Di 19ê Tîrmeha 2019-an de, Capital One peyamek wergirt ku her pargîdaniyek nûjen ditirse - binpêkirinek daneyê çêbû. Zêdetirî 106 mîlyon mirov bandor kir. 140 hejmarên ewlehiya civakî ya Dewletên Yekbûyî, yek mîlyon hejmarên ewlehiya civakî ya Kanada. 000 hesabên bankê. Nexweş e, ma hûn qebûl nakin?
Mixabin, hack di 19ê Tîrmehê de pêk nehat. Wekî ku diqewime, Paige Thompson, a.k.a. Erratîk, di navbera 22-ê Adarê û 23-ê Adara 2019-an de pêk anî. Ku heye hema çar meh berê. Bi rastî, tenê bi alîkariya şêwirmendên derveyî bû ku Capital One karîbû kifş bike ku tiştek qewimiye.
Karmendek berê yê Amazonê hate girtin û 250 dolar cezayê pere û pênc sal cezayê girtîgehê jê re tê xwestin... lê dîsa jî gelek neyînî mane. Çima? Ji ber ku gelek pargîdaniyên ku ji hacksan zirar dîtine hewl didin ku di nav zêdebûna sûcên sîber de berpirsiyariya xurtkirina binesaziya xwe û sepanên xwe ji holê rakin.
Lêbelê, hûn dikarin bi hêsanî vê çîrokê google bikin. Em ê neçin dramayê, lê biaxivin teknîkî aliyê meseleyê.
Berî her tiştî, çi qewimî?
Capital One bi qasî 700 kepçeyên S3 dixebitîn, ku Paige Thompson kopî kir û sifon kir.
Ya duyemîn, gelo ev bûyerek din a polîtîkaya kepçeya S3 ya şaş e?
Na, ne vê carê. Li vir wê gihîştina serverek bi dîwarê dîwarê ku bi xeletî hatî mîheng kirin bi dest xist û tevahiya operasyonê ji wir pêk anî.
Biserve, ev çawa gengaz e?
Were, em bi têketina serverê dest pê bikin, her çend me gelek hûrgulî tune. Tenê ji me re hate gotin ku ew bi "agir dîwarek xelet vesazkirî" qewimî. Ji ber vê yekê, tiştek hêsan wekî mîhengên koma ewlehiyê ya nerast an veavakirina dîwarê serîlêdana malperê (Imperva), an dîwarê torê (iptables, ufw, shorewall, hwd.). Capital One tenê sûcê xwe qebûl kir û got ku ew qul girtiye.
Stone got Capital One di destpêkê de guh neda qelsiya dîwarê lê gava ku haya wî jê hebû zû tevdigere. Ev bê guman ji hêla vê yekê ve hate alîkar kirin ku hacker bi îdîaya agahdariya nasîna sereke di qada gelemperî de hiştiye, Stone got.
Ger hûn meraq dikin çima em di vê beşê de kûr nabin, ji kerema xwe fêm bikin ku ji ber agahdariya kêm em dikarin tenê texmîn bikin. Ji ber ku hack bi qulikek ji hêla Capital One ve hatî hiştin ve girêdayî ye. Û heya ku ew bêtir ji me re nebêjin, em ê tenê hemî awayên gengaz navnîş bikin ku Capital One servera xwe vekirî hişt û digel hemî awayên gengaz ku kesek dikare yek ji van vebijarkên cûda bikar bîne. Van xeletî û teknîk dikarin ji çavdêriyên bêaqil ên bêaqil bigire heya qalibên pir tevlihev. Ji ber cûrbecûr derfetan, ev ê bibe sagayek dirêj û bê encamek rastîn. Ji ber vê yekê, bila em bala xwe bidin ser analîzkirina beşa ku tê de rastî hene.
Ji ber vê yekê gava yekem ev e: bizanin ka dîwarên we çi destûrê didin.
Siyasetek an pêvajoyek rast damezrînin da ku bicîh bikin ku TENÊ tiştê ku divê were vekirin vebe. Ger hûn çavkaniyên AWS-ê yên mîna Komên Ewlekariyê an ACL-yên Torê bikar tînin, eşkere ye ku navnîşa kontrolê dikare dirêj be... lê mîna ku gelek çavkaniyan bixweber têne afirandin (ango CloudFormation), di heman demê de gengaz e ku meriv lênihêrîna wan jî bixweber bike. Ka ew skrîptek xwemalî be ku tiştên nû ji bo kêmasiyan dikole, an tiştek mîna vekolînek ewlehiyê di pêvajoyek CI/CD de... gelek vebijarkên hêsan hene ku ji vê yekê dûr bikevin.
