A ranar 19 ga Yuli, 2019, Capital One ta karɓi saƙon da kowane kamfani na zamani ke tsoro - an sami keta bayanai. Ya shafi mutane fiye da miliyan 106. Lambobin tsaron zaman jama'a na Amurka 140, lambobin tsaro na zamantakewar Kanada miliyan ɗaya. 000 asusun banki. Ba dadi, ba ku yarda ba?
Abin takaici, hack din bai faru ba a ranar 19 ga Yuli. Kamar yadda ya fito, Paige Thompson, aka. Mara aiki, ya aikata tsakanin 22 ga Maris zuwa 23 ga Maris, 2019. Wato kusan watanni hudu da suka gabata. A gaskiya ma, kawai tare da taimakon masu ba da shawara na waje ne Capital One ya iya gano cewa wani abu ya faru.
An kama wani tsohon ma'aikacin Amazon kuma yana fuskantar tarar dala 250 da kuma ɗaurin shekaru biyar a gidan yari ... amma har yanzu akwai sauran raguwa. Me yasa? Domin da yawa daga cikin kamfanoni da suka yi fama da kutse suna ƙoƙarin kawar da alhakin ƙarfafa kayan aikin su da aikace-aikacen su a yayin da ake samun karuwar masu aikata laifuka ta yanar gizo.
Ko ta yaya, zaku iya google wannan labarin cikin sauƙi. Ba za mu shiga wasan kwaikwayo ba, amma muyi magana akai fasaha gefen lamarin.
Da farko me ya faru?
Capital One yana da kusan buckets S700 3 da ke gudana, wanda Paige Thompson ya kwafa kuma ya cire.
Abu na biyu, shin wannan wani lamari ne na kuskuren manufofin guga na S3?
A'a, ba wannan lokacin ba. Anan ta sami damar shiga uwar garken tare da tsarin wuta da ba daidai ba kuma ta aiwatar da aikin gaba ɗaya daga can.
Jira, ta yaya hakan zai yiwu?
To, bari mu fara da shiga cikin uwar garken, kodayake ba mu da cikakkun bayanai. An gaya mana cewa abin ya faru ne ta hanyar “Firewall da ba daidai ba.” Don haka, wani abu mai sauƙi kamar saitunan ƙungiyar tsaro ba daidai ba ko daidaitawar Tacewar zaɓi na aikace-aikacen yanar gizo (Imperva), ko Tacewar zaɓi na cibiyar sadarwa (iptables, ufw, shorewall, da sauransu). Capital One kawai ya amsa laifinsa ya ce ya rufe ramin.
Stone ya ce Capital One da farko bai lura da raunin tacewar ba amma ya yi sauri da zarar ya fahimci hakan. Wannan tabbas ya taimaka ta hanyar cewa mai kutse ya bar mahimman bayanan ganowa a cikin jama'a, in ji Stone.
Idan kuna mamakin dalilin da yasa ba za mu zurfafa cikin wannan ɓangaren ba, da fatan za a fahimci cewa saboda taƙaitaccen bayani kawai za mu iya yin hasashe. Wannan ba ma'ana ba idan aka yi la'akari da cewa hack ɗin ya dogara ne akan rami da Capital One ya bari. Kuma sai dai idan sun faɗa mana ƙarin, za mu lissafta duk hanyoyin da za a iya yiwuwa Capital One ya bar uwar garken su a buɗe tare da duk hanyoyin da za a iya amfani da su don amfani da ɗayan waɗannan zaɓuɓɓukan daban-daban. Waɗannan lahani da dabaru na iya kamawa daga sa ido na wauta zuwa ga sarƙaƙƙiyar alamu. Idan aka ba da kewayon yuwuwar, wannan zai zama dogon saga ba tare da ƙarewa na gaske ba. Don haka, bari mu mai da hankali kan nazarin sashin da muke da hujjoji.
Don haka hanya ta farko ita ce: san abin da firewalls ɗin ku ke ba da izini.
Ƙaddamar da manufa ko tsari mai kyau don tabbatar da cewa kawai abin da ake buƙatar buɗewa ya buɗe. Idan kana amfani da albarkatun AWS kamar Ƙungiyoyin Tsaro ko Network ACLs, a fili jerin abubuwan da za a duba na iya zama dogon lokaci ... amma kamar yawancin albarkatun da aka ƙirƙira ta atomatik (watau CloudFormation), yana yiwuwa kuma a sarrafa sarrafa su. Ko rubutun gida ne wanda ke bincika sabbin abubuwa don aibi, ko wani abu kamar binciken tsaro a cikin tsarin CI/CD... akwai zaɓuɓɓuka masu sauƙi da yawa don guje wa wannan.
