"Wir haben gesehen, dass die Updates vom Live Update ASUS-Server heruntergeladen wurden. Es handelte sich um trojanisierte oder bösartige Updates, die von ASUS signiert waren", so Liam O'Murchu, Director of Development der Security Technology and Response Group bei Symantec.
Unter der Annahme, dass ASUS die Signaturvalidierung ordnungsgemäß implementiert hat, ist es wahrscheinlich, dass die Hacker die Signierschlüssel von ASUS gestohlen haben, um dies zu erreichen. Dies deutet auf einen Mangel an Automatisierung beim Schutz von Code-Signatur-Zertifikaten hin.
In den letzten Jahren ist das Bewusstsein für Code Signing gewachsen, und Code Signing und Validierung haben zugenommen - das ist großartig. Wenn man jedoch die Kontrolle über die privaten Schlüssel verliert, bricht das ganze System zusammen. Und heutzutage schützen nur sehr wenige Unternehmen die Code Signing-Zertifikate ordnungsgemäß: Sie befinden sich auf den Workstations der Entwickler, den Build-Servern usw. Sie sollten sorgfältig geschützt werden, was in der Regel nicht der Fall ist - weil es schwer zu machen ist.
