Dina 19 Juli 2019, Capital One nampi pesen yén unggal perusahaan modéren sieun — aya pelanggaran data. Éta kapangaruhan langkung ti 106 juta jalma. 140 nomer jaminan sosial AS, hiji juta nomer jaminan sosial Kanada. 000 rekening bank. Teu pikaresepeun, anjeun teu satuju?
Hanjakalna, hack henteu lumangsung dina 19 Juli. Tétéla, Paige Thompson, a.k.a. Kasalahan, komitmen éta antara 22 Maret sareng 23 Maret 2019. nyaeta ampir opat bulan katukang. Nyatana, éta ngan ukur ku bantosan konsultan luar yén Capital One tiasa mendakan yén aya kajadian.
Tilas pagawe Amazon ditéwak sareng denda $ 250 sareng panjara lima taun ... Naha? Kusabab seueur perusahaan anu ngalaman hacks nyobian ngaleungitkeun tanggung jawab pikeun nguatkeun infrastruktur sareng aplikasina di tengah naékna cybercrime.
Atoh, anjeun tiasa kalayan gampang google carita ieu. Urang moal balik kana drama, tapi ngobrol ngeunaan teknis sisi masalah.
Anu mimiti, naon anu lumangsung?
Ibukota Hiji miboga ngeunaan 700 S3 ember ngajalankeun, nu Paige Thompson disalin sarta siphoned kaluar.
Bréh, ieu kasus sejen kawijakan ember S3 misconfigured?
Henteu, sanés waktos ieu. Di dieu manehna meunang aksés ka server kalawan firewall salah ngonpigurasi tur ngalaksanakeun sakabéh operasi ti dinya.
Antosan, kumaha éta mungkin?
Nya, hayu urang mimitian ku log in kana server, sanaos urang henteu gaduh seueur detil. Kami ngan ukur nyarios yén éta kajantenan ngalangkungan "firewall anu salah konfigurasi." Janten, saderhana sapertos setélan grup kaamanan anu salah atanapi konfigurasi firewall aplikasi wéb (Imperva), atanapi firewall jaringan (iptables, ufw, shorewall, jsb.). Ibukota Hiji ngan ngaku kasalahan sarta ngomong geus nutup liang.
Stone nyatakeun yén Capital One mimitina henteu perhatikeun kerentanan firewall tapi gancang-gancang dilaksanakeun saatos sadar éta. Ieu pasti dibantuan ku kanyataan yén hacker disangka ninggalkeun informasi idéntifikasi konci dina domain publik, ceuk Stone.
Lamun nuju wondering naha urang nuju teu bade deeper kana bagian ieu, mangga ngarti yén alatan informasi kawates urang ngan bisa speculate. Ieu teu aya rasa nunjukkeun yén hack gumantung kana liang anu ditinggalkeun ku Capital One. Sareng upami aranjeunna nyarios langkung seueur, urang ngan ukur daptar sadaya cara anu mungkin Capital One ngantepkeun serverna kabuka dina kombinasi sareng sagala cara anu mungkin pikeun batur ngagunakeun salah sahiji pilihan anu béda ieu. Cacat sareng téknik ieu tiasa dibasajankeun tina panilitian anu bodo dugi ka pola anu luar biasa rumit. Dibikeun rentang kamungkinan, ieu bakal janten saga panjang tanpa kacindekan nyata. Ku alatan éta, hayu urang difokuskeun analisa bagian dimana urang gaduh fakta.
Jadi takeaway kahiji nyaeta: nyaho naon firewalls Anjeun ngidinan.
Netepkeun kawijakan atanapi prosés anu leres pikeun mastikeun yén NGAN anu kedah dibuka dibuka. Upami anjeun nganggo sumber daya AWS sapertos Grup Kaamanan atanapi ACL Jaringan, écés daptar pariksa pikeun diaudit tiasa panjang ... Naha éta naskah homemade nu nyeken objék anyar pikeun flaws, atawa hal kawas Inok kaamanan dina CI / prosés CD ... aya loba pilihan gampang pikeun nyingkahan ieu.
