Nick Lewis(CISSP，GCWN))是一名信息安全分析師。他主要負(fù)責(zé)風(fēng)險(xiǎn)管理項(xiàng)目，并支持該項(xiàng)目的技術(shù)PCI法規(guī)遵從計(jì)劃。2002年，Nick獲得密歇根州立大學(xué)的電信理學(xué)碩士學(xué)位;2005年，又獲得Norwich大學(xué)的信息安全保障理學(xué)碩士學(xué)位。在他09年加入目前的組織之前，Nick曾在波士頓兒童醫(yī)院、哈佛醫(yī)學(xué)院初級(jí)兒科教學(xué)醫(yī)院，以及Internet2和密歇根州立大學(xué)工作。

[[122357]]

報(bào)道稱(chēng)Zeus又回來(lái)了，這次它還有自己真實(shí)的數(shù)字證書(shū)。那么該如何檢測(cè)出具有看似真實(shí)證書(shū)的木馬程序呢?

Nick Lewis：公共密鑰基礎(chǔ)設(shè)施在設(shè)計(jì)時(shí)考慮了多個(gè)安全功能，這些功能讓終端實(shí)體來(lái)決定自己的信任。也就是說(shuō)，在這個(gè)系統(tǒng)中，如果證書(shū)被感染，證書(shū)頒發(fā)機(jī)構(gòu)(CA)發(fā)布的數(shù)字證書(shū)會(huì)被撤銷(xiāo)，或者證書(shū)頒發(fā)機(jī)構(gòu)可能被吊銷(xiāo)發(fā)放證書(shū)的資格。

Netscape在提高其Web瀏覽器的電子商務(wù)取得了顯著的進(jìn)步，CA證書(shū)被捆綁在Web瀏覽器來(lái)支持新的SSL協(xié)議。雖然這種做法將系統(tǒng)設(shè)置為在默認(rèn)情況下信任這些CA，一個(gè)最大的問(wèn)題是，任何CA都可以發(fā)布任何名稱(chēng)的證書(shū)。例如，www.google.com可以由惡意CA簽名，仍然看起來(lái)像是合法的www.google.com網(wǎng)頁(yè)。

Zeus變體使用的真實(shí)數(shù)字證書(shū)被合法CA分配到合法軟件公司，但這并不能保護(hù)終端免受攻擊。當(dāng)該CA吊銷(xiāo)該證書(shū)(防止某些系統(tǒng)信任這個(gè)簽名的惡意軟件)時(shí)，大多數(shù)系統(tǒng)沒(méi)有檢查撤銷(xiāo)情況，這里原因有很多(例如，Web瀏覽器、操作系統(tǒng)或其他應(yīng)用在默認(rèn)情況下沒(méi)有啟用該功能)，而淪為這個(gè)假證書(shū)和惡意軟件的受害者。

企業(yè)可以在安裝軟件之前，檢查已簽名軟件的證書(shū)吊銷(xiāo)情況，從而檢測(cè)出看似真實(shí)的證書(shū)是否為假證書(shū)。企業(yè)還可以檢查通過(guò)HTTP下載的每個(gè)文件，看看文件是否由已吊銷(xiāo)證書(shū)簽名，然而可以阻止下載。另外，企業(yè)可以檢查本地系統(tǒng)的每個(gè)文件以確定文件是否由已吊銷(xiāo)證書(shū)簽名，如果發(fā)現(xiàn)由已吊銷(xiāo)證書(shū)簽名的文件，應(yīng)該調(diào)查該文件所在系統(tǒng)。