การแฮก DigiCert Support Portal: ใบรับรองการลงรหัสถูกขโมย 27 ใบ
การละเมิดความปลอดภัยที่หน่วยงานออกใบรับรองที่น่าเชื่อถือที่สุดแห่งหนึ่งบนอินเทอร์เน็ตได้ก่อให้เกิดคำถามสำคัญเกี่ยวกับความปลอดภัยของห่วงโซ่อุปทานซอฟต์แวร์ DigiCert ผู้ให้บริการใบรับรองดิจิทัลรายใหญ่ที่ใช้ยืนยันความถูกต้องของซอฟต์แวร์และเว็บไซต์ ได้ยืนยันว่าผู้โจมตีใช้วิศวกรรมสังคม (social engineering) เพื่อเจาะระบบพนักงานฝ่ายสนับสนุนทางเทคนิคสองคน ทำให้สามารถเข้าถึงระบบหลังบ้านและขโมยใบรับรองการลงรหัส (code-signing certificates) ไปได้ 27 ใบ จากนั้นใบรับรองเหล่านั้นถูกนำไปใช้ลงรหัสมัลแวร์ก่อนที่ DigiCert จะเพิกถอนใบรับรองเหล่านั้น
เหตุการณ์นี้เตือนให้เราตระหนักว่าแม้แต่องค์กรที่รับผิดชอบในการรักษาความน่าเชื่อถือทางดิจิทัลก็ไม่ได้รับการยกเว้นจากการโจมตีที่มุ่งเป้าไปที่มนุษย์
ใบรับรองการลงรหัสคืออะไร และเหตุใดจึงมีความสำคัญ?
เมื่อคุณดาวน์โหลดซอฟต์แวร์ ระบบปฏิบัติการมักจะตรวจสอบว่าซอฟต์แวร์นั้นมีลายเซ็นดิจิทัลที่ถูกต้องหรือไม่ ลายเซ็นนี้ซึ่งออกโดยหน่วยงานออกใบรับรองที่น่าเชื่อถืออย่าง DigiCert มีไว้เพื่อยืนยันว่าซอฟต์แวร์มาจากแหล่งที่ถูกต้องและไม่ได้ถูกดัดแปลง นี่คือส่วนหนึ่งของกลไกหลักที่ระบบปฏิบัติการสมัยใหม่ ตั้งแต่ Windows จนถึง macOS ใช้เพื่อช่วยผู้ใช้แยกแยะซอฟต์แวร์ที่น่าเชื่อถือออกจากผู้แอบอ้างที่เป็นอันตราย
เมื่อผู้โจมตีครอบครองใบรับรองการลงรหัสที่ถูกต้อง พวกเขาสามารถซ่อนมัลแวร์ไว้ภายใต้ความน่าเชื่อถือที่ดูเหมือนจริง เครื่องมือรักษาความปลอดภัย คำเตือนของระบบปฏิบัติการ และแม้แต่ระบบป้องกัน endpoint ขององค์กรบางระบบ อาจถือว่าซอฟต์แวร์ที่มีการลงรหัสนั้นน่าเชื่อถือโดยค่าเริ่มต้น ผู้ใช้ที่ดาวน์โหลดสิ่งที่ดูเหมือนเป็นแอปพลิเคชันที่ลงรหัสและผ่านการยืนยันแล้วจะมีสัญญาณเตือนทางภาพน้อยลงที่จะบ่งบอกว่ามีสิ่งผิดปกติ
ในกรณีนี้ ใบรับรองที่ถูกขโมย 27 ใบถูกนำไปใช้ลงรหัสมัลแวร์จริงก่อนที่ DigiCert จะระบุการละเมิดและเพิกถอนใบรับรองเหล่านั้น การเพิกถอนเป็นการตอบสนองที่ถูกต้อง แต่ไม่ได้ให้การป้องกันในทันที การตรวจสอบการเพิกถอนไม่ได้ถูกบังคับใช้แบบเรียลไทม์เสมอไป และบางระบบหรือการตั้งค่าบางอย่างอาจไม่รับรู้ทันทีว่าใบรับรองที่เคยถูกต้องนั้นไม่น่าเชื่อถืออีกต่อไป
