Luulyo 19, 2019, Capital One waxay heshay fariinta ay ka baqeyso shirkad kasta oo casri ah - jebinta xogta ayaa dhacday. Waxay saamaysay in ka badan 106 milyan oo qof. 140 nambarada ceymiska bulshada ee Mareykanka, hal milyan oo nambarada ceymiska bulshada ee Kanada. 000 xisaabaad bangi. Wax aan fiicneyn, miyaadan ogolayn?
Nasiib darro, jabsiga ma dhicin Julaay 19-keedii. Sida ay soo baxday, Paige Thompson, aka. Qalad, waxay go'aamisay intii u dhaxaysay March 22 iyo March 23, 2019. Taasi waa ku dhawaad ββafar bilood ka hor. Dhab ahaantii, waxay ahayd kaliya caawinta la-taliyayaal dibadda ah in Capital One ay awood u yeelatay inay ogaato inay wax dhaceen.
Shaqaale hore oo Amazon ka tirsanaa ayaa la xiray wuxuuna wajahayaa ganaax dhan $250 iyo shan sano oo xarig ah...laakin weli wax badan ayaa ka haray. Waa maxay sababtu? Sababtoo ah shirkado badan oo ay la kulmeen jabsiga ayaa isku dayaya in ay ka fogaadaan mas'uuliyadda xoojinta kaabayaasha iyo codsiyada iyada oo ay sii kordhayaan dambiyada internetka.
Si kastaba ha ahaatee, waxaad si fudud u Google-gali kartaa sheekadan. Ma geli doono riwaayad, laakiin ka hadal farsamo dhinaca arrinta.
Horta maxaa dhacay?
Capital One waxay lahayd ilaa 700 baaldiyo S3 ah oo ordaya, kuwaas oo Paige Thompson uu koobiyeeyay oo iska saaray.
Marka labaad, kani ma kiis kale oo siyaasad baaldiyada S3 si khaldan loo habeeyey?
Maya, maaha markan. Halkan waxa ay ka heshay server-ka oo si khaldan loo habeeyey, waxana ay halkaas ka fulisay hawshii oo dhan.
Sug, sidee taasi suurtogal u tahay?
Hagaag, aan ku bilowno gelitaanka server-ka, in kasta oo aynaan faahfaahin badan hayn. Waxa kaliya oo naloo sheegay in ay ku dhacday βFirewall si khaldan loo habeeyeyβ. Markaa, wax u fudud sida dejinta kooxda amniga ee khaldan ama qaabaynta dab-darka codsiga webka (Imperva), ama firewall network (iptables, ufw, shorewall, iwm.). Capital One ayaa qiratay dambigeeda oo ay sheegtay inay xidhay godka.
Stone wuxuu sheegay in Capital One markii hore aysan dareemin nuglaanta darbiga laakiin ay si dhakhso ah u dhaqantay markii ay ogaatay. Tani waxaa hubaal ah in ay caawisay xaqiiqda ah in jabsiga la sheegay in uu ka tagay xogta muhiimka ah ee lagu aqoonsanayo goobaha dadweynaha, ayuu yiri Stone.
Haddii aad la yaabban tahay sababta aynaan u sii qoto dheerayn qaybtan, fadlan faham sababta macluumaadka xaddidan awgeed aan kaliya qiyaasi karno. Tani macno ma samaynayso marka la eego in jabsiga ay ku tiirsan tahay dalool ay ka tagtay Capital One. Iyo ilaa ay noo sheegaan wax badan mooyaane, waxaanu kaliya liis gareyn doonaa dhammaan siyaabaha suurtogalka ah ee Capital One uga tagtay server-kooda oo furan iyadoo la raacayo dhammaan siyaabaha suurtogalka ah ee qof u isticmaali karo mid ka mid ah fursadahan kala duwan. Cilladahan iyo farsamooyinkan waxay u dhaxayn karaan indho-indheyn nacasnimo ah ilaa qaabab aad u adag. Marka la eego fursadaha kala duwan, tani waxay noqon doontaa sheeko dheer oo aan lahayn gunaanad dhab ah. Haddaba, aynu xoogga saarno falanqaynta qaybta aynu xaqiiqooyinka ka hayno.
Markaa waxa ugu horreeya ee la qaadanayo waa: ogow waxa dab-bararkaagu ogol yahay.
Deji siyaasad ama hab sax ah si loo hubiyo in kaliya waxa loo baahan yahay in la furo. Haddii aad isticmaalayso agabka AWS sida Kooxaha Ammaanka ama Network ACLs, sida iska cad liiska hubinta ee xisaabinta waxa uu noqon karaa mid dheer... laakiin sida agabyo badan ayaa si toos ah loo abuuray (ie CloudFormation), waxa kale oo suurtagal ah in si otomaatig ah loo sameeyo xisaabintooda. Haddi ay tahay qoraal guri lagu sameeyay oo walxaha cusub ka baadhaya cilladaha, ama shay la mid ah hanti dhawrka amniga ee habka CI/CD...waxa jira doorashooyin badan oo fudud oo tan lagaga hortagi karo.
