Κατά γενική ομολογία, και δυστυχώς υπάρχουν πολλοί από αυτούς, ένας χάκερ – στο σπάστε και εισέλθετε παράνομα στο δίκτυο σας έννοια, όχι σε α επίλυση-υπερ-σκληρών-προβλημάτων-κωδικοποίησης-με-ένα-funky-τρόπο αίσθηση – έχει εισβάλει στην εταιρεία κοινής χρήσης βόλτας Uber.
Σύμφωνα με ένα αναφέρουν από το BBC, ο χάκερ λέγεται ότι είναι μόλις 18 ετών, και φαίνεται ότι έκανε την επίθεση για τον ίδιο λόγο που οδήγησε τον Βρετανό ορειβάτη Γιώργος Mallory να συνεχίσει να προσπαθεί (και τελικά να πεθάνει στην απόπειρα) να ανέβει στο Έβερεστ τη δεκαετία του 1920…
...«γιατί είναι εκεί».
Η Uber, όπως είναι κατανοητό, δεν έχει πει πολλά περισσότερα μέχρι στιγμής [2022-09-16T15:45Z] από το να ανακοινώνω στο Twitter:
Αυτήν τη στιγμή ανταποκρινόμαστε σε ένα περιστατικό κυβερνοασφάλειας. Είμαστε σε επαφή με τις αρχές επιβολής του νόμου και θα δημοσιεύσουμε επιπλέον ενημερώσεις εδώ μόλις γίνουν διαθέσιμες.
- Uber Comms (@Uber_Comms) Σεπτέμβριος 16, 2022
Πόσα γνωρίζουμε μέχρι στιγμής;
Εάν η κλίμακα της εισβολής είναι τόσο ευρεία όσο πρότεινε ο φερόμενος χάκερ, με βάση τα στιγμιότυπα οθόνης που έχουμε δει στο Twitter, δεν μας εκπλήσσει που η Uber δεν έχει προσφέρει ακόμη συγκεκριμένες πληροφορίες, ειδικά δεδομένου ότι η επιβολή του νόμου είναι εμπλέκονται στην έρευνα.
Όταν πρόκειται για εγκληματολογία κυβερνοσυμβάντων, η διάβολος είναι πραγματικά στις λεπτομέρειες.
Ωστόσο, τα δημόσια διαθέσιμα δεδομένα, που φέρεται να κυκλοφόρησαν από τον ίδιο τον χάκερ και να διανεμηθούν ευρέως, φαίνεται να υποδηλώνουν ότι αυτό το hack είχε δύο υποκείμενες αιτίες, τις οποίες θα περιγράψουμε με μια μεσαιωνική αναλογία.
Ο εισβολέας:
- Ξεγέλασε έναν μυημένο να τους αφήσει να μπουν στην αυλή, ή Bailey. Αυτή είναι η περιοχή μέσα στο πιο εξωτερικό τείχος του κάστρου, αλλά χωριστά από το καλύτερα προστατευμένο τμήμα.
- Βρέθηκαν λεπτομέρειες χωρίς επίβλεψη που εξηγούν πώς να αποκτήσετε πρόσβαση στο αρχείο διατήρησης ή χλοοτάπητας. Όπως υποδηλώνει το όνομα, το διατήρηση είναι το κεντρικό αμυντικό οχυρό ενός παραδοσιακού μεσαιωνικού ευρωπαϊκού κάστρου.
Το αρχικό σπάσιμο
Ο όρος της φρασεολογίας για να μπείτε στην αυλή του κάστρου του 21ου αιώνα είναι κοινωνική μηχανική.
Όπως όλοι γνωρίζουμε, υπάρχουν πολλοί τρόποι ότι οι εισβολείς με το χρόνο, την υπομονή και το δώρο του gab μπορούν να πείσουν ακόμη και έναν καλά ενημερωμένο και καλοπροαίρετο χρήστη να τον βοηθήσει να παρακάμψει τις διαδικασίες ασφαλείας που υποτίθεται ότι τους κρατούν έξω.