การโจมตีเกิดขึ้นได้อย่างไร: วิศวกรรมสังคมที่แผนกช่วยเหลือ
วิธีการที่ใช้ในการเข้าถึงนั้นควรได้รับความสนใจอย่างใกล้ชิด ผู้โจมตีไม่ได้ใช้ประโยชน์จากช่องโหว่ซอฟต์แวร์ที่ยังไม่ได้รับการแก้ไข หรือเจาะผ่านไฟร์วอลล์ด้วยการโจมตีแบบ brute-force พวกเขามุ่งเป้าไปที่คน พนักงานฝ่ายสนับสนุนทางเทคนิคสองคนถูกหลอกให้ให้สิทธิ์เข้าถึงระบบหลังบ้าน ซึ่งเป็นเทคนิคที่รู้จักกันโดยทั่วไปในชื่อวิศวกรรมสังคม (social engineering)
พนักงานแผนกช่วยเหลือและฝ่ายสนับสนุนมักถูกมุ่งเป้าในลักษณะนี้บ่อยครั้ง เพราะงานของพวกเขาต้องการให้พวกเขาเป็นผู้ที่ยินดีช่วยเหลือและตอบสนองต่อคำขอ ผู้โจมตีมักแอบอ้างเป็นเพื่อนร่วมงาน ผู้ขาย หรือส่งคำขอภายในที่เร่งด่วนเพื่อกดดันพนักงานฝ่ายสนับสนุนให้ข้ามขั้นตอนการตรวจสอบปกติ
การโจมตีนี้เป็นรูปแบบที่พิสูจน์แล้วซึ่งพบในการละเมิดความปลอดภัยขององค์กรใหญ่ๆ ทั่วทุกอุตสาหกรรม บทเรียนที่ได้ไม่ใช่ว่า DigiCert ประมาทเลินเล่อเป็นพิเศษ แต่คือวิศวกรรมสังคมยังคงเป็นหนึ่งในช่องทางการโจมตีที่มีประสิทธิภาพมากที่สุด ไม่ว่าการป้องกันทางเทคนิคของเป้าหมายจะซับซ้อนเพียงใด
ความหมายของเหตุการณ์นี้สำหรับคุณ
หากคุณดาวน์โหลดซอฟต์แวร์รักษาความปลอดภัย ไคลเอนต์ VPN หรือแอปพลิเคชันใดๆ จากอินเทอร์เน็ต เหตุการณ์นี้มีความเกี่ยวข้องโดยตรงกับแนวปฏิบัติด้านความปลอดภัยส่วนบุคคลของคุณ
ประการแรก การดาวน์โหลดซอฟต์แวร์จากแหล่งที่มาหลักและเป็นทางการเท่านั้นมีความสำคัญมากกว่าที่เคย ลายเซ็นใบรับรองเป็นสัญญาณที่มีประโยชน์ แต่ไม่ใช่สิ่งที่ไม่มีข้อผิดพลาด ดังที่การละเมิดครั้งนี้แสดงให้เห็น หลีกเลี่ยงการดาวน์โหลดซอฟต์แวร์จาก app store ของบุคคลที่สาม ไซต์มิเรอร์ หรือลิงก์ที่แชร์ผ่านโซเชียลมีเดียหรืออีเมล เว้นแต่คุณจะตรวจสอบแหล่งที่มาอย่างอิสระแล้ว
ประการที่สอง การอัปเดตระบบปฏิบัติการและซอฟต์แวร์รักษาความปลอดภัยของคุณให้เป็นปัจจุบันช่วยให้มั่นใจได้ว่าใบรับรองที่ถูกเพิกถอนจะถูกรับรู้ว่าไม่ถูกต้องบนอุปกรณ์ของคุณ รายการเพิกถอนใบรับรอง (Certificate revocation lists) และการอัปเดต OCSP (Online Certificate Status Protocol) จะถูกเผยแพร่ผ่านการอัปเดตระบบและเบราว์เซอร์ ระบบที่ล้าสมัยอาจยังคงเชื่อถือใบรับรองที่ถูกเพิกถอนไปแล้ว
