An 19 Iúil, 2019, fuair Capital One an teachtaireacht go bhfuil eagla ar gach cuideachta nua-aimseartha - tharla sárú sonraí. Chuir sé isteach ar níos mó ná 106 milliún duine. 140 uimhir leasa shóisialaigh SAM, aon mhilliún uimhir leasa shóisialaigh Cheanada. 000 cuntas bainc. Míthaitneamhach, nach n-aontaíonn tú?
Ar an drochuair, níor tharla an hack ar 19 Iúil. Mar a tharla sé, Paige Thompson, a.k.a. Earráideach, é a ghealladh idir an 22 Márta agus an 23 Márta 2019. Is é sin beagnach ceithre mhí ó shin. Go deimhin, ní raibh sé ach le cabhair ó chomhairleoirí seachtracha a bhí Capital One in ann a fháil amach gur tharla rud éigin.
Gabhadh iarfhostaí de chuid Amazon agus gearradh fíneáil $250 air agus cúig bliana sa phríosún air... ach tá go leor diúltachais fágtha fós. Cén fáth? Toisc go bhfuil go leor cuideachtaí a d’fhulaing de bharr hacks ag iarraidh éirí as an bhfreagracht as a mbonneagar agus a bhfeidhmchláir a neartú i measc an mhéadaithe ar an gcibearchoireacht.
Ar aon nós, is féidir leat an scéal seo a google go héasca. Ní rachaimid isteach sa drámaíocht, ach labhróimid faoi teicniúil thaobh an ábhair.
Gcéad dul síos, cad a tharla?
Bhí thart ar 700 buicéad S3 ar siúl ag Capital One, a chóipeáil Paige Thompson agus a siphoned as.
Ar an dara dul síos, an cás eile é seo de bheartas buicéad S3 míchumraithe?
Ní hea, an uair seo. Anseo fuair sí rochtain ar fhreastalaí le balla dóiteáin a bhí cumraithe go mícheart agus rinne sí an oibríocht iomlán as sin.
Fan, conas is féidir sin?
Bhuel, déanaimis tosú ag logáil isteach ar an bhfreastalaí, cé nach bhfuil go leor sonraí againn. Níor dúradh linn ach gur trí “balla dóiteáin míchumraithe” a tharla sé. Mar sin, rud éigin chomh simplí le socruithe grúpa slándála mícheart nó cumraíocht an bhalla dóiteáin feidhmchlár gréasáin (Imperva), nó balla dóiteáin líonra (iptables, ufw, balla cladaigh, etc.). Níor admhaigh Capital One ach a chiontacht agus dúirt sé gur dhún sé an poll.
Dúirt Stone nár thug Capital One faoi deara ar dtús leochaileacht an bhalla dóiteáin ach gur ghníomhaigh sé go tapa nuair a tháinig sé ar an eolas faoi. Is cinnte gur chabhraigh sé seo leis an bhfíric gur líomhnaítear gur fhág an hacker faisnéis aitheantais thábhachtach sa bhfearann poiblí, a dúirt Stone.
Má tá tú ag smaoineamh cén fáth nach bhfuil muid ag dul níos doimhne isteach sa chuid seo, le do thoil a thuiscint nach féidir linn ach tuairimíocht mar gheall ar eolas teoranta. Ní dhéanann sé seo aon chiall ós rud é go raibh an hack ag brath ar pholl a d'fhág Capital One. Agus mura n-insíonn siad níos mó dúinn, ní dhéanfaimid ach liosta de na bealaí féideartha go léir a d'fhág Capital One a bhfreastalaí ar oscailt i gcomhar leis na bealaí go léir a d'fhéadfadh duine ceann de na roghanna éagsúla seo a úsáid. Is féidir leis na lochtanna agus na teicníochtaí seo raon ó mhaoirsiú fiáin dúr go patrúin thar a bheith casta. Mar gheall ar an raon féidearthachtaí, beidh sé seo ina saga fada gan aon chonclúid fíor. Mar sin, dírímid ar anailís a dhéanamh ar an gcuid ina bhfuil fíricí againn.
Mar sin is é an chéad beir leat: bíodh a fhios agat cad a cheadaíonn do bhallaí dóiteáin.
Beartas nó próiseas cuí a bhunú chun a chinntiú nach n-osclaítear ach an méid is gá a oscailt. Má tá acmhainní AWS á n-úsáid agat ar nós Grúpaí Slándála nó Líonra ACLanna, is léir gur féidir leis an seicliosta le hiniúchadh a bheith fada... ach díreach mar a chruthaítear go leor acmhainní go huathoibríoch (i.e. CloudFormation), is féidir a n-iniúchadh a uathoibriú freisin. Cibé an script homemade é a scanadh ar rudaí nua le haghaidh lochtanna, nó rud éigin cosúil le hiniúchadh slándála i bpróiseas CI/CD ... tá go leor roghanna éasca ann chun é seo a sheachaint.
