Kõigi eelduste kohaselt ja kahjuks on neid palju, häkker – murra-ja-sisene-oma-võrku-illegaalselt mõttes, mitte a Lahendage üliraskeid kodeerimisprobleeme lõbusalt mõttes – on murdnud sisse sõidujagamisfirmasse Uber.
Vastavalt aru BBC andmetel on häkker vaid 18-aastane ja näib, et ta tõmbas rünnaku maha samal põhjusel, mis ajas kuulsalt Briti mägironijat. George Mallory jätkata katseid (ja lõpuks ka suremas) 1920. aastatel Mount Everesti tippu tõusta…
..."sest see on seal."
Arusaadavalt pole Uber siiani [2022-09-16T15:45Z] palju rohkem öelnud kui teatama Twitter:
Praegu reageerime küberjulgeoleku intsidendile. Oleme ühendust võtnud õiguskaitseorganitega ja postitame siia täiendavaid värskendusi, kui need muutuvad kättesaadavaks.
- Uber Comms (@ Uber_Comms) September 16, 2022
Kui palju me seni teame?
Kui sissetungi ulatus on nii lai, kui väidetav häkker on soovitanud, ei ole me üllatunud, et Uber pole veel konkreetset teavet pakkunud, eriti arvestades, et õiguskaitse on uurimisega seotud.
Kui rääkida küberintsidentide kohtuekspertiisist, siis kurat on tõesti detailides.
Sellegipoolest näivad avalikult kättesaadavad andmed, mille häkker ise avaldas ja mida laialdaselt levitati, viitavat sellele, et sellel häkkimisel oli kaks peamist põhjust, mida kirjeldame keskaegse analoogiaga.
Sissetungija:
- Pettis siseringi, et ta lasi neid sisehoovi või Bailey. See on ala välimise lossimüüri sees, kuid eraldi kõige paremini kaitstud osast.
- Leiti järelevalveta üksikasjad, mis selgitavad, kuidas hoida juurdepääsu või klomp. Nagu nimigi ütleb, on hoidma on traditsioonilise keskaegse Euroopa lossi keskne kaitselinnus.
Esialgne läbimurre
Kõrgoonne termin, mis tähistab oma teed lossihoovi 21. sajandi ekvivalenti, on sotsiaaltehnoloogia.
Nagu me kõik teame, on neid mitmel viisil et ründajad, kes omavad aega, kannatlikkust ja kingitust, suudavad veenda isegi teadlikku ja heatahtlikku kasutajat aitama neil turvaprotsessidest mööda hiilida, mis peaksid neid eemale hoidma.
Automatiseeritud või poolautomaatsed sotsiaalse inseneri trikid hõlmavad meili- ja kiirsõnumipõhiseid andmepüügipettusi.
Need petuskeemid meelitavad kasutajaid sisestama oma sisselogimisandmeid, sealhulgas sageli 2FA-koode, võltsitud veebisaitidele, mis näevad välja nagu päris tehingud, kuid annavad tegelikult ründajatele vajalikud juurdepääsukoodid.
Kasutajale, kes on juba sisse logitud ja seega ajutiselt oma praeguseks seansiks autentitud, võivad ründajad püüda saada nn. küpsised või juurdepääsumärgid kasutaja arvutis.
Näiteks olemasolevaid seansse kaaperdava ründevara siirdamisel võivad ründajad end piisavalt kaua maskeerida seaduslikuks kasutajaks, et täielikult üle võtta, ilma et oleks vaja tavalisi mandaate, mida kasutajal endal oli nullist sisselogimiseks vaja.
Ja kui miski muu ebaõnnestub – või võib-olla isegi selle asemel, et proovida ülalkirjeldatud mehaanilisi meetodeid –, võivad ründajad kasutaja lihtsalt välja kutsuda ja teda võluda või vinguda, kerjata, altkäemaksu anda, manitseda või hoopis ähvardada, olenevalt sellest, kuidas jutt läheb lahti.
