تم اختراق أوبر ، تفتخر بالهاكر - كيف تمنع حدوث ذلك لك

بكل المقاييس ، وللأسف هناك الكثير منهم ، أحد المتسللين - في كسر وادخل الشبكة الخاصة بك بشكل غير قانوني بمعنى ، ليس في حل مشاكل الترميز الفائق الصعب بطريقة غير تقليدية بمعنى - اقتحمت شركة أوبر للمشاركة في الركوب.

ووفقا ل تقرير من بي بي سي ، يقال إن المتسلل يبلغ من العمر 18 عامًا فقط ، ويبدو أنه نفذ الهجوم لنفس السبب الذي دفع متسلق الجبال البريطاني الشهير جورج مالوري لمواصلة المحاولة (وفي النهاية الموت في المحاولة) لتسلق قمة جبل إيفرست في عشرينيات القرن الماضي ...

..."لأنها هناك."

من المفهوم أن أوبر لم تقل الكثير حتى الآن [2022-09-16T15: 45Z] أكثر من قولها أعلن على تويتر:

نحن نستجيب حاليًا لحادث يتعلق بالأمن السيبراني. نحن على اتصال بسلطات إنفاذ القانون وسننشر تحديثات إضافية هنا عندما تصبح متاحة.

- Uber Comms (Uber_Comms) 16 سبتمبر 2022

كم نعرف حتى الآن؟

إذا كان حجم التسلل واسعًا كما اقترح المخترق المزعوم ، استنادًا إلى لقطات الشاشة التي رأيناها مُلصقة على Twitter ، فلا نتفاجأ من أن Uber لم تقدم أي معلومات محددة حتى الآن ، لا سيما بالنظر إلى أن تطبيق القانون تشارك في التحقيق.

عندما يتعلق الأمر بالطب الشرعي للحوادث الإلكترونية ، فإن إبليس حقا في التفاصيل.

ومع ذلك ، يبدو أن البيانات المتاحة للجمهور ، والتي يُزعم أن المخترق قد أطلقها بنفسه ووزعت على نطاق واسع ، تشير إلى أن هذا الاختراق كان له سببان أساسيان ، سنصفهما بتشبيه من العصور الوسطى.

المتطفل:

• خدعت أحد المطلعين للسماح لهم بالدخول إلى الفناء ، أو بيلي. هذه هي المنطقة الموجودة داخل جدار القلعة الخارجي ، ولكنها منفصلة عن الجزء الأفضل دفاعًا.
• تم العثور على تفاصيل غير مراقبة تشرح كيفية الوصول إلى الحفظ ، أو موت. كما يوحي الاسم ، فإن احتفظ هي المعقل الدفاعي المركزي للقلعة الأوروبية التقليدية في العصور الوسطى.

الكسر الأولي

المصطلح الاصطلاحي لشق طريقك إلى ما يعادل القرن الحادي والعشرين لساحة القلعة هو هندسة اجتماعية.

كما نعلم جميعا ، هناك طرق عديدة أن المهاجمين الذين لديهم الوقت والصبر وهبة الثرثرة يمكن أن يقنعوا حتى المستخدم المطلع حسن النية لمساعدتهم على تجاوز العمليات الأمنية التي من المفترض أن تمنعهم من الخروج.

تتضمن حيل الهندسة الاجتماعية الآلية أو شبه الآلية عمليات الخداع التي تستند إلى البريد الإلكتروني والرسائل الفورية.

تجذب هذه الحيل المستخدمين إلى إدخال تفاصيل تسجيل الدخول الخاصة بهم ، بما في ذلك غالبًا رموز 2FA الخاصة بهم ، على مواقع الويب المزيفة التي تبدو وكأنها صفقة حقيقية ولكنها في الواقع تقدم رموز الوصول المطلوبة إلى المهاجمين.

بالنسبة للمستخدم الذي قام بتسجيل الدخول بالفعل ، وبالتالي تمت المصادقة عليه مؤقتًا لجلسته الحالية ، قد يحاول المهاجمون الوصول إلى ما يسمى ملفات تعريف الارتباط أو رموز الوصول على كمبيوتر المستخدم.

من خلال زرع برامج ضارة تخطف الجلسات الحالية ، على سبيل المثال ، قد يتمكن المهاجمون من التنكر كمستخدم شرعي لفترة كافية لتولي المسؤولية بالكامل ، دون الحاجة إلى أي من بيانات الاعتماد المعتادة التي يطلبها المستخدم نفسه لتسجيل الدخول من البداية:

وإذا فشل كل شيء آخر - أو ربما حتى بدلاً من تجربة الأساليب الميكانيكية الموضحة أعلاه - يمكن للمهاجمين ببساطة استدعاء المستخدم وسحره ، أو الاستجداء ، أو الاستجداء ، أو الرشوة ، أو التملق ، أو التهديد بدلاً من ذلك ، اعتمادًا على الكيفية تتكشف المحادثة.

