Hvor mange kodesigneringscertifikater blev stjålet ved DigiCert-bruddet?

27 kodesigneringscertifikater blev stjålet under bruddet. De blev efterfølgende brugt til at signere malware, inden DigiCert tilbagekaldte dem.

Hvordan fik angriberne adgang til DigiCerts systemer?

Angribere brugte social engineering til at manipulere to tekniske supportmedarbejdere til at give adgang til backend-systemer. Ingen softwaresårbarhed eller brute force-teknik var involveret.

Hvad er et kodesigneringscertifikat, og hvorfor er det værdifuldt for angribere?

Et kodesigneringscertifikat er en digital signatur udstedt af en betroet certifikatudsteder, der verificerer, at software kom fra en legitim kilde og ikke er blevet manipuleret. Angribere, der anskaffer sig et, kan signere malware for at få det til at fremstå pålideligt over for styresystemer og sikkerhedsværktøjer.

Beskytter tilbagekaldelse af de stjålne certifikater straks brugerne?

Tilbagekaldelse er det korrekte svar, men giver ikke øjeblikkelig beskyttelse, da kontroller af tilbagekaldelse ikke altid håndhæves i realtid. Nogle systemer eller konfigurationer genkender måske ikke straks, at et tidligere gyldigt certifikat ikke længere er pålideligt.

Hvorfor er helpdesk- og supportmedarbejdere hyppigt målrettet i social engineering-angreb?

Supportmedarbejdere er ofte målrettet, fordi deres job kræver, at de er hjælpsomme og lydhøre, hvilket gør dem mere modtagelige for manipulation. Angribere udgiver sig almindeligvis for at være kolleger, leverandører eller presserende interne anmodninger for at presse medarbejdere til at omgå normale verifikationsprocedurer.

DigiCert Support Portal Hacket: 27 Kodesigneringscertifikater Stjålet

Et brud hos en af internettets mest betroede certifikatudstedere har rejst alvorlige spørgsmål om sikkerheden i softwareforsyningskæden. DigiCert, en stor udbyder af digitale certifikater der bruges til at verificere ægtheden af software og hjemmesider, bekræftede, at angribere brugte social engineering til at kompromittere to af virksomhedens tekniske supportmedarbejdere, fik adgang til backend-systemer og stjal 27 kodesigneringscertifikater. Disse certifikater blev efterfølgende brugt til at signere malware, inden DigiCert tilbagekaldte dem.

Hændelsen er en påmindelse om, at selv de organisationer, der er ansvarlige for at opretholde digital tillid, ikke er immune over for menneskemålrettede angreb.

Hvad Er Kodesigneringscertifikater, og Hvorfor Er De Vigtige?

Når du downloader software, kontrollerer dit styresystem ofte, om det bærer en gyldig digital signatur. Denne signatur, udstedt af en betroet certifikatudsteder som DigiCert, skal bekræfte, at softwaren kom fra en legitim kilde og ikke er blevet manipuleret. Det er en central del af, hvordan moderne styresystemer – fra Windows til macOS – hjælper brugere med at skelne pålidelig software fra ondsindede efterligninger.

Når angribere får fat i legitime kodesigneringscertifikater, kan de indpakke malware i et skrud af legitimitet. Sikkerhedsværktøjer, advarsler fra styresystemet og selv nogle virksomheders endpoint-beskyttelsessystemer kan som standard behandle signeret software som pålidelig. En bruger, der downloader, hvad der ser ud til at være en signeret og verificeret applikation, har færre visuelle signaler til at advare dem om, at noget er galt.

I dette tilfælde blev 27 stjålne certifikater aktivt brugt til at signere malware, inden DigiCert identificerede bruddet og tilbagekaldte dem. Tilbagekaldelse er det korrekte svar, men det er ikke øjeblikkelig beskyttelse. Kontroller af tilbagekaldelse håndhæves ikke altid i realtid, og nogle systemer eller konfigurationer genkender måske ikke straks, at et tidligere gyldigt certifikat ikke længere er pålideligt.