Vilunud sotsiaalinsenerid suudavad sageli veenda heatahtlikke kasutajaid mitte ainult ust esmalt avama, vaid ka seda lahti hoidma, et ründajatel oleks veelgi lihtsam sisse pääseda ja võib-olla isegi ründaja kotte kaasas kanda. näita neile, kuhu edasi minna.
Nii viidi ellu 2020. aasta kurikuulus Twitteri häkkimine, kus võeti üle 45 sinilipuga Twitteri kontot, sealhulgas Bill Gatesi, Elon Muski ja Apple'i kontosid, mida kasutati krüptorahapettuse reklaamimiseks.
See häkkimine ei olnud niivõrd tehniline, kuivõrd kultuuriline, mida viidi läbi tugipersonali kaudu, kes püüdis nii kõvasti õiget asja teha, et tegi täpselt vastupidist:
Täielik kompromiss
Kõrgoonne termin, mis tähistab sisehoovist lossihoidlasse sattumist, on privileegi tõus.
Tavaliselt otsivad ja kasutavad ründajad teadlikult teadaolevaid turvaauke sisemiselt, kuigi nad ei leidnud võimalust neid väljastpoolt ära kasutada, kuna kaitsjad olid võtnud vaevaks nende eest võrgu perimeetril kaitsta.
Näiteks hiljuti avaldatud uuringus sissetungide kohta, mis Sophose kiirreageerimine 2021. aastal uuritud meeskond avastasime, et vaid 15% esmastest sissetungidest – kus ründajad pääsevad üle välisseina ja õõnsasse – suutsid kurjategijad RDP-d kasutades sisse murda.
(RDP on lühend sõnadest kaugtöölaua protokoll, ja see on laialdaselt kasutatav Windowsi komponent, mis on loodud võimaldama kasutajal X kaugtöötada arvutis Y, kus Y on sageli server, millel pole oma ekraani ja klaviatuuri ning mis võib tõepoolest asuda serveriruumis kolm korrust maa all. või kogu maailmas pilvandmekeskuses.)
Kuid 80% rünnakute puhul kasutasid kurjategijad RDP-d, kui nad sees olid, et peaaegu suvaliselt kogu võrgus ringi rännata:
Sama murettekitav on see, et kui lunavara ei olnud kaasatud (kuna lunavararünnak muudab koheselt selgeks, et teid on rikutud!), on kurjategijate keskmine keskmine aeg. rändleb võrgus märkamatult oli 34 päeva – rohkem kui kalendrikuu:
Uberi juhtum
Me pole veel kindlad, kuidas esialgne sotsiaalne manipuleerimine (häkkimisžargoonis lühendatult SE) läbi viidi, kuid ohtude uurija Bill Demirkapi on säutsus ekraanipildi mis näib paljastavat (täpsete üksikasjade redigeerimisega), kuidas privileeg saavutati.
Ilmselt, kuigi häkker alustas tavakasutajana ja tal oli seetõttu juurdepääs ainult mõnele võrgu osale ...
...natuke võrgus kaitsmata aktsiate kallal ekslemist ja nuuskimist paljastas avatud võrgukataloogi, mis sisaldas hunnikut PowerShelli skripte...
…mis sisaldas kõvasti kodeeritud turbemandaate administraatori juurdepääsuks tootele, mida žargoonis tuntakse PAM-ina, lühend sõnadest Privilegeeritud juurdepääsuhaldur.
Nagu nimigi ütleb, on PAM süsteem, mida kasutatakse kõigi (või vähemalt paljudele) organisatsioonis kasutatavatele muudele toodetele ja teenustele mandaatide haldamiseks ja neile juurdepääsu kontrollimiseks.
Tõenäoliselt tagasihoidliku ja võib-olla väga piiratud kasutajakontoga alustanud ründaja komistas ueber-ueber-parooliga, mis avas paljud Uberi globaalsete IT-toimingute ueber-paroolid.
Me pole kindlad, kui laialt suutis häkker pärast PAM-i andmebaasi avamist ringi liikuda, kuid paljudest allikatest pärit Twitteri postitused viitavad sellele, et ründaja suutis tungida suure osa Uberi IT-infrastruktuurist.
