнаружении атаки в отношении системных средств проверки ЭЦП. Способ проверки ЭЦП файла в условиях атаки на вычислительное устройство пользователя содержит обнаружение при помощи средства безопасности атаки на вычислительное устройство пользователя, которая осуществлена в отношении системных средств проверки ЭЦП; обнаружение файла, категория которого неизвестна, при помощи средства проверки с целью определения ЭЦП файла и сертификата ЭЦП; признание при помощи средства проверки сертификата ЭЦП обнаруженного файла действительным, если сертификат ЭЦП целостный и сертификат удостоверяющего центра, выдавший упомянутый сертификат ЭЦП, также является действительным, при этом проверка действительности сертификата ЭЦП осуществляется с использованием сертификатов из базы данных сертификатов, которая хранит сертификаты для по меньшей мере двух операционных систем; признание при помощи средства проверки ЭЦП обнаруженного файла действительной, если сертификат ЭЦП является действительным, а файл целостным. 4 з.п. ф-лы, 5 ил.

Description

Область техники
Изобретение относится к области проверки сертификатов ЭЦП файлов.
Уровень техники
Широкое распространение вредоносных приложений является причиной постоянного совершенствования антивирусных технологий, призванных защитить данные пользователя, а также его вычислительные устройства от несанкционированного доступа и использования. В этой постоянной гонке к улучшению антивирусных приложений перед их разработчиками стоит в том числе важная задача - снижение ошибок первого и второго рода при обнаружении вредоносных файлов. Ошибка второго рода - непризнание вредоносного файла таковым, ошибка первого рода (ложное срабатывание) - признание вредоносным файла, который не является таковым.
С целью снижения количества ошибок первого рода разработчики антивирусных приложений используют различные техники для того, чтобы файл, признанный вредоносным при помощи, например, эвристического анализа, не был удален или помещен в карантин. Одной из таких техник является проверка файла по базам данных доверенных файлов, в рамках которой идентификатор файла (например, контрольная сумма MD5 или SHA-1), признанного вредоносным, ищется в базе данных доверенных файлов, и, если такой же идентификатор там найден, то решение о признании файла вредоносным отменяется. Еще одним способом уменьшения ошибок первого рода является проверка ЭЦП (электронной цифровой подписи, упрощенно "цифровой подписи") файла, который был признан вредоносным. Если файл, признанный вредоносным, имеет действительную ЭЦП, при этом сертификат этой ЭЦП является доверенным, то решение о признании файла вредоносным отменяется.
Для проверки цифровых подписей антивирусные приложения часто прибегают к встроенным в ОС средствам проверки ЭЦП, в частности CryptoAPI. Например, в публикации US 20170257361 A1 описан подход к верификации исполняемого кода на основании результатов проверки ЭЦП файла, который этот код содержит.
Однако такой подход имеет ряд недостатков, таких как сравнительно невысокая скорость проверки ЭЦП, уязвимость к атакам злоумышленников, для решения которых предназначено настоящее изобретение.
Раскрытие изобретения
Настоящее изобретение предназначено для проверки ЭЦП файла.
Технический результат изобретения заключается в обеспечении проверки ЭЦП файла, осуществляемой при обнаружении атаки в отношении системных средств проверки ЭЦП. Технический результат достигается способом проверки ЭЦП файла в условиях атаки на вычислительное устройство пользователя, согласно которому: обнаруживают при помощи средства безопасности атаку на вычислительное устройство пользователя, которая осуществлена в отношении системных средств проверки ЭЦП; обнаруживают файл, категория которого неизвестна, при помощи средства проверки с целью определения ЭЦП файла и сертификата ЭЦП; признают при помощи средства проверки сертификат ЭЦП обнаруженного файла действительным, если сертификат ЭЦП целостный и сертификат удостоверяющего центра, выдавший упомянутый сертификат ЭЦП, также является действительным; при этом проверка действительности сертификата ЭЦП осуществляется с использованием сертификатов из базы данных сертификатов, которая хранит сертификаты для по меньшей мере двух операционных систем; признают при помощи средства проверки ЭЦП обнаруженного файла действительной, если сертификат ЭЦП является действительным, а файл целостным.
В другом варианте реализации способа дополнительно признают при помощи средства проверки действительный сертификат ЭЦП доверенным путем осуществления запроса к базе данных доверенных сертификатов; при этом база данных доверенных сертификатов хранит информацию о доверенности сертификатов для по меньшей мере двух операционных систем; а также признают при помощи средства проверки обнаруженный файл относящимся к категории доверенных файлов, если ЭЦП файла действительна, а сертификат ЭЦП является доверенным.
В другом варианте реализации способа блокируют при помощи средства обеспечения безопасности доступ к файлу, если он не был признан доверенным.
В другом варианте реализации способа системными средствами проверки ЭЦП являются программные средства, предоставляемые вместе с операционной системой и предназначенные для проверки сертификатов ЭЦП, а также самих ЭЦП.
В другом варианте реализации способа системными средствами проверки ЭЦП являются компоненты программного обеспечения Keychain для ОС macOS или библиотека Wintrust.dll для ОС Windows.
Краткое описание чертежей
Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:
Фиг. 1 иллюстрирует примерный вариант компонентов системы, реализующей настоящее изобретение.
Фиг. 2 иллюстрирует альтернативный вариант компонентов системы, реализующей настоящее изобретение.
Фиг. 3 показывает вариант реализации способа настоящего изобретения.
Фиг. 4 показывает альтернативный вариант реализации способа настоящего изобретения.
Фиг. 5 показывает пример компьютерной системы общего назначения.
Хотя изобретение может иметь различные модификации и альтернативные формы, характерные признаки, показанные в качестве примера на чертежах, будут описаны подробно. Следует понимать, однако, что цель описания заключается не в ограничении изобретения конкретным его воплощением. Наоборот, целью описания является охват всех изменений, модификаций, входящих в рамки данного изобретения, как это определено приложенной формуле.
Описание вариантов осуществления изобретения
Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является не чем иным, как конкретными деталями, необходимыми для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется в объеме приложенной формулы.
Введем ряд определений и понятий, которые будут использоваться при описании вариантов осуществления изобретения.
Вредоносное приложение - приложение, способное нанести вред компьютеру или данным пользователя компьютера (иными словами, компьютерной системы), например: сетевой червь, клавиатурный шпион, компьютерный вирус. В качестве нанесенного вреда может выступать неправомерный доступ к ресурсам компьютера, в том числе к данным, хранящимся на компьютере, с целью хищения, а также неправомерное использование ресурсов, в том числе для хранения данных, проведения вычислений и т.п.
Доверенное приложение - приложение, которое не наносит вреда компьютеру или его пользователю. Доверенным приложением может считаться приложение, разработанное доверенным производителем ПО (программного обеспечения), загруженное из доверенного источника (например, сайт, занесенный в базу данных доверенных сайтов) или приложение, идентификатор (или другие данные, по которым можно однозначно определить приложение) которого (например, хеш-сумма файла приложения) хранится в базе данных доверенных приложений. Идентификатор производителя, например, цифровой сертификат, может также храниться в базе данных доверенных приложений.