Bagian "lucu" carita éta lamun Capital One geus plugged liang di tempat munggaran ... nanaon bakal kajadian. Jadi, terus terang, éta salawasna ngareureuwas ningali kumaha hal bener geulis basajan janten hiji-hijina alesan pikeun perusahaan di-hack. Utamana anu ageung sapertos Capital One.
Janten, hacker di jero - naon anu kajantenan salajengna?
Nya, saatos ngarobih kana conto EC2 ... seueur anu salah. Anjeun sacara praktis leumpang dina ujung péso upami anjeun ngantepkeun batur dugi ka jauh. Tapi kumaha éta asup kana ember S3? Pikeun ngartos ieu, hayu urang bahas Peran IAM.
Janten, salah sahiji cara pikeun ngaksés jasa AWS nyaéta janten Pamaké. Oké, hiji ieu geulis atra. Tapi kumaha upami anjeun hoyong masihan jasa AWS anu sanés, sapertos server aplikasi anjeun, aksés kana ember S3 anjeun? Éta pikeun peran IAM. Éta diwangun ku dua komponén:
- Kawijakan Amanah - jasa atanapi jalma naon anu tiasa nganggo peran ieu?
- Kawijakan Idin - naon anu diidinan ku peran ieu?
Contona, Anjeun hoyong nyieun peran IAM nu bakal ngidinan instansi EC2 pikeun ngakses ember S3: Kahiji, peran disetel ka boga Kawijakan Amanah nu EC2 (sakabeh jasa) atawa instansi husus bisa "nyokot alih" peran. Narima peran hartina maranéhna bisa ngagunakeun idin peran pikeun ngalakukeun tindakan. Bréh, Kawijakan Idin ngamungkinkeun jasa / jalma / sumberdaya anu "nyandak peran" pikeun ngalakukeun nanaon dina S3, naha éta ngakses hiji ember husus ... atawa leuwih 700, sakumaha dina kasus Capital One.
Sakali anjeun aya dina conto EC2 sareng peran IAM, anjeun tiasa kéngingkeun kapercayaan ku sababaraha cara:
- Anjeun tiasa menta metadata conto di
http://169.254.169.254/latest/meta-dataDiantara hal séjén, anjeun tiasa mendakan peran IAM sareng salah sahiji konci aksés di alamat ieu. Tangtosna, ngan upami anjeun aya dina conto.
- Anggo AWS CLI...
Upami AWS CLI dipasang, éta dieusian ku Kapercayaan tina peran IAM, upami aya. Sadaya anu tetep nyaéta pikeun ngaliwat conto. Tangtosna, upami Kabijakan Amanahna dibuka, Paige tiasa ngalakukeun sadayana langsung.
Janten hakekat peran IAM nyaéta aranjeunna ngawenangkeun sababaraha sumber pikeun meta atas nama anjeun dina SUMBER LAIN.
Ayeuna anjeun ngartos peran IAM, urang tiasa nyarioskeun naon anu dilakukeun ku Paige Thompson:
- Manehna meunang aksés ka server (conto EC2) ngaliwatan liang dina firewall nu
Naha éta grup kaamanan / ACLs atanapi firewalls aplikasi wéb sorangan, éta liang meureun rada gampang colokan, sakumaha nyatakeun dina catetan resmi.
- Sakali dina server, manéhna bisa meta "saolah-olah" manéhna server sorangan
- Kusabab peran server IAM diwenangkeun S3 aksés ka ieu 700+ ember, éta bisa ngakses aranjeunna
Ti momen éta, sadaya anu anjeunna kedah laksanakeun nyaéta ngajalankeun paréntah List Bucketslajeng paréntah Sync ti AWS CLI...
. Nyegah karusakan sapertos kitu mangrupikeun perusahaan investasi pisan dina panyalindungan infrastruktur awan, DevOps, sareng ahli kaamanan. Jeung kumaha berharga jeung ongkos-éféktif pindah ka awan? Sahingga malah dina nyanghareupan beuki loba tantangan cybersecurity !
Moral carita: pariksa kaamanan anjeun; Ngalaksanakeun audit rutin; Hormat prinsip hak husus sahenteuna pikeun kawijakan kaamanan.
( Anjeun tiasa ningali laporan hukum lengkep).
sumber: www.habr.com