Väidetavalt kustutas häkker andmed, et näidata, et tal on juurdepääs vähemalt järgmistele ärisüsteemidele: lõdvad tööruumid; Uberi ohukaitsetarkvara (mida sageli ikka veel juhuslikult nimetatakse viirusetõrje); AWS-konsool; ettevõtte reisi- ja kulutusteave (sh töötajate nimed); vSphere virtuaalserveri konsool; Google Workspacesi loend; ja isegi Uberi enda vigade hüvitamise teenus.
(Ilmselt ja iroonilisel kombel oli häkker suurtähtedega valjult kiitlemas, et vigade hüvitamise teenus, nagu on näidatud pealkirjas, et UBER ON HÄKITUD.)
Mida teha?
Sel juhul on lihtne Uberile näpuga näidata ja vihjata, et seda rikkumist tuleks pidada palju hullemaks kui enamikku, lihtsalt selle kõige valjuhäälse ja väga avaliku olemuse tõttu.
Kuid kahetsusväärne tõde on see, et paljud, kui mitte enamus, kaasaegsed küberrünnakud on hõlmanud ründajaid, kes said täpselt sellise juurdepääsu...
…või vähemalt potentsiaalselt sellel juurdepääsutasemel, isegi kui nad lõpuks ei torma kõikjal, kus neil võiks olla.
Lõppude lõpuks ei kujuta paljud lunavararünnakud tänapäeval mitte algust, vaid lõppu sissetungile, mis tõenäoliselt kestis päevi või nädalaid ja võis kesta kuid, mille jooksul ründajatel õnnestus tõenäoliselt end reklaamida. võrdne staatus kõige kõrgema süsteemiadministraatoriga ettevõttes, mida nad olid rikkunud.
Sellepärast on lunavararünnakud sageli nii laastavad – sest rünnaku saabumise ajaks on kurjategijatel vähe sülearvuteid, servereid või teenuseid, millele juurdepääsu poleks hätta jäänud, nii et nad on peaaegu sõna otseses mõttes võimelised kõike segama.
Teisisõnu, see, mis Uberiga antud juhul näib juhtuvat, ei ole uus ega ainulaadne andmete rikkumise lugu.
Siin on mõned mõtlemapanevad näpunäited, mida saate kasutada oma võrgu üldise turvalisuse parandamiseks.
- Paroolihaldurid ja 2FA ei ole imerohi. Hästi valitud paroolide kasutamine takistab kelmidel oma teed arvamast ning 2FA turvalisus, mis põhineb ühekordsetel koodidel või riistvaralistel juurdepääsulubadel (tavaliselt väikesed USB- või NFC-donglid, mida kasutaja peab endaga kaasas kandma), muudab asjad raskemaks, sageli palju raskemaks. ründajad. Aga vastu tänapäeva nn inimeste juhitud rünnakud, kus "aktiivsed vastased" seovad end isiklikult ja otseselt sissetungiga, peate aitama oma kasutajatel muuta oma üldist veebikäitumist, et neid vähem tõenäoliselt kutsutaks kõrvale, hoolimata sellest, kui kõikehõlmavad ja keerulised need protseduurid võivad olla.
- Turvalisus kuulub võrgu kõikjale, mitte ainult selle servale. Tänapäeval vajavad väga paljud kasutajad juurdepääsu vähemalt mõnele teie võrgu osale – töötajad, töövõtjad, ajutised töötajad, turvamehed, tarnijad, partnerid, koristajad, kliendid ja palju muud. Kui turvaseadet tasub võrgu perimeetrina karmistada, vajab see peaaegu kindlasti ka "seest" karmistamist. See kehtib eriti lappimise kohta. Nagu meile meeldib alasti turvalisuse kohta öelda, "Paigutage varakult, lapige sageli, plaasterdage kõikjal."
