Kuinka monta koodin allekirjoitussertifikaattia varastettiin DigiCertin tietomurrossa?

Tietomurrossa varastettiin 27 koodin allekirjoitussertifikaattia. Niitä käytettiin sen jälkeen haittaohjelmien allekirjoittamiseen ennen kuin DigiCert peruutti ne.

Miten hyökkääjät saivat pääsyn DigiCertin järjestelmiin?

Hyökkääjät käyttivät sosiaalista manipulointia saadakseen kaksi teknisen tuen työntekijää antamaan pääsyn taustajärjestelmiin. Mitään ohjelmistohaavoittuvuutta tai raa'an voiman tekniikkaa ei käytetty.

Mikä on koodin allekirjoitussertifikaatti ja miksi se on arvokas hyökkääjille?

Koodin allekirjoitussertifikaatti on luotetun varmenneviranomaisen myöntämä digitaalinen allekirjoitus, joka todentaa, että ohjelmisto on peräisin laillisesta lähteestä eikä sitä ole peukaloitu. Hyökkääjät, jotka hankkivat sellaisen, voivat allekirjoittaa haittaohjelmia saadakseen ne näyttämään luotettavilta käyttöjärjestelmille ja tietoturvatyökaluille.

Suojaako varastettujen sertifikaattien peruuttaminen käyttäjiä välittömästi?

Peruuttaminen on oikea toimenpide, mutta se ei tarjoa välitöntä suojaa, sillä peruuttamistarkistuksia ei aina pakoteta reaaliajassa. Jotkin järjestelmät tai kokoonpanot eivät välttämättä heti tunnista, että aiemmin voimassa oleva sertifikaatti ei enää ole luotettava.

Miksi tukihenkilöstö joutuu usein sosiaalisen manipuloinnin hyökkäysten kohteeksi?

Tukihenkilöstöä kohdistetaan usein, koska heidän työnkuvansa edellyttää avuliaisuutta ja reagointikykyä, mikä tekee heistä alttiimpia manipuloinnille. Hyökkääjät esiintyvät yleisesti kollegoina, toimittajina tai kiireisinä sisäisinä pyyntöinä painostaakseen henkilöstöä ohittamaan normaalit varmistustoimenpiteet.

DigiCert-tukiportaalin hakkerointi: 27 koodin allekirjoitussertifikaattia varastettu

Tietomurto yhdessä internetin luotetuimmista varmenneviranomaisista on herättänyt vakavia kysymyksiä ohjelmistojen toimitusketjun turvallisuudesta. DigiCert, yksi ohjelmistojen ja verkkosivustojen aitouden varmistamiseen käytettävien digitaalisten varmenteiden suurimmista tarjoajista, vahvisti, että hyökkääjät käyttivät sosiaalista manipulointia kahden teknisen tuen työntekijän vaarantamiseen, saaden pääsyn taustajärjestelmiin ja varastaen 27 koodin allekirjoitussertifikaattia. Näitä sertifikaatteja käytettiin sen jälkeen haittaohjelmien allekirjoittamiseen ennen kuin DigiCert peruutti ne.

Tapaus muistuttaa siitä, että edes digitaalisen luottamuksen ylläpitämisestä vastaavat organisaatiot eivät ole immuuneja ihmisiin kohdistuville hyökkäyksille.

Mitä koodin allekirjoitussertifikaatit ovat ja miksi ne ovat tärkeitä?

Kun lataat ohjelmiston, käyttöjärjestelmäsi tarkistaa usein, onko siinä voimassa oleva digitaalinen allekirjoitus. Tämän allekirjoituksen, jonka on myöntänyt luotettu varmenneviranomainen kuten DigiCert, on tarkoitus vahvistaa, että ohjelmisto on peräisin laillisesta lähteestä eikä sitä ole peukaloitu. Se on keskeinen osa sitä, miten modernit käyttöjärjestelmät — Windowsista macOS:ään — auttavat käyttäjiä erottamaan luotettavat ohjelmistot haitallisista jäljittelijöistä.

Kun hyökkääjät saavat haltuunsa laillisia koodin allekirjoitussertifikaatteja, he voivat kietoa haittaohjelmat laillisuuden viittaan. Tietoturvatyökalut, käyttöjärjestelmän varoitukset ja jopa jotkin yritystason päätepisteiden suojausjärjestelmät voivat oletuksena pitää allekirjoitettua ohjelmistoa luotettavana. Käyttäjällä, joka lataa näennäisesti allekirjoitetun ja varmennetun sovelluksen, on vähemmän visuaalisia merkkejä varoittamaan siitä, että jokin on vialla.

Tässä tapauksessa 27 varастettua sertifikaattia käytettiin aktiivisesti haittaohjelmien allekirjoittamiseen ennen kuin DigiCert tunnisti tietomurron ja peruutti ne. Peruuttaminen on oikea toimenpide, mutta se ei tarjoa välitöntä suojaa. Peruuttamistarkistuksia ei aina pakoteta reaaliajassa, eivätkä kaikki järjestelmät tai kokoonpanot välttämättä heti tunnista, että aiemmin voimassa oleva sertifikaatti ei enää ole luotettava.