Недоверенное приложение - приложение, которое не является доверенным, но также не признано вредоносным, например, при помощи антивирусного приложения. При этом недоверенное приложение может впоследствии быть признано вредоносным, например, при помощи антивирусной проверки.
Вредоносный файл - файл, являющийся компонентом вредоносного приложения и содержащий программный код (исполняемый или интерпретируемый код).
Недоверенный файл - файл, являющийся компонентом недоверенного приложения и содержащий программный код (исполняемый или интерпретируемый код).
Доверенный файл - файл, являющийся компонентом доверенного приложения.
Проверка ЭЦП файла - проверка того, что именно проверяемый файл был подписан владельцем приложенного к ЭЦП сертификата. На первом этапе проверки осуществляется сравнение расшифрованной контрольной суммы файла из ЭЦП файла с контрольной суммой файла, полученной при помощи алгоритма, указанного в сертификате ЭЦП. Контрольная сумма из ЭЦП файла проверяется при помощи указанного в сертификате ЭЦП открытого ключа. Если контрольные суммы совпадают, то подтверждается целостность файла. Следующий этап проверки - подтверждение действительности сертификата ЭЦП, которое осуществляется аналогично: проверяется целостность сертификата ЭЦП файла и действительность сертификата соответствующего удостоверяющего центра, выдавшего сертификат ЭЦП файла (процесс может продолжаться вплоть до корневого сертификата). Сертификат считается действительным, если он целостный и сертификат удостоверяющего центра, выдавший упомянутый сертификат, также является действительным. В противном случае сертификат является недействительным. Если сертификат ЭЦП считается действительным, а файл целостным, то ЭЦП считается действительной. В противном случае ЭЦП считается недействительной. При этом под сертификатом ЭЦП понимают сертификат, прикрепленный к ЭЦП файла (листовой сертификат - англ. leaf certificate), позволяющий проверить действительность ЭЦП файла. При этом под сертификатом понимают сертификат в соответствии со стандартом Х.509.
Под средствами системы проверки ЭЦП файла в настоящем изобретении понимаются реальные устройства, системы, компоненты, группы компонентов, реализованные с использованием аппаратных средств, таких как интегральные микросхемы (англ. application-specific integrated circuit, ASIC) или программируемые вентильные матрицы (англ. field-programmable gate array, FPGA) или, например, в виде комбинации программных и аппаратных средств, таких как микропроцессорная система и набор программных инструкций, а также на нейроморфных чипах (англ. neurosynaptic chips) Функциональность указанных средств системы может быть реализована исключительно аппаратными средствами, а также в виде комбинации, где часть функциональности средств системы реализована программными средствами, а часть аппаратными. В некоторых вариантах реализации часть средств, или все средства, могут быть исполнены на процессоре компьютера общего назначения (например, который изображен на Фиг. 5). При этом компоненты системы могут быть реализованы в рамках как одного вычислительного устройства, так и разнесены между несколькими, связанными между собой вычислительными устройствами.
Система проверки ЭЦП состоит из средства проверки и базы данных сертификатов. В еще одном варианте реализации система содержит средство обеспечения безопасности.
Фиг. 1 отображает вариант системы проверки ЭЦП файла. Средство проверки 120 в одном из вариантов реализации изобретения может быть расположено на устройстве передачи данных 135 - вычислительном устройстве, предназначенном для трансляции данных, например поступающих из сети на вычислительное устройство пользователя 140, в частности файла 110. Таким устройством передачи данных 135 может являться маршрутизатор или же любое другое вычислительное устройство, например прокси-сервер. В одном из вариантов реализации изобретения таким устройством 135 может являться вычислительное устройство, предназначенное для хранения данных с целью последующего распространения, например, сервер обновлений, получающий файлы обновлений для множества компьютеров сети некоторой компании с целью последующей передачи этих файлов на компьютеры сотрудников компании. В одном из вариантов реализации изобретения средство обеспечения безопасности 125 также располагается на устройстве передачи данных 135, а база данных сертификатов 130 и база данных доверенных сертификатов 131, связанные со средством проверки 120, могут располагаться как на устройстве 135, так и на удаленном сервере, связанном с устройством 135 посредством сети.
В одном из вариантов реализации изобретения файл 110 - файл, обладающий ЭЦП, например исполняемый файл или файл сценария. В еще одном варианте реализации изобретения исполняемым файлом является исполняемый файл для операционной системы из следующих семейств: Windows, Unix, в частности такими операционными системами являются операционные системы Windows, Ubuntu Linux или macOS и т.п.
Фиг. 2 отображает альтернативный вариант системы проверки ЭЦП файла, в котором средство 125 и средство 120 располагаются на вычислительном устройстве пользователя 140. При этом база данных сертификатов 130 и база данных доверенных сертификатов 131, связанные со средством проверки 120, могут располагаться как на устройстве 140, так и на удаленном сервере, связанном с устройством 140 посредством сети.
База данных сертификатов 130 предназначена для хранения сертификатов. В одном из вариантов реализации база данных 130 также для каждого сертификата хранит информацию, является ли он отозванным или нет. База данных сертификатов 130 хранит сертификаты (соответственно, и информацию о них) для нескольких (по меньшей мере двух) операционных систем (ОС). В одном из вариантов реализации изобретения такими операционными системами являются операционные системы семейств Windows и Unix, например: Windows, Ubuntu Linux или macOS. Таким образом, база данных сертификатов 130 может хранить сертификаты для различных операционных систем, что не позволяют системные средства проверки ЭЦП каждой из операционной системы по отдельности.
В одном из вариантов реализации изобретения база данных сертификатов 130 хранит только корневые сертификаты и сертификаты удостоверяющих центров.
База данных доверенных сертификатов 131 предназначена для хранения доверенных сертификатов. В одном из вариантов в базе данных 131 хранятся не сами сертификаты, которые считаются доверенными, а их идентификаторы (например, контрольная сумма SHA-1). В частном случае реализации в базе данных 131 также, как и в базе данных 130 хранится информация относительно сертификатов для нескольких ОС.
В контексте настоящего изобретения под понятием "сертификат для некоторой ОС" (упрощенно "сертификат некоторой ОС") будем понимать сертификат, который может присутствовать в системном хранилище сертификатов одной ОС (или одного семейства ОС) и не присутствует в системном хранилище ОС другого семейства. Такая ситуация возможна по нескольким причинам:
- Разработчики ОС могут не хранить сертификаты, целостность которых определяется при помощи алгоритмов шифрования, считающихся, по мнения этих разработчиков, не стойкими. Примером такой ситуации могут быть планы разработчиков ОС Windows отказаться от использования алгоритма шифрования SHA-1 (а, соответственно и сертификатов, где указан такой алгоритм) при проверке действительности ЭЦП в ОС Windows 10.
- Поддержка системным хранилищем сертификатов более стойких алгоритмов шифрования, используемых при проверке действительности ЭЦП, может либо отсутствовать, либо добавляться разработчиками ОС с задержкой. Пример такой ситуации может являться ОС Windows 7, где изначально была только поддержка алгоритма шифрования SHA-1, а поддержка SHA-256 была добавлена только с обновлением SP1.
