Ing 19 Juli 2019, Capital One nampa pesen manawa saben perusahaan modern wedi - ana pelanggaran data. Iku kena pengaruh luwih saka 106 yuta wong. 140 nomer jaminan sosial AS, siji yuta nomer jaminan sosial Kanada. 000 rekening bank. Ora nyenengake, apa sampeyan ora setuju?
Sayange, hack ora kedadeyan ing 19 Juli. Dadi metu, Paige Thompson, a.k.a. Ngrusak, setya antarane 22 Maret lan 23 Maret 2019. Iku meh patang sasi kepungkur. Nyatane, mung kanthi bantuan konsultan njaba, Capital One bisa nemokake yen ana kedadeyan.
Tilas pegawe Amazon ditangkep lan didenda $250 lan penjara limang taun ... nanging isih akeh negativitas. Kenging punapa? Amarga akeh perusahaan sing nandhang peretasan nyoba ngilangi tanggung jawab kanggo nguatake infrastruktur lan aplikasi ing tengah-tengah kedadeyan cybercrime.
Oalah, sampeyan bisa kanthi gampang google crita iki. Kita ora bakal dadi drama, nanging ngomong babagan teknis sisih prakara.
Kaping pisanan, apa sing kedadeyan?
Capital One duwe sekitar 700 ember S3 sing mlaku, sing disalin Paige Thompson lan diselehake.
Kapindho, iki kasus liyane saka kabijakan ember S3 sing salah?
Ora, ora wektu iki. Ing kene dheweke entuk akses menyang server kanthi firewall sing ora dikonfigurasi kanthi bener lan nindakake kabeh operasi saka kono.
Ngenteni, kepiye carane bisa?
Inggih, ayo miwiti kanthi mlebu menyang server, sanajan kita ora duwe akeh rincian. Kita mung dikandhani manawa kedadeyan kasebut liwat "firewall sing salah konfigurasi." Dadi, ana sing gampang kaya setelan grup keamanan sing salah utawa konfigurasi firewall aplikasi web (Imperva), utawa firewall jaringan (iptables, ufw, shorewall, lsp.). Capital One mung ngakoni kesalahane lan ujar manawa wis nutup bolongan kasebut.
Stone ujar manawa Capital One ora ngerteni kerentanan firewall, nanging tumindak kanthi cepet sawise ngerti. Iki mesthi dibantu dening kasunyatan manawa peretas kasebut ninggalake informasi identifikasi kunci ing domain umum, ujare Stone.
Yen sampeyan kepingin weruh kenapa kita ora bakal luwih jero menyang bagean iki, muga-muga ngerti yen amarga informasi sing winates, kita mung bisa spekulasi. Iki ora ana gunane amarga hack kasebut gumantung ing bolongan sing ditinggalake dening Capital One. Lan kajaba padha menehi katrangan luwih akeh, kita mung bakal nyathet kabeh cara sing bisa ditindakake Capital One supaya server mbukak kanthi kombinasi kabeh cara sing bisa digunakake kanggo nggunakake salah sawijining pilihan sing beda-beda. Cacat lan tèknik iki bisa uga saka oversights banget bodho kanggo pola luar biasa Komplek. Given sawetara kemungkinan, iki bakal dadi saga dawa tanpa kesimpulan nyata. Mula, ayo fokus ing nganalisa bagean sing duwe fakta.
Dadi takeaway pisanan yaiku: ngerti apa sing diidini firewall sampeyan.
Nggawe kabijakan utawa proses sing tepat kanggo mesthekake yen ONLY sing kudu dibukak dibukak. Yen sampeyan nggunakake sumber daya AWS kaya Security Groups utawa Network ACLs, temenan dhaptar mriksa kanggo audit bisa dawa ... nanging kaya akeh sumber daya sing digawe kanthi otomatis (ie CloudFormation), iku uga bisa kanggo ngotomatisasi audit. Apa iku script krasan sing mindai obyek anyar kanggo cacat, utawa kaya audit keamanan ing CI / proses CD ... ana akeh pilihan gampang kanggo supaya iki.
