Ar Orffennaf 19, 2019, derbyniodd Capital One y neges y mae pob cwmni modern yn ei hofni - digwyddodd toriad data. Effeithiodd ar fwy na 106 miliwn o bobl. 140 o rifau nawdd cymdeithasol yr Unol Daleithiau, miliwn o rifau nawdd cymdeithasol Canada. 000 o gyfrifon banc. Annifyr, onid ydych chi'n cytuno?
Yn anffodus, ni ddigwyddodd yr hac ar Orffennaf 19eg. Fel mae'n digwydd, mae Paige Thompson, a.k.a. Erratig, ei ymrwymo rhwng Mawrth 22 a Mawrth 23, 2019. Hynny yw bron i bedwar mis yn ôl. Mewn gwirionedd, dim ond gyda chymorth ymgynghorwyr allanol y llwyddodd Capital One i ddarganfod bod rhywbeth wedi digwydd.
Arestiwyd cyn-weithiwr Amazon ac mae'n wynebu dirwy o $250 a phum mlynedd yn y carchar... ond mae llawer o negyddiaeth ar ôl o hyd. Pam? Oherwydd bod llawer o gwmnïau sydd wedi dioddef o haciau yn ceisio dileu'r cyfrifoldeb am gryfhau eu seilwaith a'u cymwysiadau yng nghanol y cynnydd mewn seiberdroseddu.
Beth bynnag, gallwch chi google y stori hon yn hawdd. Ni fyddwn yn mynd i mewn i ddrama, ond yn siarad am technegol ochr y mater.
Yn gyntaf, beth ddigwyddodd?
Roedd gan Capital One tua 700 o fwcedi S3 yn rhedeg, y gwnaeth Paige Thompson eu copïo a'u seiffno i ffwrdd.
Yn ail, ai achos arall o bolisi bwced S3 sydd wedi'i gamgyflunio yw hwn?
Na, nid y tro hwn. Yma cafodd fynediad i weinydd gyda wal dân wedi'i ffurfweddu'n anghywir a chynhaliodd y llawdriniaeth gyfan oddi yno.
Arhoswch, sut mae hynny'n bosibl?
Wel, gadewch i ni ddechrau trwy fewngofnodi i'r gweinydd, er nad oes gennym lawer o fanylion. Dim ond trwy “wal dân wedi’i chamgyflunio” y dywedwyd wrthym ei fod wedi digwydd. Felly, rhywbeth mor syml â gosodiadau grŵp diogelwch anghywir neu gyfluniad wal dân y cymhwysiad gwe (Imperva), neu wal dân rhwydwaith (iptables, ufw, shorewall, ac ati). Dim ond cyfaddefodd Capital One ei euogrwydd a dywedodd ei fod wedi cau'r twll.
Dywedodd Stone nad oedd Capital One wedi sylwi ar fregusrwydd y wal dân i ddechrau ond fe weithredodd yn gyflym unwaith y daeth yn ymwybodol ohono. Roedd hyn yn sicr wedi'i helpu gan y ffaith yr honnir bod yr haciwr wedi gadael gwybodaeth adnabod allweddol yn gyhoeddus, meddai Stone.
Os ydych chi'n pendroni pam nad ydyn ni'n mynd yn ddyfnach i'r rhan hon, deallwch mai dim ond dyfalu y gallwn ni oherwydd gwybodaeth gyfyngedig. Nid yw hyn yn gwneud unrhyw synnwyr o ystyried bod yr hac yn dibynnu ar dwll a adawyd gan Capital One. Ac oni bai eu bod yn dweud mwy wrthym, byddwn yn rhestru'r holl ffyrdd posibl y gadawodd Capital One eu gweinydd ar agor mewn cyfuniad â'r holl ffyrdd posibl y gallai rhywun ddefnyddio un o'r gwahanol opsiynau hyn. Gall y diffygion a'r technegau hyn amrywio o arolygiaethau gwirion gwyllt i batrymau hynod gymhleth. O ystyried yr ystod o bosibiliadau, bydd hon yn dod yn saga hir heb unrhyw gasgliad gwirioneddol. Felly, gadewch i ni ganolbwyntio ar ddadansoddi’r rhan lle mae gennym ffeithiau.
Felly'r tecawê cyntaf yw: gwybod beth mae eich waliau tân yn ei ganiatáu.
Sefydlu polisi neu broses briodol i sicrhau mai DIM OND yr hyn sydd angen ei agor sy'n cael ei agor. Os ydych chi'n defnyddio adnoddau AWS fel Grwpiau Diogelwch neu ACLs Rhwydwaith, yn amlwg gall y rhestr wirio i'w harchwilio fod yn hir ... ond yn union fel bod llawer o adnoddau'n cael eu creu'n awtomatig (h.y. CloudFormation), mae hefyd yn bosibl awtomeiddio eu harchwiliad. P'un a yw'n sgript cartref sy'n sganio gwrthrychau newydd am ddiffygion, neu'n rhywbeth fel archwiliad diogelwch mewn proses CI/CD ... mae yna lawer o opsiynau hawdd i osgoi hyn.
