Tamin'ny 19 Jolay 2019, nahazo ny hafatra ny Capital One fa atahoran'ny orinasa maoderina rehetra — nitranga ny fanitsakitsahana ny angon-drakitra. Olona 106 tapitrisa mahery no tratran'izany. Laharana fiahiana ara-tsosialy 140 amerikana, laharana fiahiana ara-tsosialy Kanadiana iray tapitrisa. Kaonty banky 000. Tsy mahafinaritra, tsy manaiky ve ianao?
Indrisy anefa fa tsy nitranga ny hack tamin'ny 19 Jolay. Raha ny fantatra, Paige Thompson, a.k.a. hafahafa, nanao izany teo anelanelan'ny 22 martsa sy 23 martsa 2019. Izany hoe efa ho efa-bolana lasa izay. Raha ny marina, noho ny fanampian'ny mpanolo-tsaina avy any ivelany ihany no nahalalan'ny Capital One fa nisy zavatra nitranga.
Nosamborina ny mpiasan'ny Amazon teo aloha ary voasazy handoa onitra 250 dolara ary an-tranomaizina dimy taona... saingy mbola betsaka ny zavatra ratsy tavela. Nahoana? Satria maro amin'ireo orinasa niharan'ny hacks no miezaka manala ny andraikitra amin'ny fanamafisana ny fotodrafitrasa sy ny fampiharana azy ireo eo anivon'ny firongatry ny cybercriminalité.
Na izany na tsy izany, azonao atao amin'ny google mora foana ity tantara ity. Tsy hiditra tantara an-tsehatra isika fa hiresaka ara-teknika lafin’ny raharaha.
Inona aloha no nitranga?
Ny Capital One dia nanana siny S700 teo amin'ny 3, izay nalain'i Paige Thompson ary navoaka.
Faharoa, tranga hafa momba ny politikan'ny siny S3 ve ity?
Tsia, tsy tamin'ity indray mitoraka ity. Eto izy dia nahazo fidirana amin'ny mpizara iray misy firewall tsy voalamina tsara ary avy eo no nanao ny hetsika manontolo.
Andraso, ahoana izany?
Eny ary, andao hanomboka amin'ny fidirana amin'ny mpizara, na dia tsy manana antsipiriany betsaka aza. Nolazaina taminay fotsiny fa tamin'ny alàlan'ny "firewall diso nohavaozina." Noho izany, zavatra tsotra toy ny firafitry ny vondrona fiarovana diso na ny fanamafisana ny firewall fampiharana amin'ny Internet (Imperva), na ny firewall (iptables, ufw, shorewall, sns.). Niaiky ny helony ihany ny Capital One ary nilaza fa nanidy ny lavaka.
Nilaza i Stone fa ny Capital One dia tsy nahatsikaritra ny fahalemen'ny firewall tamin'ny voalohany fa nihetsika haingana rehefa nahafantatra izany. Azo antoka fa nanampy tamin'ny zava-misy fa ny mpijirika dia voalaza fa namela fampahalalana manan-danja amin'ny sehatra ho an'ny daholobe, hoy i Stone.
Raha manontany tena ianao hoe maninona no tsy miditra lalindalina kokoa amin'ity ampahany ity izahay, azafady mba fantaro fa noho ny fampahalalana voafetra dia afaka manombatombana fotsiny izahay. Tsy misy dikany izany satria niankina tamin'ny lavaka navelan'ny Capital One ny hack. Ary raha tsy milaza amintsika bebe kokoa izy ireo, dia ho tanisaintsika fotsiny ny fomba rehetra ahafahan'ny Capital One mamela ny lohamiliny misokatra miaraka amin'ny fomba rehetra mety ahafahan'ny olona mampiasa ny iray amin'ireo safidy samihafa ireo. Ireo lesoka sy teknika ireo dia mety miainga avy amin'ny fanaraha-maso adaladala ka hatramin'ny lamina sarotra be. Raha jerena ny isan'ny azo atao dia ho lasa tantara lava be tsy misy fehin-kevitra tena izy. Noho izany, andeha isika hifantoka amin'ny famakafakana ny ampahany izay ananantsika ny zava-misy.
Noho izany, ny dingana voalohany dia ny hoe: fantaro izay avelan'ny firewall anao.
Mametraha politika na dingana mety mba hahazoana antoka fa izay tokony hosokafana IHANY no misokatra. Raha mampiasa loharano AWS toy ny Security Groups na Network ACLs ianao, dia mazava ho azy fa mety ho lava ny lisitry ny fanamarinana ho an'ny fanaraha-maso ... fa toy ny loharano maro dia noforonina ho azy (izany hoe CloudFormation), azo atao ihany koa ny manao automatique ny fanaraha-maso azy ireo. Na sora-tanana vita an-trano izay mijery zavatra vaovao momba ny lesoka, na zavatra toy ny fanaraha-maso fiarovana amin'ny fizotry ny CI/CD... misy safidy mora maro hialana amin'izany.