Sådan Skete Angrebet: Social Engineering ved Helpdesk

Den metode, der blev brugt til at få adgang, er værd at bemærke sig nøje. Angriberne udnyttede ikke en upatchet softwaresårbarhed eller brød sig vej igennem en firewall med brute force. De målrettede mennesker. To tekniske supportmedarbejdere blev manipuleret til at give adgang til backend-systemer – en teknik der bredt betegnes som social engineering.

Helpdesk- og supportmedarbejdere er hyppigt målrettet på denne måde, fordi deres job kræver, at de er hjælpsomme og lydhøre. Angribere udgiver sig ofte for at være kolleger, leverandører eller presserende interne anmodninger for at presse supportmedarbejdere til at omgå normale verifikationsprocedurer.

Dette angreb følger et veletableret mønster, der er set ved brud hos store organisationer på tværs af brancher. Læren er ikke, at DigiCert var usædvanligt forsømmelige. Det er, at social engineering fortsat er en af de mest effektive angrebsvektorer, uanset hvor sofistikerede målets tekniske forsvar er.

Hvad Dette Betyder For Dig

Hvis du downloader sikkerhedssoftware, VPN-klienter eller enhver applikation fra internettet, har denne hændelse direkte relevans for dine personlige sikkerhedspraksisser.

For det første er det vigtigere end nogensinde kun at downloade software fra officielle, primære kilder. En certifikatsignatur er et nyttigt signal, men den er ikke fejlfri, som dette brud demonstrerer. Undgå at downloade software fra tredjeparts app-butikker, mirror-sites eller links delt via sociale medier eller e-mail, medmindre du uafhængigt har verificeret kilden.

For det andet sikrer opdatering af dit styresystem og din sikkerhedssoftware, at tilbagekaldte certifikater genkendes som ugyldige på din enhed. Lister over tilbagekaldte certifikater og OCSP-opdateringer (Online Certificate Status Protocol) distribueres via system- og browseropdateringer. Et forældet system kan fortsætte med at stole på et certifikat, der allerede er blevet tilbagekaldt.

For det tredje er det for brugere af VPN- eller sikkerhedssoftware specifikt værd periodisk at gennemgå, hvor dine installationer kom fra, og om leverandøren har kommunikeret nogen sikkerhedsmeddelelser. Seriøse leverandører vil oplyse om problemer, der påvirker deres softwaredistributionskanal.

For organisationer understreger denne hændelse argumentet for at kræve multifaktorgodkendelse for alt support- og administrativt personale, implementere strenge verifikationsprocedurer inden adgang gives, og revidere hvilke medarbejdere der kan nå følsomme certifikatstyringssystemer.

Handlingsrettede Råd

Download kun software fra officielle leverandørhjemmesider. Undgå tredjeparts download-aggregatorer, selv for velkendte applikationer.
Hold dit styresystem og browsere opdaterede. Tilbagekaldelsesdata leveres via opdateringer. Et forældet system genkender måske ikke kompromitterede certifikater.
Tjek for leverandørens sikkerhedsmeddelelser. Hvis du bruger software signeret af DigiCert, skal du besøge leverandørens officielle sikkerhedsside for at bekræfte, om nogen af dine installerede programmer er berørt.
Vær skeptisk over for uventede softwareopdateringer. Hvis du modtager en uopfordret prompt om at opdatere en applikation, skal du verificere det via selve applikationen frem for at klikke på et eksternt link.
Organisationer bør revidere certifikattillidslagre. Sikkerhedsteams bør gennemgå, hvilke certifikater der er betroede i deres miljøer, og sikre, at kontrol af tilbagekaldelse håndhæves.

DigiCerts reaktion – herunder tilbagekaldelse af de berørte certifikater – er passende og forventet. Men den bredere lære er, at den tillidsinfrastruktur, der ligger til grund for softwaredistribution, afhænger af menneskelige processer lige så meget som tekniske. At forstå, hvorfra denne tillid stammer – og hvor den kan bryde sammen – sætter dig i en bedre position til at beskytte dig selv.