Problem polega na tym, że dzisiejsze antywirusy stają się coraz bardziej agresywne w walce o nasze bezpieczeństwo. Kiedy jednak systemy te przesadzą, fałszywy alarm może okazać się bardziej uciążliwy niż sam wirus, podkopując zaufanie użytkowników do narzędzi, które mają ich chronić.
Kiedy certyfikat staje się bronią
Zacznijmy od tego, że źródło problemu nie leży w samym kodzie złośliwego oprogramowania, lecz w incydencie bezpieczeństwa u jednego z największych wystawców certyfikatów cyfrowych – firmy DigiCert. Atakujący zdołali uzyskać dostęp do wewnętrznych systemów wsparcia, co pozwoliło im przejąć kody inicjujące dla ograniczonej liczby certyfikatów służących do podpisywania kodu. Właśnie dzięki tym certyfikatom oprogramowanie może uchodzić za godne zaufania w oczach systemu Windows i hakerzy wykorzystali ten mechanizm. Użyli certyfikatów do podpisania malware’u z rodziny „Zhong Stealer”, sprawiając, że Defender początkowo mógł uznać je za bezpieczne.
Jednak sedno sprawy leży gdzie indziej, bo mamy do czynienia z reakcją łańcuchową. DigiCert zadziałał oczywiście na tę kradzież i unieważnił 60 certyfikatów, co wydaje się zrozumiałym i logicznym działaniem. Problem w tym, że tylko 27 z nich było bezpośrednio powiązanych z hakerami, ale kolejne 33 cofnięto „na wszelki wypadek” jako środek zapobiegawczy. Już wiecie, do czego to zmierza, prawda?
Właśnie te „zapobiegawcze” działania doprowadziły do fali alertów „Cerdigent”. Microsoft Defender, widząc oprogramowanie podpisane unieważnionym certyfikatem, od razu bije na alarm, mimo że wiele z tych plików może w rzeczywistości nie zawierać żadnego złośliwego kodu. Nie pomaga tu fakt, że baza danych Microsoftu niewiele mówi o samym zagrożeniu, poza ogólnym stwierdzeniem, że trojan może wykonywać działania zlecone przez napastnika.
Dla przeciętnego użytkownika Windowsa to sytuacja co najmniej absurdalna i nie mniej frustrująca. Przywykliśmy, że kiedy antywirus krzyczy o zagrożeniu, to sprawa jest poważna. Tymczasem teraz nie wiadomo – może to być błąd albo prawdziwy atak. Niestety sami nie jesteśmy w stanie tego zweryfikować i jedyną radą jest czekanie na aktualizację sygnatur, która skoryguje te błędne wskazania.
Między bezpieczeństwem a paranoją
Windows 11 wciąż jest głównym systemem operacyjnym w wielu firmach z sektora biurowego i administracyjnego, a w takich miejscach masowe fałszywe alarmy mogą sparaliżować pracę całych działów. Polscy administratorzy są znani z wysokiej czujności, ale sytuacja, w której oficjalne narzędzie Microsoftu generuje „puste” alerty, zmusza ich do marnowania czasu na weryfikację zagrożeń, które nie istnieją. Zapewne znacie bajkę o Jasiu, który ciągle dla zabawy krzyczał o wilkach? W końcu, kiedy te wilki naprawdę przyszły, nikt mu nie uwierzył. I tutaj może być tak samo. Fałszywe alarmy Defendera mogą przerodzić się w „zmęczenia alarmami” – gdy system ostrzega zbyt często bez powodu, zaczynamy ignorować nawet te komunikaty, które są realnie istotne.
Czytaj też: Nie pamiętasz hasła? Wkrótce to przestanie mieć znaczenie
Przypadek trojana „Cerdigent” pokazuje ciemną stronę nowoczesnej cyberochrony. Microsoft i DigiCert działają zgodnie z zasadą „lepiej dmuchać na zimne”, ale kosztem jest spokój milionów użytkowników. Moim zdaniem, choć reakcja DigiCert była konieczna, sposób, w jaki Defender komunikuje te błędy, pozostawia wiele do życzenia. Użytkownik dostaje komunikat o trojanie, a nie o „problemie z certyfikatem”, co niepotrzebnie podbija tętno. Jeśli chodzi o bezpieczeństwo, transparentność jest równie ważna jak skuteczność. Jeśli systemy będą nas straszyć duchami, w końcu przestaniemy wierzyć, gdy pojawi się prawdziwy potwór. Czy Wy też dostaliście ten alert, czy Wasz Defender zachował tym razem zimną krew?
Źródło: Bugzilla Mozilla
