"Vimos que las actualizaciones bajaban del servidor ASUS Live Update. Eran troyanizadas, o actualizaciones maliciosas, y estaban firmadas por ASUS", dijo Liam O'Murchu, director de desarrollo del grupo Security Technology and Response de Symantec.
Suponiendo que ASUS haya implementado correctamente su validación de firmas, parece probable que los hackers hayan robado las claves de firma de ASUS para conseguirlo. Esto indica una falta de automatización en la protección de los certificados de firma de código.
En los últimos años, hemos asistido a un aumento de la concienciación sobre la firma de código y a un repunte de la firma y validación de código, lo cual es estupendo. Sin embargo, si se pierde el control de las claves privadas, todo el sistema se viene abajo. Y hoy en día muy pocas organizaciones protegen adecuadamente los certificados de firma de código: están en las estaciones de trabajo de los desarrolladores, en los servidores de compilación, etc. Deberían estar cuidadosamente protegidos, y normalmente no lo están, porque es difícil hacerlo.
