Mnamo Julai 19, 2019, Capital One ilipokea ujumbe ambao kila kampuni ya kisasa inaogopa—ukiukaji wa data ulitokea. Iliathiri zaidi ya watu milioni 106. Nambari 140 za hifadhi ya jamii za Marekani, nambari milioni moja za hifadhi ya jamii za Kanada. 000 akaunti za benki. Haifurahishi, hukubaliani?
Kwa bahati mbaya, utapeli haukutokea mnamo Julai 19. Kama ilivyotokea, Paige Thompson, a.k.a. Makosa, aliifanya kati ya Machi 22 na Machi 23, 2019. Hiyo ni karibu miezi minne iliyopita. Kwa kweli, ilikuwa tu kwa msaada wa washauri wa nje ambapo Capital One iliweza kugundua kuwa kuna kitu kilikuwa kimetokea.
Mfanyakazi wa zamani wa Amazon alikamatwa na anakabiliwa na faini ya $250 na kifungo cha miaka mitano jela... lakini bado kuna uhasi mwingi uliosalia. Kwa nini? Kwa sababu makampuni mengi ambayo yamekumbwa na udukuzi yanajaribu kupuuza jukumu la kuimarisha miundombinu na matumizi yao huku kukiwa na ongezeko la uhalifu mtandaoni.
Hata hivyo, unaweza google hadithi hii kwa urahisi. Hatutaingia kwenye mchezo wa kuigiza, lakini tutazungumza kiufundi upande wa jambo.
Kwanza, nini kilitokea?
Capital One ilikuwa na takriban ndoo 700 za S3 zinazoendeshwa, ambazo Paige Thompson alinakili na kuzivuta.
Pili, je, hii ni kesi nyingine ya sera ya ndoo ya S3 isiyo sahihi?
Hapana, sio wakati huu. Hapa alipata ufikiaji wa seva na firewall iliyosanidiwa vibaya na kutekeleza operesheni nzima kutoka hapo.
Subiri, hilo linawezekanaje?
Kweli, wacha tuanze kwa kuingia kwenye seva, ingawa hatuna maelezo mengi. Tuliambiwa tu kwamba ilitokea kupitia "ngo-mtandao-mtandao usio na mipangilio sahihi." Kwa hivyo, kitu rahisi kama mipangilio isiyo sahihi ya kikundi cha usalama au usanidi wa ngome ya programu ya wavuti (Imperva), au ngome ya mtandao (iptables, ufw, shorewall, n.k.). Capital One ilikubali tu hatia yake na kusema ilikuwa imefunga shimo.
Stone alisema Capital One haikugundua hatari ya ngome ya ngome lakini ilichukua hatua haraka ilipofahamu. Hakika hii ilisaidiwa na ukweli kwamba mdukuzi alidaiwa kuacha taarifa muhimu za utambulisho kwenye kikoa cha umma, Stone alisema.
Iwapo unashangaa kwa nini hatuendi ndani zaidi katika sehemu hii, tafadhali elewa kuwa kutokana na maelezo machache tunaweza kukisia tu. Hii haina mantiki ikizingatiwa kuwa udukuzi huo ulitegemea shimo lililoachwa na Capital One. Na isipokuwa watatuambia zaidi, tutaorodhesha tu njia zote zinazowezekana Capital One iliacha seva yao wazi pamoja na njia zote zinazowezekana ambazo mtu anaweza kutumia mojawapo ya chaguo hizi tofauti. Dosari na mbinu hizi zinaweza kuanzia uangalizi wa kijinga sana hadi mifumo changamano sana. Kwa kuzingatia anuwai ya uwezekano, hii itakuwa sakata ndefu isiyo na hitimisho la kweli. Kwa hivyo, tujikite katika kuchambua sehemu ambayo tuna ukweli.
Kwa hivyo jambo la kwanza la kuchukua ni: jua ni nini firewall zako zinaruhusu.
Anzisha sera au mchakato ufaao ili kuhakikisha kuwa kile TU kinachohitaji kufunguliwa kinafunguliwa. Ikiwa unatumia rasilimali za AWS kama vile Vikundi vya Usalama au ACL za Mitandao, ni wazi kuwa orodha ya kukaguliwa inaweza kuwa ndefu... lakini kama vile rasilimali nyingi huundwa kiotomatiki (yaani CloudFormation), inawezekana pia kufanya ukaguzi wao kiotomatiki. Iwe ni hati iliyotengenezwa nyumbani ambayo huchanganua vitu vipya kwa dosari, au kitu kama ukaguzi wa usalama katika mchakato wa CI/CD... kuna chaguo nyingi rahisi za kuepuka hili.