Τα αυτοματοποιημένα ή ημι-αυτοματοποιημένα κόλπα κοινωνικής μηχανικής περιλαμβάνουν απάτες ηλεκτρονικού ψαρέματος μέσω ηλεκτρονικού ταχυδρομείου και άμεσων μηνυμάτων.
Αυτές οι απάτες δελεάζουν τους χρήστες να εισάγουν τα στοιχεία σύνδεσής τους, συχνά συμπεριλαμβανομένων των κωδικών τους 2FA, σε πλαστές ιστοσελίδες που μοιάζουν με την πραγματική συμφωνία, αλλά στην πραγματικότητα παρέχουν τους απαραίτητους κωδικούς πρόσβασης στους εισβολείς.
Για έναν χρήστη που είναι ήδη συνδεδεμένος και, επομένως, έχει πιστοποιηθεί προσωρινά για την τρέχουσα συνεδρία του, οι εισβολείς ενδέχεται να επιχειρήσουν να βρουν το λεγόμενο cookies ή κουπόνια πρόσβασης στον υπολογιστή του χρήστη.
Με την εμφύτευση κακόβουλου λογισμικού που παραβιάζει τις υπάρχουσες συνεδρίες, για παράδειγμα, οι εισβολείς μπορεί να είναι σε θέση να μεταμφιεστούν ως νόμιμος χρήστης για αρκετό καιρό ώστε να αναλάβουν πλήρως, χωρίς να χρειάζονται κανένα από τα συνήθη διαπιστευτήρια που απαιτούσε ο ίδιος ο χρήστης για να συνδεθεί από την αρχή:
Και αν όλα τα άλλα αποτύχουν – ή ίσως ακόμη και αντί να δοκιμάσουν τις μηχανικές μεθόδους που περιγράφονται παραπάνω – οι επιτιθέμενοι μπορούν απλώς να καλέσουν έναν χρήστη και να τον γοητεύσουν, ή να τον παρακαλέσουν, ή να δωροδοκήσουν, ή να τον απειλήσουν, ανάλογα με το πώς η συζήτηση ξετυλίγεται.
Οι ειδικευμένοι κοινωνικοί μηχανικοί είναι συχνά σε θέση να πείσουν τους καλοπροαίρετους χρήστες όχι μόνο να ανοίξουν την πόρτα εξαρχής, αλλά και να την κρατήσουν ανοιχτή για να διευκολύνουν τους επιτιθέμενους να μπουν μέσα και ίσως ακόμη και να μεταφέρουν τις τσάντες του εισβολέα και δείξτε τους πού να πάνε μετά.
Με αυτόν τον τρόπο πραγματοποιήθηκε το περιβόητο hack στο Twitter του 2020, όπου 45 λογαριασμοί Twitter με γαλάζια σημαία, συμπεριλαμβανομένων των Bill Gates, Elon Musk και Apple, καταλήφθηκαν και χρησιμοποιήθηκαν για την προώθηση μιας απάτης με κρυπτονομίσματα.
Αυτό το hacking δεν ήταν τόσο τεχνικό όσο πολιτιστικό, πραγματοποιήθηκε μέσω του προσωπικού υποστήριξης που προσπάθησε τόσο σκληρά να κάνει το σωστό που κατέληξαν να κάνουν ακριβώς το αντίθετο:
Πλήρης συμβιβασμός
Ο όρος ορολογία για το ισοδύναμο του να μπεις στο φυλάκιο του κάστρου από την αυλή είναι ανύψωση του προνομίου.
Συνήθως, οι εισβολείς σκόπιμα αναζητούν και χρησιμοποιούν γνωστές ευπάθειες ασφαλείας εσωτερικά, παρόλο που δεν μπορούσαν να βρουν τρόπο να τις εκμεταλλευτούν από έξω, επειδή οι υπερασπιστές είχαν κάνει τον κόπο να τις προστατεύσουν στην περίμετρο του δικτύου.
