19 оны 2019-р сарын 106-ний өдөр Capital One нь орчин үеийн бүх компаниудын айдаг мэдээг хүлээн авлаа - мэдээлэл алдагдлаа. Үүнд 140 сая гаруй хүн өртсөн. АНУ-ын 000 нийгмийн даатгалын дугаар, Канадын нэг сая нийгмийн даатгалын дугаар. 80 банкны данс. Тааламжгүй, та санал нийлэхгүй байна уу?
Харамсалтай нь 19-р сарын XNUMX-нд хакердсангүй. Үүнээс харахад Пейж Томпсон, ака.к. Хэтэрхий, 22 оны 23-р сарын 2019-ноос XNUMX-р сарын XNUMX-ны хооронд үйлдсэн. Тэр бол бараг дөрвөн сарын өмнө. Чухамдаа гадны зөвлөхүүдийн тусламжтайгаар л Capital One ямар нэгэн зүйл болсныг олж мэдсэн.
Амазоны хуучин ажилтан баривчлагдаж, 250 долларын торгууль ногдуулж, таван жилийн хорих ялаар шийтгүүлэх болно... гэхдээ маш олон сөрөг зүйл үлдсээр байна. Яагаад? Учир нь халдлагад өртсөн олон компаниуд цахим гэмт хэрэг нэмэгдэж байгаа энэ үед дэд бүтэц, хэрэглээгээ бэхжүүлэх хариуцлагаас татгалзахыг оролдож байна.
Ямартай ч та энэ түүхийг google-ээс хялбархан хайж олох боломжтой. Бид жүжигт орохгүй, гэхдээ ярих болно техникийн асуудлын тал.
Юуны өмнө юу болсон бэ?
Capital One-д 700 орчим S3 хувин ажиллаж байсан бөгөөд Пейж Томпсон үүнийг хуулж аваад зайлуулав.
Хоёрдугаарт, энэ нь буруу тохируулсан S3 хувин бодлогын бас нэг тохиолдол мөн үү?
Үгүй ээ, энэ удаад биш. Энд тэрээр буруу тохируулагдсан галт хана бүхий серверт нэвтэрч, тэндээс бүх үйлдлийг гүйцэтгэсэн.
Хүлээгээрэй, энэ яаж боломжтой вэ?
За тэгээд серверт нэвтэрч эхэлцгээе, гэхдээ бидэнд нарийн ширийн зүйл байхгүй. Энэ нь "буруу тохируулагдсан галт хана" -аар л болсон гэж бидэнд хэлсэн. Тиймээс, аюулгүй байдлын бүлгийн буруу тохиргоо эсвэл вэб програмын галт хана (Imperva) эсвэл сүлжээний галт хана (iptables, ufw, shorewall гэх мэт) зэрэг энгийн зүйл. “Капитал XNUMX” компани зөвхөн буруугаа хүлээн зөвшөөрч, нүхийг хаасан гэж мэдэгджээ.
Стоун хэлэхдээ Capital One анх галт хананы эмзэг байдлыг анзаараагүй ч үүнийг мэдсэн даруйдаа шуурхай арга хэмжээ авсан. Хакер таних түлхүүр мэдээллийг олон нийтэд үлдээсэн нь үүнд нөлөөлсөн гэж Стоун хэлэв.
Хэрэв та бид яагаад энэ хэсгийг илүү гүнзгийрүүлэхгүй байна гэж гайхаж байгаа бол мэдээлэл хязгаарлагдмал тул бид зөвхөн таамаглаж чадна гэдгийг ойлгоорой. Хакерууд нь Капитал XNUMX-ийн үлдээсэн нүхнээс хамааралтай байсан тул энэ нь утгагүй юм. Хэрэв тэд бидэнд илүү ихийг хэлэхгүй бол бид Capital One серверээ нээлттэй орхиж, хэн нэгэн эдгээр өөр сонголтуудын аль нэгийг ашиглаж болох бүх боломжит аргуудыг жагсаах болно. Эдгээр дутагдал, арга техник нь тэнэг хараа хяналтаас эхлээд гайхалтай нарийн төвөгтэй хэв маяг хүртэл янз бүр байж болно. Боломжийн цар хүрээг харгалзан үзвэл энэ нь ямар ч бодит дүгнэлтгүй урт домог болно. Тиймээс баримт байгаа хэсэгт дүн шинжилгээ хийх тал дээр анхаарлаа хандуулъя.
Тиймээс хамгийн эхний зүйл бол таны галт хана юуг зөвшөөрдөг болохыг мэдэх явдал юм.
ЗӨВХӨН нээх шаардлагатай зүйлийг нээх бодлого эсвэл зөв үйл явцыг бий болгох. Хэрэв та Аюулгүй байдлын бүлгүүд эсвэл Сүлжээний ACL гэх мэт AWS нөөцүүдийг ашиглаж байгаа бол аудит хийх хяналтын хуудас нь мэдээжийн хэрэг урт байх болно... гэхдээ олон нөөц автоматаар үүсгэгддэгтэй адил (жишээ нь CloudFormation) аудитыг автоматжуулах боломжтой. Энэ нь шинэ объектуудын алдаа дутагдлыг хайдаг гар хийцийн скрипт эсвэл CI/CD процесс дахь аюулгүй байдлын аудит гэх мэт ... үүнээс зайлсхийх олон хялбар сонголтууд байдаг.