- Разработчики ОС могут не добавлять в системное хранилище сертификаты, выданные разработчикам ПО, связанного с определенными подсистемами. Например, корневые сертификаты, используемые для проверки ЭЦП приложений Metro, которые появились только в ОС Windows 8, отсутствуют в системных хранилищах сертификатов ОС Windows 7.
- Разработчики ОС macOS не добавляют в системное хранилище сертификатов сертификаты (в частности, корневые), используемые для проверки ЭЦП исполняемых файлов для ОС Windows (и наоборот). Иными словами, системное хранилище одной ОС может не содержать сертификаты (в частности корневые), используемые для проверки исполняемых файлов для других ОС.
- Любые другие причины, приводящие к тому, что сертификат, например корневой, исключается из системного хранилища сертификатов или не добавляется туда.
При этом в одном из вариантов реализации изобретения под системным хранилищем сертификатов понимают базу данных, содержащую сертификаты, и используемую системными средствами проверки ЭЦП для проверки ЭЦП, например, файлов. Под разработчиками ОС в вышеупомянутом примере понимаются в том числе специалисты в области информационных технологий, определяющие содержимое системных хранилищ сертификатов, а также способы проверки ЭЦП при помощи системного хранилища сертификатов (в частности, алгоритмы шифрования, используемые для проверки действительности ЭЦП и сертификатов).
Стоит отметить, что данные, которые хранятся в базах данных 130 и 131 могут добавляться, изменяться и удаляться специалистом в области информационных технологий.
Средство проверки 120 предназначено для проверки ЭЦП файла 110 с целью признания ее действительной, а проверок сертификата ЭЦП файла 110 с целью признания сертификата действительным, а также доверенным. Действительность ЭЦП проверяется в два этапа, которые могут быть выполнены параллельно и независимо друг от друга. На одном этапе проверяется целостность файла 110. Для этого средство 120 осуществляет сравнение расшифрованной контрольной суммы файла 110 из ЭЦП файла 110 с контрольной суммой файла 110, полученной при помощи алгоритма, указанного в сертификате ЭЦП. Контрольная сумма из ЭЦП файла 110 проверяется при помощи указанного в сертификате ЭЦП открытого ключа. Если контрольные суммы совпадают, то средство проверки 120 подтверждается целостность файла, т.е. выявляет, что файл 110 является целостным. На другом этапе проверки ЭЦП файла 110 проверяется действительность сертификата ЭЦП.
Действительность сертификата проверяется средством проверки 120 при помощи построения цепочки сертификатов, например, до корневого сертификата из сертификатов, присутствующих в базе данных сертификатов 130. Сертификат ЭЦП файла 110 (как и любой другой сертификат) признается действительным, если он целостный (проверка целостности сертификата аналогична вышеописанной проверке целостности файла), а также сертификат удостоверяющего центра, выдавшего упомянутый сертификат ЭЦП файла 110 также является действительным. В одном из вариантов все сертификаты, используемые для проверки сертификата ЭЦП файла 110 хранятся в базе данных сертификатов 130. Последовательная проверка действительности сертификатов и является построением цепочки сертификатов. Если средству 120 в рамках проверки сертификата ЭЦП файла 110 удается построить цепочку сертификатов до корневого сертификата, который хранится в базе данных сертификатов 130, т.е. каждый из сертификатов в цепочке является целостным, и последний сертификат в цепочке - корневой, то сертификат ЭЦП файла 110 признается действительным. В противном случае сертификат ЭЦП файла 110 не признается действительным (признается недействительным).
В одном из вариантов реализации, если сертификат ЭЦП файла 110 недействительный, то средство проверки 120 признает его недоверенным.
Если же сертификат ЭЦП файла 110 действительный, то средство проверки 120 признает сертификат ЭЦП файла 110 доверенным, если выполняются следующие условия: сертификат ЭЦП (или идентификатор такого сертификата, например контрольная сумма SHA-1 или SHA-256, или вектор значений, однозначно характеризующий упомянутый сертификат) присутствует в базе данных доверенных сертификатов 131, или же сертификат удостоверяющего центра, выдавшего упомянутый сертификат, является доверенным. В одном из вариантов реализации для признания сертификата ЭЦП доверенным должно выполняться дополнительное условие - в базе данных сертификатов 130 отсутствует информация о том, что сертификат отозванный. В еще одном из вариантов реализации для признания сертификата ЭЦП доверенным должно выполняться дополнительное условие - сертификат ЭЦП не является просроченным (срок его действия, указанный в самом сертификате, не истек).
В одном из вариантов реализации изобретения для признания сертификата действительным достаточно присутствия в базе данных сертификатов 131 информации об этом сертификате (например, идентификатора). В таком случае признание сертификата ЭЦП файла 110 как выполнение отдельного этапа не производится - доверенность сертификата ЭЦП подтверждается на этапе проверки действительности упомянутого сертификата ЭЦП файла 110.
В одном из вариантов реализации изобретения средство проверки 120 также предназначено для определения категории файла 110 (или же отнесения файла к категории, иными словами, для признания файла относящимся к некоторой категории). Средство 120 признает файл 110 доверенным (определяет его относящимся к категории доверенных файлов, иными словами относит к категории доверенных файлов), если его ЭЦП действительна, а сертификат ЭЦП является доверенным.
Используя базу данных 130 для проверки действительности сертификата ЭЦП, а, соответственно и действительности ЭЦП файла 110 вместо системных средств проверки ЭЦП, средство проверки 120 пользуется следующим преимуществом: в отличии от системного хранилища сертификатов, являющегося частью некоторой ОС, и которое хранит сертификаты, используемые для подписи только для файлов определенных типов, соответствующих упомянутой ОС (например, системное хранилище сертификатов ОС Windows не хранит сертификаты, в том числе и корневые, для проверки ЭЦП исполняемых файлов Unix-подобных систем), база данных 130 содержит сертификаты, которые используются для подписи файлов, соответствующих любым ОС. В частном случае реализации файл соответствует ОС, если он является исполняемым файлов для этой ОС. Таким образом обеспечивается точность, а именно снижение ошибок первого рода, при признании сертификата ЭЦП файла 110 действительным, и, соответственно, ЭЦП файла 110 действительной, а также и при определении категории файла 110 на основании проверки ЭЦП и сертификата ЭЦП файла 110.
Средство обеспечения безопасности 125 предназначено для защиты устройства 140 от недоверенных файлов. В одном из вариантов реализации изобретения под защитой понимают запрет на исполнение недоверенных файлов или же запрет на открытие таких файлов. В еще одном варианте реализации средство обеспечения безопасности препятствует попаданию недоверенных файлов на вычислительное устройство 140, в частности блокирует передачу файла 110 на вычислительное устройство 140. В еще одном варианте реализации недоверенные файлы удаляются или помещаются в карантин при помощи средства обеспечения безопасности 125, так и не достигнув вычислительного устройства 140. Средство обеспечения безопасности 125 может быть реализовано при помощи антивирусного программного обеспечения, известного из уровня техники.
