Хак на портала за поддръжка на DigiCert: Откраднати са 27 сертификата за подписване на код

Хак на портала за поддръжка на DigiCert: Откраднати са 27 сертификата за подписване на код

Пробив в един от най-доверените центрове за сертификати в интернет постави сериозни въпроси относно сигурността на веригата за доставка на софтуер. DigiCert, major доставчик на цифрови сертификати, използвани за потвърждаване на автентичността на софтуер и уебсайтове, потвърди, че атакуващите са използвали социално инженерство, за да компрометират двама служители от техническата поддръжка, получавайки достъп до вътрешни системи и откраднали 27 сертификата за подписване на код. Тези сертификати впоследствие са използвани за подписване на зловреден софтуер, преди DigiCert да ги отмени.

Инцидентът е напомняне, че дори организациите, отговорни за поддържането на цифрово доверие, не са имунизирани срещу атаки, насочени към хора.

Какво представляват сертификатите за подписване на код и защо са важни?

Когато изтегляте софтуер, операционната ви система често проверява дали той носи валиден цифров подпис. Този подпис, издаден от доверен център за сертификати като DigiCert, трябва да потвърди, че софтуерът идва от легитимен източник и не е бил манипулиран. Това е основна част от начина, по който съвременните операционни системи — от Windows до macOS — помагат на потребителите да различават надежден софтуер от злонамерени имитатори.

Когато атакуващите се сдобият с легитимни сертификати за подписване на код, те могат да обвият зловредния софтуер в булото на легитимност. Инструментите за сигурност, предупрежденията на операционната система и дори някои корпоративни системи за защита на крайни точки могат по подразбиране да третират подписания софтуер като надежден. Потребител, изтеглящ това, което изглежда като подписано и проверено приложение, разполага с по-малко визуални сигнали, които да го предупредят, че нещо не е наред.

В този случай 27-те откраднати сертификата са активно използвани за подписване на зловреден софтуер, преди DigiCert да идентифицира пробива и да ги отмени. Отмяната е правилният отговор, но не осигурява мигновена защита. Проверките за отмяна не винаги се прилагат в реално време, а някои системи или конфигурации може да не разпознаят незабавно, че вече валиден сертификат вече не е надежден.

Как се случи атаката: Социално инженерство при бюрото за помощ

Методът, използван за получаване на достъп, заслужава специално внимание. Атакуващите не са експлоатирали некоригирана уязвимост в софтуера, нито са се прокраднали с груба сила през защитна стена. Те са насочили атаката си срещу хора. Двама служители от техническата поддръжка са били манипулирани да предоставят достъп до вътрешни системи — техника, широко известна като социално инженерство.

Персоналът на бюрото за помощ и поддръжка е честа цел по този начин, тъй като работата им изисква те да бъдат отзивчиви и готови да помагат. Атакуващите често се представят за колеги, доставчици или спешни вътрешни заявки, за да окажат натиск върху служителите по поддръжката да заобиколят нормалните процедури за верификация.

Тази атака следва добре установен модел, наблюдаван при пробиви в major организации от различни индустрии. Поуката не е, че DigiCert е проявил уникална небрежност. Поуката е, че социалното инженерство остава един от най-ефективните налични вектори за атака, независимо от това колко сложна е техническата защита на целта.

Какво означава това за вас

Ако изтегляте защитен софтуер, VPN клиенти или каквото и да е приложение от интернет, този инцидент има пряко отношение към личните ви практики за сигурност.

Първо, изтеглянето на софтуер само от официални, първични източници е по-важно от всякога. Сертификатният подпис е полезен сигнал, но не е безпогрешен, както демонстрира този пробив. Избягвайте да изтегляте софтуер от магазини за приложения на трети страни, огледални сайтове или връзки, споделени чрез социални медии или имейл, освен ако не сте проверили независимо източника.

Второ, поддържането на операционната ви система и защитния софтуер актуални гарантира, че отменените сертификати ще бъдат разпознати като невалидни на устройството ви. Списъците за отмяна на сертификати и актуализациите на OCSP (Протокол за онлайн проверка на статуса на сертификати) се разпространяват чрез системни актуализации и актуализации на браузъра. Остаряла система може да продължи да се доверява на сертификат, който вече е бил отменен.

Трето, за потребителите на VPN или защитен софтуер специално си струва периодично да преглеждате откъде идват инсталациите ви и дали доставчикът е съобщил за известия за сигурност. Реномираните доставчици ще разкриват проблеми, засягащи техния тръбопровод за разпространение на софтуер.

За организациите този инцидент подкрепя аргумента за изискване на многофакторна автентикация за целия персонал по поддръжката и администрацията, прилагане на строги процедури за верификация преди предоставяне на какъвто и да е достъп, и одитиране на това кои служители имат достъп до чувствителни системи за управление на сертификати.

Практически изводи

• Изтегляйте софтуер само от официалните уебсайтове на доставчика. Избягвайте агрегатори за изтегляне от трети страни, дори за добре познати приложения.
• Поддържайте операционната система и браузърите актуални. Данните за отмяна се доставят чрез актуализации. Остаряла система може да не разпознае компрометирани сертификати.
• Проверявайте за съобщения за сигурност от доставчиците. Ако използвате софтуер, подписан от DigiCert, посетете официалната страница за сигурност на доставчика, за да потвърдите дали някой от инсталираните ви програми е бил засегнат.
• Бъдете скептични към неочаквани актуализации на софтуер. Ако получите нежелана покана за актуализиране на приложение, проверете чрез самото приложение, вместо да кликате върху外部 връзка.
• Организациите трябва да одитират хранилищата за доверени сертификати. Екипите по сигурността трябва да прегледат кои сертификати са доверени в техните среди и да гарантират, че проверката за отмяна е задължителна.

Отговорът на DigiCert, включително отмяната на засегнатите сертификати, е подходящ и очакван. Но по-широкият извод е, че инфраструктурата на доверие, която стои в основата на разпространението на софтуер, зависи от човешките процеси толкова, колкото и от техническите. Разбирането откъде идва това доверие — и къде може да се пропука — ви поставя в по-добра позиция да се защитите.