غالبًا ما يكون المهندسون الاجتماعيون المهرة قادرين على إقناع المستخدمين ذوي النوايا الحسنة ليس فقط بفتح الباب في المقام الأول ، ولكن أيضًا لإبقائه مفتوحًا لتسهيل دخول المهاجمين ، وربما حتى حمل حقائب المهاجم و تبين لهم إلى أين يذهبون بعد ذلك.

هذه هي الطريقة التي تم بها اختراق Twitter الشهير لعام 2020 ، حيث تم الاستيلاء على 45 حسابًا على Twitter ذات العلم الأزرق ، بما في ذلك حسابات Bill Gates و Elon Musk و Apple ، واستخدامها للترويج لعملية احتيال على العملات المشفرة.

لم تكن هذه القرصنة تقنية بقدر ما هي ثقافية ، وتم تنفيذها من خلال فريق الدعم الذي حاول جاهدًا فعل الشيء الصحيح الذي انتهى به الأمر إلى فعل العكس تمامًا:

حل وسط كامل

المصطلح المصطلح المعادل للدخول إلى حافظة القلعة من الفناء هو ارتفاع الامتياز.

عادةً ما يبحث المهاجمون عمدًا عن الثغرات الأمنية المعروفة ويستخدمونها داخليًا ، على الرغم من أنهم لم يتمكنوا من إيجاد طريقة لاستغلالها من الخارج لأن المدافعين قد تحملوا عناء الحماية منها في محيط الشبكة.

على سبيل المثال ، في دراسة استقصائية نشرناها مؤخرًا عن الاختراقات التي قام بها استجابة سوفوس السريعة حقق الفريق في عام 2021 ، وجدنا أنه في 15٪ فقط من الاختراقات الأولية - حيث يتخطى المهاجمون الجدار الخارجي ويدخلون في البيلي - تمكن المجرمون من اقتحام RDP.

(RDP اختصار لـ بروتوكول سطح المكتب البعيد، وهو أحد مكونات Windows المستخدمة على نطاق واسع والذي تم تصميمه للسماح للمستخدم X بالعمل عن بُعد على الكمبيوتر Y ، حيث يكون Y غالبًا خادمًا لا يحتوي على شاشة ولوحة مفاتيح خاصة به ، وقد يكون بالفعل ثلاثة طوابق تحت الأرض في غرفة الخادم ، أو عبر العالم في مركز بيانات سحابي.)

ولكن في 80٪ من الهجمات ، استخدم المجرمون RDP بمجرد وجودهم بالداخل للتجول تقريبًا كما يشاءون في جميع أنحاء الشبكة:

بنفس القدر من القلق ، عندما لا تكون برامج الفدية متورطة (لأن هجوم برامج الفدية يجعل الأمر واضحًا على الفور أنك قد انتهكت!) ، فإن متوسط ​​الوقت الذي قضاه المجرمون التجوال في الشبكة دون أن يلاحظها أحد كان 34 يومًا - أكثر من شهر تقويمي:

حادثة أوبر

لسنا متأكدين بعد من كيفية تنفيذ الهندسة الاجتماعية الأولية (اختصارًا إلى SE في مصطلحات القرصنة) ، لكن الباحث في التهديد بيل دميركابي قام بذلك تويتر لقطة يبدو أنه يكشف (بتفاصيل دقيقة منقوصة) كيف تم تحقيق رفع الامتياز.

على ما يبدو ، على الرغم من أن المخترق بدأ كمستخدم عادي ، وبالتالي كان لديه وصول فقط إلى بعض أجزاء الشبكة ...

... كشف القليل من التجول والتطفل على المشاركات غير المحمية على الشبكة عن دليل شبكة مفتوح يشتمل على مجموعة من نصوص PowerShell النصية ...

... التي تضمنت بيانات اعتماد أمان مشفرة بدقة لوصول المسؤول إلى منتج معروف في المصطلحات باسم PAM ، باختصار مدير الوصول المميز.

كما يوحي الاسم ، فإن PAM هو نظام يستخدم لإدارة بيانات الاعتماد والتحكم في الوصول إلى جميع (أو على الأقل الكثير) من المنتجات والخدمات الأخرى التي تستخدمها المنظمة.

بعبارة ساخرة ، فإن المهاجم ، الذي ربما بدأ بحساب مستخدم متواضع وربما محدود للغاية ، عثر على كلمة مرور ueber-ueber التي فتحت العديد من كلمات مرور أوبر لعمليات تكنولوجيا المعلومات العالمية لشركة Uber.