В одном из вариантов реализации изобретения средство обеспечения безопасности 125 также предназначено для обнаружения атаки на вычислительное устройство пользователя 140, которая осуществлена в отношении системных средств проверки ЭЦП. Под системными средствами проверки ЭЦП понимают программные средства, предоставляемые вместе с операционной системой и предназначенные для проверки сертификатов ЭЦП и/или самих ЭЦП. Например для ОС Windows таким средством является библиотека Wintrust.dll, а для ОС macOS - компоненты программного обеспечения Keychain или GateKeeper. В одном из вариантов реализации изобретения под атакой в отношении системных средств проверки ЭЦП понимают изменение или подмену одного или нескольких системных программных модулей для проверки сертификатов ЭЦП. При этом под обнаружением атаки в отношении упомянутых средств проверки сертификатов ЭЦП понимают в том числе признание при помощи средства обеспечения безопасности 125 одного или нескольких системных программных модулей для проверки сертификатов ЭЦП вредоносными. Признание программного модуля вредоносным может быть осуществлено средством обеспечения безопасности 125 любым из известных из уровня техники способов.
Стоит отметить, что возможности по проверке сертификатов ЭЦП при помощи системных средств ограничиваются в силу ограниченности набора сертификатов, находящихся в распоряжении системных средств проверки сертификатов ЭЦП (например, ограниченность набора сертификатов в хранилище сертификатов Windows или хранилище сертификатов Keychain для macOS).
На Фиг. 3 отображен вариант способа настоящего изобретения, реализуемого средствами системы, изображенной на Фиг. 1. На этапе 301 при помощи средства проверки 120 обнаруживают файл 110, предназначенный для последующей передачи. При этом файл 110 передается по сети через устройство передачи данных 135, в рамках которого расположено средство проверки 120, на вычислительное устройство пользователя 140. При этом в одном из вариантов реализации изобретения под обнаружением файла 110 понимают получение данных файла (например, байтового представления). В еще одном варианте реализации под обнаружением файла 110 также понимают приостановку, осуществляемую при помощи средства обеспечения безопасности 125, передачи файла 110 на вычислительное устройство 140, например, до того момента, как файл 110 не будет признан доверенным.
После этого осуществляется этап проверки ЭЦП файла: на этапе 302 при помощи средства проверки 120 осуществляют проверку сертификата ЭЦП файла 110 и признают сертификат ЭЦП действительным, если сертификат ЭЦП целостный и сертификат удостоверяющего центра, выдавший упомянутый сертификат ЭЦП, также является действительным. Для проверки действительности сертификатов может быть использована база данных сертификатов 130, которая может содержать сертификаты удостоверяющих центров с указанием доверенности каждого сертификата. Таким образом, доверенный сертификат из базы данных сертификатов 130 считается действительным. Процедура проверки действительности для цепочки сертификатов может продолжаться вплоть до первого доверенного сертификата или же до корневого сертификата в цепочке сертификатов.
На этапе 303 при помощи средства проверки 120 признают ЭЦП файла действительной, если сертификат ЭЦП является действительным, а файл 110 целостным.
После этого, на этапе 304 сертификат ЭЦП файла признают доверенным, если он действительный, и в базе данных сертификатов 130 присутствует информация о доверенности этого сертификата ЭЦП, или же сертификат удостоверяющего центра, выдавшего упомянутый сертификат ЭЦП, является доверенным.
Стоит отметить, что этапы 303 и 304 независимы друг от друга и могут быть выполнены в любой последовательности.
Если сертификат ЭЦП является доверенным, а ЭЦП действительна, то на этапе 305 файл 110 признается доверенным, иными словами определяется категория файла - файл признается относящимся к категории доверенных файлов. В противном случае на этапе 306 файл 110 не признается доверенным.
Если файл 110 не признается доверенным, то средство обеспечения безопасности 125 может не осуществлять его дальнейшую передачу на вычислительное устройство пользователя 140, удалить все данные, относящиеся к файлу 110 и находящиеся на устройстве передачи данных 135, или же поместить файл 110 в карантин.
Способ, осуществляемый системой, обладает следующими преимуществами по сравнению с решениями для проверки сертификатов, основанными на использовании системных средств - так как в базе данных сертификатов 130 находятся сертификаты для различных операционных систем, то заявленная система будет иметь меньше ложных срабатываний при определении категории файла 110, который передается по сети на числительное устройство пользователя 140, по сравнению с аналогичными системами, проверяющими только сертификаты для одного семейства операционных систем. Так, исполняемый файл 110, имеющий действительный (и доверенный) сертификат для macOS, не будет признан доверенным при помощи лишь хранилища сертификатов ОС Windows, соответственно заявленное изобретение решает эту проблему, а именно снижает количество ошибок первого рода (ложные срабатывания) при определении категории файла путем хранения сертификатов для различных семейств ОС. Данная задача особенно актуальна для ситуаций, когда средство проверки 120 расположено на маршрутизаторе или прокси-сервере корпоративной сети совместно со средством обеспечения безопасности 125, которое "фильтрует" загружаемые из Сети файлы (блокирует передачу файлов на вычислительные устройства 140, входящие в упомянутую корпоративную сеть), в которую входят вычислительные устройства пользователей 140 с разными операционными системам, и где через устройство передачи данных проходят файлы, сертификаты ЭЦП которых, соответственно, относятся к различным операционным системам.
В еще одном варианте реализации средства 120 и 125 расположены на вычислительном устройстве пользователя. А настоящий способ позволяет снизить количество ложных срабатываний при определении категории файла 110, который подписан ЭЦП и предназначен для запуска на виртуальной машине, установленной на устройстве 140, с ОС, отличной от той, под управлением которой находится вычислительное устройство пользователя 140. Преимущество достигается за счет того, что средство проверки может корректно проверить сертификат исполняемого файла для ОС, отличной от той, под управлением которой находится вычислительное устройство пользователя 140, так как в базах данных 130 и 131 содержится информация о сертификатах для различных ОС.
На Фиг. 4 отображен еще один вариант способа настоящего изобретения, реализуемого средствами системы, изображенной на Фиг. 2.
На этапе 400 средство обеспечения 125 обнаруживает атаку на вычислительное устройство пользователя 140 в отношении системных средств проверки ЭЦП файлов. После этого, на этапе 401, средство обеспечения безопасности 125 обнаруживает файл 110, категория которого неизвестна. Для этого средство безопасности способно осуществить поиск идентификатора файла 110 (например, контрольной суммы SHA-1 или MD5) в базе данных файлов (не отображена на фигурах), где для идентификаторов файлов указана принадлежность файла к некоторой категории файлов, например: доверенных или недоверенных файлов. Если при помощи запроса к упомянутой базе денных средство безопасности 125 не смогло осуществить определение категории файла 110, то выполняется следующий этап способа. При этом файлом 110, в отношении которого средство обеспечения безопасности 125 проверяет неизвестность категории файла, может являться любой новый или измененный файл на вычислительном устройстве 140, например загруженный из сети, созданный на самом вычислительном устройстве или полученный модификацией уже присутствовавшего на вычислительном устройстве 140 файла.
