UBER को हैक कर लिया गया है, हैकर का दावा करता है - इसे आपके साथ कैसे रोका जाए

सभी खातों से, और दुख की बात है कि उनमें से कई हैं, एक हैकर - में तोड़ो और दर्ज करो-अपना नेटवर्क-अवैध रूप से अर्थ में नहीं हल-सुपर-हार्ड-कोडिंग-समस्या-इन-ए-फंकी-वे भावना - सवारी साझा करने वाली कंपनी उबर में टूट गई है।

एक के अनुसार रिपोर्ट बीबीसी से, हैकर के बारे में कहा जाता है कि वह सिर्फ 18 साल का है, और ऐसा लगता है कि हमले को उसी तरह से खींच लिया था, जिस तरह से प्रसिद्ध ब्रिटिश पर्वतारोही को खदेड़ा गया था जॉर्ज मैलोरी 1920 के दशक में माउंट एवरेस्ट को फतह करने के लिए (और अंततः प्रयास में मरते हुए) प्रयास करते रहने के लिए ...

..."क्योंकि यह वहाँ है।"

उबेर, समझ में आता है, अब तक [2022-09-16टी15:45जेड] से ज्यादा कुछ नहीं कहा है की घोषणा : ट्विटर पर

हम वर्तमान में एक साइबर सुरक्षा घटना का जवाब दे रहे हैं। हम कानून प्रवर्तन के संपर्क में हैं और उपलब्ध होते ही अतिरिक्त अपडेट यहां पोस्ट करेंगे।

- उबेर कॉमम्स (@Uber_Comms) सितम्बर 16, 2022

हम अब तक कितना जानते हैं?

यदि घुसपैठ का पैमाना उतना ही व्यापक है जितना कि कथित हैकर ने सुझाव दिया है, जो स्क्रीनशॉट हमने ट्विटर पर देखे हैं, के आधार पर, हमें आश्चर्य नहीं है कि उबर ने अभी तक कोई विशेष जानकारी की पेशकश नहीं की है, विशेष रूप से यह देखते हुए कि कानून प्रवर्तन है जांच में शामिल है।

जब साइबर घटना फोरेंसिक की बात आती है, शैतान वास्तव में विवरण में है।

फिर भी, सार्वजनिक रूप से उपलब्ध डेटा, कथित तौर पर हैकर द्वारा स्वयं जारी किया गया और व्यापक रूप से वितरित किया गया, ऐसा लगता है कि इस हैक के दो अंतर्निहित कारण थे, जिनका वर्णन हम मध्यकालीन सादृश्य के साथ करेंगे।

घुसपैठी:

• एक अंदरूनी सूत्र को धोखा देकर उन्हें आंगन में जाने दिया, या आंगन. यह सबसे बाहरी महल की दीवार के अंदर का क्षेत्र है, लेकिन सबसे अच्छे बचाव वाले हिस्से से अलग है।
• रख-रखाव तक पहुंचने का तरीका बताते हुए अप्राप्य विवरण मिला, या Motte. जैसा कि नाम से ही पता चलता है रखना एक पारंपरिक मध्ययुगीन यूरोपीय महल का केंद्रीय रक्षात्मक गढ़ है।

प्रारंभिक ब्रेकिन

21 वीं सदी में महल के प्रांगण के बराबर अपना रास्ता दिखाने के लिए शब्दजाल शब्द है सोशल इंजीनियरिंग.

जैसा कि हम सभी जानते हैं, वहाँ हैं कई तरीकों से कि समय, धैर्य और गपशप के उपहार के साथ हमलावर एक अच्छी तरह से सूचित और अच्छी तरह से अर्थ वाले उपयोगकर्ता को सुरक्षा प्रक्रियाओं को बायपास करने में मदद करने के लिए राजी कर सकते हैं जो उन्हें बाहर रखने के लिए माना जाता है।

स्वचालित या अर्ध-स्वचालित सोशल इंजीनियरिंग ट्रिक्स में ईमेल और IM-आधारित फ़िशिंग घोटाले शामिल हैं।

ये घोटाले उपयोगकर्ताओं को उनके लॉगिन विवरण दर्ज करने के लिए लुभाते हैं, अक्सर उनके 2FA कोड सहित, नकली वेब साइटों पर जो वास्तविक सौदे की तरह दिखते हैं लेकिन वास्तव में हमलावरों को आवश्यक एक्सेस कोड प्रदान करते हैं।

