Koliko je certifikata za potpisivanje koda ukradeno u DigiCertovom proboju?

Tijekom proboja ukradeno je 27 certifikata za potpisivanje koda. Potom su korišteni za potpisivanje zlonamjernog softvera prije nego što ih je DigiCert opozvao.

Kako su napadači dobili pristup DigiCertovim sustavima?

Napadači su koristili društveni inženjering kako bi manipulirali dva zaposlenika tehničke podrške da daju pristup pozadinskim sustavima. Nisu bile uključene nikakve softverske ranjivosti niti tehnike grubom silom.

Što je certifikat za potpisivanje koda i zašto je vrijedan napadačima?

Certifikat za potpisivanje koda digitalni je potpis koji izdaje pouzdano certifikacijsko tijelo i koji potvrđuje da softver dolazi iz legitimnog izvora i da nije bio mijenjan. Napadači koji ga dobiju mogu potpisati zlonamjerni softver kako bi ga učinili pouzdanim operacijskim sustavima i sigurnosnim alatima.

Štiti li opoziv ukradenih certifikata korisnike odmah?

Opoziv je ispravan odgovor, ali ne pruža trenutačnu zaštitu, jer se provjere opoziva ne provode uvijek u stvarnom vremenu. Neki sustavi ili konfiguracije možda neće odmah prepoznati da prethodno valjani certifikat više nije pouzdan.

Zašto su osoblje help deska i zaposlenici podrške često meta napada društvenim inženjeringom?

Osoblje podrške često je meta jer njihov posao zahtijeva da budu korisni i odgovorni, što ih čini podložnijima manipulaciji. Napadači uobičajeno lažno predstavljaju kolege, dobavljače ili hitne interne zahtjeve kako bi pritisnuli osoblje da zaobiđe uobičajene postupke provjere.

Hakiranje DigiCertovog portala za podršku: Ukradeno 27 certifikata za potpisivanje koda

Proboj u jednom od najpouzdanijih certifikacijskih tijela interneta pokrenuo je ozbiljna pitanja o sigurnosti lanca opskrbe softverom. DigiCert, veliki pružatelj digitalnih certifikata koji se koriste za provjeru autentičnosti softvera i web stranica, potvrdio je da su napadači koristili društveni inženjering kako bi kompromitirali dva zaposlenika tehničke podrške, dobili pristup pozadinskim sustavima i ukrali 27 certifikata za potpisivanje koda. Ti su certifikati potom korišteni za potpisivanje zlonamjernog softvera prije nego što ih je DigiCert opozvao.

Ovaj incident podsjeća nas da ni organizacije odgovorne za održavanje digitalnog povjerenja nisu imune na napade usmjerene na ljude.

Što su certifikati za potpisivanje koda i zašto su važni?

Kada preuzimate softver, vaš operacijski sustav često provjerava nosi li valjani digitalni potpis. Taj potpis, koji izdaje pouzdano certifikacijsko tijelo poput DigiCerta, trebao bi potvrditi da softver dolazi iz legitimnog izvora i da nije bio mijenjan. To je temeljni dio načina na koji moderni operacijski sustavi, od Windowsa do macOS-a, pomažu korisnicima razlikovati pouzdan softver od zlonamjernih imitatora.

Kada napadači dođu u posjed legitimnih certifikata za potpisivanje koda, mogu zlonamjerni softver ogrnuti plaštem legitimnosti. Sigurnosni alati, upozorenja operacijskog sustava, pa čak i neki sustavi za zaštitu krajnjih točaka u poduzećima mogu potpisani softver prema zadanim postavkama tretirati kao pouzdan. Korisnik koji preuzima ono što izgleda kao potpisana, verificirana aplikacija ima manje vizualnih signala koji ga upozoravaju da nešto nije u redu.

U ovom slučaju, 27 ukradenih certifikata aktivno je korišteno za potpisivanje zlonamjernog softvera prije nego što je DigiCert identificirao proboj i opozvao ih. Opoziv je ispravan odgovor, ali nije trenutačna zaštita. Provjere opoziva ne provode se uvijek u stvarnom vremenu, a neki sustavi ili konfiguracije možda neće odmah prepoznati da prethodno valjani certifikat više nije pouzdan.

