Efter alt at dømme, og desværre er der mange af dem, en hacker – i bryde-og-indtast-dit-netværk-ulovligt forstand, ikke i en løse-super-hårde-kodningsproblemer-på-en-funky-måde sense – er brudt ind i samkørselsfirmaet Uber.
Ifølge en indberette fra BBC siges hackeren kun at være 18 år gammel, og han ser ud til at have gennemført angrebet af samme slags årsag, som den berømte drev britisk bjergbestiger George Mallory at blive ved med at prøve (og i sidste ende dø i forsøget) på at toppe Mount Everest i 1920'erne...
..."fordi det er der."
Uber har forståeligt nok ikke sagt meget mere indtil videre [2022-09-16T15:45Z] end at annoncere på Twitter:
Vi reagerer i øjeblikket på en cybersikkerhedshændelse. Vi er i kontakt med retshåndhævelsen og vil offentliggøre yderligere opdateringer her, når de bliver tilgængelige.
- Uber Comms (@Uber_Comms) September 16, 2022
Hvor meget ved vi indtil videre?
Hvis omfanget af indtrængen er så bredt, som den påståede hacker har foreslået, baseret på de skærmbilleder, vi har set plasteret på Twitter, er vi ikke overraskede over, at Uber ikke har tilbudt nogen specifik information endnu, især i betragtning af at retshåndhævelse er involveret i efterforskningen.
Når det kommer til cyberincident-kriminalteknik, er det djævel er virkelig i detaljerne.
Ikke desto mindre synes offentligt tilgængelige data, angiveligt frigivet af hackeren selv og distribueret bredt, at antyde, at dette hack havde to underliggende årsager, som vi vil beskrive med en middelalderlig analogi.
Den ubudne gæst:
- Narre en insider til at lukke dem ind i gården, eller bailey. Det er området inden for den yderste borgmur, men adskilt fra den bedst forsvarede del.
- Fandt uovervågede detaljer, der forklarer, hvordan man får adgang til keep, eller spadestik. Som navnet antyder, den holde er den centrale defensive højborg for et traditionelt middelalderligt europæisk slot.
Det indledende indbrud
Fagsproget for at blagge dig ind i det 21. århundredes ækvivalent til slotsgården er social engineering.
Som vi alle ved, er der mange måder at angribere med tid, tålmodighed og gaven af gab kan overtale selv en velinformeret og velmenende bruger til at hjælpe dem med at omgå de sikkerhedsprocesser, der skal holde dem ude.
Automatiserede eller semi-automatiserede social engineering-tricks omfatter e-mail og IM-baserede phishing-svindel.
Disse svindelnumre lokker brugere til at indtaste deres loginoplysninger, ofte inklusive deres 2FA-koder, på forfalskede websteder, der ligner den rigtige vare, men som faktisk leverer de nødvendige adgangskoder til angriberne.
For en bruger, der allerede er logget ind, og dermed er midlertidigt autentificeret til deres aktuelle session, kan angribere forsøge at komme til såkaldte cookies eller adgangstokens på brugerens computer.
Ved at implantere malware, der kaprer eksisterende sessioner, kan angribere for eksempel være i stand til at udgive sig som en legitim bruger længe nok til at overtage fuldstændigt uden at skulle bruge nogen af de sædvanlige legitimationsoplysninger, som brugeren selv krævede for at logge ind fra bunden:
Og hvis alt andet fejler – eller måske endda i stedet for at prøve de mekaniske metoder beskrevet ovenfor – kan angriberne blot ringe til en bruger og charmere dem, eller tude, eller tigge, eller bestikke, eller tryllebinde eller true dem i stedet, afhængigt af hvordan samtalen udfolder sig.
Dygtige socialingeniører er ofte i stand til at overbevise velmenende brugere om ikke kun at åbne døren i første omgang, men også at holde den åben for at gøre det endnu nemmere for angriberne at komme ind og måske endda bære angriberens tasker og vise dem, hvor de skal hen.
Sådan blev det berygtede Twitter-hack i 2020 udført, hvor 45 Twitter-konti med blåt flag, herunder Bill Gates, Elon Musk og Apple, blev overtaget og brugt til at promovere et svindelnummer med kryptovaluta.
Den hacking var ikke så meget teknisk som kulturel, udført via supportmedarbejdere, der prøvede så hårdt på at gøre det rigtige, at de endte med at gøre præcis det modsatte:
Fuldstændig kompromis
Fagsproget for hvad der svarer til at komme ind i slottets vagt fra gårdspladsen er forhøjelse af privilegium.
Typisk vil angribere bevidst lede efter og bruge kendte sikkerhedssårbarheder internt, selvom de ikke kunne finde en måde at udnytte dem udefra, fordi forsvarerne havde gjort sig den ulejlighed at beskytte mod dem ved netværkets perimeter.
