DigiCert támogatási portál feltörése: 27 kódaláíró tanúsítvány ellopva

Az internet egyik legmegbízhatóbb tanúsítványkiadójánál bekövetkezett adatszivárgás komoly kérdéseket vetett fel a szoftverellátási lánc biztonságával kapcsolatban. A DigiCert, a szoftverek és weboldalak hitelességének ellenőrzésére használt digitális tanúsítványok egyik vezető szolgáltatója megerősítette, hogy a támadók social engineering módszerekkel kompromittálták két műszaki támogatási munkatársát, hozzáférést szereztek a háttérrendszerekhez, és elloptak 27 kódaláíró tanúsítványt. Ezeket a tanúsítványokat ezt követően kártékony szoftverek aláírására használták, mielőtt a DigiCert visszavonta volna őket.

Az eset emlékeztetőül szolgál arra, hogy még a digitális bizalom fenntartásáért felelős szervezetek sem immunisak az emberek ellen irányuló támadásokkal szemben.

Mik azok a kódaláíró tanúsítványok, és miért fontosak?

Amikor szoftvert tölt le, az operációs rendszer gyakran ellenőrzi, hogy az rendelkezik-e érvényes digitális aláírással. Ez az aláírás, amelyet egy megbízható tanúsítványkiadó — mint például a DigiCert — állít ki, azt hivatott megerősíteni, hogy a szoftver legitim forrásból származik, és nem manipulálták. Ez a modern operációs rendszerek — a Windowstól a macOS-ig — egyik alapvető eszköze, amellyel a felhasználók megkülönböztethetik a megbízható szoftvereket a rosszindulatú utánzatoktól.

Ha a támadók megszereznek legitim kódaláíró tanúsítványokat, a kártékony szoftvereket a legitimitás látszatába burkolhatják. A biztonsági eszközök, az operációs rendszer figyelmeztetései, sőt egyes vállalati végpontvédelmi rendszerek is alapértelmezés szerint megbízhatónak tekinthetik az aláírt szoftvereket. Egy olyan alkalmazást letöltő felhasználó, amely aláírtnak és hitelesítettnek tűnik, kevesebb vizuális jelzést kap arra vonatkozóan, hogy valami nincs rendben.

Ebben az esetben 27 ellopott tanúsítványt aktívan felhasználtak kártékony szoftverek aláírására, mielőtt a DigiCert azonosította a jogsértést és visszavonta azokat. A visszavonás a helyes válaszlépés, de nem azonnali védelmet jelent. A visszavonás-ellenőrzések nem mindig valós időben érvényesülnek, és egyes rendszerek vagy konfigurációk nem feltétlenül ismerik fel azonnal, hogy egy korábban érvényes tanúsítvány már nem megbízható.

Hogyan történt a támadás: social engineering a helpdesknél

Az alkalmazott hozzáférési módszerre érdemes kiemelt figyelmet fordítani. A támadók nem javítatlan szoftversebezhetőséget használtak ki, és nem brute-force módszerrel törték át a tűzfalat. Embereket céloztak meg. Két műszaki támogatási munkatársat manipuláltak arra, hogy hozzáférést biztosítsanak a háttérrendszerekhez — ezt a technikát összefoglalóan social engineeringnek nevezzük.

A helpdesk és a támogatási munkatársak gyakran válnak ilyen támadások célpontjává, mivel munkájuk lényege a segítőkészség és a gyors reagálás. A támadók jellemzően kollégákat, szállítókat vagy sürgős belső kéréseket személyesítenek meg, hogy nyomást gyakoroljanak a támogatási személyzetre, és rávegyék őket a normál ellenőrzési eljárások megkerülésére.

Ez a támadás egy jól bevált mintát követ, amely az iparágak egészében megfigyelhető a nagy szervezeteknél bekövetkezett adatszivárgások esetén. A tanulság nem az, hogy a DigiCert kivételesen gondatlan lett volna. Hanem az, hogy a social engineering az egyik leghatékonyabb támadási vektor marad, függetlenül attól, hogy mennyire kifinomultak a célpont technikai védelmi rendszerei.