После этого осуществляется этап проверки ЭЦП файла: на этапе 402 при помощи средства проверки 120 осуществляют проверку сертификата ЭЦП файла 110 и признают сертификат ЭЦП действительным, если сертификат ЭЦП целостный и сертификат удостоверяющего центра, выдавший упомянутый сертификат ЭЦП, также является действительным. Для проверки действительности сертификатов может быть использована база данных сертификатов 130, которая может содержать сертификаты удостоверяющих центров с указанием доверенности каждого сертификата. Таким образом, доверенный сертификат из базы данных сертификатов 130 считается действительным. Процедура проверки действительности для цепочки сертификатов может продолжаться вплоть до первого действительного сертификата или же до корневого сертификата в цепочке сертификатов.
На этапе 403 при помощи средства проверки 120 признают ЭЦП файла действительной, если сертификат ЭЦП является действительным, а файл 110 целостным. После этого, на этапе 404 сертификат ЭЦП файла признают доверенным, если он действительный, и в базе данных сертификатов 130 присутствует информация о доверенности этого сертификата ЭЦП или же сертификат удостоверяющего центра, выдавшего упомянутый сертификат ЭЦП, является доверенным.
Стоит отметить, что этапы 403 и 404 независимы друг от друга и могут быть выполнены в любой последовательности.
Если сертификат ЭЦП является доверенным, а ЭЦП действительна, то на этапе 405 файл 110 признается доверенным, иными словами определяется категория файла - файл признается относящимся к категории доверенных файлов. В противном случае на этапе 406 файл 110 не признается доверенным.
Если файл 110 не признается доверенным, то средство обеспечения безопасности 125 может удалить все данные, относящиеся к файлу 110 (данные файла) и находящиеся на вычислительном устройстве пользователя 140, или же поместить файл 110 в карантин.
Упомянутый способ, осуществляемый системой, обладает следующими преимуществами по сравнению с решениями для проверки сертификатов, основанными на использовании системных средств - при атаке на системные средства проверки ЭЦП такие решения не смогут корректно проверять сертификаты ЭЦП файлов, что делает невозможным точно определять категории файлов, подписанных ЭЦП, на основании информации о действительности ЭЦП и доверенности сертификата, так как сами компоненты системных средств проверки ЭЦП могут быть подменены или повреждены и функционировать некорректно. Пример такой атаки - подмена компонентов системных средств проверки ЭЦП для того, чтобы средство обеспечения безопасности, в частности антивирусное приложение, признавало вредоносные файлы доверенными путем определения их категории на основании информации о действительности ЭЦП и сертификатов ЭЦП, предоставляемой скомпрометированными системными средствами проверки ЭЦП. Настоящее изобретение решает указанную техническую проблему путем обнаружения атаки на системные средства проверки ЭЦП и, в случае обнаружения таковой, определяет категорию файла 110 при помощи базы данных сертификатов 130, которая предоставляет достоверную информацию о действительности и доверенности сертификатов.
В одном из вариантов реализации изобретения атака на системные средства проверки ЭЦП является частью более сложной атаки, например целевой атаки (англ. Advanced Persistent Threat). В таком случае критично, чтобы средство обеспечения безопасности 125 смогло обезопасить вычислительное устройство 140 от такой атаки. Для этого средством обеспечения безопасности 125 может быть инициирована процедура определения категорий всех файлов, появившихся на устройстве 140 во время атаки в отношении системных средств проверки ЭЦП, а именно в пределах, например, 24 часов от даты атаки (именно даты атаки, а не даты обнаружения атаки) - например, даты модификации одного из компонентов системных средств проверки ЭЦП. При этом файлы, которые не были признаны доверенными при помощи средства проверки 120 в рамках инициированной средством обеспечения безопасности 125 проверки, признаются средством 125 потенциально вредоносными. Такие файлы могут быть переданы на удаленный сервер для более детального анализа, например при помощи классифицирующих алгоритмов или нейронных сетей, или же анализа специалистом в области информационной безопасности. Соответственно, решение о признании каждого такого файла поступает средству 125 со стороны удаленного сервера, и, в случае признания в рамках данной процедуры некоторого файла вредоносным, средство обеспечения безопасности 125 обнаруживает целевую атаку, а также принимает необходимые меры в отношении файла, признанного вредоносным - либо удаляет его, либо помещает в карантин.
В еще одном варианте реализации описанная в рамках изобретения система обладает преимуществом не только в момент, когда системные средства проверки ЭЦП атакованы, а когда в принципе нет возможности использовать их по тем или иным причинам: как при атаке на системные средства проверки ЭЦП, так и, например, до момента загрузки в оперативную память компонентов этих системных средства проверки ЭЦП, например при старте ОС Windows, когда компонент Wintrust.dll еще не загружен в оперативную память.
Использование средства проверки 120 для проверки действительности ЭЦП файла 110 помимо вышеописанных (связанных со снижением количества ошибок первого рода - признания действительной ЭЦП недействительной из-за отсутствия в системном хранилище сертификатов сертификатов для файлов нескольких ОС) обладает следующим преимуществом: проверка действительности ЭЦП осуществляется быстрее.
Одна из причин большей скорости проверки действительности ЭЦП при помощи средства 120 заключается в том, что системные средства проверки ЭЦП (в частности средства ОС Windows) для проверки действительности сертификатов загружают списки отозванных сертификатов для того, чтобы определить, является ли некоторый сертификат отозванным. При этом анализируется весь список отозванных сертификатов на предмет нахождения в нем проверяемого сертификата. При этом средство проверки 120 проверяет, является ли некоторый сертификат отозванным путем простого обращения к базе данных сертификатов 130, где каждый из сертификатов может быть помечен как отозванный. Таким образом средство проверки 120 проверяет действительность сертификата ЭЦП файла 110 быстрее по сравнению с системными средствами проверки ЭЦП.
Еще одной причиной большей скорости проверки действительности ЭЦП при помощи средства 120 является то, что база данных 130 не хранит дубликаты сертификатов, таким образом невозможно построение, а соответственно и проверка, нескольких цепочек сертификатов для одного сертификата ЭЦП файла 110. При этом обратная ситуация возможна при использовании системных средств проверки ЭЦП, например средств ОС Windows, когда в хранилище сертификатов Windows добавляется дубликат некоторого сертификата (происходит перевыпуск сертификата с идентичным открытым ключом).
Еще одной причиной большей скорости проверки действительности ЭЦП при помощи средства 120 является то, что системные средства проверки ЭЦП могут быть расширяемы, а именно для ОС Windows существует интерфейс CryptoAPI, который может быть использован сторонними приложениями, которые дополняют логику проверки действительности сертификатов ЭЦП выполнением собственных проверок, тем самым замедляя скорость принятия решения о действительности ЭЦП.
Фиг. 5 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.
Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.
Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.
Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканнер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например, колонками, принтером и т.п.
Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 5. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.
Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.
В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой.

