Air 19 Iuchar, 2019, fhuair Capital One an teachdaireachd a tha eagal air a h-uile companaidh ùr-nodha - thachair briseadh dàta. Thug e buaidh air còrr air 106 millean neach. 140 àireamh tèarainteachd shòisealta na SA, aon mhillean àireamh tèarainteachd shòisealta Chanada. 000 cunntasan banca. Mì-thlachdmhor, nach eil thu ag aontachadh?
Gu mì-fhortanach, cha do thachair an hack air 19 Iuchar. Mar a thionndaidh e, tha Paige Thompson, a.k.a. mearachdach, gheall e eadar 22 Màrt agus 23 Màrt 2019. S e sin cha mhòr ceithir mìosan air ais. Gu dearbh, is ann dìreach le cuideachadh bho chomhairlichean bhon taobh a-muigh a fhuair Capital One a-mach gun robh rudeigin air tachairt.
Chaidh seann neach-obrach Amazon a chur an grèim agus tha càin $ 250 air agus còig bliadhna sa phrìosan ... ach tha tòrr àicheileachd air fhàgail fhathast. Carson? Leis gu bheil mòran chompanaidhean a tha air fulang le hacks a’ feuchainn ris an uallach airson am bun-structar agus na tagraidhean aca a neartachadh am measg àrdachadh ann an eucoir-saidhbear.
Co-dhiù, is urrainn dhut an sgeulachd seo a google gu furasta. Cha tèid sinn a-steach do dhràma, ach bruidhnidh sinn mu dheidhinn teicnigeach taobh na cùise.
An toiseach, dè thachair?
Bha timcheall air 700 bucaid S3 aig Capital One a’ ruith, a rinn Paige Thompson leth-bhreac agus siphoned dheth.
San dàrna h-àite, an e cùis eile a tha seo de phoileasaidh bucaid S3 mì-eagraichte?
Chan e, chan ann an turas seo. An seo fhuair i cothrom air frithealaiche le balla-teine air a rèiteachadh gu ceàrr agus rinn i an obair gu lèir às an sin.
Fuirich, ciamar a tha sin comasach?
Uill, tòisichidh sinn le bhith a’ logadh a-steach don fhrithealaiche, ged nach eil mòran mion-fhiosrachaidh againn. Cha deach innse dhuinn ach gun do thachair e tro “bhalla-teine mì-dhealbhaichte.” Mar sin, rudeigin cho sìmplidh ri suidheachadh buidheann tèarainteachd ceàrr no rèiteachadh balla-teine an aplacaid lìn (Imperva), no balla-teine lìonra (iptables, ufw, balla-cladaich, msaa). Cha do dh’aidich Capital One ach a chiont agus thuirt e gun do dhùin e an toll.
Thuirt Stone nach do mhothaich Capital One an-toiseach so-leòntachd a’ bhalla-teine ach gun do chuir e an gnìomh gu sgiobalta aon uair ‘s gu robh e mothachail air. Bha seo gu cinnteach air a chuideachadh leis an fhìrinn gun do dh’ fhàg an neach-tarraing prìomh fhiosrachadh aithneachaidh san raon phoblach, thuirt Stone.
Ma tha thu a’ faighneachd carson nach eil sinn a’ dol nas doimhne dhan phàirt seo, feuch an tuig thu nach urrainn dhuinn ach prothaideachadh air sgàth beagan fiosrachaidh. Chan eil seo a’ dèanamh ciall leis gu robh an hack an urra ri toll a dh’ fhàg Capital One. Agus mura innis iad barrachd dhuinn, bidh sinn dìreach a’ liostadh a h-uile dòigh a dh’ fhaodadh Capital One fhàgail air an fhrithealaiche aca fosgailte còmhla ris a h-uile dòigh a dh’ fhaodadh cuideigin aon de na diofar roghainnean sin a chleachdadh. Faodaidh na lochdan agus na dòighean-obrach sin a bhith a’ dol bho thar-shealladh fiadhaich gòrach gu pàtrain air leth iom-fhillte. Leis an raon de chothroman, thig seo gu bhith na saga fada gun cho-dhùnadh fìor. Mar sin, leig dhuinn fòcas a chuir air mion-sgrùdadh a dhèanamh air a’ phàirt far a bheil fìrinnean againn.
Mar sin is e a’ chiad takeaway: fios agad dè a cheadaicheas na ballachan-teine agad.
Stèidhich poileasaidh no pròiseas ceart gus dèanamh cinnteach gur e A-MHÀIN na dh'fheumas a bhith air fhosgladh. Ma tha thu a’ cleachdadh goireasan AWS leithid Buidhnean Tèarainteachd no Network ACLs, gu follaiseach faodaidh an liosta sgrùdaidh airson sgrùdadh a bhith fada ... ach dìreach mar a tha mòran ghoireasan air an cruthachadh gu fèin-ghluasadach (ie CloudFormation), tha e comasach cuideachd an sgrùdadh aca a dhèanamh fèin-ghluasadach. Ge bith an e sgriobt dachaigh a th’ ann a bhios a’ sganadh nithean ùra airson lochdan, no rudeigin mar sgrùdadh tèarainteachd ann am pròiseas CI/CD... tha iomadh roghainn furasta ann airson seo a sheachnadh.