Για παράδειγμα, σε μια έρευνα που δημοσιεύσαμε πρόσφατα για εισβολές που το Sophos Rapid Response Η ομάδα που ερεύνησε το 2021, διαπιστώσαμε ότι μόνο στο 15% των αρχικών εισβολών – όπου οι εισβολείς περνούσαν τον εξωτερικό τοίχο και μέσα στο bailey – μπόρεσαν οι εγκληματίες να εισβάλουν χρησιμοποιώντας RDP.
(Το RDP είναι συντομογραφία του απομακρυσμένης επιφάνειας εργασίας, και είναι ένα ευρέως χρησιμοποιούμενο στοιχείο των Windows που έχει σχεδιαστεί για να επιτρέπει στον χρήστη X να εργάζεται εξ αποστάσεως στον υπολογιστή Y, όπου ο Y είναι συχνά ένας διακομιστής που δεν έχει δική του οθόνη και πληκτρολόγιο και μπορεί πράγματι να βρίσκεται τρεις ορόφους κάτω από το έδαφος σε μια αίθουσα διακομιστή , ή σε ολόκληρο τον κόσμο σε ένα κέντρο δεδομένων cloud.)
Αλλά στο 80% των επιθέσεων, οι εγκληματίες χρησιμοποίησαν το RDP όταν ήταν μέσα για να περιπλανηθούν σχεδόν κατά βούληση σε όλο το δίκτυο:
Εξίσου ανησυχητικό, όταν δεν εμπλέκεται ransomware (επειδή μια επίθεση ransomware καθιστά αμέσως προφανές ότι έχετε παραβιαστεί!), ο μέσος μέσος χρόνος που έκαναν οι εγκληματίες περιαγωγή στο δίκτυο απαρατήρητη ήταν 34 ημέρες – περισσότερες από έναν ημερολογιακό μήνα:
Το περιστατικό Uber
Δεν είμαστε ακόμη βέβαιοι πώς πραγματοποιήθηκε η αρχική κοινωνική μηχανική (συντομευμένη σε SE στην ορολογία hacking), αλλά ο ερευνητής απειλών Bill Demirkapi έχει tweeted ένα στιγμιότυπο οθόνης που φαίνεται να αποκαλύπτει (με ακριβείς λεπτομέρειες συνταχθείσα) πώς επιτεύχθηκε η ανύψωση του προνομίου.
Προφανώς, παρόλο που ο χάκερ ξεκίνησε ως τακτικός χρήστης και επομένως είχε πρόσβαση μόνο σε ορισμένα μέρη του δικτύου…
…λίγη περιπλάνηση και κατασκοπεία σε μη προστατευμένα κοινόχρηστα στοιχεία στο δίκτυο αποκάλυψε έναν ανοιχτό κατάλογο δικτύου που περιλάμβανε ένα σωρό σενάρια PowerShell…
…που περιελάμβανε σκληρά κωδικοποιημένα διαπιστευτήρια ασφαλείας για πρόσβαση διαχειριστή σε ένα προϊόν γνωστό στην ορολογία ως PAM, συντομογραφία για Privileged Access Manager.
Όπως υποδηλώνει το όνομα, ένα PAM είναι ένα σύστημα που χρησιμοποιείται για τη διαχείριση των διαπιστευτηρίων και τον έλεγχο της πρόσβασης σε όλα (ή τουλάχιστον σε πολλά) άλλα προϊόντα και υπηρεσίες που χρησιμοποιούνται από έναν οργανισμό.
Με ειλικρίνεια, ο εισβολέας, ο οποίος πιθανότατα ξεκίνησε με έναν ταπεινό και ίσως πολύ περιορισμένο λογαριασμό χρήστη, σκόνταψε σε έναν κωδικό πρόσβασης ueber-ueber που ξεκλείδωσε πολλούς από τους κωδικούς ueber των παγκόσμιων λειτουργιών πληροφορικής της Uber.
Δεν είμαστε σίγουροι πόσο ευρέως μπόρεσε να περιπλανηθεί ο χάκερ μόλις άνοιγε τη βάση δεδομένων PAM, αλλά δημοσιεύσεις στο Twitter από πολλές πηγές υποδηλώνουν ότι ο εισβολέας μπόρεσε να διεισδύσει σε μεγάλο μέρος της υποδομής πληροφορικής της Uber.