For eksempel i en undersøgelse, vi offentliggjorde for nylig af indtrængen, som Sophos Rapid Response hold undersøgt i 2021, fandt vi ud af, at kun 15 % af de indledende indtrængen – hvor angriberne kommer over den ydre mur og ind i borggården – var de kriminelle i stand til at bryde ind ved hjælp af RDP.
(RDP er en forkortelse for remote desktop protokol, og det er en meget brugt Windows-komponent, der er designet til at lade bruger X arbejde eksternt på computer Y, hvor Y ofte er en server, der ikke har sin egen skærm og tastatur, og som faktisk kan være tre etager under jorden i et serverrum , eller over hele verden i et cloud-datacenter.)
Men i 80 % af angrebene brugte de kriminelle RDP, når de først var inde, til at vandre næsten efter behag gennem netværket:
Lige så bekymrende, når ransomware ikke var involveret (fordi et ransomware-angreb gør det med det samme indlysende, at du er blevet brudt!), den gennemsnitlige gennemsnitlige tid, som de kriminelle var roaming på netværket ubemærket var 34 dage – mere end en kalendermåned:
Uber-hændelsen
Vi er endnu ikke sikre på, hvordan den indledende social engineering (forkortet til SE i hacking-jargon) blev udført, men trusselsforsker Bill Demirkapi har tweetede et screenshot der synes at afsløre (med præcise detaljer redigeret), hvordan privilegiet blev opnået.
Tilsyneladende, selvom hackeren startede som en almindelig bruger og derfor kun havde adgang til nogle dele af netværket...
… lidt vandring-og-snooping på ubeskyttede delinger på netværket afslørede en åben netværksmappe, der indeholdt en masse PowerShell-scripts …
…der inkluderede hårdkodede sikkerhedsoplysninger til administratoradgang til et produkt kendt i jargonen som en PAM, en forkortelse for Privilegeret adgangsadministrator.
Som navnet antyder, er en PAM et system, der bruges til at administrere legitimationsoplysninger for og kontrollere adgangen til alle (eller i det mindste mange af) de andre produkter og tjenester, der bruges af en organisation.
Skørt sagt faldt angriberen, der formentlig startede med en ydmyg og måske meget begrænset brugerkonto, over et ueber-ueber-password, der låste mange af ueber-adgangskoderne til Ubers globale it-drift.
Vi er ikke sikre på, hvor bredt hackeren var i stand til at strejfe, når de først havde åbnet PAM-databasen, men Twitter-opslag fra adskillige kilder tyder på, at angriberen var i stand til at trænge igennem meget af Ubers it-infrastruktur.
Hackeren dumpede angiveligt data for at vise, at de havde tilgået mindst følgende forretningssystemer: Slappe arbejdsområder; Ubers trusselsbeskyttelsessoftware (det der ofte tilfældigt omtales som en anti-virus); en AWS-konsol; oplysninger om firmarejser og udgifter (herunder medarbejdernavne); en virtuel vSphere-serverkonsol; en liste over Google Workspaces; og endda Ubers egen bug bounty-tjeneste.
(Tilsyneladende, og ironisk nok, var bug bounty-tjenesten, hvor hackeren pralede højlydt med store bogstaver, som vist i overskriften, at UBER ER BLEVET HACKET.)
Hvad skal jeg gøre?
Det er let at pege fingre af Uber i denne sag og antyde, at dette brud bør betragtes som meget værre end de fleste, simpelthen på grund af den højlydte og meget offentlige karakter af det hele.
Men den uheldige sandhed er, at mange, hvis ikke de fleste, nutidige cyberangreb viser sig at have involveret, at angriberne fik præcis denne grad af adgang...
…eller i det mindste potentielt have dette adgangsniveau, selvom de ikke i sidste ende søgte rundt overalt, som de kunne have.
Når alt kommer til alt, repræsenterer mange ransomware-angreb i disse dage ikke begyndelsen, men slutningen på en indtrængen, der sandsynligvis varede dage eller uger, og som kan have varet i flere måneder, i hvilken tid angriberne sandsynligvis formåede at promovere sig selv til at have lige status med den højeste sysadmin i det selskab, de havde brudt.
Det er derfor, at ransomware-angreb ofte er så ødelæggende – for på det tidspunkt, hvor angrebet kommer, er der få bærbare computere, servere eller tjenester, som de kriminelle ikke har skændtes med adgang til, så de er næsten bogstaveligt talt i stand til at kryptere alt.
Med andre ord, det, der ser ud til at være sket med Uber i dette tilfælde, er ikke en ny eller unik databrudshistorie.
Så her er nogle tankevækkende tips, som du kan bruge som udgangspunkt for at forbedre den overordnede sikkerhed på dit eget netværk:
- Adgangskodeadministratorer og 2FA er ikke et vidundermiddel. Brug af velvalgte adgangskoder stopper skurke med at gætte sig ind, og 2FA-sikkerhed baseret på engangskoder eller hardwareadgangstokens (normalt små USB- eller NFC-dongler, som en bruger skal have med sig) gør tingene sværere, ofte meget sværere, for angribere. Men mod dagens såkaldte menneskeledede angreb, hvor "aktive modstandere" involverer sig personligt og direkte i indtrængen, skal du hjælpe dine brugere med at ændre deres generelle onlineadfærd, så de er mindre tilbøjelige til at blive talt ind i omgåelsesprocedurer, uanset hvor omfattende og komplekse disse procedurer måtte være.