Sehemu "ya kuchekesha" ya hadithi ni kwamba kama Capital One ingeziba shimo hapo kwanza ... hakuna kitu ambacho kingetokea. Na kwa hivyo, kusema ukweli, kila wakati inashangaza kuona jinsi kitu kweli rahisi sana inakuwa sababu pekee ya kampuni kudukuliwa. Hasa moja kubwa kama Capital One.
Kwa hivyo, mdukuzi ndani - nini kilifanyika baadaye?
Naam, baada ya kuingia kwenye mfano wa EC2 ... mengi yanaweza kwenda vibaya. Kwa kweli unatembea kwenye ukingo wa kisu ikiwa unaruhusu mtu kwenda mbali hivyo. Lakini iliingiaje kwenye ndoo za S3? Ili kuelewa hili, hebu tujadili Majukumu ya IAM.
Kwa hivyo, njia moja ya kupata huduma za AWS ni kuwa Mtumiaji. Sawa, hii ni dhahiri. Lakini vipi ikiwa ungependa kutoa huduma zingine za AWS, kama vile seva zako za programu, ufikiaji wa ndoo zako za S3? Hiyo ndiyo majukumu ya IAM. Wao hujumuisha vipengele viwili:
- Sera ya Kuaminiana - ni huduma gani au watu gani wanaweza kutumia jukumu hili?
- Sera ya Ruhusa - jukumu hili linaruhusu nini?
Kwa mfano, unataka kuunda jukumu la IAM ambalo litaruhusu matukio ya EC2 kufikia ndoo ya S3: Kwanza, jukumu limewekwa kuwa na Sera ya Uaminifu ambayo EC2 (huduma nzima) au matukio maalum yanaweza "kuchukua" jukumu. Kukubali jukumu kunamaanisha kuwa wanaweza kutumia ruhusa za jukumu kutekeleza vitendo. Pili, Sera ya Ruhusa inaruhusu huduma/mtu/rasilimali ambayo "imechukua jukumu" kufanya chochote kwenye S3, iwe ni kufikia ndoo moja mahususi... au zaidi ya 700, kama ilivyo kwa Capital One.
Mara tu ukiwa katika mfano wa EC2 na jukumu la IAM, unaweza kupata kitambulisho kwa njia kadhaa:
- Unaweza kuomba metadata ya mfano kwa
http://169.254.169.254/latest/meta-dataMiongoni mwa mambo mengine, unaweza kupata jukumu la IAM na funguo zozote za ufikiaji kwenye anwani hii. Kwa kweli, tu ikiwa uko katika mfano.
- Tumia AWS CLI...
Ikiwa AWS CLI imesakinishwa, inapakiwa na vitambulisho kutoka kwa majukumu ya IAM, ikiwa iko. Kilichobaki ni kufanya kazi KUPITIA mfano. Bila shaka, ikiwa Sera yao ya Uaminifu ilikuwa wazi, Paige angeweza kufanya kila kitu moja kwa moja.
Kwa hivyo kiini cha majukumu ya IAM ni kwamba yanaruhusu baadhi ya rasilimali kutenda KWA NIABA YAKO kwenye RASILIMALI NYINGINE.
Kwa kuwa sasa unaelewa majukumu ya IAM, tunaweza kuzungumza juu ya kile Paige Thompson alifanya:
- Alipata ufikiaji wa seva (mfano wa EC2) kupitia shimo kwenye ngome
Iwe ni vikundi vya usalama/ACL au ngome zao za programu za wavuti, shimo hilo pengine lilikuwa rahisi sana kuziba, kama ilivyoelezwa katika rekodi rasmi.
- Mara moja kwenye seva, aliweza kutenda "kana kwamba" ndiye seva mwenyewe
- Kwa kuwa jukumu la seva ya IAM liliruhusu ufikiaji wa S3 kwa ndoo hizi 700+, iliweza kuzifikia
Kuanzia wakati huo na kuendelea, alichopaswa kufanya ni kutekeleza amri List Bucketsna kisha amri Sync kutoka kwa AWS CLI...
. Kuzuia uharibifu kama huo ndio sababu kampuni zinawekeza sana katika ulinzi wa miundombinu ya wingu, DevOps na wataalam wa usalama. Na ni thamani gani na ya gharama nafuu inahamia kwenye wingu? Kiasi kwamba hata kukiwa na changamoto nyingi zaidi za usalama wa mtandao !
Maadili ya hadithi: angalia usalama wako; Kufanya ukaguzi wa mara kwa mara; Heshimu kanuni ya upendeleo mdogo kwa sera za usalama.
( Unaweza kutazama ripoti kamili ya kisheria).
Chanzo: mapenzi.com