Ny ampahany "mampihomehy" amin'ny tantara dia raha ny Capital One no nanidy ny lavaka tamin'ny voalohany ... tsy nisy nitranga. Ary noho izany, raha ny marina, dia manafintohina foana ny mahita ny tena zava-misy tena tsotra lasa hany antony hosokajiana orinasa iray. Indrindra fa iray lehibe toy ny Capital One.
Noho izany, mpijirika ao anatiny - inona no nitranga taorian'izay?
Eny ary, rehefa avy niditra tao amin'ny ohatra EC2 ... betsaka no mety ho diso. Saika mandeha amin'ny lelan'antsy ianao raha avelanao handeha lavitra ny olona iray. Ahoana anefa no nidirany tao anaty siny S3? Mba hahatakarana izany, andao hiresaka momba ny anjara asan'ny IAM.
Noho izany, ny fomba iray hidirana amin'ny serivisy AWS dia ny maha-mpampiasa azy. Okay, mazava be ity iray ity. Ahoana anefa raha te-hanome serivisy AWS hafa ianao, toy ny lohamilina fampiharana anao, miditra amin'ny siny S3 anao? Izany no anton'ny anjara asan'ny IAM. Misy singa roa izy ireo:
- Politika fitokisana - Inona no serivisy na olona afaka mampiasa an'io andraikitra io?
- Politika fahazoan-dàlana - inona no avelan'io andraikitra io?
Ohatra, te-hamorona anjara IAM izay ahafahanao miditra amin'ny siny S2 ny tranga EC3: Voalohany, ny andraikitra dia napetraka mba hanana Politika azo antoka fa ny EC2 (ny serivisy manontolo) na ny tranga manokana dia afaka "maka" ny andraikitra. Ny fanekena anjara dia midika fa afaka mampiasa ny fanomezan-dàlana avy amin'ilay andraikitra izy ireo mba hanatanterahana hetsika. Faharoa, ny Politikan'ny Fanomezana alalana dia mamela ny serivisy/olona/loharanom-baovao izay “nandray ny andraikitra” hanao na inona na inona amin'ny S3, na miditra siny manokana iray... na mihoatra ny 700, toy ny tamin'ny Capital One.
Raha vantany vao tafiditra ao anatin'ny ohatra EC2 ianao miaraka amin'ny anjara asan'ny IAM, dia afaka mahazo fahazoan-dàlana amin'ny fomba maro ianao:
- Azonao atao ny mangataka metadata ohatra amin'ny
http://169.254.169.254/latest/meta-dataAnkoatra ny zavatra hafa, azonao atao ny mahita ny anjara asan'ny IAM miaraka amin'ny fanalahidy fidirana amin'ity adiresy ity. Mazava ho azy, raha ao anatin'ny ohatra iray ihany ianao.
- Mampiasà AWS CLI...
Raha apetraka ny AWS CLI, dia feno fanomezan-dàlana avy amin'ny andraikitry ny IAM, raha misy. Ny hany sisa tavela dia ny miasa amin'ny alàlan'ny ohatra. Mazava ho azy fa raha misokatra ny politikan'ny fahatokisan-dry zareo dia afaka manao mivantana ny zava-drehetra i Paige.
Noho izany, ny tena fototry ny anjara andraikitry ny IAM dia ny mamela loharano sasany hiasa amin'ny anaran'ny RESOURCES HAFA.
Ankehitriny rehefa azonao ny andraikitry ny IAM dia afaka miresaka momba ny nataon'i Paige Thompson isika:
- Nahazo fahafahana miditra amin'ny mpizara izy (ohatra EC2) tamin'ny alalan'ny lavaka iray teo amin'ny rindrina afo
Na vondrona fiarovana/ACL izany na ny firewall fampiharana amin'ny Internet, dia azo inoana fa mora nopetahana ilay lavaka, araka ny voalaza ao amin'ny firaketana ofisialy.
- Indray mandeha teo amin'ny mpizara izy dia afaka nanao “toy ny hoe” izy mihitsy no mpizara
- Koa satria ny anjara asan'ny mpizara IAM dia namela ny S3 miditra amin'ireo siny 700+ ireo, dia afaka niditra tamin'izy ireo izy
Nanomboka tamin'izay fotoana izay dia tsy maintsy nanao ny baiko izy List Bucketsary avy eo ny baiko Sync avy amin'ny AWS CLI...
. Ny fisorohana ny fahasimbana toy izany no mahatonga ny orinasa hampiasa vola be amin'ny fiarovana ny fotodrafitrasa rahona, DevOps, ary manampahaizana momba ny fiarovana. Ary manao ahoana ny hasarobidin'ny vidiny sy ny vidiny mikisaka mankany amin'ny rahona? Hany ka na dia eo aza ny fanamby momba ny fiarovana an-tserasera !
Ny fitsipi-pitondran-tena: jereo ny fiarovana anao; Manao fanaraha-maso tsy tapaka; Hajao ny fitsipiky ny tombontsoa faran'izay kely indrindra amin'ny politika fiarovana.
( Azonao jerena ny tatitra feno momba ny lalàna).
Source: www.habr.com