Niadtong Hulyo 19, 2019, nadawat sa Capital One ang mensahe nga gikahadlokan sa matag modernong kompanya—usa ka paglapas sa datos ang nahitabo. Naapektuhan niini ang labaw sa 106 milyon nga mga tawo. 140 ka numero sa social security sa US, usa ka milyon nga numero sa social security sa Canada. 000 ka bank account. Dili maayo, dili ka mouyon?
Ikasubo, ang hack wala mahitabo sa Hulyo 19th. Sa nasayran, si Paige Thompson, a.k.a. Makadaot, mipasalig niini tali sa Marso 22 ug Marso 23, 2019. Kana mao hapit upat ka bulan ang milabay. Sa tinuud, pinaagi lamang sa tabang sa mga consultant sa gawas nga nahibal-an sa Capital One nga adunay nahitabo.
Usa ka kanhi empleyado sa Amazon ang gidakop ug nag-atubang sa $250 nga multa ug lima ka tuig nga pagkabilanggo... apan aduna pa'y daghang negatibo nga nahabilin. Ngano man? Tungod kay daghang mga kompanya nga nag-antus sa mga hack naningkamot sa pagsalikway sa responsibilidad sa pagpalig-on sa ilang mga imprastraktura ug aplikasyon taliwala sa pagsaka sa cybercrime.
Bisan pa, dali ra nimo i-google kini nga istorya. Dili ta magdrama, pero maghisgot teknikal bahin sa butang.
Una sa tanan, unsay nahitabo?
Ang Capital One adunay mga 700 ka mga balde nga S3 nga nagdagan, nga gikopya ug gihurot ni Paige Thompson.
Ikaduha, lain ba kini nga kaso sa sayop nga pag-configure sa S3 bucket policy?
Dili, dili niining higayona. Dinhi nakuha niya ang pag-access sa usa ka server nga adunay dili husto nga pagka-configure nga firewall ug gihimo ang tibuuk nga operasyon gikan didto.
Teka, sa unsang paagi mahimo kana?
Aw, magsugod kita pinaagi sa pag-log in sa server, bisan kung wala kami daghang mga detalye. Gisultihan lang kami nga kini nahitabo pinaagi sa usa ka "misconfigured nga firewall." Busa, usa ka butang nga yano sama sa sayop nga mga setting sa grupo sa seguridad o pag-configure sa web application firewall (Imperva), o network firewall (iptables, ufw, shorewall, ug uban pa). Giangkon lang ni Capital One ang iyang sala ug giingon nga gisirad-an ang lungag.
Si Stone miingon nga ang Capital One wala una makamatikod sa pagkahuyang sa firewall apan milihok dayon sa dihang nahibal-an kini. Tino nga natabangan kini sa kamatuoran nga ang hacker giingong nagbilin sa yawe nga impormasyon sa pag-ila sa publikong domain, si Stone miingon.
Kung nahibulong ka kung ngano nga dili kami mag-uswag sa kini nga bahin, palihug sabta nga tungod sa limitado nga kasayuran mahimo ra namon nga mangagpas. Wala'y kahulogan nga gihatag nga ang hack nagdepende sa usa ka lungag nga gibiyaan sa Capital One. Ug gawas kung sultihan pa nila kami, ilista ra namon ang tanan nga posible nga paagi nga gibiyaan sa Capital One nga bukas ang ilang server kauban ang tanan nga posible nga mga paagi nga magamit sa usa ka tawo ang usa sa lainlaing mga kapilian. Kini nga mga kasaypanan ug mga teknik mahimo’g gikan sa ihalas nga kabuang nga mga pagtan-aw hangtod sa labi ka komplikado nga mga sumbanan. Tungod sa lainlain nga mga posibilidad, kini mahimong usa ka taas nga saga nga wala’y tinuud nga konklusyon. Busa, ipunting nato ang pag-analisar sa bahin diin kita adunay mga kamatuoran.
Mao nga ang una nga takeaway mao ang: hibal-i kung unsa ang gitugotan sa imong mga firewall.
Paghimo ug polisiya o saktong proseso para masiguro nga LAMANG ang kinahanglan ablihan ang maablihan. Kung gigamit nimo ang mga kapanguhaan sa AWS sama sa Mga Grupo sa Seguridad o Mga ACL sa Network, klaro nga ang checklist sa pag-audit mahimong taas ... Bisan kung kini usa ka homemade script nga nag-scan sa mga bag-ong butang alang sa mga sayup, o usa ka butang sama sa usa ka pag-audit sa seguridad sa usa ka proseso sa CI / CD ... adunay daghang dali nga kapilian aron malikayan kini.
Ang "kataw-anan" nga bahin sa istorya mao nga kung ang Capital One nagbutang sa lungag sa una nga lugar ... wala’y mahitabo. Ug busa, prangka, kanunay nga makapakurat nga makita kung unsa gyud ang usa ka butang medyo simple nahimong bugtong rason nga ma-hack ang usa ka kompanya. Ilabi na ang usa ka dako sa Capital One.