Miten hyökkäys tapahtui: Sosiaalinen manipulointi tukihenkilöstöön

Käytetty pääsymenetelmä ansaitsee tarkan huomion. Hyökkääjät eivät hyödyntäneet korjaamatonta ohjelmistohaavoittuvuutta eivätkä murtautuneet palomuurin läpi raa'alla voimalla. He kohdistivat hyökkäyksensä ihmisiin. Kahta teknisen tuen työntekijää manipuloitiin antamaan pääsy taustajärjestelmiin — tekniikka, jota kutsutaan yleisesti sosiaaliseksi manipuloinniksi.

Tukihenkilöstö joutuu usein tällaisten hyökkäysten kohteeksi, koska heidän työnkuvansa edellyttää avuliaisuutta ja reagointikykyä. Hyökkääjät esiintyvät usein kollegoina, toimittajina tai kiireisinä sisäisinä pyyntöinä painostaakseen tukihenkilöstöä ohittamaan normaalit varmistustoimenpiteet.

Tämä hyökkäys seuraa vakiintunutta mallia, joka on nähty suurten organisaatioiden tietomurroissa eri toimialoilla. Opetus ei ole se, että DigiCert olisi ollut poikkeuksellisen välinpitämätön. Se on se, että sosiaalinen manipulointi on edelleen yksi tehokkaimmista käytettävissä olevista hyökkäysvektoreista riippumatta siitä, kuinka kehittyneet kohteen tekniset puolustukset ovat.

Mitä tämä tarkoittaa sinulle

Jos lataat tietoturvaohjelmistoja, VPN-asiakkaita tai mitä tahansa sovelluksia internetistä, tällä tapauksella on suora merkitys henkilökohtaisille tietoturvakäytännöillesi.

Ensinnäkin, ohjelmistojen lataaminen vain virallisilta ensisijaisilta lähteiltä on tärkeämpää kuin koskaan. Sertifikaatin allekirjoitus on hyödyllinen signaali, mutta se ei ole erehtymätön, kuten tämä tietomurto osoittaa. Vältä ohjelmistojen lataamista kolmansien osapuolten sovelluskaupnoista, peilisivustoilta tai sosiaalisen median tai sähköpostin kautta jaetuista linkeistä, ellet ole itsenäisesti varmistanut lähdettä.

Toiseksi, käyttöjärjestelmän ja tietoturvaohjelmiston pitäminen ajan tasalla varmistaa, että peruutetut sertifikaatit tunnistetaan kelvottomiksi laitteellasi. Sertifikaattien peruuttamisluettelot ja OCSP-päivitykset (Online Certificate Status Protocol) jaetaan järjestelmä- ja selainpäivitysten kautta. Vanhentunut järjestelmä saattaa edelleen luottaa sertifikaattiin, joka on jo peruutettu.

Kolmanneksi, erityisesti VPN:n tai tietoturvaohjelmiston käyttäjien kannattaa säännöllisesti tarkistaa, mistä asennukset ovat peräisin ja onko toimittaja tiedottanut tietoturvailmoituksista. Hyvämaineiset toimittajat ilmoittavat ohjelmistojen jakeluputkeen vaikuttavista ongelmista.

Organisaatioille tämä tapaus vahvistaa tarpeen vaatia monivaiheista todentamista kaikelta tuki- ja hallintohenkilöstöltä, ottaa käyttöön tiukat varmistustoimenpiteet ennen minkäänlaisen pääsyn myöntämistä sekä tarkastaa, keillä työntekijöillä on pääsy arkaluonteisiin sertifikaattien hallintajärjestelmiin.

Toimenpidesuositukset

Lataa ohjelmistoja vain toimittajien virallisilta verkkosivustoilta. Vältä kolmansien osapuolten latauspalveluita jopa tunnetuille sovelluksille.
Pidä käyttöjärjestelmäsi ja selaimesi ajan tasalla. Peruuttamistiedot toimitetaan päivitysten kautta. Vanhentunut järjestelmä ei välttämättä tunnista vaarantuneita sertifikaatteja.
Tarkista toimittajan tietoturvatiedotteet. Jos käytät DigiCertin allekirjoittamaa ohjelmistoa, käy toimittajan virallisella tietoturvасivulla varmistaaksesi, onko mikään asennettu ohjelmistosi ollut vaikutuksen kohteena.
Suhtaudu epäilevästi odottamattomiin ohjelmistopäivityksiin. Jos saat ei-toivotun kehotuksen päivittää sovellus, varmista se sovelluksen itsensä kautta sen sijaan, että klikkaat ulkoista linkkiä.
Organisaatioiden tulisi tarkastaa sertifikaattien luottamusvarastot. Tietoturvatiimien tulisi tarkistaa, mihin sertifikaatteihin heidän ympäristöissään luotetaan, ja varmistaa, että peruuttamistarkistus on pakotettuna.

DigiCertin toimenpiteet, mukaan lukien vaikutusten alaisten sertifikaattien peruuttaminen, ovat asianmukaisia ja odotettuja. Mutta laajempi opetus on se, että ohjelmistojen jakelun taustalla oleva luottamusinfrastruktuuri riippuu yhtä paljon inhimillisistä prosesseista kuin teknisistä. Ymmärtämällä, mistä tuo luottamus syntyy ja missä se voi murtua, olet paremmassa asemassa suojellaksesi itseäsi.