Peretasan Portal Dukungan DigiCert: 27 Sertifikat Penandatanganan Kode Dicuri

Peretasan Portal Dukungan DigiCert: 27 Sertifikat Penandatanganan Kode Dicuri

Pelanggaran pada salah satu otoritas sertifikat paling tepercaya di internet telah menimbulkan pertanyaan serius tentang keamanan rantai pasokan perangkat lunak. DigiCert, penyedia utama sertifikat digital yang digunakan untuk memverifikasi keaslian perangkat lunak dan situs web, mengonfirmasi bahwa penyerang menggunakan rekayasa sosial untuk mengkompromikan dua karyawan dukungan teknis mereka, mendapatkan akses ke sistem backend dan mencuri 27 sertifikat penandatanganan kode. Sertifikat-sertifikat tersebut kemudian digunakan untuk menandatangani malware sebelum DigiCert mencabutnya.

Insiden ini menjadi pengingat bahwa bahkan organisasi yang bertanggung jawab untuk menjaga kepercayaan digital pun tidak kebal terhadap serangan yang menargetkan manusia.

Apa Itu Sertifikat Penandatanganan Kode dan Mengapa Penting?

Saat Anda mengunduh perangkat lunak, sistem operasi Anda sering kali memeriksa apakah perangkat lunak tersebut memiliki tanda tangan digital yang valid. Tanda tangan ini, yang dikeluarkan oleh otoritas sertifikat tepercaya seperti DigiCert, seharusnya mengonfirmasi bahwa perangkat lunak berasal dari sumber yang sah dan belum dimanipulasi. Ini adalah bagian inti dari cara sistem operasi modern, mulai dari Windows hingga macOS, membantu pengguna membedakan perangkat lunak yang tepercaya dari penipu berbahaya.

Ketika penyerang mendapatkan sertifikat penandatanganan kode yang sah, mereka dapat membungkus malware dengan jubah legitimasi. Alat keamanan, peringatan sistem operasi, dan bahkan beberapa sistem perlindungan endpoint perusahaan mungkin memperlakukan perangkat lunak yang ditandatangani sebagai tepercaya secara default. Pengguna yang mengunduh apa yang tampak sebagai aplikasi yang telah ditandatangani dan diverifikasi memiliki lebih sedikit sinyal visual yang memperingatkan mereka bahwa ada sesuatu yang salah.

Dalam kasus ini, 27 sertifikat yang dicuri secara aktif digunakan untuk menandatangani malware sebelum DigiCert mengidentifikasi pelanggaran tersebut dan mencabutnya. Pencabutan adalah respons yang tepat, namun bukan perlindungan yang instan. Pemeriksaan pencabutan tidak selalu diberlakukan secara real time, dan beberapa sistem atau konfigurasi mungkin tidak segera mengenali bahwa sertifikat yang sebelumnya valid tidak lagi tepercaya.

Bagaimana Serangan Terjadi: Rekayasa Sosial di Help Desk

Metode yang digunakan untuk mendapatkan akses layak mendapat perhatian penuh. Penyerang tidak mengeksploitasi kerentanan perangkat lunak yang belum ditambal atau memaksa masuk melalui firewall. Mereka menargetkan manusia. Dua karyawan dukungan teknis dimanipulasi agar memberikan akses ke sistem backend, sebuah teknik yang secara luas dikenal sebagai rekayasa sosial.

Staf help desk dan dukungan sering kali menjadi target dengan cara ini karena pekerjaan mereka mengharuskan mereka untuk bersikap membantu dan responsif. Penyerang sering kali menyamar sebagai rekan kerja, vendor, atau permintaan internal yang mendesak untuk menekan staf dukungan agar melewati prosedur verifikasi normal.

Serangan ini mengikuti pola yang sudah mapan yang terlihat dalam pelanggaran di organisasi-organisasi besar di berbagai industri. Pelajarannya bukan bahwa DigiCert sangat lalai. Melainkan bahwa rekayasa sosial tetap menjadi salah satu vektor serangan paling efektif yang tersedia, terlepas dari seberapa canggih pertahanan teknis target tersebut.

Apa Artinya Bagi Anda

Jika Anda mengunduh perangkat lunak keamanan, klien VPN, atau aplikasi apa pun dari internet, insiden ini memiliki relevansi langsung dengan praktik keamanan pribadi Anda.

Pertama, mengunduh perangkat lunak hanya dari sumber resmi dan utama kini lebih penting dari sebelumnya. Tanda tangan sertifikat adalah sinyal yang berguna, tetapi tidak dapat sepenuhnya diandalkan, sebagaimana ditunjukkan oleh pelanggaran ini. Hindari mengunduh perangkat lunak dari toko aplikasi pihak ketiga, situs mirror, atau tautan yang dibagikan melalui media sosial atau email kecuali Anda telah memverifikasi sumbernya secara independen.

Kedua, menjaga sistem operasi dan perangkat lunak keamanan Anda tetap diperbarui memastikan bahwa sertifikat yang dicabut dikenali sebagai tidak valid di perangkat Anda. Daftar pencabutan sertifikat dan pembaruan OCSP (Online Certificate Status Protocol) didistribusikan melalui pembaruan sistem dan browser. Sistem yang sudah usang mungkin terus mempercayai sertifikat yang telah dicabut.

Ketiga, bagi pengguna VPN atau perangkat lunak keamanan khususnya, ada baiknya secara berkala meninjau dari mana instalasi Anda berasal dan apakah vendor telah mengomunikasikan pemberitahuan keamanan apa pun. Vendor yang bereputasi akan mengungkapkan masalah yang memengaruhi jalur distribusi perangkat lunak mereka.

Bagi organisasi, insiden ini memperkuat argumen untuk mewajibkan autentikasi multi-faktor bagi semua staf dukungan dan administratif, menerapkan prosedur verifikasi yang ketat sebelum memberikan akses apa pun, serta mengaudit karyawan mana yang dapat mengakses sistem manajemen sertifikat yang sensitif.

Langkah-Langkah yang Dapat Diambil

• Unduh perangkat lunak hanya dari situs web resmi vendor. Hindari agregator unduhan pihak ketiga, bahkan untuk aplikasi yang sudah dikenal.
• Perbarui OS dan browser Anda. Data pencabutan dikirimkan melalui pembaruan. Sistem yang sudah usang mungkin tidak mengenali sertifikat yang telah dikompromikan.
• Periksa saran keamanan vendor. Jika Anda menggunakan perangkat lunak yang ditandatangani oleh DigiCert, kunjungi halaman keamanan resmi vendor untuk memastikan apakah ada perangkat lunak yang Anda instal yang terdampak.
• Waspadai pembaruan perangkat lunak yang tidak terduga. Jika Anda menerima permintaan pembaruan aplikasi yang tidak diminta, verifikasi melalui aplikasi itu sendiri daripada mengklik tautan eksternal.
• Organisasi harus mengaudit penyimpanan kepercayaan sertifikat. Tim keamanan harus meninjau sertifikat mana yang dipercaya di lingkungan mereka dan memastikan pemeriksaan pencabutan diberlakukan.

Respons DigiCert, termasuk mencabut sertifikat yang terdampak, sudah tepat dan sesuai ekspektasi. Namun pelajaran yang lebih luas adalah bahwa infrastruktur kepercayaan yang mendasari distribusi perangkat lunak bergantung pada proses manusia sama besarnya dengan proses teknis. Memahami dari mana kepercayaan itu berasal, dan di mana ia bisa runtuh, menempatkan Anda pada posisi yang lebih baik untuk melindungi diri sendiri.