Ile certyfikatów do podpisywania kodu skradziono podczas naruszenia bezpieczeństwa DigiCert?

Podczas naruszenia skradziono 27 certyfikatów do podpisywania kodu. Zostały one następnie użyte do podpisania złośliwego oprogramowania, zanim DigiCert je unieważnił.

W jaki sposób atakujący uzyskali dostęp do systemów DigiCert?

Atakujący wykorzystali inżynierię społeczną, aby zmanipulować dwóch pracowników wsparcia technicznego do udzielenia dostępu do systemów zaplecza. Nie zastosowano żadnej luki w oprogramowaniu ani techniki brute-force.

Czym jest certyfikat do podpisywania kodu i dlaczego jest cenny dla atakujących?

Certyfikat do podpisywania kodu to podpis cyfrowy wydany przez zaufany urząd certyfikacji, który weryfikuje, że oprogramowanie pochodzi z legalnego źródła i nie zostało zmodyfikowane. Atakujący, którzy go zdobędą, mogą podpisać złośliwe oprogramowanie, aby sprawiało wrażenie zaufanego dla systemów operacyjnych i narzędzi bezpieczeństwa.

Dlaczego pracownicy działów pomocy i wsparcia są często celem ataków z użyciem inżynierii społecznej?

Pracownicy wsparcia są często atakowani, ponieważ ich praca wymaga bycia pomocnym i reagowania na prośby, co czyni ich bardziej podatnymi na manipulację. Atakujący często podszywają się pod współpracowników, dostawców lub pilne wewnętrzne żądania, aby wywrzeć presję na pracownikach i skłonić ich do obejścia normalnych procedur weryfikacyjnych.

Włamanie do portalu wsparcia DigiCert: skradziono 27 certyfikatów do podpisywania kodu

Naruszenie bezpieczeństwa jednego z najbardziej zaufanych urzędów certyfikacji w internecie postawiło poważne pytania dotyczące bezpieczeństwa łańcucha dostaw oprogramowania. DigiCert, czołowy dostawca certyfikatów cyfrowych służących do weryfikacji autentyczności oprogramowania i witryn internetowych, potwierdził, że atakujący wykorzystali inżynierię społeczną, aby skompromitować dwóch pracowników działu wsparcia technicznego, uzyskując dostęp do systemów zaplecza i kradnąc 27 certyfikatów do podpisywania kodu. Certyfikaty te zostały następnie użyte do podpisania złośliwego oprogramowania, zanim DigiCert je unieważnił.

Incydent ten przypomina, że nawet organizacje odpowiedzialne za utrzymanie cyfrowego zaufania nie są odporne na ataki skierowane przeciwko ludziom.

Czym są certyfikaty do podpisywania kodu i dlaczego mają znaczenie?

Gdy pobierasz oprogramowanie, system operacyjny często sprawdza, czy posiada ono ważny podpis cyfrowy. Taki podpis, wydany przez zaufany urząd certyfikacji, taki jak DigiCert, ma potwierdzać, że oprogramowanie pochodzi z legalnego źródła i nie zostało zmodyfikowane. Jest to kluczowy element mechanizmu, dzięki któremu nowoczesne systemy operacyjne — od Windows po macOS — pomagają użytkownikom odróżnić zaufane oprogramowanie od złośliwych imitacji.

Gdy atakujący wejdą w posiadanie legalnych certyfikatów do podpisywania kodu, mogą owinąć złośliwe oprogramowanie płaszczem wiarygodności. Narzędzia bezpieczeństwa, ostrzeżenia systemu operacyjnego, a nawet niektóre korporacyjne systemy ochrony punktów końcowych mogą domyślnie traktować podpisane oprogramowanie jako zaufane. Użytkownik pobierający pozornie podpisaną i zweryfikowaną aplikację ma mniej wizualnych sygnałów ostrzegawczych wskazujących, że coś jest nie tak.

W tym przypadku 27 skradzionych certyfikatów zostało aktywnie wykorzystanych do podpisania złośliwego oprogramowania, zanim DigiCert wykrył naruszenie i unieważnił certyfikaty. Unieważnienie jest właściwą odpowiedzią, ale nie zapewnia natychmiastowej ochrony. Sprawdzanie unieważnienia nie zawsze jest egzekwowane w czasie rzeczywistym, a niektóre systemy lub konfiguracje mogą nie rozpoznać natychmiast, że poprzednio ważny certyfikat nie jest już godny zaufania.

Jak doszło do ataku: inżynieria społeczna w dziale pomocy technicznej

Metoda zastosowana w celu uzyskania dostępu zasługuje na szczególną uwagę. Atakujący nie wykorzystali niezałatanej luki w oprogramowaniu ani nie przebili się przez zaporę sieciową metodą brute-force. Obrali za cel ludzi. Dwóch pracowników działu wsparcia technicznego zostało zmanipulowanych do udzielenia dostępu do systemów zaplecza — technika ta jest powszechnie znana jako inżynieria społeczna.

