Ka la 19 Phupu 2019, Capital One e ile ea fumana molaetsa oo k'hamphani e 'ngoe le e 'ngoe ea sejoale-joale e e tšabang - ho bile le tlolo ea molao. E ile ea ama batho ba fetang limilione tse 106. Linomoro tsa ts'ireletso ea sechaba tsa 140 tsa US, linomoro tsa ts'ireletso ea sechaba tsa Canada tse milione. 000 liakhaonto tsa banka. Ha ho monate, na ha u lumele?
Ka bomalimabe, hack ha ea ka ea etsahala ka la 19 Phupu. Ha e le hantle, Paige Thompson, a.k.a. E fosahetse, o e entse pakeng tsa la 22 Hlakubele le la 23 Hlakubele 2019. Ke hore hoo e ka bang likhoeli tse 'nè tse fetileng. Ha e le hantle, ke feela ka thuso ea baeletsi ba ka ntle hore Capital One e khone ho fumana hore ho na le ho hong ho etsahetseng.
Mosebeletsi oa mehleng oa Amazon o ile a tšoaroa 'me o tobane le kotlo ea $250 le lilemo tse hlano teronkong ... Hobaneng? Hobane lik'hamphani tse ngata tse hlokofalitsoeng ke li-hacks li leka ho nyahlatsa boikarabelo ba ho matlafatsa mekhoa ea bona ea motheo le likopo nakong ea keketseho ea tlōlo ea molao ea marang-rang.
Leha ho le joalo, o ka google pale ena habonolo. Re ke ke ra kena terama, empa ho bua ka tekheniki lehlakore la taba.
Pele ho tsohle, ho etsahetse’ng?
Capital One e ne e e-na le linkho tse ka bang 700 tsa S3 tse mathang, tseo Paige Thompson a ileng a li kopitsa le ho li hula.
Taba ea bobeli, na see ke taba e 'ngoe ea leano le fosahetseng la S3?
Che, eseng lekhetlong lena. Mona o ile a fumana monyetla oa ho fumana seva ka firewall e sa hlophisitsoeng hantle mme a etsa ts'ebetso eohle ho tloha moo.
Ema, hoo ho ka khoneha joang?
Ha re qale ka ho kena ka har'a seva, leha re se na lintlha tse ngata. Re ile ra bolelloa feela hore e etsahetse ka "firewall e sa sebetseng hantle." Kahoo, ntho e bonolo joalo ka litlhophiso tse fosahetseng tsa sehlopha sa ts'ireletso kapa tlhophiso ea firewall ea kopo ea webo (Imperva), kapa firewall ea marang-rang (iptables, ufw, shorewall, joalo-joalo). Capital One e ile ea lumela feela molato oa eona mme ea re e koetse lesoba.
Stone o boletse hore Capital One ha e so ka e hlokomela ho ba kotsing ha firewall empa e ile ea nka khato kapele hang ha e se e tseba. Ka sebele sena se ile sa thusoa ke taba ea hore senokoane ho thoe se siile tlhahisoleseling ea bohlokoa sebakeng sa sechaba, ho boletse Stone.
Haeba u ntse u ipotsa hore na ke hobane'ng ha re sa kenelle karolong ena, ka kopo utloisisa hore ka lebaka la boitsebiso bo fokolang re ka hakanya feela. Sena ha se utloahale ha ho fanoa ka hore hack e itšetlehile ka sekoti se siiloeng ke Capital One. Ntle le haeba ba re joetse ho eketsehileng, re tla thathamisa litsela tsohle tseo Capital One e ka sieang seva ea bona e butsoe hammoho le litsela tsohle tseo motho a ka sebelisang e 'ngoe ea likhetho tsena tse fapaneng. Mefokolo le mekhoa ena e ka fapana ho tloha ho tse hlokang kelello ho ea ho mekhoa e rarahaneng haholo. Ho latela mefuta e mengata ea menyetla, ena e tla fetoha saga e telele e se nang qeto ea 'nete. Ka hona, a re tsepamiseng maikutlo tabeng ea ho hlahloba karolo eo ho eona re nang le lintlha.
Kahoo ntho ea pele ea ho nka ke: tseba hore na li-firewall tsa hau li lumella eng.
Theha leano kapa ts'ebetso e nepahetseng ho netefatsa hore FEELA se lokelang ho buloa se buloa. Haeba u sebelisa lisebelisoa tsa AWS tse kang Security Groups kapa Network ACLs, ho hlakile hore lethathamo la tlhahlobo le ka nka nako e telele ... empa joalo ka ha lisebelisoa tse ngata li bōptjoa ka mokhoa o ikemetseng (e leng CloudFormation), hoa khoneha ho etsa tlhahlobo ea bona ea lichelete. Ebang ke script e entsoeng lapeng e hlahlobang lintho tse ncha bakeng sa liphoso, kapa ntho e kang tlhahlobo ea ts'ireletso ts'ebetsong ea CI / CD ... ho na le mekhoa e mengata e bonolo ea ho qoba sena.