Ο χάκερ φέρεται να απέρριψε δεδομένα για να δείξει ότι είχε πρόσβαση τουλάχιστον στα ακόλουθα επιχειρηματικά συστήματα: Χαλαροί χώροι εργασίας. Το λογισμικό προστασίας από απειλές της Uber (αυτό που συχνά αποκαλείται επιπόλαια ως ένα anti-virus) μια κονσόλα AWS. πληροφορίες ταξιδιού και εξόδων της εταιρείας (συμπεριλαμβανομένων των ονομάτων εργαζομένων)· μια κονσόλα εικονικού διακομιστή vSphere. μια λίστα με το Google Workspace. ακόμη και την υπηρεσία επιβράβευσης σφαλμάτων της ίδιας της Uber.
(Προφανώς, και ειρωνικά, η υπηρεσία bug bounty ήταν εκεί όπου ο χάκερ καυχιόταν δυνατά με κεφαλαία γράμματα, όπως φαίνεται στον τίτλο, ότι Η UBER ΕΧΕΙ ΧΑΚΑΡΕΙ.)
Τι να κάνω;
Είναι εύκολο να δείξουμε το δάχτυλο στην Uber σε αυτήν την περίπτωση και να υπονοήσουμε ότι αυτή η παραβίαση θα πρέπει να θεωρείται πολύ χειρότερη από τις περισσότερες, απλώς και μόνο λόγω του δυνατού και πολύ δημοσίου χαρακτήρα όλων.
Αλλά η ατυχής αλήθεια είναι ότι πολλές, αν όχι οι περισσότερες, σύγχρονες επιθέσεις στον κυβερνοχώρο αποδεικνύεται ότι εμπλέκουν τους επιτιθέμενους να αποκτήσουν ακριβώς αυτόν τον βαθμό πρόσβασης…
…ή τουλάχιστον δυνητικά να έχουν αυτό το επίπεδο πρόσβασης, ακόμα κι αν τελικά δεν έψαχναν παντού που θα μπορούσαν να έχουν.
Εξάλλου, πολλές επιθέσεις ransomware αυτές τις μέρες δεν αντιπροσωπεύουν την αρχή αλλά το τέλος μιας εισβολής που πιθανότατα διήρκεσε ημέρες ή εβδομάδες και μπορεί να διήρκεσε για μήνες, κατά τη διάρκεια του οποίου οι εισβολείς κατάφεραν να προωθήσουν τον εαυτό τους για να έχουν ίση κατάσταση με τον πιο ανώτερο sysadmin στην εταιρεία που είχαν παραβιάσει.
Αυτός είναι ο λόγος για τον οποίο οι επιθέσεις ransomware είναι συχνά τόσο καταστροφικές – επειδή, τη στιγμή που έρχεται η επίθεση, υπάρχουν λίγοι φορητοί υπολογιστές, διακομιστές ή υπηρεσίες στις οποίες δεν έχουν πρόσβαση οι εγκληματίες, οπότε είναι σχεδόν κυριολεκτικά σε θέση να ανακατέψουν τα πάντα.
Με άλλα λόγια, αυτό που φαίνεται ότι συνέβη στην Uber σε αυτήν την περίπτωση δεν είναι μια νέα ή μοναδική ιστορία παραβίασης δεδομένων.
Ακολουθούν λοιπόν μερικές συμβουλές που προκαλούν σκέψεις που μπορείτε να χρησιμοποιήσετε ως σημείο εκκίνησης για να βελτιώσετε τη συνολική ασφάλεια στο δικό σας δίκτυο:
- Οι διαχειριστές κωδικών πρόσβασης και το 2FA δεν είναι πανάκεια. Η χρήση καλά επιλεγμένων κωδικών πρόσβασης εμποδίζει τους απατεώνες να μαντέψουν το δρόμο τους και η ασφάλεια 2FA που βασίζεται σε κωδικούς μίας χρήσης ή διακριτικά πρόσβασης υλικού (συνήθως μικρά dongles USB ή NFC που χρειάζεται να έχει ο χρήστης μαζί του) κάνει τα πράγματα πιο δύσκολα, συχνά πολύ πιο δύσκολα, επιτιθέμενοι. Αλλά κατά του σημερινού λεγόμενου ανθρωπογενείς επιθέσεις, όπου οι «ενεργοί αντίπαλοι» εμπλέκονται προσωπικά και άμεσα στην εισβολή, πρέπει να βοηθήσετε τους χρήστες σας να αλλάξουν τη γενική τους συμπεριφορά στο διαδίκτυο, ώστε να είναι λιγότερο πιθανό να συζητηθούν με διαδικασίες παράκαμψης, ανεξάρτητα από το πόσο περιεκτικές και περίπλοκες μπορεί να είναι αυτές οι διαδικασίες.