Babagan sing "lucu" ing crita kasebut yaiku yen Capital One wis nyolok bolongan ing wiwitan ... ora ana sing kedadeyan. Dadi, terus terang, mesthi nggumunake ndeleng kepiye kedadeyan cukup prasaja dadi siji-sijine alesan kanggo perusahaan disusupi. Utamane sing gedhene kaya Capital One.
Dadi, peretas ing njero - apa sing kedadeyan sabanjure?
Inggih, sawise bejat menyang conto EC2 ... akeh bisa salah. Sampeyan pancen mlaku ing pinggir piso yen sampeyan nglilani wong lunga adoh. Nanging kepiye carane entuk ember S3? Kanggo mangerteni iki, ayo ngrembug Peran IAM.
Dadi, salah sawijining cara kanggo ngakses layanan AWS yaiku dadi pangguna. Oke, iki cukup jelas. Nanging kepiye yen sampeyan pengin menehi layanan AWS liyane, kayata server aplikasi, akses menyang ember S3? Iku kanggo peran IAM. Padha kalebu rong komponen:
- Kabijakan Trust - layanan utawa wong apa sing bisa nggunakake peran iki?
- Kabijakan Idin - apa peran iki ngidini?
Contone, sampeyan pengin nggawe peran IAM sing bakal ngidini instans EC2 ngakses ember S3: Kaping pisanan, peran kasebut disetel kanggo duwe Kebijakan Trust sing EC2 (kabeh layanan) utawa instans tartamtu bisa "njupuk" peran kasebut. Nampa peran tegese dheweke bisa nggunakake idin peran kanggo nindakake tumindak. Kapindho, Kabijakan Idin ngidini layanan / wong / sumber daya sing wis "njupuk peran" kanggo nindakake apa wae ing S3, manawa ngakses siji ember tartamtu ... utawa luwih saka 700, kaya ing kasus Capital One.
Sawise sampeyan ana ing conto EC2 kanthi peran IAM, sampeyan bisa entuk kredensial kanthi sawetara cara:
- Sampeyan bisa njaluk metadata conto ing
http://169.254.169.254/latest/meta-dataAntarane liyane, sampeyan bisa nemokake peran IAM karo sembarang tombol akses ing alamat iki. Mesthi, mung yen sampeyan ana ing conto.
- Gunakake AWS CLI...
Yen AWS CLI wis diinstal, bakal dimuat karo kapercayan saka peran IAM, yen ana. Kabeh sing isih ana yaiku bisa liwat conto. Mesthi wae, yen Kabijakan Kepercayaan mbukak, Paige bisa nindakake kabeh kanthi langsung.
Dadi inti saka peran IAM yaiku ngidini sawetara sumber daya kanggo tumindak atas jenenge sampeyan ing SUMBER DAYA LAIN.
Saiki sampeyan ngerti peran IAM, kita bisa ngomong babagan apa sing ditindakake Paige Thompson:
- Dheweke entuk akses menyang server (kayata EC2) liwat bolongan ing firewall
Apa iku kelompok keamanan / ACL utawa firewall aplikasi web dhewe, bolongan iki mbokmenawa cukup gampang kanggo plug, minangka nyatakake ing cathetan resmi.
- Sawise ing server, dheweke bisa tumindak "kaya" dheweke dadi server dhewe
- Wiwit peran server IAM ngidini akses S3 menyang 700+ ember iki, mula bisa ngakses
Wiwit wektu iku, dheweke mung kudu nindakake perintah kasebut List Bucketslajeng dhawuh Sync saka AWS CLI...
. Nyegah karusakan kuwi sebabe perusahaan nandur modal akeh ing proteksi infrastruktur awan, DevOps, lan pakar keamanan. Lan carane larang regane lan biaya-efektif pindhah menyang mΓ©ga? Dadi luwih akeh sanajan ngadhepi tantangan cybersecurity !
Moral saka crita: mriksa safety; Nindakake audit rutin; Ngajeni prinsip hak istimewa paling ora kanggo kabijakan keamanan.
( Sampeyan bisa ndeleng laporan legal lengkap).
Source: www.habr.com