Quanti certificati di firma del codice sono stati rubati nella violazione DigiCert?

Durante la violazione sono stati rubati 27 certificati di firma del codice. Sono stati successivamente utilizzati per firmare malware prima che DigiCert li revocasse.

Come hanno fatto gli aggressori a ottenere accesso ai sistemi di DigiCert?

Gli aggressori hanno utilizzato l'ingegneria sociale per manipolare due dipendenti del supporto tecnico affinché fornissero accesso ai sistemi di backend. Non è stata sfruttata alcuna vulnerabilità software né è stata utilizzata alcuna tecnica brute-force.

Cos'è un certificato di firma del codice e perché è prezioso per gli aggressori?

Un certificato di firma del codice è una firma digitale rilasciata da un'autorità di certificazione affidabile che verifica che il software provenga da una fonte legittima e non sia stato manomesso. Gli aggressori che ne ottengono uno possono firmare malware per farlo apparire affidabile ai sistemi operativi e agli strumenti di sicurezza.

La revoca dei certificati rubati protegge immediatamente gli utenti?

La revoca è la risposta corretta, ma non garantisce una protezione immediata, poiché i controlli di revoca non vengono sempre applicati in tempo reale. Alcuni sistemi o configurazioni potrebbero non riconoscere immediatamente che un certificato precedentemente valido non è più affidabile.

Perché il personale dell'help desk e del supporto viene spesso preso di mira negli attacchi di ingegneria sociale?

Il personale di supporto viene spesso preso di mira perché il loro lavoro richiede disponibilità e reattività, rendendolo più vulnerabile alla manipolazione. Gli aggressori si spacciano comunemente per colleghi, fornitori o richiedenti urgenti interni per fare pressione sul personale affinché aggirassi le normali procedure di verifica.

Attacco al Portale di Supporto DigiCert: 27 Certificati di Firma del Codice Rubati

Una violazione presso una delle autorità di certificazione più affidabili di Internet ha sollevato seri interrogativi sulla sicurezza della supply chain del software. DigiCert, un importante fornitore di certificati digitali utilizzati per verificare l'autenticità di software e siti web, ha confermato che gli aggressori hanno utilizzato tecniche di ingegneria sociale per compromettere due dipendenti del supporto tecnico, ottenendo accesso ai sistemi di backend e sottraendo 27 certificati di firma del codice. Tali certificati sono stati successivamente utilizzati per firmare malware prima che DigiCert li revocasse.

L'incidente è un promemoria del fatto che anche le organizzazioni responsabili del mantenimento della fiducia digitale non sono immuni agli attacchi rivolti alle persone.

Cosa Sono i Certificati di Firma del Codice e Perché Sono Importanti?

Quando si scarica un software, il sistema operativo verifica spesso se esso rechi una firma digitale valida. Questa firma, rilasciata da un'autorità di certificazione affidabile come DigiCert, dovrebbe confermare che il software proviene da una fonte legittima e non è stato manomesso. È un elemento fondamentale del modo in cui i moderni sistemi operativi, da Windows a macOS, aiutano gli utenti a distinguere il software affidabile dagli impostori maliciosi.

Quando gli aggressori entrano in possesso di certificati di firma del codice legittimi, possono avvolgere il malware in un mantello di legittimità. Gli strumenti di sicurezza, gli avvisi del sistema operativo e persino alcuni sistemi di protezione degli endpoint aziendali potrebbero trattare il software firmato come affidabile per impostazione predefinita. Un utente che scarica quella che sembra essere un'applicazione firmata e verificata dispone di meno segnali visivi per avvertirlo che qualcosa non va.

In questo caso, 27 certificati rubati sono stati attivamente utilizzati per firmare malware prima che DigiCert identificasse la violazione e li revocasse. La revoca è la risposta corretta, ma non garantisce una protezione immediata. I controlli di revoca non vengono sempre applicati in tempo reale, e alcuni sistemi o configurazioni potrebbero non riconoscere immediatamente che un certificato precedentemente valido non è più affidabile.

