Nan dat 19 jiyè 2019, Capital One te resevwa mesaj ke chak konpayi modèn pè: te gen yon fwit done ki te fèt. Li te afekte plis pase 106 milyon moun. 140 nimewo sekirite sosyal ameriken, yon milyon nimewo sekirite sosyal Kanadyen. 000 kont labank. Dezagreyab, ou pa dakò?
Malerezman, Hack a pa t 'rive sou Jiyè 19th. Kòm li vire soti, Paige Thompson, a.k.a. Iregilye, te komèt li ant 22 mas ak 23 mas 2019. Sa vle di prèske kat mwa de sa. An reyalite, se sèlman avèk èd nan konsiltan deyò ke Capital One te kapab dekouvri ke yon bagay te rive.
Yo te arete yon ansyen anplwaye Amazon e li fè fas a yon amann $250 ak senk ane nan prizon... men gen toujou anpil negativite ki rete. Poukisa? Paske anpil konpayi ki te soufri nan antay yo ap eseye retire zèpòl nan responsablite pou ranfòse enfrastrikti yo ak aplikasyon yo nan mitan ogmantasyon nan sibèkrim.
De tout fason, ou ka fasilman google istwa sa a. Nou pa pral antre nan dram, men pale sou teknik bò nan pwoblèm nan.
Premyerman, sa ki te pase?
Capital One te gen anviwon 700 bokit S3 kouri, ki Paige Thompson te kopye epi sifone.
Dezyèmman, èske sa a se yon lòt ka nan misconfigured S3 bokit politik?
Non, pa fwa sa a. Isit la li te jwenn aksè nan yon sèvè ak yon firewall mal configuré ak te pote soti nan operasyon an antye soti nan la.
Tann, ki jan sa posib?
Oke, ann kòmanse pa konekte nan sèvè a, byenke nou pa gen anpil detay. Nou te sèlman di ke li te rive nan yon "firewall move konfigirasyon." Se konsa, yon bagay ki senp tankou move anviwònman gwoup sekirite oswa konfigirasyon pare-feu aplikasyon entènèt la (Imperva), oswa pare-feu rezo (iptables, ufw, shorewall, elatriye). Capital One sèlman admèt koupab li e li te di ke li te fèmen twou a.
Stone te di Capital One pa t 'okòmansman remake vilnerabilite nan firewall men li te aji byen vit yon fwa li te vin okouran de li. Sa a te sètènman ede pa lefèt ke pirate a swadizan kite kle enfòmasyon idantifikasyon nan domèn piblik la, Stone te di.
Si w ap mande poukisa nou pa ale pi fon nan pati sa a, tanpri konprann ke akòz enfòmasyon limite nou ka sèlman espekile. Sa a pa fè okenn sans paske Hack a depann sou yon twou kite pa Capital One. Epi sof si yo di nou plis, nou pral jis lis tout fason posib Capital One kite sèvè yo louvri ansanm ak tout fason posib yon moun ta ka itilize youn nan opsyon sa yo diferan. Defo ak teknik sa yo ka varye soti nan sipèvizyon sovaj estipid ak modèl ekstrèmman konplèks. Bay seri posiblite yo, sa a pral vin yon lejand long ki pa gen okenn konklizyon reyèl. Se poutèt sa, an n konsantre sou analize pati kote nou gen reyalite.
Se konsa, takeaway nan premye se: konnen ki sa firewall ou yo pèmèt.
Etabli yon politik oswa pwosesis apwopriye pou asire ke SÈLMAN sa ki bezwen louvri yo louvri. Si w ap itilize resous AWS tankou Gwoup Sekirite oswa ACL Rezo, evidamman lis verifikasyon pou fè odit la ka long... men menm jan anpil resous yo kreye otomatikman (sa vle di CloudFormation), li posib tou pou otomatize odit yo. Kit se yon script endijèn ki analize nouvo objè pou defo, oswa yon bagay tankou yon kontwòl kontab sekirite nan yon pwosesis CI/CD... gen anpil opsyon fasil pou fè pou evite sa.