- Η ασφάλεια ανήκει παντού στο δίκτυο, όχι μόνο στην άκρη. Αυτές τις μέρες, πολλοί χρήστες χρειάζονται πρόσβαση σε τουλάχιστον κάποιο μέρος του δικτύου σας – υπάλληλοι, εργολάβοι, έκτακτο προσωπικό, φύλακες, προμηθευτές, συνεργάτες, καθαριστές, πελάτες και πολλά άλλα. Εάν μια ρύθμιση ασφαλείας αξίζει να ενισχυθεί σε αυτό που μοιάζει με την περίμετρο του δικτύου σας, τότε είναι σχεδόν βέβαιο ότι χρειάζεται αυστηροποίηση και «εσωτερικά». Αυτό ισχύει ιδιαίτερα για το μπάλωμα. Όπως θα θέλαμε να πούμε για τη Γυμνή Ασφάλεια, «Εμπάλωσε νωρίς, μπάλωσε συχνά, μπάλωσε παντού».
- Μετρήστε και δοκιμάζετε την ασφάλεια στον κυβερνοχώρο σας σε τακτική βάση. Ποτέ μην υποθέτετε ότι οι προφυλάξεις που νομίζατε ότι εφαρμόσατε πραγματικά λειτουργούν. Μην υποθέσετε? επαληθεύετε πάντα. Επίσης, να θυμάστε ότι επειδή τα νέα εργαλεία, τεχνικές και διαδικασίες κυβερνοεπιθέσεων εμφανίζονται συνεχώς, οι προφυλάξεις σας χρειάζονται επανεξέταση τακτικά. Με απλά λόγια, «Η κυβερνοασφάλεια είναι ένα ταξίδι, όχι ένας προορισμός».
- Σκεφτείτε να ζητήσετε βοήθεια από ειδικούς. Εγγραφή για ένα Διαχείριση ανίχνευσης και απόκρισης Η υπηρεσία (MDR) δεν αποτελεί παραδοχή αποτυχίας ή ένδειξη ότι δεν καταλαβαίνετε εσείς οι ίδιοι την ασφάλεια στον κυβερνοχώρο. Το MDR δεν καταργεί την ευθύνη σας – είναι απλώς ένας τρόπος να έχετε αφοσιωμένους ειδικούς σε ετοιμότητα όταν τους χρειάζεστε πραγματικά. Το MDR σημαίνει επίσης ότι σε περίπτωση επίθεσης, το προσωπικό σας δεν χρειάζεται να εγκαταλείψει ό,τι κάνει αυτήν τη στιγμή (συμπεριλαμβανομένων των τακτικών εργασιών που είναι ζωτικής σημασίας για τη συνέχεια της επιχείρησής σας) και, επομένως, ενδεχομένως να αφήσει ανοιχτές άλλες τρύπες ασφαλείας.