- Mõõtke ja testige oma küberturvalisust regulaarselt. Ärge kunagi eeldage, et ettevaatusabinõud, mille olete arvanud kasutusele võtnud, tõesti toimivad. Ära eelda; alati kontrollida. Samuti pidage meeles, et kuna uusi küberrünnakutööriistu, tehnikaid ja protseduure ilmub pidevalt, tuleb teie ettevaatusabinõud regulaarselt üle vaadata. Lihtsate sõnadega, "Küberturvalisus on teekond, mitte sihtkoht."
- Kaaluge asjatundlikku abi. Registreerumine a Hallatud tuvastamine ja reageerimine (MDR) teenus ei ole tõrke tunnistamine ega märk sellest, et te ise küberturvalisusest aru ei saa. MDR ei tähenda teie vastutuse tühistamist – see on lihtsalt viis pühendunud ekspertide abistamiseks, kui neid tõesti vajate. MDR tähendab ka seda, et ründe korral ei pea teie enda töötajad loobuma kõigest, mida nad praegu teevad (sealhulgas tavapäraseid ülesandeid, mis on teie äritegevuse järjepidevuse jaoks üliolulised), ja seega potentsiaalselt muid turvaauke avatuks jätma.
- Võtke kasutusele null-usaldusviis. Null-usaldus ei tähenda sõna otseses mõttes, et te ei usalda kunagi kedagi midagi tegema. See on metafoor sõnadele "ära tee eeldusi" ja "ärge kunagi lubage kellelgi teha rohkem, kui ta tingimata vajab". Null-usaldusvõrgu juurdepääs (ZTNA) tooted ei tööta nagu traditsioonilised võrguturbetööriistad, nagu VPN-id. VPN pakub üldiselt turvalist viisi, kuidas keegi väljastpoolt pääseb võrguühendusse, misjärel saavad nad sageli palju rohkem vabadust, kui nad tegelikult vajavad, võimaldades neil ringi rännata, nuhkida ja ülejäänud lossi võtmeid otsida. Null-usaldusjuurdepääs kasutab palju üksikasjalikumat lähenemist, nii et kui teil on tõesti vaja ainult sirvida uusimat sisemist hinnakirja, saate sellise juurdepääsu. Samuti ei saa te õigust tugifoorumitesse seigelda, müügiandmeid traalida ega oma nina lähtekoodi andmebaasi pista.
- Looge töötajatele küberjulgeoleku vihjeliin, kui teil seda veel pole. Tehke küberjulgeolekuprobleemidest teatamine kõigile lihtsaks. Olgu see kahtlane telefonikõne, ebatõenäoline meilimanus või isegi lihtsalt fail, mis tõenäoliselt ei peaks võrgus olema, kasutage ühte kontaktpunkti (nt
securityreport@yourbiz.example), mis muudab teie kolleegide jaoks selle helistamise kiireks ja lihtsaks. - Ärge kunagi loobuge inimestest. Tehnoloogia üksi ei suuda lahendada kõiki teie küberturvalisuse probleeme. Kui kohtlete oma töötajaid austusega ja kui võtate omaks küberjulgeoleku hoiaku "ei ole olemas rumalat küsimust, on ainult rumal vastus", siis saate muuta kõik organisatsioonis oma turvameeskonna silmad ja kõrvad.
Miks mitte liituda meiega 26.-29 selle aasta jooksul Sophose turvalisuse SOS nädal:
Neli lühikest, kuid põnevat vestlust maailma ekspertidega.
Lisateavet kaitse, tuvastamise ja reageerimise kohta,
ja kuidas luua oma edukas SecOpsi meeskond:
- blockchain
- coingenius
- krüptovaluuta rahakotid
- krüptovahetus
- küberturvalisus
- küberkurjategijad
- Küberturvalisus
- andmete rikkumist
- andmete kadu
- sisejulgeoleku osakond
- digitaalsed rahakotid
- tulemüüri
- häkkimine
- Kaspersky
- malware
- mcafee
- Alasti turvalisus
- NexBLOC
- Platon
- plato ai
- Platoni andmete intelligentsus
- Platoni mäng
- PlatoData
- platogaming
- privaatsus
- Uber
- VPN
- kodulehel turvalisus
- sephyrnet
