DigiCert支持门户遭黑客攻击:27枚代码签名证书被盗
互联网最受信任的证书颁发机构之一发生数据泄露事件,引发了业界对软件供应链安全的严重质疑。DigiCert是用于验证软件和网站真实性的数字证书的主要提供商,该公司证实攻击者通过社会工程学手段入侵了两名技术支持员工,获取了后端系统的访问权限并盗取了27枚代码签名证书。这些证书随后被用于对恶意软件进行签名,直至DigiCert将其吊销。
此次事件再次提醒我们,即便是负责维护数字信任的机构,也无法对以人为目标的攻击免疫。
什么是代码签名证书,为何如此重要?
当您下载软件时,操作系统通常会检查该软件是否携带有效的数字签名。这一签名由DigiCert等受信任的证书颁发机构颁发,旨在确认软件来源合法且未遭篡改。这是现代操作系统(无论是Windows还是macOS)帮助用户区分可信软件与恶意冒充程序的核心机制。
一旦攻击者获得合法的代码签名证书,便可为恶意软件披上合法的外衣。安全工具、操作系统警告,甚至部分企业端点防护系统可能会默认将已签名的软件视为可信软件。当用户下载一款看似已签名、经过验证的应用程序时,能够警示其存在风险的视觉信号便会大大减少。
在此次事件中,27枚被盗证书在DigiCert发现泄露并将其吊销之前,已被积极用于对恶意软件进行签名。吊销是正确的应对措施,但并不能提供即时保护。证书吊销检查并非总是实时执行,部分系统或配置可能无法立即识别某张此前有效的证书已不再可信。
攻击手法:针对服务台的社会工程学攻击
此次入侵所采用的方法值得高度关注。攻击者并未利用未修补的软件漏洞,也未通过暴力破解穿透防火墙,而是将目标对准了人。两名技术支持员工被操纵,向攻击者提供了后端系统的访问权限,这种技术被广泛称为社会工程学。
服务台和技术支持人员经常成为此类攻击的目标,原因在于其工作性质要求他们积极配合、快速响应。攻击者通常会冒充同事、供应商或紧急内部请求,向支持人员施压,迫使其绕过正常的身份验证流程。
此次攻击遵循了各行业大型机构数据泄露事件中已被证实的惯常模式。这一事件的教训并不在于DigiCert存在特别的疏忽,而在于:无论攻击目标的技术防御体系多么完善,社会工程学依然是目前最有效的攻击手段之一。
这对您意味着什么
如果您曾从互联网下载过安全软件、VPN客户端或任何应用程序,此次事件与您的个人安全实践直接相关。
首先,仅从官方主要来源下载软件比以往任何时候都更为重要。证书签名是一个有用的参考信号,但并非无懈可击——此次泄露事件已充分证明了这一点。请避免从第三方应用商店、镜像站点,或通过社交媒体、电子邮件中分享的链接下载软件,除非您已独立核实了来源的真实性。
其次,保持操作系统和安全软件的更新,可确保您的设备能够识别已被吊销的证书。证书吊销列表和OCSP(在线证书状态协议)更新通过系统和浏览器更新进行分发。过时的系统可能仍会信任已被吊销的证书。
第三,对于VPN或安全软件的用户而言,定期检查您的软件安装来源,并确认供应商是否发布了任何安全公告,是一个值得养成的好习惯。信誉良好的供应商会主动披露影响其软件分发渠道的安全问题。
对于企业而言,此次事件进一步强化了以下必要措施:要求所有支持人员和管理人员启用多因素身份验证,在授予任何访问权限前实施严格的身份核验流程,并审计哪些员工可以访问敏感的证书管理系统。
可操作的要点
- 仅从供应商官方网站下载软件。 避免使用第三方下载聚合网站,即便是下载知名应用程序也不例外。
- 保持操作系统和浏览器的更新。 吊销数据通过更新进行分发,过时的系统可能无法识别已被入侵的证书。
- 关注供应商安全公告。 如果您使用由DigiCert签名的软件,请访问相关供应商的官方安全页面,确认您已安装的软件是否受到影响。
- 对意外的软件更新保持警惕。 如果您收到未经请求的应用程序更新提示,请通过应用程序本身进行验证,而非点击外部链接。
- 企业应审计证书信任存储。 安全团队应审查其环境中受信任的证书,并确保吊销检查得到强制执行。
DigiCert的应对措施(包括吊销受影响的证书)是恰当且符合预期的。但更深层的启示在于:支撑软件分发的信任基础设施,在同等程度上依赖于人为流程与技术手段。了解这种信任从何而来,以及在哪些环节可能崩溃,将使您处于更有利的位置来保护自身安全。
