Hack no Portal de Suporte da DigiCert: 27 Certificados de Assinatura de Código Roubados

Hack no Portal de Suporte da DigiCert: 27 Certificados de Assinatura de Código Roubados

Uma violação em uma das autoridades certificadoras mais confiáveis da internet levantou sérias questões sobre a segurança da cadeia de fornecimento de software. A DigiCert, uma grande fornecedora de certificados digitais usados para verificar a autenticidade de softwares e sites, confirmou que atacantes utilizaram engenharia social para comprometer dois de seus funcionários de suporte técnico, obtendo acesso a sistemas internos e roubando 27 certificados de assinatura de código. Esses certificados foram subsequentemente usados para assinar malware antes de a DigiCert revogá-los.

O incidente serve como um lembrete de que mesmo as organizações responsáveis por manter a confiança digital não são imunes a ataques direcionados a pessoas.

O Que São Certificados de Assinatura de Código e Por Que São Importantes?

Quando você baixa um software, seu sistema operacional frequentemente verifica se ele possui uma assinatura digital válida. Essa assinatura, emitida por uma autoridade certificadora confiável como a DigiCert, tem o objetivo de confirmar que o software veio de uma fonte legítima e não foi adulterado. É uma parte central de como os sistemas operacionais modernos, do Windows ao macOS, ajudam os usuários a distinguir softwares confiáveis de impostores maliciosos.

Quando atacantes obtêm certificados legítimos de assinatura de código, eles podem envolver malware em um manto de legitimidade. Ferramentas de segurança, avisos do sistema operacional e até mesmo alguns sistemas corporativos de proteção de endpoints podem tratar softwares assinados como confiáveis por padrão. Um usuário que baixa o que parece ser um aplicativo assinado e verificado tem menos sinais visuais para alertá-lo de que algo está errado.

Neste caso, 27 certificados roubados foram ativamente usados para assinar malware antes de a DigiCert identificar a violação e revogá-los. A revogação é a resposta correta, mas não é uma proteção instantânea. As verificações de revogação nem sempre são aplicadas em tempo real, e alguns sistemas ou configurações podem não reconhecer imediatamente que um certificado anteriormente válido não é mais confiável.

Como o Ataque Aconteceu: Engenharia Social no Help Desk

O método usado para obter acesso merece atenção especial. Os atacantes não exploraram uma vulnerabilidade de software sem correção nem forçaram sua entrada por um firewall. Eles visaram pessoas. Dois funcionários de suporte técnico foram manipulados para fornecer acesso a sistemas internos, uma técnica amplamente conhecida como engenharia social.

Funcionários de help desk e suporte são frequentemente alvos dessa forma porque sua função exige que sejam prestativos e responsivos. Os atacantes frequentemente se passam por colegas, fornecedores ou solicitações internas urgentes para pressionar os funcionários de suporte a ignorarem os procedimentos normais de verificação.

Este ataque segue um padrão bem estabelecido observado em violações em grandes organizações de diversos setores. A lição não é que a DigiCert foi particularmente negligente. É que a engenharia social continua sendo um dos vetores de ataque mais eficazes disponíveis, independentemente de quão sofisticadas sejam as defesas técnicas do alvo.

O Que Isso Significa Para Você

Se você baixa softwares de segurança, clientes VPN ou qualquer aplicativo da internet, este incidente tem relevância direta para suas práticas pessoais de segurança.

Primeiro, baixar software apenas de fontes oficiais e primárias é mais importante do que nunca. Uma assinatura de certificado é um sinal útil, mas não é infalível, como esta violação demonstra. Evite baixar software de lojas de aplicativos de terceiros, sites espelho ou links compartilhados por redes sociais ou e-mail, a menos que você tenha verificado a fonte de forma independente.

Segundo, manter seu sistema operacional e software de segurança atualizados garante que certificados revogados sejam reconhecidos como inválidos no seu dispositivo. Listas de revogação de certificados e atualizações de OCSP (Protocolo de Status de Certificado Online) são distribuídas por meio de atualizações do sistema e do navegador. Um sistema desatualizado pode continuar confiando em um certificado que já foi revogado.

Terceiro, para usuários de VPN ou softwares de segurança especificamente, vale a pena revisar periodicamente a origem das suas instalações e verificar se o fornecedor comunicou algum aviso de segurança. Fornecedores respeitáveis divulgarão problemas que afetam seu pipeline de distribuição de software.

Para organizações, este incidente reforça o argumento a favor de exigir autenticação multifator para todos os funcionários de suporte e administrativos, implementar procedimentos rigorosos de verificação antes de conceder qualquer acesso e auditar quais funcionários podem acessar sistemas sensíveis de gerenciamento de certificados.

Medidas Práticas a Adotar

• Baixe software apenas dos sites oficiais do fornecedor. Evite agregadores de download de terceiros, mesmo para aplicativos conhecidos.
• Mantenha seu sistema operacional e navegadores atualizados. Os dados de revogação são entregues por meio de atualizações. Um sistema desatualizado pode não reconhecer certificados comprometidos.
• Verifique os avisos de segurança do fornecedor. Se você usa software assinado pela DigiCert, visite a página de segurança oficial do fornecedor para confirmar se algum software instalado foi afetado.
• Desconfie de atualizações de software inesperadas. Se você receber uma solicitação não solicitada para atualizar um aplicativo, verifique pelo próprio aplicativo em vez de clicar em um link externo.
• Organizações devem auditar os repositórios de certificados confiáveis. As equipes de segurança devem revisar quais certificados são confiáveis em seus ambientes e garantir que a verificação de revogação seja aplicada.

A resposta da DigiCert, incluindo a revogação dos certificados afetados, é adequada e esperada. Mas a conclusão mais ampla é que a infraestrutura de confiança subjacente à distribuição de software depende tanto de processos humanos quanto de processos técnicos. Compreender de onde vem essa confiança, e onde ela pode falhar, coloca você em uma posição melhor para se proteger.