لسنا متأكدين فقط من مدى اتساع قدرة المخترق على التجوال بمجرد تقديره لفتح قاعدة بيانات PAM ، لكن منشورات Twitter من مصادر عديدة تشير إلى أن المهاجم كان قادرًا على اختراق الكثير من البنية التحتية لتكنولوجيا المعلومات في Uber.

يُزعم أن المخترق قد ألقى بالبيانات لإثبات أنهم تمكنوا من الوصول إلى أنظمة الأعمال التالية على الأقل: Slack workspaces؛ برنامج الحماية من التهديدات الخاص بأوبر (ما لا يزال يشار إليه عادةً باسم مكافحة الفيروسات) ؛ وحدة تحكم AWS ؛ معلومات السفر والمصروفات الخاصة بالشركة (بما في ذلك أسماء الموظفين) ؛ وحدة تحكم خادم ظاهري vSphere ؛ قائمة مساحات عمل Google ؛ وحتى خدمة المكافآت الخاصة بـ Uber.

(على ما يبدو ، ومن المفارقات ، أن خدمة bug bounty كانت هي المكان الذي يتفاخر فيه المتسلل بصوت عالٍ بأحرف كبيرة ، كما هو موضح في العنوان ، تم اختراق أوبر.)

ماذا ستفعلين.. إذًا؟

من السهل توجيه أصابع الاتهام إلى Uber في هذه الحالة والإشارة إلى أن هذا الانتهاك يجب اعتباره أسوأ بكثير من معظم الأشخاص ، وذلك ببساطة بسبب الطبيعة الصاخبة والعلنية للغاية لكل ذلك.

لكن الحقيقة المؤسفة هي أن العديد من الهجمات الإلكترونية المعاصرة ، إن لم يكن معظمها ، قد اشتملت على المهاجمين الذين حصلوا بالضبط على هذه الدرجة من الوصول ...

... أو على الأقل من المحتمل أن يكون لديهم هذا المستوى من الوصول ، حتى لو لم يتنقلوا في النهاية في كل مكان يمكنهم الحصول عليه.

بعد كل شيء ، لا تمثل العديد من هجمات برامج الفدية هذه الأيام البداية بل نهاية عملية التطفل التي ربما استمرت لأيام أو أسابيع ، وربما استمرت لأشهر ، وخلال هذه الفترة ربما تمكن المهاجمون من الترويج لأنفسهم. وضع متساوٍ مع أعلى مسؤول نظام في الشركة التي قاموا بخرقها.

هذا هو السبب في أن هجمات برامج الفدية غالبًا ما تكون مدمرة للغاية - لأنه بحلول الوقت الذي يأتي فيه الهجوم ، يوجد عدد قليل من أجهزة الكمبيوتر المحمولة أو الخوادم أو الخدمات التي لم يتشاجر المجرمون في الوصول إليها ، لذا فهم قادرون حرفيًا على التدافع على كل شيء.

بعبارة أخرى ، ما يبدو أنه حدث لأوبر في هذه الحالة ليس قصة جديدة أو فريدة من نوعها لخرق البيانات.

إذن ، إليك بعض النصائح التي تحفز التفكير والتي يمكنك استخدامها كنقطة انطلاق لتحسين الأمان العام على شبكتك الخاصة:

• مديرو كلمات المرور و 2FA ليسوا حلاً سحريًا. يؤدي استخدام كلمات المرور المختارة جيدًا إلى منع المحتالين من تخمين طريقهم ، كما أن أمان 2FA استنادًا إلى رموز لمرة واحدة أو رموز الوصول إلى الأجهزة (عادةً ما تكون دونجل USB أو NFC الصغيرة التي يحتاج المستخدم إلى حملها معهم) تجعل الأمور أكثر صعوبة ، وغالبًا ما تكون أكثر صعوبة ، من أجل المهاجمين. ولكن ضد ما يسمى اليوم الهجمات التي يقودها الإنسان، حيث يشرك "الخصوم النشطون" أنفسهم بشكل شخصي ومباشر في الاقتحام ، فأنت بحاجة إلى مساعدة المستخدمين على تغيير سلوكهم العام عبر الإنترنت ، بحيث تقل احتمالية إقناعهم بإجراءات التجاوز ، بغض النظر عن مدى شمولية وتعقيد هذه الإجراءات.
• الأمن موجود في كل مكان في الشبكة ، وليس فقط على الحافة. في هذه الأيام ، يحتاج العديد من المستخدمين إلى الوصول إلى جزء من شبكتك على الأقل - الموظفون والمقاولون والموظفون المؤقتون وحراس الأمن والموردون والشركاء وعمال النظافة والعملاء والمزيد. إذا كان إعداد الأمان يستحق التشديد على ما يبدو وكأنه محيط شبكتك ، فمن شبه المؤكد أنه يحتاج إلى تشديد "الداخل" أيضًا. هذا ينطبق بشكل خاص على الترقيع. كما نحب أن نقول على Naked Security ، "التصحيح في وقت مبكر ، التصحيح في كثير من الأحيان ، التصحيح في كل مكان."
• قم بقياس واختبار الأمن السيبراني الخاص بك على أساس منتظم. لا تفترض أبدًا أن الاحتياطات التي تعتقد أنك اتخذتها تعمل حقًا. لا تفترض تحقق دائما. تذكر أيضًا أنه نظرًا لظهور أدوات وتقنيات وإجراءات جديدة للهجوم الإلكتروني طوال الوقت ، فإن احتياطاتك تحتاج إلى مراجعة بانتظام. بكلمات بسيطة ، "الأمن السيبراني رحلة وليس وجهة."
• ضع في اعتبارك الحصول على مساعدة الخبراء. التسجيل في أ الكشف المدار والاستجابة لا تعد خدمة (MDR) إقرارًا بالفشل ، أو علامة على أنك لا تفهم الأمن السيبراني بنفسك. MDR ليس إلغاء مسئوليتك - إنها ببساطة طريقة للحصول على خبراء متخصصين في متناول اليد عندما تكون في حاجة إليهم حقًا. يعني MDR أيضًا أنه في حالة وقوع هجوم ، لا يتعين على موظفيك التخلي عن كل ما يقومون به حاليًا (بما في ذلك المهام العادية التي تعتبر حيوية لاستمرارية عملك) ، وبالتالي من المحتمل أن يتركوا ثغرات أمنية أخرى مفتوحة.
• اعتماد نهج عدم الثقة. لا تعني الثقة الصفرية حرفيًا أنك لا تثق أبدًا في قيام أي شخص بأي شيء. إنها استعارة لـ "عدم تقديم افتراضات" و "لا تسمح أبدًا لأي شخص بفعل أكثر مما يحتاج إليه بشدة". الوصول إلى الشبكة بدون ثقة لا تعمل منتجات (ZTNA) مثل أدوات أمان الشبكات التقليدية مثل شبكات VPN. توفر VPN عمومًا طريقة آمنة لشخص ما في الخارج للحصول على قبول عام للشبكة ، وبعد ذلك غالبًا ما يتمتعون بحرية أكبر بكثير مما يحتاجون إليه حقًا ، مما يسمح لهم بالتجول والتطفل والبحث عن مفاتيح لبقية القلعة. يأخذ الوصول إلى الثقة المعدومة نهجًا أكثر دقة ، بحيث إذا كان كل ما تحتاج إليه حقًا هو تصفح أحدث قائمة أسعار داخلية ، فهذا هو الوصول الذي ستحصل عليه. لن تحصل أيضًا على الحق في التجول في منتديات الدعم ، أو البحث في سجلات المبيعات ، أو إدخال أنفك في قاعدة بيانات التعليمات البرمجية المصدر.
• قم بإعداد خط ساخن للأمن السيبراني للموظفين إذا لم يكن لديك واحد بالفعل. اجعل من السهل على أي شخص الإبلاغ عن مشكلات الأمن السيبراني. سواء كانت مكالمة هاتفية مشبوهة ، أو مرفق بريد إلكتروني غير محتمل ، أو حتى مجرد ملف ربما لا يجب أن يكون موجودًا على الشبكة ، فلديك نقطة اتصال واحدة (على سبيل المثال securityreport@yourbiz.example) مما يجعل استدعاء زملائك له أمرًا سريعًا وسهلاً.
• لا تتخلى عن الناس. لا تستطيع التكنولوجيا وحدها حل جميع مشكلات الأمن السيبراني. إذا تعاملت مع موظفيك باحترام ، وإذا كنت تتبنى موقف الأمن السيبراني "لا يوجد شيء اسمه سؤال سخيف ، فقط إجابة غبية"، يمكنك بعد ذلك تحويل كل فرد في المؤسسة إلى عيون وآذان لفريق الأمان الخاص بك.

---

لماذا لا تنضم إلينا في الفترة من 26-29 سبتمبر 2022 لهذا العام أسبوع Sophos Security SOS:

أربع محادثات قصيرة ولكنها رائعة مع خبراء العالم.

تعرف على الحماية والكشف والاستجابة ،
وكيفية تكوين فريق SecOps ناجح خاص بك:

---