Claims (12)

1. Способ проверки ЭЦП файла в условиях атаки на вычислительное устройство пользователя, согласно которому:
a. обнаруживают при помощи средства безопасности атаку на вычислительное устройство пользователя, которая осуществлена в отношении системных средств проверки ЭЦП;
b. обнаруживают файл, категория которого неизвестна, при помощи средства проверки с целью определения ЭЦП файла и сертификата ЭЦП;
c. признают при помощи средства проверки сертификат ЭЦП обнаруженного файла действительным, если сертификат ЭЦП целостный и сертификат удостоверяющего центра, выдавший упомянутый сертификат ЭЦП, также является действительным;
при этом проверка действительности сертификата ЭЦП осуществляется с использованием сертификатов из базы данных сертификатов, которая хранит сертификаты для по меньшей мере двух операционных систем;
d. признают при помощи средства проверки ЭЦП обнаруженного файла действительной, если сертификат ЭЦП является действительным, а файл целостным.
2. Способ по п. 1, в котором дополнительно признают при помощи средства проверки действительный сертификат ЭЦП доверенным путем осуществления запроса к базе данных доверенных сертификатов;
при этом база данных доверенных сертификатов хранит информацию о доверенности сертификатов для по меньшей мере двух операционных систем;
а также признают при помощи средства проверки обнаруженный файл относящимся к категории доверенных файлов, если ЭЦП файла действительна, а сертификат ЭЦП является доверенным.
3. Способ по п. 2, в котором блокируют при помощи средства обеспечения безопасности доступ к файлу, если он не был признан доверенным.
4. Способ по п. 1, в котором системными средствами проверки ЭЦП являются программные средства, предоставляемые вместе с операционной системой и предназначенные для проверки сертификатов ЭЦП, а также самих ЭЦП.
5. Способ по п. 4, в котором системными средствами проверки ЭЦП являются компоненты программного обеспечения Keychain для ОС macOS или библиотека Wintrust.dll для ОС Windows.
RU2018147244A 2018-12-28 2018-12-28 Система и способ стойкой к атакам проверки ЭЦП файлов RU2708353C1 (ru)

