Die XIX mensis Iulii anno MMXIX, Capital Receptum est nuntium quem omnes hodierni societatis metuunt - notatio interruptio facta est. Plus quam 19 miliones hominum afficit. 2019 numerus securitatis socialis US, numerus securitatis socialis Canadiensis unus miliones. 106 ripae rationum. Injucundus es, ecquid convenis?
Dolendum est, hack non occurrit die 19 mensis Iulii. Ut evenit, Paige Thompson, a.k.a. Erraticid commisit inter 22 Martii et 23 Martii MMXIX. Ille est prope quattuor menses ante. Re vera, solum extra consultores adiuvante Capital One aliquid accidisse reperire potuit.
Olim Amazon molestus comprehensus est et a $250 annis bene et quinque annis in carcere detentus est... sed multum adhuc negativitatis superest. Quare? Quia multae societates quae ab autocinetis passi sunt depellunt responsabilitatem suam infrastructuram et applicationes confirmandi inter cybercrime ortum.
Usquam, facile hanc fabulam google potes. Non in drama, sed loquimur technica parte rei.
Primum quid?
Capital One habebat circiter 700 S3 situlas cursus, quas Paige Thompson exscripserat et siphoned interiit.
Secundo, estne hic alius casus S3 situla consilii misconfigured?
Nulla id tempus neque. Hic accessum ministranti cum firewall perperam figurante et totam inde operationem perfecit.
Exspecta, quomodo id fieri potest?
Bene, initium colligationem in servo, licet multa singularia non habemus. Tantum narravimus quod per "murum fire configuratum" contigisse. Ita res tam simplex quam falsa securitas coetus uncinis vel figuratio interretialis applicationis firewall (Imperva), vel murus retis (iptables, ufw, litus, etc.). Capital unus solus reatum suum admisit et dixit ei foramen clausisse.
Lapis dixit Capital One non primum vulnerabilitatem murus videbat, sed cito statim sensit eam fecit. Hoc certe adiuvatur quod piratica asserta key notitias cognoscentes in dominio publico dixit, Lapis dixit.
Si miraris cur in hanc partem non altius descendimus, intellige quaeso ob limitata informationes solum speculari posse. Hoc nihili facit sensui truncam positam esse in foramine a Capitali relicto. Et nisi plura nobis narrant, omnes vias possibilis Capital Iustus recensere debebimus unus servo suo aperto in compositione cum omnibus modis possibilibus quibus quis potest uti una ex his diversis optionibus. Haec vitia et artes possunt vagari ab imprudentibus stupidis bacchatur ad exemplaria incredibiliter complexa. Data facultates facultatem, haec longa saga sine conclusione reali fiet. Ideo focus in analysi partem in qua habemus facta.
Prima igitur tollenda est: scito quid igniculi sinunt.
Consilium seu processum proprium constitue ut id solum aperiatur quod aperiendum est. Si facultates AWS uteris sicut Groups Securitatis vel ACLs Network, quippe maculosus ad computum longum esse potest... sed sicut multae facultates automatice creatae sunt (i.e. CloudFormation), etiam possibile est automate audiendo. Utrum scriptor homemade scriptor est qui nova obiecta pro vitiis perlustrat, vel aliquid simile audit securitatis in processu CI/CD.
Partem fabulae "ridiculam" est quod si Capital One foramen primo loco inplerat ... nihil evenisset. Itaque, ingenue, semper turpe est videre quomodo aliquid re vera satis simplex fit una causa societas detruncandi. Maxime quis magni ut Capital One.
Ita, Piratica intus - quid deinde?
Bene, post fractionem in exemplum EC2 ... multum potest errare. Fere in cultri margine ambulas si aliquem attingas. Sed quomodo pervenit in situlas S3? Quod ut intelligat, de IAM muneribus disputemus.
Uno itaque modo aditus AWS operae usoris esse debet. Bene, hoc unum satis manifestum est. Sed quid si alia officia AWS dare vis, ut servientibus tuis applicandis, aditus ad S3 situlas tuas? Id quod IAM partes sunt. Duo constant:
- Fiducia Policy - quae officia vel homines hoc munere uti possunt?
- Permissionum Policy - quid hoc munus patitur?
Exempli gratia, vis creare munus IAM quod instantiae EC2 sinit accedere ad situlam S3: Primum, munus positum est habere fideicommissum Policy quod EC2 (totum servitium) vel instantiae specificae munus "accipere" possunt. Munus accipientes facultates suas permissionibus munere fungi possunt ad actiones exercendas uti. Secundo, Permissionibus Policy permittit ministerium/persona/resource, quae "munus" sumpsit ad aliquid faciendum in S3, sive accessio una situla specifica.
Semel in exempli gratia EC2 cum IAM partes es, documentorum pluribus modis obtinere potes;
- Peto a metadata potes exempli gratia
http://169.254.169.254/latest/meta-dataInter alia, munus IAM invenire potes cum quavis clavium accessu in hac inscriptione. Sane, si modo sis in exemplo.
- Utere AWS CLI...
Si AWS CLI inauguratur, documentorum IAM muneribus, si adsint, oneratur. Reliquum est ut per instanciam elaborandum sit. Scilicet, si aperta erat fiducia eorum, Paige omnia directe facere potuit.
Essentia igitur functionum IAM est ut aliquas facultates agere PRO VOS DE RELIQUIS REBUS concedant.
Nunc ut partes IAM intelligas, loqui possumus quid fecerit Paige Thompson:
- Illa servo accessum (EC2 exempli gratia) per foramen firewall accepit
Utrum coetus securitatis/ACLs vel focorum schedularum suarum applicatio esset, foramen satis facile obturaculum erat, sicut in fastis publicis declaravit.
- Olim in calculonis servi agere poterat "quasi" se ministrans esset
- Cum munus servientis IAM S3 accessum ad has 700+ situlas permisisset, ad eas accedere potuit
Ex eo tempore omnia, quae facere debebant, mandata sunt List Bucketstum mandatum Sync ex AWS CLI...
. Prohibendo tale damnum est quod societates tam in nube infrastructurae praesidia collocant, DevOps, et periti securitatis. Et quam pretiosum et efficax est movere ad nubem? Adeo ut etiam in facie magis magisque cybersecuritas provocationes !
Moralis fabulae: Reprehende salutem tuam; Auditos regulares ducere; Respiciunt principium minimi privilegii securitatis initis.
( plenam iuris famam inspicere potes).
Source: www.habr.com