Παραβίαση Πύλης Υποστήριξης DigiCert: Κλάπηκαν 27 Πιστοποιητικά Υπογραφής Κώδικα

Παραβίαση Πύλης Υποστήριξης DigiCert: Κλάπηκαν 27 Πιστοποιητικά Υπογραφής Κώδικα

Μια παραβίαση σε μία από τις πιο αξιόπιστες αρχές πιστοποίησης του διαδικτύου έχει εγείρει σοβαρά ερωτήματα σχετικά με την ασφάλεια της αλυσίδας εφοδιασμού λογισμικού. Η DigiCert, ένας σημαντικός πάροχος ψηφιακών πιστοποιητικών που χρησιμοποιούνται για την επαλήθευση της αυθεντικότητας λογισμικού και ιστοσελίδων, επιβεβαίωσε ότι οι επιτιθέμενοι χρησιμοποίησαν κοινωνική μηχανική για να παραβιάσουν δύο υπαλλήλους τεχνικής υποστήριξης, αποκτώντας πρόσβαση σε συστήματα υποδομής και κλέβοντας 27 πιστοποιητικά υπογραφής κώδικα. Αυτά τα πιστοποιητικά χρησιμοποιήθηκαν στη συνέχεια για την υπογραφή κακόβουλου λογισμικού προτού η DigiCert τα ανακαλέσει.

Το περιστατικό αποτελεί υπενθύμιση ότι ακόμα και οι οργανισμοί που είναι υπεύθυνοι για τη διατήρηση της ψηφιακής εμπιστοσύνης δεν είναι απρόσβλητοι από επιθέσεις που στοχεύουν ανθρώπους.

Τι Είναι τα Πιστοποιητικά Υπογραφής Κώδικα και Γιατί Έχουν Σημασία;

Όταν κατεβάζετε λογισμικό, το λειτουργικό σας σύστημα συχνά ελέγχει αν φέρει έγκυρη ψηφιακή υπογραφή. Αυτή η υπογραφή, που εκδίδεται από μια αξιόπιστη αρχή πιστοποίησης όπως η DigiCert, υποτίθεται ότι επιβεβαιώνει ότι το λογισμικό προέρχεται από νόμιμη πηγή και δεν έχει παραβιαστεί. Αποτελεί βασικό στοιχείο του τρόπου με τον οποίο τα σύγχρονα λειτουργικά συστήματα, από τα Windows έως το macOS, βοηθούν τους χρήστες να διακρίνουν το αξιόπιστο λογισμικό από κακόβουλους απομιμητές.

Όταν οι επιτιθέμενοι αποκτούν νόμιμα πιστοποιητικά υπογραφής κώδικα, μπορούν να ντύσουν το κακόβουλο λογισμικό με έναν μανδύα νομιμότητας. Τα εργαλεία ασφαλείας, οι προειδοποιήσεις του λειτουργικού συστήματος, ακόμα και ορισμένα εταιρικά συστήματα προστασίας τερματικών σημείων ενδέχεται να αντιμετωπίζουν από προεπιλογή το υπογεγραμμένο λογισμικό ως αξιόπιστο. Ένας χρήστης που κατεβάζει αυτό που φαίνεται να είναι μια υπογεγραμμένη, επαληθευμένη εφαρμογή έχει λιγότερα οπτικά σήματα που να τον προειδοποιούν ότι κάτι δεν πάει καλά.

Σε αυτή την περίπτωση, 27 κλεμμένα πιστοποιητικά χρησιμοποιήθηκαν ενεργά για την υπογραφή κακόβουλου λογισμικού προτού η DigiCert εντοπίσει την παραβίαση και τα ανακαλέσει. Η ανάκληση είναι η σωστή αντίδραση, αλλά δεν παρέχει άμεση προστασία. Οι έλεγχοι ανάκλησης δεν επιβάλλονται πάντα σε πραγματικό χρόνο, και ορισμένα συστήματα ή διαμορφώσεις ενδέχεται να μην αναγνωρίζουν αμέσως ότι ένα προηγουμένως έγκυρο πιστοποιητικό δεν είναι πλέον αξιόπιστο.

Πώς Έγινε η Επίθεση: Κοινωνική Μηχανική στο Τμήμα Βοήθειας

Η μέθοδος που χρησιμοποιήθηκε για την απόκτηση πρόσβασης αξίζει να εξεταστεί προσεκτικά. Οι επιτιθέμενοι δεν εκμεταλλεύτηκαν μια αδιόρθωτη ευπάθεια λογισμικού ούτε προσπάθησαν να παραβιάσουν με ωμή βία ένα τείχος προστασίας. Στόχευσαν ανθρώπους. Δύο υπάλληλοι τεχνικής υποστήριξης χειραγωγήθηκαν ώστε να παράσχουν πρόσβαση σε συστήματα υποδομής, μια τεχνική που είναι γενικά γνωστή ως κοινωνική μηχανική.

Το προσωπικό τμημάτων βοήθειας και υποστήριξης στοχεύεται συχνά με αυτόν τον τρόπο επειδή η δουλειά τους απαιτεί να είναι εξυπηρετικοί και ανταποκρίσιμοι. Οι επιτιθέμενοι συχνά υποδύονται συναδέλφους, προμηθευτές ή επείγοντα εσωτερικά αιτήματα για να πιέσουν το προσωπικό υποστήριξης να παρακάμψει τις κανονικές διαδικασίες επαλήθευσης.

