Fid-19 ta’ Lulju 2019, Capital One irċeviet il-messaġġ li kull kumpanija moderna tibża’—seħħ ksur tad-dejta. Affettwa aktar minn 106 miljun ruħ. 140 numri tas-sigurtà soċjali tal-Istati Uniti, miljun numru tas-sigurtà soċjali Kanadiżi. 000 kont bankarju. Spjaċevoli, ma taqbilx?
Sfortunatament, il-hack ma seħħx fid-19 ta 'Lulju. Kif jirriżulta, Paige Thompson, a.k.a. Żbaljat, wettaqha bejn it-22 ta’ Marzu u t-23 ta’ Marzu, 2019. Jiġifieri kważi erba’ xhur ilu. Fil-fatt, kien biss bl-għajnuna ta’ konsulenti ta’ barra li Capital One seta’ jiskopri li kienet ġrat xi ħaġa.
Eks-impjegat ta’ Amazon ġie arrestat u qed jiffaċċja multa ta’ $250 u ħames snin ħabs... iżda għad fadal ħafna negattività. Għaliex? Għax ħafna kumpaniji li sofrew minn hacks qed jippruvaw jonqsu mir-responsabbiltà li jsaħħu l-infrastruttura u l-applikazzjonijiet tagħhom fost iż-żieda fiċ-ċiberkriminalità.
Xorta waħda, tista 'faċilment google din l-istorja. Mhux se nidħlu fid-drama, imma nitkellmu dwarhom tekniku naħa tal-kwistjoni.
L-ewwelnett, x'ġara?
Capital One kellha madwar 700 barmil S3 għaddejjin, li Paige Thompson ikkuppjat u sifoned.
It-tieni, dan huwa każ ieħor ta 'politika ta' barmil S3 ikkonfigurat ħażin?
Le, mhux din id-darba. Hawnhekk hija kisbet aċċess għal server b'firewall ikkonfigurat ħażin u wettqet l-operazzjoni kollha minn hemm.
Stenna, kif huwa possibbli?
Ukoll, ejja nibdew billi tidħol fis-server, għalkemm m'għandniex ħafna dettalji. Qalulna biss li ġara permezz ta '"firewall ikkonfigurat ħażin." Allura, xi ħaġa sempliċi daqs issettjar mhux korrett tal-grupp tas-sigurtà jew konfigurazzjoni tal-firewall tal-applikazzjoni tal-web (Imperva), jew firewall tan-netwerk (iptables, ufw, shorewall, eċċ.). Capital One ammettiet biss il-ħtija tagħha u qalet li għalqet it-toqba.
Stone qal li Capital One inizjalment ma nnotax il-vulnerabbiltà tal-firewall iżda aġixxa malajr ladarba sar konxju minnha. Dan żgur kien megħjun mill-fatt li l-hacker allegatament ħalla informazzjoni ewlenija ta 'identifikazzjoni fid-dominju pubbliku, qal Stone.
Jekk qed tistaqsi għaliex mhux se nidħlu aktar fil-fond f'din il-parti, jekk jogħġbok fhimt li minħabba informazzjoni limitata nistgħu biss nispekulaw. Dan ma jagħmilx sens meta wieħed iqis li l-hack kien jiddependi fuq toqba li ħalliet Capital One. U sakemm ma jgħidulna aktar, aħna ser nuru biss il-modi kollha possibbli kif Capital One ħalliet is-server tagħhom miftuħ flimkien mal-modi kollha possibbli li xi ħadd jista' juża waħda minn dawn l-għażliet differenti. Dawn id-difetti u t-tekniki jistgħu jvarjaw minn sorveljanza stupidi selvaġġi għal mudelli oerhört kumplessi. Minħabba l-firxa ta 'possibbiltajiet, din se ssir saga twila mingħajr konklużjoni reali. Għalhekk, ejja niffukaw fuq l-analiżi tal-parti fejn għandna fatti.
Allura l-ewwel takeaway huwa: taf x'jippermettu l-firewalls tiegħek.
Stabbilixxi politika jew proċess xieraq biex tiżgura li jinfetaħ BISS dak li jrid jinfetaħ. Jekk qed tuża riżorsi AWS bħal Gruppi ta 'Sigurtà jew ACLs tan-Netwerk, ovvjament il-lista ta' kontroll għall-verifika tista 'tkun twila ... iżda bħal ħafna riżorsi huma maħluqa awtomatikament (jiġifieri CloudFormation), huwa wkoll possibbli li l-awditjar tagħhom jiġi awtomatizzat. Kemm jekk huwa skript homemade li jiskenja oġġetti ġodda għal difetti, jew xi ħaġa bħal verifika tas-sigurtà fi proċess CI/CD... hemm ħafna għażliet faċli biex jiġi evitat dan.