Priority Applications (5)

Application Number Priority Date Filing Date Title
RU2018147244A RU2708353C1 (ru) 2018-12-28 2018-12-28 Система и способ стойкой к атакам проверки ЭЦП файлов
US16/563,207 US20200210624A1 (en) 2018-12-28 2019-09-06 System and method for attack resiliency in verifying digital signatures of files
EP19200950.4A EP3674944B1 (en) 2018-12-28 2019-10-02 System and method for attack resiliency in verifying digital signatures of files
JP2019210089A JP2020119503A (ja) 2018-12-28 2019-11-21 ファイルのデジタル署名の検証における攻撃に対するレジリエンスのためのシステム及び方法
CN201911381535.7A CN111538972A (zh) 2018-12-28 2019-12-27 用于验证文件的数字签名中的攻击复原的系统和方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2018147244A RU2708353C1 (ru) 2018-12-28 2018-12-28 Система и способ стойкой к атакам проверки ЭЦП файлов

Publications (1)

Publication Number Publication Date
RU2708353C1 true RU2708353C1 (ru) 2019-12-05

Family

ID=68836652

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2018147244A RU2708353C1 (ru) 2018-12-28 2018-12-28 Система и способ стойкой к атакам проверки ЭЦП файлов

Country Status (4)

Country Link
US (1) US20200210624A1 (ru)
JP (1) JP2020119503A (ru)
CN (1) CN111538972A (ru)
RU (1) RU2708353C1 (ru)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11330438B2 (en) * 2018-05-14 2022-05-10 Ppip, Llc Active base providing local man-in-the-middle firewall
US11880229B2 (en) * 2020-12-21 2024-01-23 Micron Technology, Inc. Security capsule for enabling restricted features of a memory device

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2514138C1 (ru) * 2012-09-28 2014-04-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ верификации сертификата открытого ключа с целью противодействия атакам типа "человек посередине"
EP2582115B1 (en) * 2011-10-10 2015-12-09 Itside S.r.l. A qualified electronic signature system, associated method and mobile phone device for a qualified electronic signature
RU2571381C1 (ru) * 2014-10-17 2015-12-20 Закрытое акционерное общество "Лаборатория Касперского" Система и способ пополнения базы данных доверенных сертификатов, использующейся при антивирусной проверке
EP3029594B1 (en) * 2014-12-02 2018-08-15 Kaspersky Lab, ZAO System and method for antivirus checking of files based on level of trust of their digital certificates
EP2882156B1 (en) * 2013-12-04 2018-09-19 Telefonica Digital España, S.L.U. Computer implemented method and a computer system to prevent security problems in the use of digital certificates in code signing and a computer program product thereof

