Câte certificate de semnare a codului au fost furate în breșa DigiCert?

27 de certificate de semnare a codului au fost furate în timpul breșei. Acestea au fost ulterior folosite pentru a semna programe malware înainte ca DigiCert să le revoce.

Cum au obținut atacatorii acces la sistemele DigiCert?

Atacatorii au folosit ingineria socială pentru a manipula doi angajați din suportul tehnic să ofere acces la sistemele backend. Nu a fost implicată nicio vulnerabilitate software sau tehnică de forțare brută.

Ce este un certificat de semnare a codului și de ce este valoros pentru atacatori?

Un certificat de semnare a codului este o semnătură digitală emisă de o autoritate de certificare de încredere, care verifică faptul că software-ul provine dintr-o sursă legitimă și nu a fost modificat. Atacatorii care obțin un astfel de certificat pot semna programe malware pentru a le face să pară de încredere sistemelor de operare și instrumentelor de securitate.

Revocarea certificatelor furate îi protejează imediat pe utilizatori?

Revocarea este răspunsul corect, dar nu oferă protecție instantanee, deoarece verificările de revocare nu sunt întotdeauna aplicate în timp real. Unele sisteme sau configurații pot să nu recunoască imediat că un certificat anterior valid nu mai este de încredere.

De ce sunt vizați frecvent angajații de la help desk și suport în atacurile de inginerie socială?

Personalul de suport este adesea vizat deoarece munca lor presupune să fie de ajutor și receptiv, ceea ce îi face mai susceptibili la manipulare. Atacatorii se dau în mod obișnuit drept colegi, furnizori sau transmit solicitări interne urgente pentru a presa personalul să ocolească procedurile normale de verificare.

Hack pe Portalul de Suport DigiCert: 27 Certificate de Semnare a Codului Furate

O breșă la una dintre cele mai de încredere autorități de certificare de pe internet a ridicat întrebări serioase privind securitatea lanțului de aprovizionare software. DigiCert, un furnizor major de certificate digitale folosite pentru a verifica autenticitatea software-ului și a site-urilor web, a confirmat că atacatorii au folosit ingineria socială pentru a compromite doi angajați din departamentul de suport tehnic, obținând acces la sistemele backend și furând 27 de certificate de semnare a codului. Acele certificate au fost ulterior folosite pentru a semna programe malware înainte ca DigiCert să le revoce.

Incidentul reprezintă un memento că nici organizațiile responsabile cu menținerea încrederii digitale nu sunt imune la atacurile țintite împotriva oamenilor.

Ce Sunt Certificatele de Semnare a Codului și De Ce Contează?

Când descărcați software, sistemul dumneavoastră de operare verifică adesea dacă acesta poartă o semnătură digitală validă. Această semnătură, emisă de o autoritate de certificare de încredere precum DigiCert, este menită să confirme că software-ul provine dintr-o sursă legitimă și nu a fost modificat. Aceasta reprezintă o componentă de bază a modului în care sistemele de operare moderne, de la Windows la macOS, îi ajută pe utilizatori să distingă software-ul de încredere de impostori malițioși.

Când atacatorii pun mâna pe certificate legitime de semnare a codului, pot înveșmânta programele malware într-o haină de legitimitate. Instrumentele de securitate, avertismentele sistemului de operare și chiar unele sisteme enterprise de protecție a endpoint-urilor pot trata în mod implicit software-ul semnat ca fiind de încredere. Un utilizator care descarcă ceea ce pare a fi o aplicație semnată și verificată are mai puține semnale vizuale care să îl avertizeze că ceva nu este în regulă.

În acest caz, 27 de certificate furate au fost folosite activ pentru a semna programe malware înainte ca DigiCert să identifice breșa și să le revoce. Revocarea este răspunsul corect, dar nu oferă protecție instantanee. Verificările de revocare nu sunt întotdeauna aplicate în timp real, iar unele sisteme sau configurații pot să nu recunoască imediat că un certificat anterior valid nu mai este de încredere.

