Hvor mange kodesigneringssertifikater ble stjålet i DigiCert-bruddet?

27 kodesigneringssertifikater ble stjålet under bruddet. De ble deretter brukt til å signere skadevare før DigiCert tilbakekalte dem.

Hvordan fikk angriperne tilgang til DigiCerts systemer?

Angriperne brukte sosial manipulasjon for å manipulere to tekniske støtteansatte til å gi tilgang til bakgrunnssystemer. Ingen programvaresårbarhet eller råmakt-teknikk var involvert.

Gir tilbakekalling av de stjålne sertifikatene umiddelbar beskyttelse for brukere?

Tilbakekalling er det riktige svaret, men gir ikke øyeblikkelig beskyttelse, ettersom tilbakekallingssjekker ikke alltid håndheves i sanntid. Noen systemer eller konfigurasjoner gjenkjenner kanskje ikke umiddelbart at et tidligere gyldig sertifikat ikke lenger er pålitelig.

Hvorfor er brukerstøtte- og supportansatte hyppige mål i sosiale manipulasjonsangrep?

Supportansatte er ofte mål fordi jobben deres krever at de er hjelpsomme og responsive, noe som gjør dem mer utsatt for manipulasjon. Angripere utgir seg vanligvis for å være kolleger, leverandører eller presserende interne forespørsler for å presse ansatte til å omgå normale verifiseringsprosedyrer.

DigiCert-støtteportal hacket: 27 kodesigneringssertifikater stjålet

Q: Hva er et kodesigneringssertifikat og hvorfor er det verdifullt for angripere?

Et kodesigneringssertifikat er en digital signatur utstedt av en betrodd sertifikatmyndighet som verifiserer at programvare kom fra en legitim kilde og ikke har blitt manipulert. Angripere som skaffer seg ett, kan signere skadevare for å få den til å fremstå som pålitelig for operativsystemer og sikkerhetsverktøy.

DigiCert-støtteportal hacket: 27 kodesigneringssertifikater stjålet

Et sikkerhetsbrudd hos en av internettets mest betrodde sertifikatmyndigheter har reist alvorlige spørsmål om sikkerhet i programvareforsyningskjeden. DigiCert, en stor leverandør av digitale sertifikater brukt til å verifisere ektheten til programvare og nettsteder, bekreftet at angripere brukte sosial manipulasjon for å kompromittere to av selskapets tekniske støtteansatte, fikk tilgang til bakgrunnssystemer og stjal 27 kodesigneringssertifikater. Disse sertifikatene ble deretter brukt til å signere skadevare før DigiCert tilbakekalte dem.

Hendelsen er en påminnelse om at selv organisasjoner som er ansvarlige for å opprettholde digital tillit, ikke er immune mot angrep rettet mot mennesker.

Hva er kodesigneringssertifikater og hvorfor er de viktige?

Når du laster ned programvare, sjekker operativsystemet ditt ofte om den har en gyldig digital signatur. Denne signaturen, utstedt av en betrodd sertifikatmyndighet som DigiCert, skal bekrefte at programvaren kom fra en legitim kilde og ikke har blitt manipulert. Det er en sentral del av hvordan moderne operativsystemer, fra Windows til macOS, hjelper brukere med å skille pålitelig programvare fra ondsinnede etterligninger.

Når angripere får tak i legitime kodesigneringssertifikater, kan de pakke skadevare inn i et skinn av legitimitet. Sikkerhetsverktøy, advarsler fra operativsystemer og til og med noen bedriftsbaserte endepunktbeskyttelsessystemer kan behandle signert programvare som pålitelig som standard. En bruker som laster ned det som ser ut til å være en signert, verifisert applikasjon, har færre visuelle signaler som advarer dem om at noe er galt.

I dette tilfellet ble 27 stjålne sertifikater aktivt brukt til å signere skadevare før DigiCert oppdaget bruddet og tilbakekalte dem. Tilbakekalling er det riktige svaret, men det gir ikke øyeblikkelig beskyttelse. Tilbakekallingssjekker håndheves ikke alltid i sanntid, og noen systemer eller konfigurasjoner gjenkjenner kanskje ikke umiddelbart at et tidligere gyldig sertifikat ikke lenger er pålitelig.

