“Vimos las actualizaciones descargarse del servidor Live Update de ASUS. Eran actualizaciones troyanizadas, o maliciosas, y estaban firmadas por ASUS”, afirmó Liam O’Murchu, director de desarrollo del grupo de Tecnología y Respuesta de Seguridad en Symantec.
Suponiendo que ASUS implementó correctamente la validación de sus firmas, parece probable que los hackers hayan robado las claves de firma de ASUS para lograr esto. Lo que significa una falta de automatización en la protección de certificados de firma de código.
En los últimos años, hemos observado una creciente concienciación sobre la firma de código y un aumento en la firma y validación de código, lo cual es excelente. Sin embargo, si se pierde el control de las claves privadas, todo el sistema se desmorona. Y hoy en día muy pocas organizaciones protegen adecuadamente los certificados de firma de código: se encuentran en las estaciones de trabajo de los desarrolladores, servidores de compilación, etc. deberían protegerse cuidadosamente, y normalmente no lo están, porque es difícil hacerlo.
