Hack portálu podpory DigiCert: Ukradeno 27 certifikátů pro podepisování kódu

Hack portálu podpory DigiCert: Ukradeno 27 certifikátů pro podepisování kódu

Narušení bezpečnosti u jedné z nejdůvěryhodnějších certifikačních autorit internetu vyvolalo vážné otázky ohledně bezpečnosti dodavatelského řetězce softwaru. DigiCert, přední poskytovatel digitálních certifikátů používaných k ověřování pravosti softwaru a webových stránek, potvrdil, že útočníci využili sociální inženýrství ke kompromitaci dvou zaměstnanců technické podpory, získali přístup k backendovým systémům a odcizili 27 certifikátů pro podepisování kódu. Ty byly následně použity k podpisu malwaru, než je DigiCert odvolal.

Tento incident připomíná, že ani organizace odpovědné za udržování digitální důvěry nejsou imunní vůči útokům cíleným na lidi.

Co jsou certifikáty pro podepisování kódu a proč jsou důležité?

Když stahujete software, váš operační systém často ověřuje, zda nese platný digitální podpis. Tento podpis, vydaný důvěryhodnou certifikační autoritou, jako je DigiCert, má potvrzovat, že software pochází z legitimního zdroje a nebyl pozměněn. Jde o základní součást toho, jak moderní operační systémy — od Windows po macOS — pomáhají uživatelům rozlišovat důvěryhodný software od škodlivých napodobenin.

Když se útočníci zmocní legitimních certifikátů pro podepisování kódu, mohou malware zabalit do pláště legitimity. Bezpečnostní nástroje, varování operačního systému a dokonce i některé podnikové systémy ochrany koncových bodů mohou ve výchozím nastavení považovat podepsaný software za důvěryhodný. Uživatel stahující zdánlivě podepsanou a ověřenou aplikaci má méně vizuálních signálů, které by ho varovaly, že je něco v nepořádku.

V tomto případě bylo 27 odcizených certifikátů aktivně využito k podpisu malwaru, než DigiCert narušení identifikoval a certifikáty odvolal. Odvolání je správnou reakcí, ale není okamžitou ochranou. Kontroly odvolání nejsou vždy prováděny v reálném čase a některé systémy nebo konfigurace nemusí ihned rozpoznat, že dříve platný certifikát již není důvěryhodný.

Jak útok proběhl: Sociální inženýrství na helpdesku

Metodě použité k získání přístupu stojí za to věnovat pozornost. Útočníci nevyužili neopravené softwarové zranitelnosti ani se nedostali přes firewall hrubou silou. Zaměřili se na lidi. Dva zaměstnanci technické podpory byli zmanipulováni k tomu, aby poskytli přístup k backendovým systémům — technika obecně známá jako sociální inženýrství.

Pracovníci helpdesku a podpory jsou tímto způsobem terčem útoků často, protože jejich práce vyžaduje být nápomocný a pohotový. Útočníci se často vydávají za kolegy, dodavatele nebo naléhavé interní požadavky, aby donutili pracovníky podpory obejít běžné ověřovací postupy.

Tento útok sleduje zavedený vzorec pozorovaný při narušeních bezpečnosti ve velkých organizacích napříč odvětvími. Ponaučením není, že DigiCert byl výjimečně nedbalý. Jde o to, že sociální inženýrství zůstává jedním z nejúčinnějších dostupných útočných vektorů, bez ohledu na to, jak sofistikovaná jsou technická obranná opatření cíle.

Co to znamená pro vás

Pokud stahujete bezpečnostní software, VPN klienty nebo jakékoli aplikace z internetu, má tento incident přímou relevanci pro vaše osobní bezpečnostní postupy.

Za prvé, stahování softwaru pouze z oficiálních primárních zdrojů je důležitější než kdy dříve. Certifikátní podpis je užitečný signál, ale není neomylný, jak toto narušení ukazuje. Vyhněte se stahování softwaru z obchodů s aplikacemi třetích stran, zrcadlových stránek nebo odkazů sdílených přes sociální média nebo e-mail, pokud jste nezávisle neověřili zdroj.

Za druhé, udržování operačního systému a bezpečnostního softwaru v aktuálním stavu zajišťuje, že odvolaná certifikáty jsou ve vašem zařízení rozpoznány jako neplatné. Seznamy odvolání certifikátů a aktualizace protokolu OCSP (Online Certificate Status Protocol) jsou distribuovány prostřednictvím systémových aktualizací a aktualizací prohlížečů. Zastaralý systém může nadále důvěřovat certifikátu, který již byl odvolán.

Za třetí, uživatelé VPN nebo bezpečnostního softwaru by měli pravidelně kontrolovat, odkud jejich instalace pocházejí a zda dodavatel nesdělil nějaká bezpečnostní oznámení. Renomovaní dodavatelé budou zveřejňovat problémy ovlivňující jejich distribuční kanál softwaru.

Pro organizace tento incident posiluje argumenty pro zavedení vícefaktorového ověřování pro veškerý personál podpory a správy, implementaci přísných ověřovacích postupů před udělením jakéhokoli přístupu a auditování toho, kteří zaměstnanci mají přístup k citlivým systémům správy certifikátů.

Praktická doporučení

• Stahujte software pouze z oficiálních webových stránek dodavatele. Vyhněte se agregátorům stahování třetích stran, a to i u dobře známých aplikací.
• Udržujte svůj operační systém a prohlížeče aktuální. Data o odvolání jsou doručována prostřednictvím aktualizací. Zastaralý systém nemusí rozpoznat kompromitované certifikáty.
• Sledujte bezpečnostní upozornění dodavatelů. Pokud používáte software podepsaný DigiCertem, navštivte oficiální bezpečnostní stránku dodavatele a potvrďte, zda byl ovlivněn některý z vašich nainstalovaných programů.
• Buďte obezřetní ohledně neočekávaných aktualizací softwaru. Pokud obdržíte nevyžádanou výzvu k aktualizaci aplikace, ověřte ji prostřednictvím samotné aplikace, nikoli kliknutím na externí odkaz.
• Organizace by měly auditovat úložiště důvěryhodných certifikátů. Bezpečnostní týmy by měly zkontrolovat, kterým certifikátům se ve svých prostředích důvěřuje, a zajistit vynucení kontroly odvolání.

Reakce DigiCertu, včetně odvolání dotčených certifikátů, je přiměřená a očekávaná. Širší ponaučení však je, že důvěryhodná infrastruktura, na níž stojí distribuce softwaru, závisí na lidských procesech stejně jako na těch technických. Pochopení toho, odkud tato důvěra pochází a kde může selhat, vás staví do lepší pozice k ochraně vás samotných.