Slik skjedde angrepet: Sosial manipulasjon mot brukerstøtten

Metoden som ble brukt for å skaffe seg tilgang, er verdt å legge nøye merke til. Angriperne utnyttet ikke en upatchet programvaresårbarhet eller brøt seg gjennom en brannmur med råmakt. De angrep mennesker. To tekniske støtteansatte ble manipulert til å gi tilgang til bakgrunnssystemer, en teknikk som er bredt kjent som sosial manipulasjon.

Brukerstøtte- og supportansatte er hyppig mål for slike angrep fordi jobben deres krever at de er hjelpsomme og responsive. Angripere utgir seg ofte for å være kolleger, leverandører eller presserende interne forespørsler for å presse supportansatte til å omgå normale verifiseringsprosedyrer.

Dette angrepet følger et veletablert mønster sett i brudd hos store organisasjoner på tvers av bransjer. Lærdommen er ikke at DigiCert var spesielt uaktsom. Det er at sosial manipulasjon fortsatt er en av de mest effektive angrepsvektorene som finnes, uavhengig av hvor sofistikerte målets tekniske forsvar er.

Hva dette betyr for deg

Hvis du laster ned sikkerhetsprogramvare, VPN-klienter eller andre applikasjoner fra internett, har denne hendelsen direkte relevans for dine personlige sikkerhetsvaner.

For det første er det viktigere enn noensinne å bare laste ned programvare fra offisielle, primære kilder. En sertifikatsignatur er et nyttig signal, men den er ikke feilfri, noe dette bruddet demonstrerer. Unngå å laste ned programvare fra tredjeparts app-butikker, speilsider eller lenker delt via sosiale medier eller e-post med mindre du uavhengig har verifisert kilden.

For det andre sikrer oppdatering av operativsystemet og sikkerhetsprogramvaren at tilbakekalte sertifikater gjenkjennes som ugyldige på enheten din. Lister over tilbakekalte sertifikater og OCSP-oppdateringer (Online Certificate Status Protocol) distribueres gjennom system- og nettleseroppdateringer. Et utdatert system kan fortsette å stole på et sertifikat som allerede er tilbakekalt.

For det tredje er det for brukere av VPN- eller sikkerhetsprogramvare spesielt verdt å jevnlig gjennomgå hvor installasjonene dine kom fra, og om leverandøren har kommunisert noen sikkerhetsmeldinger. Seriøse leverandører vil offentliggjøre problemer som påvirker distribusjonspipelinen for programvaren deres.

For organisasjoner forsterker denne hendelsen argumentet for å kreve multifaktorautentisering for alle støtte- og administrasjonsansatte, innføre strenge verifiseringsprosedyrer før tilgang gis, og revidere hvilke ansatte som har tilgang til sensitive sertifikatadministrasjonssystemer.

Konkrete tiltak

Last ned programvare kun fra offisielle leverandørnettsteder. Unngå tredjeparts nedlastingsaggregatorer, selv for kjente applikasjoner.
Hold operativsystemet og nettleserne oppdatert. Tilbakekallingsdata leveres gjennom oppdateringer. Et utdatert system gjenkjenner kanskje ikke kompromitterte sertifikater.
Sjekk leverandørenes sikkerhetsmeldinger. Hvis du bruker programvare signert av DigiCert, besøk leverandørens offisielle sikkerhetsside for å bekrefte om noen av dine installerte programmer ble berørt.
Vær skeptisk til uventede programvareoppdateringer. Hvis du mottar en uoppfordret forespørsel om å oppdatere en applikasjon, verifiser gjennom selve applikasjonen i stedet for å klikke på en ekstern lenke.
Organisasjoner bør revidere sertifikatets tillitslager. Sikkerhetsteam bør gjennomgå hvilke sertifikater som er klarert i deres miljøer og sørge for at tilbakekallingssjekking håndheves.

DigiCerts respons, inkludert tilbakekalling av de berørte sertifikatene, er passende og forventet. Men den bredere lærdommen er at tillitsinfrastrukturen som ligger til grunn for programvaredistribusjon, er like avhengig av menneskelige prosesser som tekniske. Å forstå hvor denne tilliten kommer fra, og hvor den kan bryte sammen, setter deg i en bedre posisjon til å beskytte deg selv.

DigiCert-støtteportal hacket: 27 kodesigneringssertifikater stjålet

Hva er kodesigneringssertifikater og hvorfor er de viktige?

Slik skjedde angrepet: Sosial manipulasjon mot brukerstøtten

Hva dette betyr for deg

Konkrete tiltak

// FAQ

// Relatert