Pati "drol" nan istwa a se ke si Capital One te ploge twou a an plas an premye ... pa gen anyen ta rive. Se konsa, franchman, li toujou chokan yo wè ki jan yon bagay reyèlman trè senp vin sèl rezon pou yon konpayi yo dwe rache. Espesyalman yon sèl gwo tankou Capital One.
Se konsa, pirate andedan - sa ki te pase apre?
Oke, apre yo fin kraze nan yon egzanp EC2 ... anpil ka ale mal. Ou ap pratikman mache sou kwen yon kouto si ou kite yon moun ale byen lwen. Men, ki jan li te antre nan bokit S3? Pou konprann sa a, ann diskite sou Wòl IAM.
Se konsa, yon fason pou jwenn aksè nan sèvis AWS se yo dwe yon itilizatè. Oke, yon sèl sa a se trè evidan. Men, e si ou vle bay lòt sèvis AWS, tankou sèvè aplikasyon ou yo, aksè nan bokit S3 ou a? Se pou sa wòl IAM yo ye. Yo konpoze de de eleman:
- Règleman konfyans - ki sèvis oswa moun ki ka itilize wòl sa a?
- Règleman otorizasyon - ki sa wòl sa a pèmèt?
Pou egzanp, ou vle kreye yon wòl IAM ki pral pèmèt enstans EC2 jwenn aksè nan yon bokit S3: Premyèman, wòl la mete nan gen yon Règleman konfyans ke EC2 (sèvis la tout antye) oswa ka espesifik ka "pran sou" wòl la. Aksepte yon wòl vle di yo ka itilize otorizasyon wòl la pou fè aksyon. Dezyèmman, Règleman otorizasyon yo pèmèt sèvis/moun/resous ki te “pran wòl la” fè nenpòt bagay sou S3, kit li gen aksè a yon sèl bokit espesifik... oswa plis pase 700, tankou nan ka Capital One.
Yon fwa ou nan yon egzanp EC2 ak wòl IAM, ou ka jwenn kalifikasyon nan plizyè fason:
- Ou ka mande metadata egzanp nan
http://169.254.169.254/latest/meta-dataPami lòt bagay, ou ka jwenn wòl IAM ak nenpòt nan kle aksè nan adrès sa a. Natirèlman, sèlman si ou nan yon egzanp.
- Sèvi ak AWS CLI...
Si AWS CLI enstale, li chaje ak kalifikasyon ki soti nan wòl IAM yo, si li prezan. Tout sa ki rete se travay nan egzanp lan. Natirèlman, si Règleman konfyans yo te louvri, Paige te kapab fè tout bagay dirèkteman.
Donk, sans wòl IAM yo se ke yo pèmèt kèk resous aji SOU NON OU sou LÒT RESOUS.
Kounye a ke ou konprann wòl IAM yo, nou ka pale sou sa Paige Thompson te fè:
- Li te jwenn aksè nan sèvè a (egzanp EC2) atravè yon twou nan firewall la
Kit li te gwoup sekirite / ACL oswa pwòp pare-feu aplikasyon entènèt yo, twou a te pwobableman byen fasil ploge, jan sa endike nan dosye ofisyèl yo.
- Yon fwa sou sèvè a, li te kapab aji "tankou si" li te sèvè a tèt li
- Depi wòl sèvè IAM la pèmèt S3 aksè a plis pase 700 bokit sa yo, li te kapab jwenn aksè nan yo.
Apati moman sa a, tout sa li te oblije fè se te kouri kòmandman an List Bucketsepi apre kòmandman an Sync soti nan AWS CLI...
. Anpeche domaj sa yo se poukisa konpayi yo envesti anpil nan pwoteksyon enfrastrikti nwaj, DevOps, ak ekspè sekirite. Ak ki jan valè ak pri-efikas ap deplase nan nwaj la? Se konsa, ke menm nan fè fas a pi plis ak plis defi cybersecurity !
Moral nan istwa a: tcheke sekirite ou; Fè odit regilye; Respekte prensip pi piti privilèj pou politik sekirite yo.
( Ou ka wè tout rapò legal la).
Sous: www.habr.com