Qosolka sheekadu waa in haddii Capital One ay godka markii hore xiri lahayd... waxba ma dhaceen. Oo sidaas daraaddeed, si daacad ah, had iyo jeer waa wax laga naxo in la arko sida wax dhab ahaantii quruxsan fudud waxay noqotaa sababta kaliya ee shirkad loo dhaco. Gaar ahaan mid ka weyn sida Capital One.
Marka, hacker gudaha - maxaa dhacay xigay?
Hagaag, ka dib marka la jebiyo tusaale EC2... wax badan ayaa khaldami kara. Waxaad si dhab ah ugu socotaa gees ka mid ah mindida haddii aad u ogolaato qof inuu aado meel fog. Laakiin sidee buu u galay baaldiyada S3? Si aan tan u fahanno, aan ka wada hadalno Doorka IAM.
Marka, hal dariiqo oo lagu galo adeegyada AWS waa in la noqdo Isticmaale. Hagaag, kani waa mid iska cad. Laakiin maxaa dhacaya haddii aad rabto inaad siiso adeegyada kale ee AWS, sida adeegayaasha codsigaaga, marin u helka baaldiyadaada S3? Taasi waa waxa IAM doorarka loogu talagalay. Waxay ka kooban yihiin laba qaybood:
- Siyaasadda kalsoonida - waa maxay adeegyada ama dadku isticmaali karaan doorkan?
- Siyaasadda oggolaanshaha - maxay doorkani ogol yahay?
Tusaale ahaan, waxaad dooneysaa inaad abuurto door IAM ah oo u oggolaanaya tusaalooyinka EC2 inay galaan baaldi S3: Marka hore, doorka ayaa loo dejiyay inay lahaato Siyaasad Kalsooni ah oo EC2 (adeegga oo dhan) ama xaalado gaar ah ay βla wareegi karaanβ doorka. Aqbalaadda doorka macnaheedu waa inay isticmaali karaan oggolaanshaha doorka si ay u fuliyaan ficilada. Marka labaad, Siyaasadda Ogolaanshaha waxay u oggolaanaysaa adeegga/qofka/khayraadka "qaadey doorka" inuu wax ka qabto S3, haddii ay ahaan lahayd mid gelaya hal baaldi gaar ah...ama in ka badan 700, sida kiiska Capital One.
Markaad ku jirto tusaale EC2 doorka IAM, waxaad ku heli kartaa aqoonsi dhowr siyaabood:
- Waxaad ka codsan kartaa tusaale ahaan xogta badan
http://169.254.169.254/latest/meta-data
Waxyaabaha kale, waxaad ka heli kartaa doorka IAM mid kasta oo ka mid ah furayaasha gelitaanka cinwaankan. Dabcan, kaliya haddii aad ku jirto tusaale.
- Adeegso AWS CLI...
Haddii AWS CLI la rakibay, waxaa lagu raray shahaadooyinka doorarka IAM, haddii ay jirto. Waxa hadhay oo dhan waa in laga shaqeeyo tusaale ahaan. Dabcan, haddii Siyaasaddooda Kalsoonida ay furan tahay, Paige wax walba si toos ah ayey u samayn kartaa.
Markaa nuxurka doorarka IAM waa inay oggolaadaan xoogaa agab ah inay ku dhaqmaan ILAAHA KALE.
Hadda oo aad fahantay doorarka IAM, waxaan ka hadli karnaa waxa Paige Thompson sameeyay:
- Waxay ka heshay adeegaha (tusaale EC2) iyada oo soo martay dalool ka mid ah dabka
Haddi ay ahaan lahayd kooxaha amniga/ACL-yada ama dab-damisyada arjigooda webka, daloolku waxa uu ahaa mid aad u fudud in la xidho, sida lagu sheegay diiwaanka rasmiga ah.
- Marka ay soo gasho server-ka, waxay awooday inay u dhaqanto "sida haddii" ay iyadu tahay server-ka lafteeda
- Maadaama doorka server-ka IAM uu u oggolaaday S3 inuu galo 700+ baaldiyadan, waxay awooday inay gasho
Laga bilaabo wakhtigaas, waxa kaliya ee ay ahayd inay samayso waxay ahayd inay socodsiiso amarka List Buckets
ka dibna amarka Sync
ka AWS CLI...
Akhlaaqda sheekada: hubi badbaadadaada; In la sameeyo xisaab xidhka joogtada ah; Ixtiraam mabda'a ah mudnaanta ugu yar ee siyaasadaha amniga.
(
Source: www.habr.com