Pracownicy działu pomocy i wsparcia są często atakowani w ten sposób, ponieważ ich praca wymaga bycia pomocnym i reagowania na prośby. Atakujący często podszywają się pod współpracowników, dostawców lub pilne wewnętrzne żądania, aby wywrzeć presję na pracownikach wsparcia i skłonić ich do obejścia normalnych procedur weryfikacyjnych.

Atak ten wpisuje się w dobrze ugruntowany wzorzec zaobserwowany w naruszeniach bezpieczeństwa w dużych organizacjach z różnych branż. Wniosek z tego zdarzenia nie jest taki, że DigiCert był wyjątkowo niedbały. Chodzi o to, że inżynieria społeczna pozostaje jednym z najskuteczniejszych wektorów ataku, niezależnie od tego, jak zaawansowane są techniczne zabezpieczenia celu.

Co to oznacza dla Ciebie

Jeśli pobierasz oprogramowanie zabezpieczające, klientów VPN lub jakiekolwiek aplikacje z internetu, ten incydent ma bezpośrednie znaczenie dla Twoich osobistych praktyk bezpieczeństwa.

Po pierwsze, pobieranie oprogramowania wyłącznie z oficjalnych, głównych źródeł jest ważniejsze niż kiedykolwiek. Podpis certyfikatu jest użytecznym sygnałem, ale nie jest niezawodny — czego dowodzi to naruszenie. Unikaj pobierania oprogramowania z zewnętrznych sklepów z aplikacjami, serwerów lustrzanych lub linków udostępnianych za pośrednictwem mediów społecznościowych lub poczty e-mail, chyba że samodzielnie zweryfikowałeś źródło.

Po drugie, aktualizowanie systemu operacyjnego i oprogramowania zabezpieczającego zapewnia, że unieważnione certyfikaty są rozpoznawane jako nieważne na Twoim urządzeniu. Listy unieważnionych certyfikatów oraz aktualizacje OCSP (Online Certificate Status Protocol) są dostarczane przez aktualizacje systemu i przeglądarki. Nieaktualny system może nadal ufać certyfikatowi, który został już unieważniony.

Po trzecie, w przypadku użytkowników oprogramowania VPN lub zabezpieczającego warto okresowo sprawdzać, skąd pochodzą Twoje instalacje i czy dostawca przekazał jakiekolwiek komunikaty dotyczące bezpieczeństwa. Renomowani dostawcy ujawnią problemy wpływające na ich potok dystrybucji oprogramowania.

W przypadku organizacji incydent ten wzmacnia argumenty za wymaganiem uwierzytelniania wieloskładnikowego dla wszystkich pracowników wsparcia i administracji, wdrożeniem rygorystycznych procedur weryfikacyjnych przed przyznaniem jakiegokolwiek dostępu oraz audytowaniem, którzy pracownicy mają dostęp do wrażliwych systemów zarządzania certyfikatami.

Praktyczne wnioski

Pobieraj oprogramowanie wyłącznie z oficjalnych stron internetowych dostawców. Unikaj zewnętrznych agregatorów pobierania, nawet w przypadku popularnych aplikacji.
Aktualizuj system operacyjny i przeglądarki. Dane o unieważnieniu są dostarczane przez aktualizacje. Nieaktualny system może nie rozpoznać skompromitowanych certyfikatów.
Sprawdzaj biuletyny bezpieczeństwa dostawców. Jeśli używasz oprogramowania podpisanego przez DigiCert, odwiedź oficjalną stronę bezpieczeństwa dostawcy, aby potwierdzić, czy któreś z zainstalowanych programów zostało dotknięte problemem.
Bądź sceptyczny wobec nieoczekiwanych aktualizacji oprogramowania. Jeśli otrzymasz niechciane wezwanie do aktualizacji aplikacji, zweryfikuj to za pośrednictwem samej aplikacji, zamiast klikać zewnętrzny link.
Organizacje powinny przeprowadzać audyt magazynów zaufanych certyfikatów. Zespoły bezpieczeństwa powinny sprawdzić, którym certyfikatom ufa się w ich środowiskach, i upewnić się, że sprawdzanie unieważnienia jest egzekwowane.

Odpowiedź DigiCert — w tym unieważnienie certyfikatów, których dotyczy problem — jest właściwa i zgodna z oczekiwaniami. Jednak szerszy wniosek jest taki, że infrastruktura zaufania leżąca u podstaw dystrybucji oprogramowania zależy od procesów ludzkich w równym stopniu co od technicznych. Rozumienie, skąd pochodzi to zaufanie i w którym miejscu może się załamać, stawia Cię w lepszej pozycji, aby chronić siebie.