Beşa "kêmxweş" a çîrokê ev e ku heke Capital One di rêza yekem de qulikê vegirta ... tiştek nedibû. Û ji ber vê yekê, bi eşkere, her gav şok e ku meriv bi rastî tiştek çawa bibîne pir hêsan dibe sedema yekane ku şirketek were hackkirin. Bi taybetî yek bi qasî Capital One mezin.
Ji ber vê yekê, hacker li hundur - paşê çi qewimî?
Welê, piştî têkçûna mînakek EC2 ... pir tişt dikare xelet bibe. Heke hûn bihêlin kesek ewqas dûr biçe, hûn bi pratîkî li ser devê kêrê dimeşin. Lê çawa ew ket nav kepçeyên S3? Ji bo ku vê yekê fêm bikin, werin em Rolên IAM-ê nîqaş bikin.
Ji ber vê yekê, yek awayê gihîştina karûbarên AWS ev e ku hûn bibin Bikarhêner. Baş e, ev yek pir eşkere ye. Lê heke hûn dixwazin karûbarên din ên AWS, wek serverên serîlêdana xwe, bigihîjin kepçeyên xwe yên S3 çi bikin? Ji ber vê yekê rola IAM ji bo wê ye. Ew ji du beşan pêk tên:
- Polîtîkaya Baweriyê - kîjan karûbar an kes dikarin vê rolê bikar bînin?
- Polîtîkaya Destûran - ev rola çi destûrê dide?
Mînakî, hûn dixwazin rolek IAM-ê biafirînin ku dê destûrê bide mînakên EC2 ku bigihîjin kepek S3: Pêşîn, rol tê destnîşan kirin ku Siyasetek Baweriyê hebe ku EC2 (tevahiya karûbar) an mînakên taybetî dikarin rolê "bigrin". Qebûlkirina rolek tê vê wateyê ku ew dikarin destûrên rolê bikar bînin da ku çalakiyan bikin. Ya duyemîn, Siyaseta Destûran destûrê dide karûbar/kes/çavkaniya ku "rola xwe girtiye" ku li ser S3-ê tiştek bike, gelo ew bigihîje yek kelek taybetî ... an jî ji 700-î zêdetir, wekî di doza Capital One de.
Gava ku hûn di mînakek EC2 de bi rola IAM re ne, hûn dikarin bi çend awayan pêbaweriyan bistînin:
- Hûn dikarin metadaneyên nimûne li ser daxwaz bikin
http://169.254.169.254/latest/meta-dataDi nav tiştên din de, hûn dikarin rola IAM-ê bi yek ji bişkojkên gihîştinê li vê navnîşanê bibînin. Bê guman, tenê heke hûn di mînakek de ne.
- AWS CLI bikar bînin...
Ger AWS CLI were saz kirin, heke hebe, ew bi pêbaweriyên ji rolên IAM-ê tê barkirin. Tiştê ku dimîne ev e ku BI MENALÊ RE bixebitin. Bê guman, ger Siyaseta Baweriya wan vekirî bû, Paige dikaribû her tiştî rasterast bike.
Ji ber vê yekê cewherê rolên IAM ev e ku ew dihêlin hin çavkaniyan li ser NAVÊ WE li ser ÇAVKANÊN DIN tevbigerin.
Naha ku hûn rolên IAM-ê fam dikin, em dikarin li ser tiştê ku Paige Thompson kir biaxivin:
- Wê gihîştina serverê (mînakek EC2) bi qulikek di dîwarê agir de bi dest xist
Ka ew komên ewlehiyê / ACL an jî dîwarên serîlêdana wan ên webê bûn, belkî qul pir hêsan bû, wekî ku di tomarên fermî de tê gotin.
- Carekê li ser serverê, wê dikaribû "wek ku" ew bixwe server bû tevbigere
- Ji ber ku rola servera IAM-ê destûr da ku S3 bigihîje van 700+ kepçeyan, ew karibû bigihîje wan
Ji wê gavê û pê de, tenê ew bû ku wê fermanê bimeşîne List Bucketsû paşê ferman Sync ji AWS CLI...
. Pêşîlêgirtina zirarek wusa ev e ku çima pargîdan ew qas di parastina binesaziya ewr, DevOps, û pisporên ewlehiyê de veberhênan dikin. Û çiqas bi nirx û biha-bandor diçe ber ewr? Ew qas ku di heman demê de li hember her ku diçe bêtir kêşeyên ewlehiya sîber !
Morala çîrokê: ewlehiya xwe kontrol bikin; Kontrolên birêkûpêk bikin; Ji bo polîtîkayên ewlehiyê prensîba kêmtirîn îmtiyazê rêz bigirin.
( Hûn dikarin raporta dadrêsî ya tevahî bibînin).
Source: www.habr.com