Rhan "doniol" y stori yw pe bai Capital One wedi plygio'r twll yn y lle cyntaf... fyddai dim wedi digwydd. Ac felly, a dweud y gwir, mae bob amser yn syfrdanol gweld sut mae rhywbeth mewn gwirionedd eithaf syml yw'r unig reswm i gwmni gael ei hacio. Yn enwedig un mor fawr â Capital One.
Felly, haciwr y tu mewn - beth ddigwyddodd nesaf?
Wel, ar ôl torri i mewn i enghraifft EC2 ... gall llawer fynd o'i le. Rydych bron yn cerdded ar ymyl cyllell os byddwch yn gadael i rywun fynd mor bell â hynny. Ond sut aeth i mewn i fwcedi S3? I ddeall hyn, gadewch i ni drafod Rolau IAM.
Felly, un ffordd o gael mynediad at wasanaethau AWS yw bod yn Ddefnyddiwr. Iawn, mae'r un hon yn eithaf amlwg. Ond beth os ydych chi am roi mynediad i'ch bwcedi S3 i wasanaethau AWS eraill, fel eich gweinyddwyr cais? Dyna beth yw pwrpas rolau IAM. Maent yn cynnwys dwy gydran:
- Polisi Ymddiriedolaeth - pa wasanaethau neu bobl all ddefnyddio'r rôl hon?
- Polisi Caniatâd - beth mae'r rôl hon yn ei ganiatáu?
Er enghraifft, rydych chi am greu rôl IAM a fydd yn caniatáu i achosion EC2 gael mynediad at fwced S3: Yn gyntaf, mae'r rôl wedi'i gosod i gael Polisi Ymddiriedolaeth y gall EC2 (y gwasanaeth cyfan) neu achosion penodol “gymryd drosodd” y rôl. Mae derbyn rôl yn golygu y gallant ddefnyddio caniatâd y rôl i gyflawni gweithredoedd. Yn ail, mae'r Polisi Caniatâd yn caniatáu i'r gwasanaeth/person/adnodd sydd wedi “cymryd y rôl” wneud unrhyw beth ar S3, boed yn cael mynediad at un bwced penodol... neu dros 700, fel yn achos Prifddinas Un.
Unwaith y byddwch mewn enghraifft EC2 gyda rôl IAM, gallwch gael tystlythyrau mewn sawl ffordd:
- Gallwch ofyn am fetadata enghreifftiol yn
http://169.254.169.254/latest/meta-dataYmhlith pethau eraill, gallwch ddod o hyd i'r rôl IAM gydag unrhyw un o'r allweddi mynediad yn y cyfeiriad hwn. Wrth gwrs, dim ond os ydych mewn enghraifft.
- Defnyddiwch AWS CLI...
Os yw'r AWS CLI wedi'i osod, caiff ei lwytho â chymwysterau o'r rolau IAM, os yw'n bresennol. Y cyfan sydd ar ôl yw gweithio TRWY'r enghraifft. Wrth gwrs, pe bai eu Polisi Ymddiriedolaeth yn agored, gallai Paige wneud popeth yn uniongyrchol.
Felly hanfod rolau IAM yw eu bod yn caniatáu rhai adnoddau i weithredu AR EICH RHAN AR ADNODDAU ERAILL.
Nawr eich bod yn deall rolau IAM, gallwn siarad am yr hyn a wnaeth Paige Thompson:
- Cafodd fynediad i'r gweinydd (er enghraifft EC2) trwy dwll yn y wal dân
P'un a oedd yn grwpiau diogelwch / ACLs neu'n waliau tân cymhwysiad gwe eu hunain, mae'n debyg bod y twll yn eithaf hawdd i'w blygio, fel y nodwyd yn y cofnodion swyddogol.
- Unwaith ar y gweinydd, roedd hi'n gallu gweithredu “fel pe bai” hi oedd y gweinydd ei hun
- Gan fod rôl gweinydd IAM yn caniatáu mynediad i S3 i'r 700+ bwcedi hyn, roedd yn gallu cael mynediad atynt
O'r eiliad honno ymlaen, y cyfan yr oedd yn rhaid iddi ei wneud oedd rhedeg y gorchymyn List Bucketsac yna y gorchymyn Sync oddi wrth AWS CLI...
. Atal difrod o'r fath yw pam mae cwmnïau'n buddsoddi cymaint mewn amddiffyn seilwaith cwmwl, DevOps, ac arbenigwyr diogelwch. A pha mor werthfawr a chost-effeithiol yw symud i'r cwmwl? Cymaint felly hyd yn oed yn wyneb mwy a mwy o heriau seiberddiogelwch !
Moesol y stori: gwiriwch eich diogelwch; Cynnal archwiliadau rheolaidd; Parchu egwyddor y fraint leiaf ar gyfer polisïau diogelwch.
( Gallwch weld yr adroddiad cyfreithiol llawn).
Ffynhonnell: hab.com