19 июли соли 2019, Capital One паёмеро гирифт, ки ҳар як ширкати муосир метарсад - вайронкунии маълумот рух дод. Он зиёда аз 106 миллион нафарро фаро гирифт. 140 рақамҳои амнияти иҷтимоии ИМА, як миллион рақами амнияти иҷтимоии Канада. 000 суратҳисоби бонкӣ. Нохушоянд, розй нестед?
Мутаасифона, хак 19 июль руй надод. Чунон ки маълум мешавад, Пейдж Томпсон, ака. Номунтазам, онро аз 22 март то 23 марти соли 2019 содир кардааст. Яъне кариб чор мох пеш. Дар асл, танҳо бо кӯмаки мушовирони беруна, Capital One тавонист ошкор кунад, ки чизе рух додааст.
Як корманди собиқи Амазонка боздошт шуд ва ӯро 250 XNUMX доллар ҷарима ва панҷ соли зиндон таҳдид мекунад... аммо ҳанӯз ҳам манфиҳои зиёде боқӣ мондааст. Чаро? Зеро бисёре аз ширкатҳое, ки аз ҳакерҳо зарар дидаанд, кӯшиш мекунанд, ки масъулияти таҳкими инфрасохтор ва замимаҳои худро дар шароити афзоиши ҷиноятҳои киберӣ аз худ дур кунанд.
Дар ҳар сурат, шумо метавонед ба осонӣ ин ҳикояро дар Google ҷустуҷӯ кунед. Мо ба драма намеравем, балки дар бораи он сӯҳбат мекунем техникӣ тарафи масъала.
Пеш аз хама, чй шуд?
Дар Capital One тақрибан 700 сатилҳои S3 кор мекард, ки Пейҷ Томпсон онҳоро нусхабардорӣ карда, хомӯш кард.
Дуюм, ин як ҳолати дигари сиёсати сатил S3 нодуруст танзимшуда аст?
Не, ин дафъа не. Дар ин ҷо вай ба сервере бо девори нодуруст танзимшуда дастрасӣ пайдо кард ва тамоми амалиётро аз он ҷо анҷом дод.
Интизор шавед, ин чӣ гуна имконпазир аст?
Хуб, биёед аз ворид шудан ба сервер оғоз кунем, гарчанде ки мо тафсилоти зиёде надорем. Ба мо танҳо гуфтанд, ки ин ба воситаи "брандмауэри нодуруст танзимшуда" рух додааст. Ҳамин тавр, чизи оддӣ ба монанди танзимоти нодурусти гурӯҳи амниятӣ ё конфигуратсияи девори замимаи веб (Imperva) ё девори шабакавӣ (iptables, ufw, shorewall ва ғайра). Capital One танҳо ба гуноҳи худ иқрор шуд ва гуфт, ки сӯрохро бастааст.
Стоун гуфт, ки Capital One дар аввал осебпазирии брандмауэрро пай набурд, аммо вақте ки аз он огоҳ шуд, зуд амал кард. Стоун гуфт, ба ин бешубҳа аз он ёрӣ расонд, ки хакер гӯё маълумоти калидии мушаххасро дар домени ҷамъиятӣ гузоштааст.
Агар шумо дар ҳайрат бошед, ки чаро мо ба ин қисмат амиқтар намеравем, лутфан бифаҳмед, ки бинобар маълумоти маҳдуд мо метавонем танҳо тахмин кунем. Ин маънои онро надорад, зеро ҳак аз сӯрохи аз ҷониби Capital One гузошташуда вобаста буд. Ва агар онҳо ба мо бештар нагӯянд, мо танҳо ҳамаи роҳҳои имконпазиреро номбар мекунем, ки Capital One сервери худро дар якҷоягӣ бо ҳамаи роҳҳои имконпазире, ки касе метавонад яке аз ин имконоти гуногунро истифода барад. Ин камбудиҳо ва усулҳо метавонанд аз назорати беақл то қолабҳои бениҳоят мураккаб бошанд. Бо дарназардошти доираи имкониятҳо, ин як достони тӯлонӣ хоҳад шуд, ки хулосаи воқеӣ надорад. Аз ин рӯ, биёед ба таҳлили қисмате таваҷҷӯҳ кунем, ки дар он далелҳо дорем.
Ҳамин тавр, роҳи аввал ин аст: бидонед, ки деворҳои шумо ба чӣ иҷозат медиҳанд.
Сиёсат ё раванди дурустро таъсис диҳед, то боварӣ ҳосил кунед, ки ТАНҲО он чизе, ки бояд кушода шавад. Агар шумо захираҳои AWS-ро ба монанди Гурӯҳҳои Амният ё Шабакаҳои ACL-ро истифода баред, бешубҳа рӯйхати санҷиш барои аудит метавонад дароз бошад... аммо ҳамон тавре ки бисёре аз захираҳо ба таври худкор эҷод мешаванд (яъне CloudFormation), аудити онҳоро низ автоматӣ кардан мумкин аст. Новобаста аз он ки ин як скрипти худсохт, ки объектҳои навро барои камбудиҳо скан мекунад ё чизе ба монанди аудити амният дар раванди CI/CD... имконоти зиёде барои пешгирӣ аз ин вуҷуд доранд.
