Злам порталу підтримки DigiCert: вкрадено 27 сертифікатів підпису коду

Злам одного з найбільш довірених центрів сертифікації в інтернеті поставив серйозні запитання щодо безпеки ланцюга постачання програмного забезпечення. DigiCert, великий постачальник цифрових сертифікатів, що використовуються для перевірки автентичності програмного забезпечення та вебсайтів, підтвердив, що зловмисники застосували соціальну інженерію, щоб скомпрометувати двох співробітників технічної підтримки, отримали доступ до внутрішніх систем і вкрали 27 сертифікатів підпису коду. Ці сертифікати згодом були використані для підпису шкідливого програмного забезпечення до того, як DigiCert їх відкликав.

Цей інцидент нагадує, що навіть організації, відповідальні за підтримку цифрової довіри, не є несприйнятливими до атак, спрямованих на людей.

Що таке сертифікати підпису коду і чому вони важливі?

Коли ви завантажуєте програмне забезпечення, ваша операційна система часто перевіряє наявність дійсного цифрового підпису. Цей підпис, виданий довіреним центром сертифікації на кшталт DigiCert, має підтверджувати, що програмне забезпечення надійшло з легітимного джерела і не було підроблено. Це ключова складова того, як сучасні операційні системи — від Windows до macOS — допомагають користувачам відрізняти надійне програмне забезпечення від шкідливих підробок.

Коли зловмисники отримують законні сертифікати підпису коду, вони можуть замаскувати шкідливе програмне забезпечення під вигляд легітимного. Засоби безпеки, попередження операційної системи і навіть деякі корпоративні системи захисту кінцевих точок можуть за замовчуванням вважати підписане програмне забезпечення надійним. Користувач, який завантажує те, що виглядає як підписаний і перевірений застосунок, матиме менше візуальних сигналів, що попереджають про небезпеку.

У цьому випадку 27 вкрадених сертифікатів активно використовувались для підпису шкідливого програмного забезпечення до того, як DigiCert виявив злам і відкликав їх. Відкликання — це правильна реакція, але воно не забезпечує миттєвого захисту. Перевірки відкликання не завжди виконуються в реальному часі, і деякі системи або конфігурації можуть не одразу розпізнати, що раніше дійсний сертифікат більше не є надійним.

Як сталася атака: соціальна інженерія у службі підтримки

Метод, використаний для отримання доступу, заслуговує на пильну увагу. Зловмисники не експлуатували незакриту вразливість програмного забезпечення і не пробивалися крізь брандмауер методом перебору. Вони атакували людей. Двох співробітників технічної підтримки маніпулятивним шляхом змусили надати доступ до внутрішніх систем — це техніка, широко відома як соціальна інженерія.

Персонал служби допомоги та підтримки часто стає мішенню саме таким чином, оскільки їхня робота вимагає бути корисними і чуйними. Зловмисники нерідко видають себе за колег, постачальників або імітують термінові внутрішні запити, щоб під тиском змусити співробітників підтримки обійти стандартні процедури перевірки.

Ця атака відповідає добре відомому шаблону, що спостерігається при зламах великих організацій у різних галузях. Висновок полягає не в тому, що DigiCert був унікально недбалим. Суть у тому, що соціальна інженерія залишається одним із найефективніших векторів атак, незалежно від того, наскільки витонченим є технічний захист цілі.

Що це означає для вас

Якщо ви завантажуєте програмне забезпечення безпеки, VPN-клієнти або будь-які застосунки з інтернету, цей інцидент безпосередньо стосується ваших особистих практик безпеки.

По-перше, завантаження програмного забезпечення лише з офіційних, першоджерельних ресурсів є важливішим, ніж будь-коли. Сертифікат підпису — корисний сигнал, але він не є безпомилковим, як демонструє цей злам. Уникайте завантаження програмного забезпечення зі сторонніх магазинів застосунків, дзеркальних сайтів або посилань, поширених через соціальні мережі чи електронну пошту, якщо ви самостійно не перевірили джерело.

По-друге, оновлення операційної системи та програмного забезпечення безпеки гарантує, що відкликані сертифікати будуть розпізнані як недійсні на вашому пристрої. Списки відкликання сертифікатів і оновлення OCSP (протоколу онлайн-перевірки статусу сертифіката) розповсюджуються через оновлення системи та браузера. Застаріла система може продовжувати довіряти сертифікату, який вже було відкликано.

По-третє, користувачам VPN або програмного забезпечення безпеки зокрема варто періодично перевіряти, звідки були отримані їхні інсталяції, і чи повідомляв постачальник про будь-які повідомлення щодо безпеки. Авторитетні постачальники розкриватимуть проблеми, що впливають на їхній конвеєр розповсюдження програмного забезпечення.

Для організацій цей інцидент підкріплює аргументи на користь обов'язкової багатофакторної автентифікації для всього персоналу підтримки та адміністрування, впровадження суворих процедур перевірки перед наданням будь-якого доступу та аудиту того, які співробітники можуть мати доступ до чутливих систем управління сертифікатами.

Практичні висновки

  • Завантажуйте програмне забезпечення лише з офіційних сайтів постачальників. Уникайте сторонніх агрегаторів завантажень, навіть для добре відомих застосунків.
  • Оновлюйте свою ОС і браузери. Дані про відкликання надходять через оновлення. Застаріла система може не розпізнати скомпрометовані сертифікати.
  • Перевіряйте повідомлення постачальників щодо безпеки. Якщо ви використовуєте програмне забезпечення, підписане DigiCert, відвідайте офіційну сторінку безпеки постачальника, щоб підтвердити, чи зачепило це будь-яке з ваших встановлених програм.
  • Ставтеся скептично до несподіваних оновлень програмного забезпечення. Якщо ви отримали незапрошену пропозицію оновити застосунок, перевірте це безпосередньо через сам застосунок, а не переходьте за зовнішнім посиланням.
  • Організації повинні перевіряти сховища довірених сертифікатів. Команди безпеки мають переглянути, яким сертифікатам довіряють у їхніх середовищах, і переконатися, що перевірка відкликання є обов'язковою.

Реакція DigiCert, включаючи відкликання відповідних сертифікатів, є доречною і очікуваною. Але ширший висновок полягає в тому, що інфраструктура довіри, яка лежить в основі розповсюдження програмного забезпечення, залежить від людських процесів не менше, ніж від технічних. Розуміння того, звідки походить ця довіра і де вона може зруйнуватися, дає вам кращі позиції для самозахисту.