WoSign

香港站    美国站 
  首页 新闻与活动 News & Event
 

关于360举报恶意软件有数字签名的回复
(发布时间:2010-01-08)

     TO: 石晓虹, 360 安全卫士, 北京奇虎科技有限公司

     我们公司于 10 月 28 日 10 点 20 分收到贵公司的在线举报:举报 WoSign 颁发的微软代码签名证书的证书拥有者: HongZhongDe Operations Department ( 深圳市福田区宏中德经营部 ) 数字签名恶意软件,我们收到举报后立刻按照我们的数字签名恶意软件举报处理程序,采取了如下措施:

   (1)  于 28 日 11 点联系证书申请单位告诉有人举报的事实,要求证书申请单位两小时内给予有效解释和采取有效措施及时删除恶意软件;

   (2)  于 28 日下午 1 点把举报代码提交给美国总公司检测部门检查已经数字签名的软件是否属于恶意软件;

   (3)  于 31 日 12 点正式吊销此数字证书,使得证书拥有者不能再用此数字证书签名任何软件;

   (4)  考虑到在吊销证书之前,证书拥有者可能在数字签名恶意代码时使用了时间戳,所以我们采取了进一步行动,与 31 日 12 点 42 分要求美国总部人工修改证书吊销列表,使得吊销列表上的显示的吊销时间为证书签发时间,这样就保证了所有使用该数字证书签名的代码的数字签名都自动失效;

   (5)  1 月 4 日 18 点 58 分美国总部回复已经完成人工修改吊销列表,证书吊销时间已经修改为证书颁发时间。也就是说:我们采取行动保证了所有使用该数字证书签名的代码的数字签名都自动失效,从而从源头保证了恶意代码不能借数字签名来获得操作系统信任。

    如果贵公司需要我们提供证书持有者详细联系信息,本公司将依有关法律法规在力所能及的范围内予以协助。

    相信贵公司能从此事件中看出对软件进行数字签名的威力,只要软件有数字签名,就可以非常容易地让杀毒软件公司识别出软件签名单位名称,并第一时间联系证书拥有者和证书颁发机构,证书颁发机构就可以采取有效措施 ( 吊销证书 ) 使得数字签名永远失效!而对于没有数字签名的软件,即使贵公司发现有毒,也无法找到造毒者而无法采取相关的有效遏制行动。从这点来看,大家都应该一致倡导所有软件都必须进行数字签名,只有这样才能从根本上遏制病毒和恶意软件。

    最后,欢迎任何单位和个人举报将 WoSign 颁发的数字证书用于数字签名恶意软件的行为。谨告知: 数字证书颁发机构为第三方数字身份认证中立机构,其责任是严格验证证书申请单位的真实身份后颁发证书。并受理数字签名恶意代码举报,查实后吊销证书,并不承担其他责任。

 

深圳市沃通电子商务服务有限公司

2010.1.8

----------------------------------------------------------------------------------------------------------

UPDATE: 360已于2010年1月20日在其网站上发表回复(http://bbs.360.cn/4071464/34366834.html),现摘抄如下:

360关于“沃通电子”数字签名遭木马利用事件的处理说明

   2009年12月28日,360安全卫士“云查杀引擎”捕获一例Gh0st远程控制木马。工程师经分析发现,该木马因带有真实有效的数字签名,导致国内网民常用的杀毒软件均将其视为“安全文件”,而为木马签名的数字签名证书系由“深圳市沃通电子商务服务有限公司”(简称“沃通电子”)颁发。准确的说法应该是:而为木马签名的数字签名证书系由“WoSign”颁发。)

   由于Gh0st木马能够随意窃取受害用户的隐私和虚拟财产,是一款极具危害的黑客工具。事件发生后,360紧急发布安全警报,提醒广大网友及时使用360安全卫士查杀该木马,以免遭受损失。按照安全行业惯例,带有真实有效数字签名的文件均会被安全厂商视为“可信程序”,并加入白名单。鉴于“沃通电子”颁发的数字签名证书出现被木马恶意利用的情况,360安全中心为保护2.5亿用户的上网安全,临时性将“沃通电子”颁发的数字签名证书加入“不信任列表”,由该公司提供数字签名的文件将不再直接进入白名单,而是会视同“无签名文件”一样进行严格的安全性检测。

   “沃通电子”在接到360对于Gh0st木马使用该公司数字签名证书的举报信息后,1月8日在其官网发表公开声明,承认该公司为“深圳市福田区宏中德经营部”颁发的数字签名证书确实受到恶意软件的利用,并采取吊销证书、人工修改吊销列表等措施使Gh0st木马的数字签名永久失效,遏制了木马的进一步传播泛滥。

   鉴于“沃通电子”在事后能积极配合,协助维护网络安全,360安全中心已于1月9日重新将“沃通电子”颁发的数字签名证书加入“信任列表”。但与此同时,360安全中心将采取更加严格的技术措施,对具有数字证书签名的软件进行安全鉴别。

   360安全专家注意到,随着安全软件日渐普及,木马产业出现铤而走险的迹象,开始使用真实数字签名对杀毒软件实现“免杀”,无疑是为安全行业敲响了警钟。我们建议安全行业同行和相关从业者,应以此为鉴,加强沟通和协作,争取尽快彻底消灭木马的生存土壤。

   360安全中心

    2010年1月20日