Busa, hacker sa sulod - unsa ang sunod nga nahitabo?
Aw, human sa paglapas sa usa ka EC2 nga pananglitan... daghan ang mahimong sayop. Halos maglakaw ka sa sulab sa kutsilyo kung pabay-an nimo ang usa ka tawo nga layo kaayo. Apan giunsa kini pagsulod sa mga balde sa S3? Aron masabtan kini, atong hisgotan ang IAM Roles.
Mao nga, usa ka paagi aron ma-access ang mga serbisyo sa AWS mao ang mahimong usa ka Gumagamit. Okay, kini usa ka klaro kaayo. Apan unsa man kung gusto nimo nga hatagan ang ubang mga serbisyo sa AWS, sama sa imong mga server sa aplikasyon, pag-access sa imong mga balde sa S3? Mao kana ang para sa mga tahas sa IAM. Sila naglangkob sa duha ka mga sangkap:
- Patakaran sa Pagsalig - unsa nga mga serbisyo o mga tawo ang makagamit niini nga tahas?
- Patakaran sa Pagtugot - unsa ang gitugot niini nga tahas?
Pananglitan, gusto nimo nga maghimo usa ka tahas sa IAM nga magtugot sa mga higayon sa EC2 nga maka-access sa usa ka balde nga S3: Una, ang tahas gitakda nga adunay usa ka Patakaran sa Pagsalig nga ang EC2 (ang tibuuk nga serbisyo) o piho nga mga higayon mahimo’g "mopuli" sa papel. Ang pagdawat sa usa ka tahas nagpasabut nga magamit nila ang mga pagtugot sa tahas sa paghimo og mga aksyon. Ikaduha, ang Patakaran sa Permiso nagtugot sa serbisyo/tawo/resource nga “nagkuha sa papel” sa pagbuhat sa bisan unsa sa S3, ma-access man kini sa usa ka espesipikong balde... o labaw sa 700, sama sa kaso sa Capital One.
Kung naa ka sa usa ka pananglitan sa EC2 nga adunay papel sa IAM, makakuha ka mga kredensyal sa daghang mga paagi:
- Makahangyo ka sa metadata sa pananglitan sa
http://169.254.169.254/latest/meta-dataLakip sa ubang mga butang, mahimo nimong makit-an ang papel sa IAM sa bisan unsang mga yawe sa pag-access sa kini nga adres. Siyempre, kung naa ka sa usa ka higayon.
- Gamita ang AWS CLI...
Kung na-install ang AWS CLI, puno kini sa mga kredensyal gikan sa mga tahas sa IAM, kung naa. Ang nahabilin mao ang pagtrabaho PINAAGI sa pananglitan. Siyempre, kung bukas ang ilang Patakaran sa Pagsalig, mahimo ni Paige ang tanan nga direkta.
Mao nga ang esensya sa mga tahas sa IAM mao nga gitugotan nila ang pipila nga mga kahinguhaan nga molihok SA IMONG KAUGALINGON sa UBAN NGA MGA RESOURCES.
Karon nga nasabtan na nimo ang mga tahas sa IAM, mahimo natong hisgutan kung unsa ang gibuhat ni Paige Thompson:
- Nakakuha siya og access sa server (EC2 instance) pinaagi sa usa ka lungag sa firewall
Bisan kung kini mga grupo sa seguridad / ACL o ilang kaugalingon nga mga firewall sa aplikasyon sa web, ang lungag mahimo’g dali nga i-plug, ingon sa giingon sa opisyal nga mga rekord.
- Sa diha nga sa server, siya nakahimo sa paglihok "ingon nga" siya ang server mismo
- Tungod kay ang papel sa server sa IAM nagtugot sa S3 nga maka-access niining 700+ nga mga balde, kini nakahimo sa pag-access niini
Sukad niadtong higayuna, ang iya na lang buhaton mao ang pagpadagan sa sugo List Bucketsug dayon ang sugo Sync gikan sa AWS CLI...
. Ang pagpugong sa ingon nga kadaot mao ang hinungdan ngano nga namuhunan ang mga kompanya sa pagpanalipod sa imprastraktura sa panganod, DevOps, ug mga eksperto sa seguridad. Ug unsa ka bililhon ug epektibo ang gasto sa pagbalhin ngadto sa panganod? Mao nga bisan sa pag-atubang sa nagkadaghan nga mga hagit sa cybersecurity !
Moral sa istorya: susiha ang imong kaluwasan; Paghimo regular nga pag-audit; Tahura ang prinsipyo sa labing gamay nga pribilehiyo alang sa mga palisiya sa seguridad.
( Mahimo nimong tan-awon ang tibuuk nga ligal nga taho).
Source: www.habr.com