Bangaren "mai ban dariya" na labarin shine cewa da Capital One ya toshe rami tun da farko ... ba abin da ya faru. Don haka, a gaskiya, koyaushe abin ban mamaki ne don ganin yadda ainihin wani abu yake m sauki ya zama dalilin yin kutse a kamfani. Musamman mai girma kamar Capital One.
Don haka, dan gwanin kwamfuta a ciki - me ya faru daga baya?
Da kyau, bayan shiga cikin misalin EC2 ... da yawa na iya yin kuskure. A zahiri kuna tafiya a gefen wuka idan kun bar wani ya tafi can nesa. Amma ta yaya aka shiga cikin buckets S3? Don fahimtar wannan, bari mu tattauna Ayyukan IAM.
Don haka, hanya ɗaya don samun damar sabis na AWS shine zama Mai amfani. To, wannan a bayyane yake. Amma idan kuna son ba da wasu ayyukan AWS, kamar sabar aikace-aikacenku, samun dama ga buckets na S3 fa? Abin da matsayin IAM ke yi ke nan. Sun ƙunshi sassa biyu:
- Manufar Amincewa - wadanne ayyuka ko mutane za su iya amfani da wannan rawar?
- Manufofin izini - menene wannan rawar ke bayarwa?
Misali, kuna son ƙirƙirar rawar IAM wanda zai ba da damar misalin EC2 don samun dama ga guga S3: Na farko, an saita rawar don samun Tsarin Amincewa wanda EC2 (dukan sabis ɗin) ko takamaiman lokuta na iya “ɗaukar” aikin. Karɓar rawar yana nufin za su iya amfani da izinin rawar don aiwatar da ayyuka. Abu na biyu, Dokar Ba da izini ta ba da damar sabis / mutum / albarkatun da suka "ɗaukar nauyin" don yin wani abu akan S3, ko yana samun dama ga wani takamaiman guga ... ko fiye da 700, kamar yadda yake a cikin Capital One.
Da zarar kun kasance cikin misalin EC2 tare da rawar IAM, zaku iya samun takaddun shaida ta hanyoyi da yawa:
- Kuna iya neman misali metadata a
http://169.254.169.254/latest/meta-dataDaga cikin wasu abubuwa, zaku iya samun rawar IAM tare da kowane maɓallan shiga a wannan adireshin. Hakika, kawai idan kun kasance a cikin wani misali.
- Yi amfani da AWS CLI ...
Idan an shigar da AWS CLI, an ɗora shi da takaddun shaida daga ayyukan IAM, idan akwai. Abin da ya rage shi ne yin aiki ta hanyar misali. Tabbas, idan Manufar Amincewar su ta buɗe, Paige na iya yin komai kai tsaye.
Don haka ainihin matsayin IAM shine su ƙyale wasu albarkatu suyi aiki AMADADIN ku akan SAURAN ABUBUWA.
Yanzu da kuka fahimci matsayin IAM, za mu iya magana game da abin da Paige Thompson ya yi:
- Ta sami damar shiga uwar garken (misali EC2) ta wani rami a cikin Tacewar zaɓi
Ko ƙungiyoyin tsaro ne/ACLs ko nasu tacewar wuta ta aikace-aikacen gidan yanar gizo, mai yiwuwa ramin yana da sauƙin toshewa, kamar yadda aka bayyana a cikin bayanan hukuma.
- Da zarar a kan uwar garken, ta iya yin "kamar" ita ce uwar garken da kanta
- Tunda rawar uwar garken IAM ta ba S3 damar shiga waɗannan buckets 700+, ya sami damar shiga su
Tun daga wannan lokacin, kawai ta yi umarni List Bucketssannan kuma umarni Sync daga AWS CLI...
. Hana irin wannan lalacewa shine dalilin da ya sa kamfanoni ke saka hannun jari sosai a cikin kariyar kayan aikin girgije, DevOps, da masana tsaro. Kuma ta yaya mai kima da ƙima ke motsawa zuwa gajimare? Ta yadda ko da fuskantar kalubalen tsaro ta yanar gizo !
Halin labarin: duba lafiyar ku; Gudanar da bincike akai-akai; Mutunta ƙa'idar mafi ƙarancin gata don manufofin tsaro.
( Kuna iya duba cikakken rahoton doka).
source: www.habr.com