Kako se napad dogodio: Društveni inženjering na help desku

Metoda korištena za dobivanje pristupa zaslužuje posebnu pozornost. Napadači nisu iskoristili nezakrpanu softversku ranjivost niti su se silom probijali kroz vatrozid. Ciljali su ljude. Dva zaposlenika tehničke podrške bila su manipulirana kako bi dala pristup pozadinskim sustavima — tehnika poznata kao društveni inženjering.

Osoblje help deska i podrške često je na ovaj način meta napada jer njihov posao zahtijeva da budu korisni i odgovorni. Napadači često lažno predstavljaju kolege, dobavljače ili hitne interne zahtjeve kako bi pritisnuli osoblje podrške da zaobiđe uobičajene postupke provjere.

Ovaj napad slijedi dobro utvrđeni obrazac viđen u probojima u velikim organizacijama u raznim industrijama. Pouka nije da je DigiCert bio jedinstveno nemaran. Pouka je da društveni inženjering ostaje jedan od najučinkovitijih dostupnih vektora napada, bez obzira na to koliko su sofisticirane tehničke obrane cilja.

Što ovo znači za vas

Ako preuzimate sigurnosni softver, VPN klijente ili bilo koju aplikaciju s interneta, ovaj incident ima izravnu relevantnost za vaše osobne sigurnosne prakse.

Prvo, preuzimanje softvera isključivo iz službenih, primarnih izvora važnije je nego ikad. Certifikatni potpis je koristan signal, ali nije nepogrešiv, kako ovaj proboj pokazuje. Izbjegavajte preuzimanje softvera iz trgovina aplikacija trećih strana, mirror stranica ili poveznica dijeljenih putem društvenih mreža ili e-pošte, osim ako niste neovisno verificirali izvor.

Drugo, ažuriranje operacijskog sustava i sigurnosnog softvera osigurava da se opozvani certifikati prepoznaju kao nevaljani na vašem uređaju. Popisi opozvanih certifikata i OCSP (Online Certificate Status Protocol) ažuriranja distribuiraju se putem ažuriranja sustava i preglednika. Zastarjeli sustav može nastaviti vjerovati certifikatu koji je već opozvan.

Treće, za korisnike VPN-a ili sigurnosnog softvera posebno, vrijedi povremeno pregledati odakle su vaše instalacije i je li dobavljač priopćio ikakve sigurnosne obavijesti. Renomirani dobavljači otkrivat će probleme koji utječu na njihov cjevovod distribucije softvera.

Za organizacije, ovaj incident jača argument za uvođenje višefaktorske autentifikacije za sve zaposlenike podrške i administracije, primjenu strogih postupaka provjere prije odobravanja bilo kojeg pristupa te reviziju kojih zaposlenika može doći do osjetljivih sustava upravljanja certifikatima.

Konkretni zaključci

Preuzimajte softver isključivo s официјalnih web stranica dobavljača. Izbjegavajte agregatne stranice za preuzimanje trećih strana, čak i za dobro poznate aplikacije.
Ažurirajte svoj OS i preglednike. Podaci o opozivu dostavljaju se putem ažuriranja. Zastarjeli sustav možda neće prepoznati kompromitirane certifikate.
Provjeravajte sigurnosna savjetodavna priopćenja dobavljača. Ako koristite softver potpisan od strane DigiCerta, posjetite službenu sigurnosnu stranicu dobavljača kako biste potvrdili je li neki od vaših instaliranih softvera bio pogođen.
Budite skeptični prema neočekivanim ažuriranjima softvera. Ako primite neočekivani upit za ažuriranje aplikacije, verificirajte ga putem same aplikacije umjesto klikom na vanjsku poveznicu.
Organizacije bi trebale revidirati pohrane povjerenja certifikata. Sigurnosni timovi trebaju pregledati koje su certifikate pouzdani u njihovim okruženjima i osigurati da je provjera opoziva primijenjena.

DigiCertov odgovor, uključujući opoziv zahvaćenih certifikata, prikladan je i očekivan. No širi zaključak jest da infrastruktura povjerenja koja stoji u pozadini distribucije softvera ovisi o ljudskim procesima jednako koliko i o tehničkim. Razumijevanje odakle to povjerenje dolazi — i gdje se može srušiti — stavlja vas u bolji položaj da se zaštitite.