Is e am pàirt “èibhinn” den sgeulachd, nam biodh Capital One air an toll a chuir a-steach sa chiad àite ... cha bhiodh dad air tachairt. Agus mar sin, gu fìrinneach, tha e an-còmhnaidh uamhasach a bhith faicinn mar a tha rudeigin dha-rìribh gu math sìmplidh gu bhith mar an aon adhbhar airson companaidh a bhith air a slaodadh. Gu sònraichte fear cho mòr ri Capital One.
Mar sin, hacker a-staigh - dè thachair an ath rud?
Uill, às deidh briseadh a-steach do eisimpleir EC2 ... faodaidh tòrr a dhol ceàrr. Tha thu cha mhòr a’ coiseachd air oir sgian ma leigeas tu le cuideigin a dhol cho fada sin. Ach ciamar a chaidh e a-steach do bhucaid S3? Gus seo a thuigsinn, bruidhnidh sinn air Dreuchdan IAM.
Mar sin, is e aon dòigh air faighinn gu seirbheisean AWS a bhith nad chleachdaiche. Ceart gu leòr, tha am fear seo gu math follaiseach. Ach dè ma tha thu airson cothrom a thoirt do sheirbheisean AWS eile, leithid na frithealaichean tagraidh agad, air na bucaidean S3 agad? Is ann air sgàth sin a tha dreuchdan IAM. Tha iad air an dèanamh suas de dhà phàirtean:
- Poileasaidh Urras - dè na seirbheisean no na daoine as urrainn an dreuchd seo a chleachdadh?
- Poileasaidh Ceadan - dè tha an dreuchd seo a' ceadachadh?
Mar eisimpleir, tha thu airson dreuchd IAM a chruthachadh a leigeas le cùisean EC2 faighinn gu bucaid S3: An toiseach, tha Poileasaidh Urras aig an dreuchd a dh’ fhaodas EC2 (an t-seirbheis gu lèir) no suidheachaidhean sònraichte “a ghabhail thairis” an dreuchd. Tha gabhail ri dreuchd a’ ciallachadh gun urrainn dhaibh ceadan na dreuchd a chleachdadh gus gnìomhan a choileanadh. San dàrna h-àite, tha am Poileasaidh Ceadan a’ leigeil leis an t-seirbheis/neach/goireas a tha “air an dreuchd a ghabhail” rud sam bith a dhèanamh air AS3, ge bith a bheil e a’ faighinn cothrom air aon bhucaid sònraichte... neo còrr air 700, mar a tha ann an Capital One.
Aon uair ‘s gu bheil thu ann an suidheachadh EC2 le dreuchd IAM, gheibh thu teisteanasan ann an grunn dhòighean:
- Faodaidh tu meata-dàta mar eisimpleir iarraidh aig
http://169.254.169.254/latest/meta-dataAm measg rudan eile, gheibh thu àite IAM le gin de na h-iuchraichean ruigsinneachd aig an t-seòladh seo. Gu dearbh, dìreach ma tha thu ann an eisimpleir.
- Cleachd AWS CLI...
Ma tha an AWS CLI air a chuir a-steach, tha e air a luchdachadh le teisteanasan bho na dreuchdan IAM, ma tha e an làthair. Chan eil air fhàgail ach a bhith ag obair TRÀTH an eisimpleir. Gu dearbh, nam biodh am Poileasaidh Urras aca fosgailte, dh'fhaodadh Paige a h-uile càil a dhèanamh gu dìreach.
Mar sin is e brìgh dreuchdan IAM gu bheil iad a’ leigeil le cuid de ghoireasan a bhith ag obair air do shon fhèin air goireasan eile.
A-nis gu bheil thu a’ tuigsinn dreuchdan IAM, is urrainn dhuinn bruidhinn mu na rinn Paige Thompson:
- Fhuair i cothrom air an fhrithealaiche (mar eisimpleir EC2) tro tholl sa bhalla-teine
Ge bith an e buidhnean tèarainteachd / ACL a bh’ ann no na ballachan teine app lìn aca fhèin, is dòcha gu robh an toll gu math furasta a phlugadh, mar a chaidh a ràdh anns na clàran oifigeil.
- Aon uair 's gu robh i air an t-seirbheisiche, bha i comasach air a bhith "mar gum biodh" mar an fhrithealaiche fhèin
- Leis gun tug dreuchd an fhrithealaiche IAM cothrom do S3 faighinn gu na 700+ bucaid sin, bha e comasach dha faighinn thuca
Bhon mhionaid sin a-mach, cha robh aice ach an àithne a ruith List Bucketsagus an uair sin an àithne Sync bho AWS CLI...
. Is e a bhith a’ cur casg air a leithid de mhilleadh carson a tha companaidhean a’ tasgadh uimhir ann an dìon bun-structair sgòthan, DevOps, agus eòlaichean tèarainteachd. Agus dè cho prìseil agus cosg-èifeachdach a tha gluasad chun sgòth? Na h-uimhir gus am bi eadhon an aghaidh barrachd is barrachd dhùbhlain cybersecurity !
Moraltachd na sgeòil: thoir sùil air do shàbhailteachd; Dèan sgrùdaidhean cunbhalach; Thoir spèis do phrionnsapal an sochair as lugha airson poileasaidhean tèarainteachd.
( Chì thu an aithisg laghail iomlan).
Source: www.habr.com