ประการที่สาม สำหรับผู้ใช้ซอฟต์แวร์ VPN หรือซอฟต์แวร์รักษาความปลอดภัยโดยเฉพาะ คุณควรตรวจสอบเป็นระยะว่าการติดตั้งของคุณมาจากที่ใด และผู้ขายได้แจ้งประกาศด้านความปลอดภัยใดๆ หรือไม่ ผู้ขายที่มีชื่อเสียงจะเปิดเผยปัญหาที่ส่งผลต่อช่องทางการแจกจ่ายซอฟต์แวร์ของตน
สำหรับองค์กร เหตุการณ์นี้เน้นย้ำถึงความสำคัญของการกำหนดให้พนักงานฝ่ายสนับสนุนและผู้ดูแลระบบทุกคนต้องใช้การยืนยันตัวตนแบบหลายปัจจัย (multi-factor authentication) การนำขั้นตอนการตรวจสอบที่เข้มงวดมาใช้ก่อนการให้สิทธิ์เข้าถึงใดๆ และการตรวจสอบว่าพนักงานคนใดสามารถเข้าถึงระบบจัดการใบรับรองที่มีความละเอียดอ่อนได้
สิ่งที่ควรปฏิบัติ
- ดาวน์โหลดซอฟต์แวร์จากเว็บไซต์ทางการของผู้ขายเท่านั้น หลีกเลี่ยงตัวรวบรวมดาวน์โหลดจากบุคคลที่สาม แม้กระทั่งสำหรับแอปพลิเคชันที่เป็นที่รู้จักดี
- อัปเดตระบบปฏิบัติการและเบราว์เซอร์ของคุณให้เป็นปัจจุบัน ข้อมูลการเพิกถอนจะถูกส่งผ่านการอัปเดต ระบบที่ล้าสมัยอาจไม่รับรู้ใบรับรองที่ถูกเจาะระบบ
- ตรวจสอบคำแนะนำด้านความปลอดภัยจากผู้ขาย หากคุณใช้ซอฟต์แวร์ที่ลงรหัสโดย DigiCert ให้เข้าชมหน้าความปลอดภัยอย่างเป็นทางการของผู้ขายเพื่อยืนยันว่าซอฟต์แวร์ที่ติดตั้งของคุณได้รับผลกระทบหรือไม่
- ระวังการอัปเดตซอฟต์แวร์ที่ไม่ได้คาดหวัง หากคุณได้รับการแจ้งเตือนที่ไม่ได้ร้องขอให้อัปเดตแอปพลิเคชัน ให้ตรวจสอบผ่านแอปพลิเคชันนั้นโดยตรงแทนที่จะคลิกลิงก์ภายนอก
- องค์กรควรตรวจสอบ certificate trust stores ทีมรักษาความปลอดภัยควรตรวจสอบว่าใบรับรองใดที่ได้รับความน่าเชื่อถือในสภาพแวดล้อมของตน และตรวจสอบให้แน่ใจว่ามีการบังคับตรวจสอบการเพิกถอน
การตอบสนองของ DigiCert รวมถึงการเพิกถอนใบรับรองที่ได้รับผลกระทบนั้นเหมาะสมและเป็นสิ่งที่คาดหวัง แต่บทสรุปที่กว้างกว่านั้นคือโครงสร้างพื้นฐานความน่าเชื่อถือที่รองรับการแจกจ่ายซอฟต์แวร์นั้นขึ้นอยู่กับกระบวนการของมนุษย์พอๆ กับกระบวนการทางเทคนิค การทำความเข้าใจว่าความน่าเชื่อถือนั้นมาจากไหน และจุดใดที่มันอาจพังทลายลงได้ จะทำให้คุณอยู่ในตำแหน่งที่ดีขึ้นในการปกป้องตัวเอง