Cum S-a Desfășurat Atacul: Inginerie Socială la Help Desk

Metoda folosită pentru a obține accesul merită o atenție deosebită. Atacatorii nu au exploatat o vulnerabilitate software nepatchuită și nu și-au forțat accesul printr-un firewall. Au vizat oamenii. Doi angajați din suportul tehnic au fost manipulați să ofere acces la sistemele backend, o tehnică cunoscută în general sub denumirea de inginerie socială.

Personalul de la help desk și suport este vizat frecvent în acest fel deoarece munca lor presupune să fie de ajutor și receptiv. Atacatorii se dau adesea drept colegi, furnizori sau transmit solicitări interne urgente pentru a presa personalul de suport să ocolească procedurile normale de verificare.

Acest atac urmează un tipar bine stabilit, observat în breșe la organizații majore din diverse industrii. Concluzia nu este că DigiCert a dat dovadă de o neglijență ieșită din comun. Concluzia este că ingineria socială rămâne unul dintre cele mai eficiente vectori de atac disponibili, indiferent cât de sofisticate sunt apărările tehnice ale țintei.

Ce Înseamnă Acest Lucru Pentru Dumneavoastră

Dacă descărcați software de securitate, clienți VPN sau orice aplicație de pe internet, acest incident are relevanță directă pentru practicile dumneavoastră personale de securitate.

În primul rând, descărcarea software-ului exclusiv din surse oficiale și primare contează mai mult ca oricând. O semnătură de certificat este un semnal util, dar nu este infailibilă, așa cum demonstrează această breșă. Evitați descărcarea software-ului din magazine de aplicații terțe, site-uri mirror sau linkuri distribuite prin rețele sociale sau e-mail, cu excepția cazului în care ați verificat independent sursa.

În al doilea rând, menținerea sistemului de operare și a software-ului de securitate la zi asigură că certificatele revocate sunt recunoscute ca invalide pe dispozitivul dumneavoastră. Listele de revocare a certificatelor și actualizările OCSP (Protocolul de Verificare Online a Stării Certificatelor) sunt distribuite prin actualizările de sistem și de browser. Un sistem neactualizat poate continua să aibă încredere într-un certificat care a fost deja revocat.

În al treilea rând, pentru utilizatorii de VPN sau software de securitate în special, merită să verificați periodic de unde provin instalările dumneavoastră și dacă furnizorul a comunicat eventuale notificări de securitate. Furnizorii de renume vor dezvălui problemele care afectează sistemul lor de distribuție a software-ului.

Pentru organizații, acest incident consolidează argumentul în favoarea impunerii autentificării cu mai mulți factori pentru tot personalul de suport și administrativ, implementării unor proceduri stricte de verificare înainte de a acorda orice acces și auditării angajaților care pot accesa sistemele sensibile de gestionare a certificatelor.

Concluzii Acționabile

Descărcați software numai de pe site-urile oficiale ale furnizorilor. Evitați agregatorii terți de descărcări, chiar și pentru aplicații cunoscute.
Mențineți sistemul de operare și browserele actualizate. Datele de revocare sunt livrate prin actualizări. Un sistem neactualizat poate să nu recunoască certificatele compromise.
Verificați avizele de securitate ale furnizorilor. Dacă utilizați software semnat de DigiCert, vizitați pagina oficială de securitate a furnizorului pentru a confirma dacă vreunul dintre programele instalate a fost afectat.
Fiți sceptic față de actualizările software neașteptate. Dacă primiți o solicitare nesolicitat de a actualiza o aplicație, verificați prin intermediul aplicației în sine în loc să faceți clic pe un link extern.
Organizațiile ar trebui să auditeze depozitele de certificate de încredere. Echipele de securitate ar trebui să revizuiască certificatele de încredere din mediile lor și să se asigure că verificarea revocării este aplicată.

Răspunsul DigiCert, care include revocarea certificatelor afectate, este adecvat și așteptat. Dar concluzia mai amplă este că infrastructura de încredere care stă la baza distribuției software depinde de procesele umane la fel de mult ca de cele tehnice. Înțelegerea sursei acestei încrederi și a modului în care aceasta se poate deteriora vă plasează într-o poziție mai bună pentru a vă proteja.