Mit jelent ez az Ön számára?

Ha biztonsági szoftvereket, VPN-klienseket vagy bármilyen alkalmazást tölt le az internetről, ez az eset közvetlen relevanciával bír személyes biztonsági szokásaira nézve.

Először is, a szoftverek kizárólag hivatalos, elsődleges forrásból való letöltése fontosabb, mint valaha. A tanúsítvány aláírása hasznos jelzés, de nem tévedhetetlen — ahogyan ezt az adatszivárgás is bizonyítja. Kerülje a szoftverek letöltését harmadik feles alkalmazásboltokból, tüköroldlakról vagy közösségi médián, illetve e-mailben megosztott linkekről, hacsak nem ellenőrizte önállóan a forrást.

Másodszor, az operációs rendszer és a biztonsági szoftverek naprakészen tartása biztosítja, hogy az eszközén a visszavont tanúsítványok érvénytelenként legyenek felismerve. A tanúsítvány-visszavonási listák és az OCSP (Online Certificate Status Protocol) frissítések rendszer- és böngészőfrissítéseken keresztül kerülnek terjesztésre. Egy elavult rendszer továbbra is megbízhatónak tekinthet egy már visszavont tanúsítványt.

Harmadszor, különösen a VPN- vagy biztonsági szoftverek felhasználói számára érdemes időnként áttekinteni, hogy a telepítések honnan származnak, és hogy a szállító közölt-e biztonsági értesítéseket. A megbízható szállítók nyilvánosságra hozzák a szoftverterjesztési folyamatukat érintő problémákat.

Szervezetek számára ez az eset megerősíti, hogy indokolt a többfaktoros hitelesítés megkövetelése minden támogatási és adminisztratív munkatárs számára, szigorú ellenőrzési eljárások bevezetése bármilyen hozzáférés megadása előtt, valamint annak auditálása, hogy mely munkatársak érhetik el az érzékeny tanúsítványkezelési rendszereket.

Gyakorlati tanulságok

  • Szoftvereket csak a gyártó hivatalos weboldaláról töltsön le. Kerülje a harmadik feles letöltési aggregátorokat, még jól ismert alkalmazások esetén is.
  • Tartsa naprakészen az operációs rendszerét és a böngészőit. A visszavonási adatok frissítéseken keresztül jutnak el a rendszerekre. Egy elavult rendszer esetleg nem ismeri fel a kompromittált tanúsítványokat.
  • Ellenőrizze a szállítói biztonsági figyelmeztetéseket. Ha DigiCert által aláírt szoftvert használ, látogasson el a szállító hivatalos biztonsági oldalára, és ellenőrizze, hogy az Ön által telepített szoftverek érintettek-e.
  • Legyen szkeptikus a váratlan szoftverfrissítésekkel szemben. Ha kéretlen frissítési felszólítást kap egy alkalmazáshoz, ellenőrizze azt magán az alkalmazáson keresztül, ne kattintson egy külső hivatkozásra.
  • A szervezeteknek auditálniuk kell a tanúsítványmegbízhatósági tárolókat. A biztonsági csapatoknak át kell tekinteniük, hogy mely tanúsítványok megbízhatók a környezetükben, és gondoskodniuk kell a visszavonás-ellenőrzés érvényesítéséről.

A DigiCert válaszlépése — beleértve az érintett tanúsítványok visszavonását — megfelelő és elvárható. A szélesebb körű tanulság azonban az, hogy a szoftverterjesztés mögött álló bizalmi infrastruktúra ugyanannyira emberi folyamatoktól függ, mint technikai megoldásoktól. Annak megértése, hogy ez a bizalom honnan ered és hol sérülhet meg, jobb helyzetbe hoz az önvédelemhez.