Түүхийн "инээдтэй" хэсэг нь "Капитал нэг" анх нүхийг нь тагласан бол... юу ч болохгүй байсан. Тиймээс, ний нуугүй хэлэхэд ямар нэг зүйл үнэхээр яаж байгааг харах нь үргэлж цочирддог нэлээн энгийн компани хакердах цорын ганц шалтгаан болдог. Ялангуяа Capital One шиг том.
Тэгэхээр, дотор нь хакер - дараа нь юу болсон бэ?
За, EC2 инстант руу орсны дараа ... маш их зүйл буруу болж магадгүй юм. Хэрэв та хэн нэгнийг хол явуулбал хутганы ирмэг дээр бараг л алхаж байна гэсэн үг. Гэхдээ яаж S3 хувин руу орсон бэ? Үүнийг ойлгохын тулд IAM үүргийн талаар ярилцъя.
Тиймээс AWS үйлчилгээнд хандах нэг арга бол хэрэглэгч байх явдал юм. За, энэ нь маш тодорхой байна. Гэхдээ та өөрийн програмын серверүүд гэх мэт бусад AWS үйлчилгээндээ S3 хувиндаа хандах эрх олгохыг хүсвэл яах вэ? IAM-ийн үүрэг үүнд зориулагдсан юм. Тэд хоёр бүрэлдэхүүн хэсгээс бүрдэнэ:
- Итгэлцлийн бодлого - ямар үйлчилгээ эсвэл хүмүүс энэ үүргийг ашиглаж болох вэ?
- Зөвшөөрлийн бодлого - энэ үүрэг юуг зөвшөөрдөг вэ?
Жишээлбэл, та EC2 инстанцуудад S3 хувин руу хандах боломжийг олгох IAM үүргийг үүсгэхийг хүсэж байна: Нэгдүгээрт, үүрэг нь EC2 (бүх үйлчилгээ) эсвэл тодорхой инстанцууд үүргийг "ээлж авах" боломжтой Итгэмжлэлийн бодлоготой байхаар тохируулагдсан. Дүр хүлээн авснаар тэд дүрийн зөвшөөрлийг ашиглан үйлдэл хийх боломжтой гэсэн үг юм. Хоёрдугаарт, Зөвшөөрлийн бодлого нь "Үүрэг гүйцэтгэсэн" үйлчилгээ/хүн/нөөцөд Capital One-н нэгэн адил тодорхой нэг хувин... эсвэл 3-аас дээш хандалт хийх эсэхээс үл хамааран S700 дээр юу ч хийхийг зөвшөөрдөг.
Та IAM үүрэг бүхий EC2 инстантад орсон бол итгэмжлэлийг хэд хэдэн аргаар авч болно:
- Та жишээнүүдийн мета өгөгдлийг дараах хаягаар хүсэх боломжтой
http://169.254.169.254/latest/meta-dataБусад зүйлсийн дотор та энэ хаяг дахь хандалтын түлхүүрүүдийн аль нэгээр нь IAM-ийн үүргийг олох боломжтой. Мэдээжийн хэрэг, хэрэв та жишээнд байгаа бол.
- AWS CLI ашиглах...
Хэрэв AWS CLI суулгасан бол, хэрэв байгаа бол IAM-ын үүргүүдийн итгэмжлэлээр ачаалагдана. Үлдсэн зүйл бол жишээгээр дамжуулан ажиллах явдал юм. Мэдээжийн хэрэг, хэрэв тэдний Итгэлцлийн бодлого нээлттэй байсан бол Пэйж бүх зүйлийг шууд хийж чадна.
Тиймээс IAM-ын үүргийн мөн чанар нь зарим нөөцийг БУСАД НӨӨЦӨЛТҮҮДЭЭР ТАНЫ НӨӨӨЛИЙН ӨМНӨӨӨР ажиллах боломжийг олгодогт оршино.
Одоо та IAM-ийн үүргийг ойлгосон тул бид Пейж Томпсоны хийсэн зүйлийн талаар ярьж болно.
- Тэрээр галт ханын цоорхойгоор дамжуулан серверт (EC2 жишээ) хандах боломжтой болсон
Аюулгүй байдлын бүлгүүд/ACL-ууд эсвэл өөрсдийн вэб програмын галт хана байсан ч албан ёсны бүртгэлд дурдсанчлан нүхийг бөглөхөд маш хялбар байсан байх.
- Сервер дээр суусны дараа тэр өөрөө сервер шиг "хэрэв" ажиллаж чадсан
- IAM серверийн үүрэг нь S3-д эдгээр 700+ хувин руу хандахыг зөвшөөрсөн тул тэдгээрт хандах боломжтой болсон
Энэ мөчөөс эхлэн түүний хийх ёстой зүйл бол тушаалыг гүйцэтгэх явдал байв List Bucketsтэгээд тушаал Sync AWS CLI-аас...
. Ийм эвдрэлээс урьдчилан сэргийлэхийн тулд компаниуд үүлэн дэд бүтцийн хамгаалалт, DevOps болон аюулгүй байдлын мэргэжилтнүүдэд маш их хөрөнгө оруулалт хийдэг. Мөн үүлэн рүү шилжих нь хэр үнэ цэнэтэй, хэмнэлттэй вэ? Тиймээс улам бүр кибер аюулгүй байдлын сорилттой тулгарч байсан ч гэсэн !
Түүхийн ёс суртахуун: аюулгүй байдлаа шалгаарай; Тогтмол аудит хийх; Аюулгүй байдлын бодлогод хамгийн бага давуу эрх олгох зарчмыг хүндэтгэ.
( Та хуулийн тайланг бүрэн эхээр нь үзэх боломжтой).
Эх сурвалж: www.habr.com