我们公司于 10 月 28 日 10 点 20 分收到贵公司的在线举报:举报 WoSign 颁发的微软代码签名证书的证书拥有者: HongZhongDe Operations Department ( 深圳市福田区宏中德经营部 ) 数字签名恶意软件,我们收到举报后立刻按照我们的数字签名恶意软件举报处理程序,采取了如下措施:
(1) 于 28 日 11 点联系证书申请单位告诉有人举报的事实,要求证书申请单位两小时内给予有效解释和采取有效措施及时删除恶意软件;
(2) 于 28 日下午 1 点把举报代码提交给美国总公司检测部门检查已经数字签名的软件是否属于恶意软件;
(3) 于 31 日 12 点正式吊销此数字证书,使得证书拥有者不能再用此数字证书签名任何软件;
(4) 考虑到在吊销证书之前,证书拥有者可能在数字签名恶意代码时使用了时间戳,所以我们采取了进一步行动,与 31 日 12 点 42 分要求美国总部人工修改证书吊销列表,使得吊销列表上的显示的吊销时间为证书签发时间,这样就保证了所有使用该数字证书签名的代码的数字签名都自动失效;
(5) 1 月 4 日 18 点 58 分美国总部回复已经完成人工修改吊销列表,证书吊销时间已经修改为证书颁发时间。也就是说:我们采取行动保证了所有使用该数字证书签名的代码的数字签名都自动失效,从而从源头保证了恶意代码不能借数字签名来获得操作系统信任。
如果贵公司需要我们提供证书持有者详细联系信息,本公司将依有关法律法规在力所能及的范围内予以协助。
相信贵公司能从此事件中看出对软件进行数字签名的威力,只要软件有数字签名,就可以非常容易地让杀毒软件公司识别出软件签名单位名称,并第一时间联系证书拥有者和证书颁发机构,证书颁发机构就可以采取有效措施 ( 吊销证书 ) 使得数字签名永远失效!而对于没有数字签名的软件,即使贵公司发现有毒,也无法找到造毒者而无法采取相关的有效遏制行动。从这点来看,大家都应该一致倡导所有软件都必须进行数字签名,只有这样才能从根本上遏制病毒和恶意软件。
最后,欢迎任何单位和个人举报将 WoSign 颁发的数字证书用于数字签名恶意软件的行为。谨告知: 数字证书颁发机构为第三方数字身份认证中立机构,其责任是严格验证证书申请单位的真实身份后颁发证书。并受理数字签名恶意代码举报,查实后吊销证书,并不承担其他责任。
深圳市沃通电子商务服务有限公司
2010.1.8