- Υιοθετήστε μια προσέγγιση μηδενικής εμπιστοσύνης. Η μηδενική εμπιστοσύνη δεν σημαίνει κυριολεκτικά ότι δεν εμπιστεύεσαι ποτέ κανέναν να κάνει τίποτα. Είναι μια μεταφορά για το «μην κάνετε υποθέσεις» και «μην εξουσιοδοτείτε ποτέ κανέναν να κάνει περισσότερα από όσα χρειάζεται». Πρόσβαση στο δίκτυο μηδενικής εμπιστοσύνης Τα προϊόντα (ZTNA) δεν λειτουργούν όπως τα παραδοσιακά εργαλεία ασφάλειας δικτύου, όπως τα VPN. Ένα VPN γενικά παρέχει έναν ασφαλή τρόπο για κάποιον που βρίσκεται έξω για να αποκτήσει γενική είσοδο στο δίκτυο, μετά από τον οποίο συχνά απολαμβάνει πολύ περισσότερη ελευθερία από ό,τι πραγματικά χρειάζεται, επιτρέποντάς του να περιπλανηθεί, να κατασκοπεύσει και να χαζέψει τα κλειδιά για το υπόλοιπο κάστρο. Η πρόσβαση μηδενικής εμπιστοσύνης ακολουθεί μια πολύ πιο λεπτομερή προσέγγιση, έτσι ώστε αν το μόνο που χρειάζεται να κάνετε είναι να περιηγηθείτε στον πιο πρόσφατο εσωτερικό τιμοκατάλογο, αυτή είναι η πρόσβαση που θα έχετε. Δεν θα έχετε επίσης το δικαίωμα να περιπλανηθείτε σε φόρουμ υποστήριξης, να περιηγηθείτε στα αρχεία πωλήσεων ή να χώσετε τη μύτη σας στη βάση δεδομένων του πηγαίου κώδικα.
- Δημιουργήστε μια τηλεφωνική γραμμή για την ασφάλεια στον κυβερνοχώρο για το προσωπικό, εάν δεν έχετε ήδη. Διευκολύνετε οποιονδήποτε να αναφέρει θέματα κυβερνοασφάλειας. Είτε πρόκειται για μια ύποπτη τηλεφωνική κλήση, για ένα απίθανο συνημμένο email ή ακόμα και για ένα αρχείο που πιθανώς δεν θα έπρεπε να υπάρχει εκεί έξω στο δίκτυο, έχετε ένα μόνο σημείο επαφής (π.χ.
securityreport@yourbiz.example) που καθιστά γρήγορο και εύκολο για τους συναδέλφους σας να το καλέσουν. - Μην εγκαταλείπετε ποτέ τους ανθρώπους. Η τεχνολογία από μόνη της δεν μπορεί να λύσει όλα τα προβλήματα ασφάλειας στον κυβερνοχώρο. Εάν αντιμετωπίζετε το προσωπικό σας με σεβασμό και εάν υιοθετήσετε τη στάση της κυβερνοασφάλειας αυτό "Δεν υπάρχει τέτοιο πράγμα όπως μια ανόητη ερώτηση, μόνο μια ηλίθια απάντηση", τότε μπορείτε να μετατρέψετε όλους στον οργανισμό σε μάτια και αυτιά για την ομάδα ασφαλείας σας.
Γιατί να μην έρθετε μαζί μας από τις 26-29 Σεπτεμβρίου 2022 για το φετινό Sophos Security Εβδομάδα SOS:
Τέσσερις σύντομες αλλά συναρπαστικές συνομιλίες με παγκόσμιους ειδικούς.
Μάθετε για την προστασία, τον εντοπισμό και την απόκριση,
και πώς να δημιουργήσετε μια επιτυχημένη δική σας ομάδα SecOps:
- blockchain
- Coingenius
- πορτοφόλια κρυπτογράφησης
- κρυπτο -ανταλλαγή
- κυβερνασφάλεια
- εγκληματίες του κυβερνοχώρου
- Κυβερνασφάλεια
- παραβιάσεων δεδομένων
- Απώλεια δεδομένων
- Υπουργείο Εσωτερικής Ασφάλειας
- ψηφιακά πορτοφόλια
- firewall
- hacking
- Kaspersky
- malware
- Mcafee
- Γυμνή ασφάλεια
- Nexbloc
- Πλάτων
- πλάτων αι
- Πληροφορία δεδομένων Plato
- Παιχνίδι Πλάτωνας
- Πλάτωνα δεδομένα
- platogaming
- μυστικότητα
- Uber
- VPN
- ιστοσελίδα της ασφάλειας
- zephyrnet