Family Cites Families (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8856927B1 (en) * 2003-07-22 2014-10-07 Acronis International Gmbh System and method for using snapshots for rootkit detection
US8006305B2 (en) * 2004-06-14 2011-08-23 Fireeye, Inc. Computer worm defense system and method
US8745703B2 (en) * 2008-06-24 2014-06-03 Microsoft Corporation Identifying exploitation of vulnerabilities using error report
GB2463467B (en) * 2008-09-11 2013-03-06 F Secure Oyj Malware detection method and apparatus
US20130031371A1 (en) * 2011-07-25 2013-01-31 Alcatel-Lucent Usa Inc. Software Run-Time Provenance
JP5575071B2 (ja) * 2011-08-26 2014-08-20 株式会社東芝 情報処理装置、情報処理方法、およびプログラム
RU2011138462A (ru) * 2011-09-20 2013-04-10 Закрытое акционерное общество "Лаборатория Касперского" Использование решений пользователей для обнаружения неизвестных компьютерных угроз
US8813228B2 (en) * 2012-06-29 2014-08-19 Deloitte Development Llc Collective threat intelligence gathering system
US9232339B2 (en) * 2013-02-07 2016-01-05 Oracle International Corporation Mobile push notification
US9043922B1 (en) * 2013-04-19 2015-05-26 Symantec Corporation Systems and methods for determining malicious-attack exposure levels based on field-data analysis
RU2541120C2 (ru) * 2013-06-06 2015-02-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ обнаружения вредоносных исполняемых файлов на основании сходства ресурсов исполняемых файлов
US9450974B2 (en) * 2014-03-20 2016-09-20 International Business Machines Corporation Intrusion management
US8997226B1 (en) * 2014-04-17 2015-03-31 Shape Security, Inc. Detection of client-side malware activity
RU2571382C1 (ru) * 2014-10-17 2015-12-20 Закрытое акционерное общество "Лаборатория Касперского" Система и способ антивирусной проверки в зависимости от уровня доверия сертификата
EP3026558A1 (en) * 2014-11-28 2016-06-01 Thomson Licensing Method and device for providing verifying application integrity
US10372905B1 (en) * 2014-12-12 2019-08-06 Amazon Technologies, Inc. Preventing unauthorized software execution
US9537882B2 (en) * 2014-12-19 2017-01-03 Fedex Corporated Services, Inc. Methods, systems, and devices for detecting and isolating device posing security threat
CN106330812B (zh) * 2015-06-15 2019-07-05 腾讯科技(深圳)有限公司 文件安全性识别方法及装置
US10642976B2 (en) * 2015-06-27 2020-05-05 Mcafee, Llc Malware detection using a digital certificate
US10715533B2 (en) * 2016-07-26 2020-07-14 Microsoft Technology Licensing, Llc. Remediation for ransomware attacks on cloud drive folders
US10594719B2 (en) * 2016-08-30 2020-03-17 Kivu Consulting, Inc. Systems and methods for remote identification of enterprise threats
US10609065B2 (en) * 2016-08-30 2020-03-31 Kivu Consulting, Inc. Systems and methods for identifying and mapping sensitive data on an enterprise
US10885188B1 (en) * 2016-12-30 2021-01-05 Comodo Security Solutions, Inc. Reducing false positive rate of statistical malware detection systems
RU2662391C1 (ru) * 2017-05-05 2018-07-25 Илья Самуилович Рабинович Система и способ проверки веб-ресурсов на наличие вредоносных вставок

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2582115B1 (en) * 2011-10-10 2015-12-09 Itside S.r.l. A qualified electronic signature system, associated method and mobile phone device for a qualified electronic signature
RU2514138C1 (ru) * 2012-09-28 2014-04-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ верификации сертификата открытого ключа с целью противодействия атакам типа "человек посередине"
EP2882156B1 (en) * 2013-12-04 2018-09-19 Telefonica Digital España, S.L.U. Computer implemented method and a computer system to prevent security problems in the use of digital certificates in code signing and a computer program product thereof
RU2571381C1 (ru) * 2014-10-17 2015-12-20 Закрытое акционерное общество "Лаборатория Касперского" Система и способ пополнения базы данных доверенных сертификатов, использующейся при антивирусной проверке
EP3029594B1 (en) * 2014-12-02 2018-08-15 Kaspersky Lab, ZAO System and method for antivirus checking of files based on level of trust of their digital certificates

Also Published As

Publication number Publication date
JP2020119503A (ja) 2020-08-06
US20200210624A1 (en) 2020-07-02
CN111538972A (zh) 2020-08-14

Similar Documents

Publication Publication Date Title
CN109583193B (zh) 目标攻击的云检测、调查以及消除的系统和方法
KR101247022B1 (ko) 실행가능 파일의 신뢰를 검증하는 시스템 및 방법
US7712143B2 (en) Trusted enclave for a computer system
JP4934860B2 (ja) 情報システム構成要素解析から算出したトラストスコアに基づいて複数のネットワークエンドポイント間のアクセスを制御する方法
US8656494B2 (en) System and method for optimization of antivirus processing of disk files
US20160359842A1 (en) System and method for antivirus checking of files based on level of trust of their digital certificates
RU2706883C1 (ru) Система и способ снижения количества ложных срабатываний классифицирующих алгоритмов
US9251350B2 (en) Trusted operating environment for malware detection
RU2708353C1 (ru) Система и способ стойкой к атакам проверки ЭЦП файлов
EP3758330A1 (en) System and method of determining a trust level of a file
Kuzminykh et al. Analysis of security of rootkit detection methods
RU2706873C1 (ru) Система и способ проверки ЭЦП файла
CN113824678B (zh) 处理信息安全事件的系统、方法和非暂时性计算机可读介质
US11275836B2 (en) System and method of determining a trust level of a file
EP3674944B1 (en) System and method for attack resiliency in verifying digital signatures of files
EP3674945B1 (en) System and method for verifying digital signatures of files
RU2571382C1 (ru) Система и способ антивирусной проверки в зависимости от уровня доверия сертификата
Regi et al. Case study on detection and prevention methods in zero day attacks
KR102367756B1 (ko) 폐쇄형 내부망으로의 입력 소프트웨어 보안시스템과 보안방법
RU2774042C1 (ru) Система и способ выявления потенциально вредоносных изменений в приложении
RU2739832C1 (ru) Система и способ выявления измененных системных файлов для проверки на вредоносность в облачном сервисе
EP4246351A1 (en) Detecting a harmful file using a database of vulnerable drivers
RU2659739C1 (ru) Способ контроля доступа к составным файлам
Sasaki et al. Towards a Backdoorless Network Architecture Based on Remote Attestation and Backdoor Inspection