19. јула 2019. Цапитал Оне је примио поруку од које се плаши свака модерна компанија — дошло је до повреде података. Утицао је на више од 106 милиона људи. 140 америчких бројева социјалног осигурања, милион канадских бројева социјалног осигурања. 000 банковних рачуна. Непријатно, зар се не слажете?
Нажалост, хакирање се није догодило 19. јула. Како се испоставило, Пејџ Томпсон, а.к.а. Нередовно, извршио у периоду од 22. марта до 23. марта 2019. године. То је пре скоро четири месеца. У ствари, само уз помоћ спољних консултаната Цапитал Оне је успео да открије да се нешто догодило.
Бивши радник Амазона је ухапшен и суочава се са новчаном казном од 250 долара и пет година затвора... али још увек је остало много негативности. Зашто? Зато што многе компаније које су патиле од хакова покушавају да се ослободе одговорности за јачање своје инфраструктуре и апликација усред пораста сајбер криминала.
У сваком случају, ову причу можете лако прогуглати. Нећемо се упуштати у драму, него причамо о томе технички страну ствари.
Пре свега, шта се догодило?
Цапитал Оне је имао око 700 канти С3, које је Пејџ Томпсон копирала и исисала.
Друго, да ли је ово још један случај погрешно конфигурисане С3 буцкет политике?
Не, не овог пута. Овде је добила приступ серверу са погрешно конфигурисаним заштитним зидом и одатле извршила целу операцију.
Чекај, како је ово могуће?
Па, хајде да почнемо тако што ћемо се пријавити на сервер, иако немамо много детаља. Речено нам је само да се то догодило преко „погрешно конфигурисаног заштитног зида“. Дакле, нешто тако једноставно као што су нетачна подешавања безбедносне групе или конфигурација заштитног зида веб апликације (Имперва), или мрежног заштитног зида (иптаблес, уфв, схоревалл, итд.). Цапитал Оне је само признао кривицу и рекао да је затворио рупу.
Стоун је рекао да Цапитал Оне у почетку није приметио рањивост заштитног зида, али је брзо реаговао када је постао свестан тога. Томе је свакако помогла чињеница да је хакер наводно оставио кључне идентификационе информације у јавном домену, рекао је Стоун.
Ако се питате зашто не улазимо дубље у овај део, имајте на уму да због ограничених информација можемо само да нагађамо. Ово нема смисла с обзиром да је хак зависио од рупе коју је оставио Цапитал Оне. И осим ако нам не кажу више, ми ћемо само навести све могуће начине на које је Цапитал Оне оставио свој сервер отворен у комбинацији са свим могућим начинима на које би неко могао да користи једну од ових различитих опција. Ове мане и технике могу се кретати од веома глупих превида до невероватно сложених образаца. С обзиром на низ могућности, ово ће постати дуга сага без правог закључка. Зато, хајде да се фокусирамо на анализу дела где имамо чињенице.
Дакле, први закључак је: знајте шта ваши заштитни зидови дозвољавају.
Успоставите политику или одговарајући процес како бисте осигурали да се отвори САМО оно што треба да се отвори. Ако користите АВС ресурсе као што су безбедносне групе или мрежни АЦЛ-ови, очигледно контролна листа за ревизију може бити дуга... али баш као што се многи ресурси креирају аутоматски (тј. ЦлоудФорматион), такође је могуће аутоматизовати њихову ревизију. Било да је у питању домаћа скрипта која скенира нове објекте у потрази за недостацима, или нешто попут безбедносне ревизије у ЦИ/ЦД процесу... постоји много лаких опција да се ово избегне.
"Смешни" део приче је да да је Цапитал Оне уопште запушио рупу... ништа се не би догодило. И тако, искрено, увек је шокантно видети како нешто заиста прилично једноставно постаје једини разлог да компанија буде хакована. Посебно велики као Цапитал Оне.
Дакле, хакер унутра - шта се даље догодило?
Па, након провале у ЕЦ2 инстанцу... много тога може поћи наопако. Практично ходате на ивици ножа ако пустите некога да оде тако далеко. Али како је доспео у С3 канте? Да бисмо ово разумели, хајде да разговарамо о ИАМ улогама.
Дакле, један од начина за приступ АВС услугама је да будете корисник. У реду, ово је прилично очигледно. Али шта ако желите да другим АВС услугама, као што су сервери апликација, дате приступ вашим С3 буцкетс? Томе служе ИАМ улоге. Састоје се од две компоненте:
- Политика поверења – које услуге или људи могу користити ову улогу?
- Политика дозвола – шта ова улога дозвољава?
На пример, желите да креирате ИАМ улогу која ће омогућити инстанцама ЕЦ2 да приступе С3 сегменту: Прво, улога је подешена да има политику поверења да ЕЦ2 (цела услуга) или одређене инстанце могу да „преузму“ улогу. Прихватање улоге значи да могу да користе дозволе улоге за обављање радњи. Друго, Политика дозвола дозвољава сервису/особи/ресурсу који је "преузео улогу" да уради било шта на С3, било да приступа једном одређеном сегменту... или преко 700, као у случају Цапитал Оне.
Када се нађете у ЕЦ2 инстанци са ИАМ улогом, акредитиве можете добити на неколико начина:
- Метаподатке о инстанци можете затражити на
http://169.254.169.254/latest/meta-dataИзмеђу осталог, на овој адреси можете пронаћи ИАМ улогу са било којим од приступних кључева. Наравно, само ако сте у инстанци.
- Користите АВС ЦЛИ...
Ако је АВС ЦЛИ инсталиран, он се учитава са акредитивима из ИАМ улога, ако постоје. Остаје само да се ради ПРЕКО инстанце. Наравно, да је њихова политика поверења отворена, Пејџ би све могла да ради директно.
Дакле, суштина ИАМ улога је да оне дозвољавају неким ресурсима да делују У ВАШЕ ИМЕ на ДРУГИМ РЕСУРСИМА.
Сада када разумете улоге ИАМ-а, можемо да причамо о томе шта је Пејџ Томпсон урадила:
- Добила је приступ серверу (ЕЦ2 инстанца) кроз рупу у заштитном зиду
Било да се ради о безбедносним групама/АЦЛ-овима или њиховим сопственим заштитним зидовима веб апликација, рупу је вероватно било прилично лако зачепити, као што је наведено у званичним записима.
- Једном на серверу, могла је да се понаша „као да“ је и сама сервер
- Пошто је улога ИАМ сервера дозволила С3 приступ овим 700+ корпи, могао је да им приступи
Од тог тренутка, све што је требало да уради је да покрене команду List Bucketsа затим и команда Sync из АВС ЦЛИ...
. Спречавање такве штете је разлог зашто компаније толико улажу у заштиту инфраструктуре облака, ДевОпс и стручњаке за безбедност. И колико је вредно и исплативо прелазак у облак? Толико да чак и суочени са све више и више изазова сајбер безбедности !
Морал приче: проверите своју безбедност; Спроводити редовне ревизије; Поштујте принцип најмање привилегија за безбедносне политике.
( Можете погледати комплетан правни извештај).
Извор: ввв.хабр.цом