Αυτή η επίθεση ακολουθεί ένα καλά εδραιωμένο μοτίβο που έχει παρατηρηθεί σε παραβιάσεις μεγάλων οργανισμών σε διάφορους κλάδους. Το συμπέρασμα δεν είναι ότι η DigiCert ήταν ιδιαίτερα αμελής. Είναι ότι η κοινωνική μηχανική παραμένει ένας από τους πιο αποτελεσματικούς φορείς επίθεσης που υπάρχουν, ανεξάρτητα από το πόσο εξελιγμένες είναι οι τεχνικές άμυνες του στόχου.

Τι Σημαίνει Αυτό για Εσάς

Αν κατεβάζετε λογισμικό ασφαλείας, πελάτες VPN ή οποιαδήποτε εφαρμογή από το διαδίκτυο, αυτό το περιστατικό έχει άμεση συνάφεια με τις προσωπικές σας πρακτικές ασφαλείας.

Πρώτον, η λήψη λογισμικού μόνο από επίσημες, πρωτογενείς πηγές έχει σημασία περισσότερο από ποτέ. Η υπογραφή πιστοποιητικού είναι ένα χρήσιμο σήμα, αλλά δεν είναι αλάνθαστο, όπως αποδεικνύει αυτή η παραβίαση. Αποφύγετε να κατεβάζετε λογισμικό από καταστήματα εφαρμογών τρίτων, ιστότοπους αντικατοπτρισμού ή συνδέσμους που κοινοποιούνται μέσω κοινωνικών μέσων ή email, εκτός αν έχετε επαληθεύσει ανεξάρτητα την πηγή.

Δεύτερον, η ενημέρωση του λειτουργικού σας συστήματος και του λογισμικού ασφαλείας διασφαλίζει ότι τα ανακληθέντα πιστοποιητικά αναγνωρίζονται ως άκυρα στη συσκευή σας. Οι λίστες ανάκλησης πιστοποιητικών και οι ενημερώσεις OCSP (Πρωτόκολλο Διαδικτυακής Κατάστασης Πιστοποιητικού) διανέμονται μέσω ενημερώσεων συστήματος και προγράμματος περιήγησης. Ένα παρωχημένο σύστημα ενδέχεται να συνεχίσει να εμπιστεύεται ένα πιστοποιητικό που έχει ήδη ανακληθεί.

Τρίτον, για χρήστες λογισμικού VPN ή ασφαλείας ειδικότερα, αξίζει να εξετάζετε περιοδικά από πού προέρχονται οι εγκαταστάσεις σας και αν ο προμηθευτής έχει κοινοποιήσει τυχόν ειδοποιήσεις ασφαλείας. Αξιόπιστοι προμηθευτές θα αποκαλύπτουν ζητήματα που επηρεάζουν την αλυσίδα διανομής του λογισμικού τους.

Για τους οργανισμούς, αυτό το περιστατικό ενισχύει την ανάγκη για απαίτηση ελέγχου ταυτότητας πολλαπλών παραγόντων για όλο το προσωπικό υποστήριξης και διαχείρισης, εφαρμογή αυστηρών διαδικασιών επαλήθευσης πριν από τη χορήγηση οποιασδήποτε πρόσβασης, και έλεγχο των υπαλλήλων που έχουν πρόσβαση σε ευαίσθητα συστήματα διαχείρισης πιστοποιητικών.

Πρακτικά Συμπεράσματα

• Κατεβάζετε λογισμικό μόνο από επίσημες ιστοσελίδες προμηθευτών. Αποφύγετε ενσωματωτές λήψεων τρίτων, ακόμα και για γνωστές εφαρμογές.
• Διατηρείτε το λειτουργικό σύστημα και τα προγράμματα περιήγησής σας ενημερωμένα. Τα δεδομένα ανάκλησης παρέχονται μέσω ενημερώσεων. Ένα παρωχημένο σύστημα ενδέχεται να μην αναγνωρίζει παραβιασμένα πιστοποιητικά.
• Ελέγχετε για συμβουλές ασφαλείας από προμηθευτές. Αν χρησιμοποιείτε λογισμικό υπογεγραμμένο από τη DigiCert, επισκεφθείτε την επίσημη σελίδα ασφαλείας του προμηθευτή για να επιβεβαιώσετε αν κάποιο από τα εγκατεστημένα λογισμικά σας επηρεάστηκε.
• Να είστε επιφυλακτικοί με απροσδόκητες ενημερώσεις λογισμικού. Αν λάβετε μια ανεπιθύμητη προτροπή για ενημέρωση μιας εφαρμογής, επαληθεύστε μέσω της ίδιας της εφαρμογής αντί να κάνετε κλικ σε εξωτερικό σύνδεσμο.
• Οι οργανισμοί πρέπει να ελέγχουν τα αποθέματα εμπιστοσύνης πιστοποιητικών. Οι ομάδες ασφαλείας θα πρέπει να εξετάζουν ποια πιστοποιητικά είναι αξιόπιστα στα περιβάλλοντά τους και να διασφαλίζουν ότι ο έλεγχος ανάκλησης επιβάλλεται.

Η αντίδραση της DigiCert, συμπεριλαμβανομένης της ανάκλησης των επηρεαζόμενων πιστοποιητικών, είναι κατάλληλη και αναμενόμενη. Αλλά το ευρύτερο συμπέρασμα είναι ότι η υποδομή εμπιστοσύνης που διέπει τη διανομή λογισμικού εξαρτάται εξίσου από ανθρώπινες διαδικασίες όσο και από τεχνικές. Η κατανόηση του πού πηγάζει αυτή η εμπιστοσύνη και πού μπορεί να καταρρεύσει σάς τοποθετεί σε καλύτερη θέση για να προστατευτείτε.