Is é an chuid “greannmhar” den scéal ná dá mbeadh Príomhchathair a hAon tar éis an poll a phlocáil sa chéad áit... ní bheadh tada tarlaithe. Agus mar sin, frankly, tá sé shocking i gcónaí a fheiceáil conas rud éigin i ndáiríre simplí go leor thiocfaidh chun bheith an chúis amháin le cuideachta a hacked. Go háirithe ceann chomh mór le Príomhchathair a hAon.
Mar sin, hacker taobh istigh - cad a tharla ina dhiaidh sin?
Bhuel, tar éis briseadh isteach i gcás EC2 ... is féidir go leor dul amú. Tá tú beagnach ag siúl ar chiumhais scian má ligeann tú do dhuine dul chomh fada sin. Ach conas a chuaigh sé isteach i mbuicéid S3? Chun é seo a thuiscint, déanaimis plé ar Róil IAM.
Mar sin, bealach amháin chun rochtain a fháil ar sheirbhísí AWS ná a bheith ina Úsáideoir. Ceart go leor, tá an ceann seo soiléir go leor. Ach cad más mian leat rochtain a thabhairt do sheirbhísí AWS eile, ar nós do fhreastalaithe feidhmchlár, ar do bhuicéid S3? Sin an fáth atá le róil IAM. Tá dhá chomhpháirt iontu:
- Polasaí Iontaobhais - cad iad na seirbhísí nó na daoine ar féidir leo an ról seo a úsáid?
- Beartas Ceadanna - cad a cheadaíonn an ról seo?
Mar shampla, ba mhaith leat ról IAM a chruthú a ligfidh do chásanna EC2 rochtain a fháil ar bhuicéad S3: Ar an gcéad dul síos, socraítear go mbeidh Polasaí Iontaobhais ag an ról a bhféadfaidh EC2 (an tseirbhís iomlán) nó cásanna sonracha “tógáil” ar an ról. Ciallaíonn glacadh le ról gur féidir leo ceadanna an róil a úsáid chun gníomhartha a dhéanamh. Ar an dara dul síos, ceadaíonn an Beartas um Cheadanna don tseirbhís/duine/acmhainn “a ghlac an ról” rud ar bith a dhéanamh ar S3, cibé acu an bhfuil sé ag fáil rochtain ar bhuicéad ar leith amháin... nó os cionn 700, mar atá i gcás Caipiteal a hAon.
Nuair a bheidh tú i gcás EC2 le ról IAM, is féidir leat dintiúir a fháil ar go leor bealaí:
- Is féidir leat meiteashonraí mar shampla a iarraidh ag
http://169.254.169.254/latest/meta-dataI measc rudaí eile, is féidir leat an ról IAM a aimsiú le haon cheann de na heochracha rochtana ag an seoladh seo. Ar ndóigh, ach amháin má tá tú i gcás.
- Úsáid AWS CLI...
Má tá an AWS CLI suiteáilte, tá sé luchtaithe le dintiúir ó na róil IAM, má tá sé i láthair. Níl fágtha ach oibriú TRÍD an ásc. Ar ndóigh, dá mbeadh a mBeartas Iontaobhais oscailte, d'fhéadfadh Paige gach rud a dhéanamh go díreach.
Mar sin is é croílár róil IAM ná go gceadaíonn siad roinnt acmhainní chun gníomhú AR DO DHÉANAMH AR ACMHAINNÍ EILE.
Anois go dtuigeann tú róil IAM, is féidir linn labhairt faoi na rudaí a rinne Paige Thompson:
- Fuair sí rochtain ar an bhfreastalaí (mar shampla EC2) trí pholl sa bhalla dóiteáin
Cibé an grúpaí slándála/ACLanna nó ballaí dóiteáin a bhfeidhmchláir gréasáin féin a bhí i gceist, is dócha go raibh an poll sách éasca le plugáil, mar a dúradh sna taifid oifigiúla.
- Nuair a bhí sí ar an bhfreastalaí, bhí sí in ann gníomhú “amhail is dá mba” í féin an freastalaí
- Ós rud é gur cheadaigh ról an fhreastalaí IAM rochtain do S3 ar na 700+ buicéad seo, bhí sé in ann rochtain a fháil orthu
Ón nóiméad sin ar aghaidh, ní raibh le déanamh aici ach an t-ordú a rith List Bucketsagus ansin an t-ordú Sync ó AWS CLI...
. Is é is cúis le damáiste den sórt sin a chosc ná an fáth a infheistíonn cuideachtaí an oiread sin i gcosaint bonneagair scamall, DevOps, agus saineolaithe slándála. Agus cé chomh luachmhar agus éifeachtach ó thaobh costais atá ag bogadh go dtí an scamall? An oiread sin go fiú i bhfianaise na ndúshlán cibearshlándála níos mó agus níos mó !
Morálta an scéil: seiceáil do shábháilteacht; Iniúchtaí rialta a dhéanamh; Meas a bheith agat ar phrionsabal na pribhléide is lú maidir le beartais slándála.
( Is féidir leat féachaint ar an tuarascáil dlí iomlán).
Foinse: will.com