- Sikkerhed hører hjemme overalt i netværket, ikke kun i kanten. I disse dage har rigtig mange brugere brug for adgang til i det mindste en del af dit netværk – medarbejdere, entreprenører, vikarer, sikkerhedsvagter, leverandører, partnere, rengøringsassistenter, kunder og mere. Hvis en sikkerhedsindstilling er værd at stramme op på, hvad der føles som din netværks perimeter, så skal den næsten helt sikkert også strammes op "indvendigt". Dette gælder især patching. Som vi gerne vil sige om Naked Security, "Patch tidligt, patch ofte, patch overalt."
- Mål og test din cybersikkerhed med jævne mellemrum. Gå aldrig ud fra, at de forholdsregler, du troede, du har truffet, virkelig virker. Antag ikke; altid verificere. Husk også, at fordi nye cyberangrebsværktøjer, -teknikker og -procedurer dukker op hele tiden, skal dine forholdsregler gennemgås regelmæssigt. Med enkle ord, "Cybersikkerhed er en rejse, ikke en destination."
- Overvej at få eksperthjælp. Tilmelding til en Administreret detektion og respons (MDR) service er ikke en indrømmelse af fiasko eller et tegn på, at du ikke selv forstår cybersikkerhed. MDR er ikke en ophævelse af dit ansvar – det er simpelthen en måde at have dedikerede eksperter ved hånden, når du virkelig har brug for dem. MDR betyder også, at dit eget personale i tilfælde af et angreb ikke behøver at droppe alt, hvad de laver i øjeblikket (inklusive almindelige opgaver, der er afgørende for kontinuiteten i din virksomhed), og dermed potentielt lade andre sikkerhedshuller stå åbne.
- Brug en nul-tillid tilgang. Nul-tillid betyder bogstaveligt talt ikke, at du aldrig stoler på, at nogen gør noget. Det er en metafor for "gør ingen antagelser" og "administrer aldrig nogen til at gøre mere, end de strengt taget har brug for". Nul-tillid til netværksadgang (ZTNA)-produkter fungerer ikke som traditionelle netværkssikkerhedsværktøjer såsom VPN'er. En VPN giver generelt en sikker måde for nogen udenfor at få generel adgang til netværket, hvorefter de ofte nyder meget mere frihed, end de virkelig har brug for, hvilket giver dem mulighed for at roame, snoke og snuse rundt og lede efter nøglerne til resten af slottet. Nul-tillid adgang har en meget mere detaljeret tilgang, så hvis alt hvad du virkelig skal gøre er at gennemse den seneste interne prisliste, er det den adgang, du får. Du får heller ikke ret til at vandre ind i supportfora, trawle gennem salgsregistreringer eller stikke næsen ind i kildekodedatabasen.
- Opret en cybersikkerhedshotline for personalet, hvis du ikke allerede har en. Gør det nemt for alle at rapportere cybersikkerhedsproblemer. Uanset om det er et mistænkeligt telefonopkald, en usandsynlig vedhæftet fil i e-mails eller endda bare en fil, der sandsynligvis ikke burde være derude på netværket, skal du have et enkelt kontaktpunkt (f.eks.
securityreport@yourbiz.example), der gør det hurtigt og nemt for dine kollegaer at kalde det ind. - Giv aldrig op på folk. Teknologi alene kan ikke løse alle dine cybersikkerhedsproblemer. Hvis du behandler dine medarbejdere med respekt, og hvis du indtager den cybersikkerhedsholdning "der er ikke noget der hedder et dumt spørgsmål, kun et dumt svar", så kan du gøre alle i organisationen til øjne og ører for dit sikkerhedsteam.
Hvorfor ikke slutte sig til os fra den 26.-29. september 2022 til dette års Sophos Security SOS Week:
Fire korte, men fascinerende foredrag med verdenseksperter.
Lær om beskyttelse, detektion og svar,
og hvordan du opretter dit eget succesfulde SecOps-team:
- blockchain
- coingenius
- cryptocurrency tegnebøger
- kryptoverveksling
- cybersikkerhed
- cyberkriminelle
- Cybersecurity
- bruddet
- datatab
- afdeling for indenrigssikkerhed
- digitale tegnebøger
- firewall
- hacking
- Kaspersky
- malware
- Mcafee
- Naked Security
- Nexbloc
- plato
- platon ai
- Platon Data Intelligence
- Platon spil
- PlatoData
- platogaming
- Beskyttelse af personlige oplysninger
- Uber
- VPN
- website sikkerhed
- zephyrnet