Il-parti “umoristiċi” tal-istorja hija li kieku l-Kapital One kienet daħħal it-toqba fl-ewwel lok... ma kien jiġri xejn. U għalhekk, franchement, huwa dejjem xokkanti li tara kif xi ħaġa verament pjuttost sempliċi issir l-unika raġuni biex kumpanija tiġi hackjata. Speċjalment wieħed kbir daqs Capital One.
Allura, hacker ġewwa - x'ġara wara?
Ukoll, wara li tidħol f'istanza EC2... ħafna jistgħu jmorru ħażin. Int prattikament miexi fuq xifer ta’ sikkina jekk tħalli lil xi ħadd imur daqshekk. Imma kif daħal fil-bramel S3? Biex nifhmu dan, ejja niddiskutu Rwoli IAM.
Għalhekk, mod wieħed biex taċċessa s-servizzi tal-AWS huwa li tkun Utent. Okay, dan huwa pjuttost ovvju. Imma x'jiġri jekk trid tagħti servizzi oħra tal-AWS, bħalma huma s-servers tal-applikazzjoni tiegħek, aċċess għall-bramel S3 tiegħek? Dak hu li r-rwoli IAM huma għal. Huma jikkonsistu f'żewġ komponenti:
- Politika ta' Fiduċja - liema servizzi jew nies jistgħu jużaw dan ir-rwol?
- Politika tal-permessi - x'jippermetti dan ir-rwol?
Pereżempju, trid toħloq rwol IAM li jippermetti lill-istanzi EC2 jaċċessaw bucket S3: L-ewwel, ir-rwol huwa ssettjat biex ikollu Politika ta' Fiduċja li EC2 (is-servizz kollu) jew istanzi speċifiċi jistgħu "jieħdu" ir-rwol. Li jaċċettaw rwol ifisser li jistgħu jużaw il-permessi tar-rwol biex iwettqu azzjonijiet. It-tieni nett, il-Politika tal-Permessi tippermetti lis-servizz/persuna/riżors li "ħadet ir-rwol" li tagħmel xi ħaġa fuq S3, kemm jekk tkun taċċessa barmil speċifiku wieħed... jew aktar minn 700, bħal fil-każ ta 'Capital One.
Ladarba tkun f'istanza EC2 bir-rwol IAM, tista' tikseb kredenzjali b'diversi modi:
- Tista' titlob metadejta tal-istanza fuq
http://169.254.169.254/latest/meta-data
Fost affarijiet oħra, tista 'ssib ir-rwol IAM ma' kwalunkwe ċwievet ta 'aċċess f'dan l-indirizz. Naturalment, biss jekk tkun f'każ.
- Uża AWS CLI...
Jekk l-AWS CLI hija installata, hija mgħobbija bil-kredenzjali mir-rwoli IAM, jekk preżenti. Li jibqa' biss li taħdem PERMEZZ tal-istanza. Naturalment, jekk il-Politika ta’ Fiduċja tagħhom kienet miftuħa, Paige setgħet tagħmel kollox direttament.
Allura l-essenza tar-rwoli tal-IAM hija li jippermettu li xi riżorsi jaġixxu F'ISEM TIEGĦEK fuq RIŻORSI OĦRA.
Issa li tifhem ir-rwoli tal-IAM, nistgħu nitkellmu dwar dak li għamlet Paige Thompson:
- Hija kisbet aċċess għas-server (istanza EC2) permezz ta 'toqba fil-firewall
Kemm jekk kienu gruppi ta 'sigurtà/ACLs jew firewalls tal-applikazzjoni tal-web tagħhom stess, it-toqba probabbilment kienet pjuttost faċli biex timla, kif iddikjarat fir-rekords uffiċjali.
- Ladarba fuq is-server, hija kienet kapaċi taġixxi "bħallikieku" kienet is-server nfisha
- Peress li r-rwol tas-server IAM ippermetta aċċess S3 għal dawn 700+ bramel, kien kapaċi jaċċessahom
Minn dak il-mument, kull ma kellha tagħmel kien li tmexxi l-kmand List Buckets
u mbagħad il-kmand Sync
minn AWS CLI...
Morali tal-istorja: iċċekkja s-sigurtà tiegħek; Twettaq verifiki regolari; Irrispetta l-prinċipju tal-inqas privileġġ għall-politiki tas-sigurtà.
(
Sors: www.habr.com