Karolo e "tšehisang" ea pale ke hore haeba Capital One e ka be e ile ea phunya lesoba qalong ... ha ho letho le ka beng le etsahetse. Mme ka hona, ka nnete, ho a tshosa kamehla ho bona kamoo ntho e hlileng e leng kateng e bonolo haholo e ba lona feela lebaka la hore k'hamphani e qhekelloe. Haholo-holo e kholo joalo ka Capital One.
Kahoo, mohatelli ka hare - ho ile ha etsahala'ng ka mor'a moo?
Hantle, ka mor'a ho senya mohlala oa EC2 ... ho hongata ho ka senyeha. Ha e le hantle, u tsamaea ka lehlakoreng la thipa haeba u lumella motho hore a tsamaee hole joalo. Empa e kene joang ka linkhong tsa S3? Ho utloisisa sena, ha re buisaneng ka Mesebetsi ea IAM.
Kahoo, mokhoa o mong oa ho fihlella lits'ebeletso tsa AWS ke ho ba Mosebelisi. Ho lokile, ena e hlakile hantle. Empa ho thoe'ng haeba u batla ho fana ka lits'ebeletso tse ling tsa AWS, joalo ka li-server tsa hau tsa kopo, phihlello ea libakete tsa hau tsa S3? Ke seo mesebetsi ea IAM e leng sona. Li na le likarolo tse peli:
- Trust Policy - ke litšebeletso life kapa batho ba ka sebelisang karolo ee?
- Leano la Litumello - karolo ee e lumella eng?
Ka mohlala, u batla ho theha karolo ea IAM e tla lumella maemo a EC2 ho fihlella bakete ea S3: Taba ea pele, karolo e behiloe ho ba le Leano la Tšepo leo EC2 (tšebeletso eohle) kapa maemo a itseng a ka "nkang" karolo. Ho amohela karolo ho bolela hore ba ka sebelisa tumello ea karolo ho etsa liketso. Taba ea bobeli, Leano la Litumello le lumella tšebeletso/motho/mohloli o "nkang karolo" ho etsa ntho leha e le efe ho S3, ebang ke ho fihlella bakete e le 'ngoe e khethehileng ... kapa ho feta 700, joalo ka tabeng ea Capital One.
Ha u se u le ketsahalong ea EC2 ka karolo ea IAM, u ka fumana mangolo a bopaki ka mekhoa e mengata:
- U ka kopa mohlala oa metadata ho
http://169.254.169.254/latest/meta-dataHar'a tse ling, u ka fumana karolo ea IAM ka linotlolo life kapa life tsa phihlello atereseng ena. Ha e le hantle, hafeela u le boemong bo itseng.
- Sebelisa AWS CLI...
Haeba AWS CLI e kentsoe, e laetsoe ka lintlha tse tsoang mesebetsing ea IAM, haeba e le teng. Sohle se setseng ke ho sebetsa ka mohlala. Ha e le hantle, haeba Trust Policy ea bona e ne e bulehile, Paige o ne a ka etsa ntho e 'ngoe le e' ngoe ka ho toba.
Kahoo moelelo oa likarolo tsa IAM ke hore li lumella lisebelisoa tse itseng ho sebetsa LEBAPENG LA HAO ho MESEBETSI E MONG.
Kaha joale u utloisisa mesebetsi ea IAM, re ka bua ka seo Paige Thompson a se entseng:
- O fumane monyetla oa ho fumana seva (mohlala oa EC2) ka lesoba la firewall
Hore na e ne e le lihlopha tsa ts'ireletso / li-ACL kapa li-firewall tsa ts'ebeliso ea webo, mohlomong lesoba le ne le le bonolo ho phunya, joalo ka ha ho boletsoe litlalehong tsa semmuso.
- Hang ha a se a le ka har'a seva, o ile a khona ho etsa "joalokaha eka" ke eena seva ka boeena
- Kaha karolo ea seva sa IAM e lumelletse S3 ho fihlella libakete tsena tse 700+, e khonne ho li fihlela
Ho tloha motsotsong oo ho ea pele, sohle seo a neng a lokela ho se etsa ke ho tsamaisa taelo List Bucketsebe ho latela taelo Sync ho tsoa ho AWS CLI...
. Ho thibela tšenyo e joalo ke ka lebaka leo lik'hamphani li tsetelang chelete e ngata hakana ho ts'ireletso ea lisebelisoa tsa maru, li-DevOps le litsebi tsa ts'ireletso. Hona na ho fallela marung ho bohlokoa hakae ebile ho na le litšenyehelo tse kae? Hoo e leng hore leha ho na le liphephetso tse ntseng li eketseha tsa cybersecurity !
Boitšoaro ba pale: hlahloba polokeho ea hau; Etsa tlhahlobo ea kamehla; Hlompha molao-motheo oa ho ba le tokelo e fokolang bakeng sa maano a tšireletso.
( U ka sheba tlaleho e felletseng ea molao).
Source: www.habr.com