Come È Avvenuto l'Attacco: Ingegneria Sociale all'Help Desk

Il metodo utilizzato per ottenere l'accesso merita particolare attenzione. Gli aggressori non hanno sfruttato una vulnerabilità software non corretta né hanno forzato un firewall con attacchi brute-force. Hanno preso di mira le persone. Due dipendenti del supporto tecnico sono stati manipolati affinché fornissero accesso ai sistemi di backend, una tecnica ampiamente nota come ingegneria sociale.

Il personale dell'help desk e del supporto viene spesso preso di mira in questo modo perché il loro lavoro richiede disponibilità e reattività. Gli aggressori si spacciano frequentemente per colleghi, fornitori o richiedenti urgenti interni per fare pressione sul personale di supporto affinché aggirassi le normali procedure di verifica.

Questo attacco segue uno schema ben consolidato osservato in violazioni presso grandi organizzazioni di diversi settori. La lezione non è che DigiCert sia stata particolarmente negligente. È che l'ingegneria sociale rimane uno dei vettori di attacco più efficaci disponibili, indipendentemente da quanto siano sofisticate le difese tecniche del bersaglio.

Cosa Significa Per Te

Se scarichi software di sicurezza, client VPN o qualsiasi applicazione da Internet, questo incidente ha una rilevanza diretta per le tue pratiche di sicurezza personale.

In primo luogo, scaricare software solo da fonti ufficiali e primarie conta più che mai. Una firma con certificato è un segnale utile, ma non è infallibile, come dimostra questa violazione. Evita di scaricare software da app store di terze parti, siti mirror o link condivisi tramite social media o e-mail, a meno che tu non abbia verificato in modo indipendente la fonte.

In secondo luogo, mantenere aggiornati il sistema operativo e il software di sicurezza garantisce che i certificati revocati vengano riconosciuti come non validi sul tuo dispositivo. Gli elenchi di revoca dei certificati e gli aggiornamenti OCSP (Online Certificate Status Protocol) vengono distribuiti tramite aggiornamenti di sistema e del browser. Un sistema obsoleto potrebbe continuare a considerare affidabile un certificato già revocato.

In terzo luogo, per gli utenti di VPN o software di sicurezza in particolare, vale la pena rivedere periodicamente la provenienza delle proprie installazioni e verificare se il fornitore ha comunicato eventuali avvisi di sicurezza. I fornitori affidabili divulgheranno i problemi che riguardano la loro pipeline di distribuzione del software.

Per le organizzazioni, questo incidente rafforza la necessità di richiedere l'autenticazione a più fattori per tutto il personale di supporto e amministrativo, di implementare rigide procedure di verifica prima di concedere qualsiasi accesso e di verificare quali dipendenti possono accedere ai sistemi sensibili di gestione dei certificati.

Misure Pratiche da Adottare

Scarica il software solo dai siti ufficiali dei fornitori. Evita gli aggregatori di download di terze parti, anche per le applicazioni più conosciute.
Mantieni aggiornati il tuo sistema operativo e i browser. I dati di revoca vengono distribuiti tramite aggiornamenti. Un sistema obsoleto potrebbe non riconoscere i certificati compromessi.
Controlla gli avvisi di sicurezza dei fornitori. Se utilizzi software firmato da DigiCert, visita la pagina di sicurezza ufficiale del fornitore per verificare se uno dei software installati è stato interessato.
Sii scettico riguardo agli aggiornamenti software inattesi. Se ricevi un invito non sollecitato ad aggiornare un'applicazione, verifica tramite l'applicazione stessa anziché fare clic su un link esterno.
Le organizzazioni dovrebbero verificare i certificati attendibili. I team di sicurezza dovrebbero esaminare quali certificati sono considerati affidabili nei loro ambienti e assicurarsi che il controllo della revoca sia applicato.

La risposta di DigiCert, inclusa la revoca dei certificati interessati, è appropriata e attesa. Ma il messaggio più ampio è che l'infrastruttura di fiducia alla base della distribuzione del software dipende dai processi umani tanto quanto da quelli tecnici. Comprendere da dove proviene quella fiducia, e dove può venire meno, ti mette in una posizione migliore per proteggerti.