Қисмати "хандаовар"-и ҳикоя дар он аст, ки агар Capital One дар ҷои аввал сӯрохиро васл мекард ... ҳеҷ чиз рӯй намедод. Ва аз ин рӯ, ошкоро, дидан ҳамеша ҳайратовар аст, ки чӣ гуна чизе воқеан аст хеле содда ягона сабаби хакер шудани ширкат мегардад. Хусусан як калон ба мисли Capital One.
Пас, ҳакер дар дохили - баъд чӣ шуд?
Хуб, пас аз шикастани инстансияи EC2... бисёр чиз метавонад хато кунад. Агар шумо ба касе иҷозат диҳед, ки ин қадар дур равед, шумо амалан дар дами корд қадам мезанед. Аммо чӣ тавр он ба сатилҳои S3 ворид шуд? Барои фаҳмидани ин, биёед нақшҳои IAM-ро муҳокима кунем.
Ҳамин тавр, як роҳи дастрасӣ ба хидматҳои AWS корбар будан аст. Хуб, ин хеле равшан аст. Аммо агар шумо хоҳед, ки хидматҳои дигари AWS, ба монанди серверҳои замимавии худ, дастрасӣ ба сатилҳои S3-и худро диҳед? Барои ҳамин нақшҳои IAM ҳастанд. Онҳо аз ду ҷузъ иборатанд:
- Сиёсати эътимод - кадом хидматҳо ё одамон метавонанд аз ин нақш истифода баранд?
- Сиёсати иҷозатҳо - ин нақш ба чӣ имкон медиҳад?
Масалан, шумо мехоҳед нақши IAM эҷод кунед, ки ба мисолҳои EC2 имкон медиҳад, ки ба сатили S3 дастрасӣ пайдо кунанд: Аввалан, ин нақш дорои Сиёсати эътимод аст, ки EC2 (тамоми хадамот) ё мисолҳои мушаххас метавонад нақшро “ба ӯҳда гирад”. Қабули нақш маънои онро дорад, ки онҳо метавонанд иҷозатҳои нақшро барои иҷрои амалҳо истифода баранд. Дуюм, Сиёсати иҷозатҳо ба хадамот/шахсе/манбае, ки “нақшро ишғол кардааст” имкон медиҳад, ки дар S3 ҳама кореро анҷом диҳад, хоҳ он дастрасии як сатили мушаххас бошад... ё зиёда аз 700, ба мисли Capital One.
Пас аз он ки шумо дар як мисоли EC2 бо нақши IAM ҳастед, шумо метавонед бо чанд роҳ маълумоти эътимоднома гиред:
- Шумо метавонед метамаълумоти мисолро дар
http://169.254.169.254/latest/meta-dataДар байни чизҳои дигар, шумо метавонед нақши IAM-ро бо ҳама гуна калидҳои дастрасӣ дар ин суроға пайдо кунед. Албатта, танҳо агар шумо дар як ҳолат бошед.
- Истифодаи AWS CLI...
Агар AWS CLI насб карда шуда бошад, он бо маълумоти эътимоднома аз нақшҳои IAM, агар мавҷуд бошад, бор карда мешавад. Танҳо он чизе, ки боқимонда кор кардан аст, тавассути инстансия. Албатта, агар сиёсати эътимоди онҳо кушода бошад, Пейҷ метавонист ҳама чизро мустақиман иҷро кунад.
Ҳамин тавр, моҳияти нақшҳои IAM дар он аст, ки онҳо ба баъзе захираҳо имкон медиҳанд, ки аз НОМИ ШУМО дар ДИГАР ЗАХИРАҲО амал кунанд.
Акнун, ки шумо нақшҳои IAM-ро фаҳмед, мо метавонем дар бораи он чизе ки Пейҷ Томпсон кард, сӯҳбат кунем:
- Вай ба сервер (инстансияи EC2) тавассути сӯрохи девори девор дастрасӣ пайдо кард
Новобаста аз он ки ин гурӯҳҳои амниятӣ/ACL ё деворҳои веб-барномаҳои худи онҳо буданд, тавре ки дар сабтҳои расмӣ гуфта шудааст, сӯрохро пайваст кардан хеле осон буд.
- Вақте ки дар сервер, вай қодир буд, ки "гӯё" худи сервер бошад
- Азбаски нақши сервери IAM дастрасии S3-ро ба ин 700+ сатил иҷозат дод, он тавонист ба онҳо дастрасӣ пайдо кунад
Аз ҳамон лаҳза ба ӯ танҳо иҷрои фармон буд List Bucketsва баъд фармон Sync аз AWS CLI...
. Пешгирии чунин хисорот аз он сабаб аст, ки ширкатҳо барои ҳифзи инфрасохтори абрӣ, DevOps ва коршиносони амният ин қадар маблағ сарф мекунанд. Ва гузаштан ба абр то чӣ андоза арзишманд ва камхарҷ аст? Ба ҳадде ки ҳатто дар баробари мушкилоти бештари киберамният !
Ахлоқи ҳикоя: бехатарии худро тафтиш кунед; Гузаронидани аудитҳои мунтазам; Принсипи имтиёзҳои камтаринро барои сиёсати амният эҳтиром кунед.
( Шумо метавонед гузориши пурраи ҳуқуқиро бубинед).
Манбаъ: will.com