एक उपयोगकर्ता के लिए जो पहले से लॉग इन है, और इस प्रकार अपने वर्तमान सत्र के लिए अस्थायी रूप से प्रमाणित है, हमलावर तथाकथित प्राप्त करने का प्रयास कर सकते हैं कुकीज़ या एक्सेस टोकन उपयोगकर्ता के कंप्यूटर पर।

उदाहरण के लिए, मौजूदा सत्रों को हाईजैक करने वाले मैलवेयर को आरोपित करके, हमलावर एक वैध उपयोगकर्ता के रूप में लंबे समय तक पूरी तरह से कब्जा करने में सक्षम हो सकते हैं, बिना किसी सामान्य क्रेडेंशियल की आवश्यकता के जो उपयोगकर्ता को स्वयं स्क्रैच से लॉगिन करने की आवश्यकता होती है:

और अगर बाकी सब विफल हो जाता है - या शायद ऊपर वर्णित यांत्रिक तरीकों की कोशिश करने के बजाय - हमलावर केवल एक उपयोगकर्ता को कॉल कर सकते हैं और उन्हें आकर्षित कर सकते हैं, या व्हीलर, या भीख, या रिश्वत, या काजोल, या इसके बजाय उन्हें धमकी दे सकते हैं, यह इस बात पर निर्भर करता है कि कैसे बातचीत सामने आती है।

कुशल सामाजिक इंजीनियर अक्सर अच्छी तरह से अर्थ वाले उपयोगकर्ताओं को न केवल पहली जगह में दरवाजा खोलने के लिए मनाने में सक्षम होते हैं, बल्कि हमलावरों के लिए इसे और भी आसान बनाने के लिए इसे खुला रखने के लिए, और शायद हमलावर के बैग ले जाने के लिए भी और उन्हें दिखाओ कि आगे कहाँ जाना है।

इस तरह 2020 के कुख्यात ट्विटर हैक को अंजाम दिया गया, जहां बिल गेट्स, एलोन मस्क और ऐप्पल सहित 45 ब्लू-फ्लैग ट्विटर अकाउंट को अपने कब्जे में ले लिया गया और एक क्रिप्टोक्यूरेंसी घोटाले को बढ़ावा देने के लिए इस्तेमाल किया गया।

वह हैकिंग इतनी तकनीकी नहीं थी जितनी कि सांस्कृतिक, सहायक कर्मचारियों के माध्यम से की गई, जिन्होंने सही काम करने के लिए इतनी मेहनत की कि वे बिल्कुल विपरीत कर रहे थे:

पूर्ण समझौता

आंगन से महल के रख-रखाव में आने के बराबर के लिए शब्दजाल शब्द है विशेषाधिकार का उत्थान.

आम तौर पर, हमलावर जानबूझकर आंतरिक रूप से ज्ञात सुरक्षा कमजोरियों की तलाश करेंगे और उनका उपयोग करेंगे, भले ही उन्हें बाहर से उनका फायदा उठाने का कोई तरीका नहीं मिला क्योंकि रक्षकों ने नेटवर्क परिधि पर उनके खिलाफ सुरक्षा के लिए परेशानी उठाई थी।

उदाहरण के लिए, एक सर्वेक्षण में हमने हाल ही में घुसपैठ के बारे में प्रकाशित किया था कि सोफोस रैपिड रिस्पांस टीम ने 2021 में जांच की, तो हमने पाया कि प्रारंभिक घुसपैठ के केवल 15% में - जहां हमलावर बाहरी दीवार पर और बेली में घुस जाते हैं - अपराधी आरडीपी का उपयोग करने में सक्षम थे।

(RDP के लिए संक्षिप्त है दूरस्थ डेस्कटॉप प्रोटोकॉल, और यह एक व्यापक रूप से उपयोग किया जाने वाला विंडोज घटक है जिसे उपयोगकर्ता X को कंप्यूटर Y पर दूरस्थ रूप से काम करने देने के लिए डिज़ाइन किया गया है, जहां Y अक्सर एक ऐसा सर्वर होता है जिसका अपना स्क्रीन और कीबोर्ड नहीं होता है, और वास्तव में सर्वर रूम में तीन मंजिल भूमिगत हो सकता है , या दुनिया भर में क्लाउड डेटा सेंटर में।)

लेकिन 80% हमलों में, अपराधियों ने आरडीपी का इस्तेमाल एक बार पूरे नेटवर्क में लगभग अपनी इच्छा से घूमने के लिए किया:

चिंताजनक रूप से, जब रैंसमवेयर शामिल नहीं था (क्योंकि रैंसमवेयर हमले से यह तुरंत स्पष्ट हो जाता है कि आपका उल्लंघन किया गया है!), औसत औसत समय जब अपराधी थे नेटवर्क पर किसी का ध्यान नहीं गया 34 दिन था - एक कैलेंडर माह से अधिक:

उबेर घटना

हम अभी तक निश्चित नहीं हैं कि प्रारंभिक सोशल इंजीनियरिंग (हैकिंग शब्दजाल में एसई के लिए छोटा) कैसे किया गया था, लेकिन खतरे के शोधकर्ता बिल डेमिरकापी ने एक स्क्रीनशॉट ट्वीट किया यह प्रकट होता है (सटीक विवरण के साथ संशोधित) विशेषाधिकार का उन्नयन कैसे प्राप्त किया गया था।

जाहिरा तौर पर, भले ही हैकर ने एक नियमित उपयोगकर्ता के रूप में शुरुआत की, और इसलिए नेटवर्क के कुछ हिस्सों तक ही उसकी पहुंच थी ...

... नेटवर्क पर असुरक्षित शेयरों पर थोड़ा भटकने और ताक-झांक करने से एक खुली नेटवर्क निर्देशिका का पता चला जिसमें पॉवरशेल स्क्रिप्ट का एक समूह शामिल था ...

...जिसमें PAM के रूप में शब्दजाल में ज्ञात उत्पाद तक व्यवस्थापक पहुंच के लिए हार्ड-कोडेड सुरक्षा क्रेडेंशियल शामिल हैं, जिसके लिए संक्षिप्त प्रिविलेज्ड एक्सेस मैनेजर.

जैसा कि नाम से पता चलता है, PAM एक ऐसी प्रणाली है जिसका उपयोग किसी संगठन द्वारा उपयोग किए जाने वाले सभी (या कम से कम बहुत से) अन्य उत्पादों और सेवाओं के लिए क्रेडेंशियल्स को प्रबंधित करने और उन तक पहुंच को नियंत्रित करने के लिए किया जाता है।

अजीब तरह से कहें तो, हमलावर, जिसने शायद एक विनम्र और शायद बहुत सीमित उपयोगकर्ता खाते के साथ शुरुआत की थी, एक ueber-ueber-पासवर्ड पर ठोकर खाई, जिसने Uber के वैश्विक आईटी संचालन के कई ueber-पासवर्ड को अनलॉक कर दिया।

हमें यकीन नहीं है कि एक बार PAM डेटाबेस को खोलने के बाद हैकर कितने व्यापक रूप से घूमने में सक्षम थे, लेकिन कई स्रोतों से ट्विटर पोस्टिंग से पता चलता है कि हमलावर उबेर के आईटी बुनियादी ढांचे में से अधिकांश में घुसने में सक्षम था।

हैकर ने कथित तौर पर यह दिखाने के लिए डेटा डंप किया कि उन्होंने कम से कम निम्नलिखित व्यावसायिक प्रणालियों तक पहुंच बनाई है: सुस्त कार्यक्षेत्र; Uber का ख़तरा सुरक्षा सॉफ़्टवेयर (जिसे अक्सर अभी भी आकस्मिक रूप से an . के रूप में संदर्भित किया जाता है) एंटी - वायरस); एक एडब्ल्यूएस कंसोल; कंपनी यात्रा और व्यय जानकारी (कर्मचारी नामों सहित); एक vSphere वर्चुअल सर्वर कंसोल; Google कार्यस्थान की एक सूची; और यहां तक ​​कि उबर की अपनी बग बाउंटी सर्विस भी।

(जाहिर है, और विडंबना यह है कि बग बाउंटी सेवा वह थी जहां हैकर ने बड़े अक्षरों में जोर से डींग मारी, जैसा कि शीर्षक में दिखाया गया है, कि UBER को हैक कर लिया गया है.)

क्या करना है?

इस मामले में उबेर पर उंगली उठाना आसान है और इसका मतलब यह है कि इस उल्लंघन को सबसे ज्यादा खराब माना जाना चाहिए, बस इसकी जोरदार और बहुत ही सार्वजनिक प्रकृति के कारण।

लेकिन दुर्भाग्यपूर्ण सच्चाई यह है कि कई, यदि अधिकतर नहीं, तो समकालीन साइबर हमलों में हमलावरों को शामिल किया गया है जो वास्तव में इस डिग्री तक पहुंच प्राप्त कर रहे हैं ...

... या कम से कम संभावित रूप से इस स्तर की पहुंच होने पर, भले ही वे अंततः हर जगह इधर-उधर न करें जो उनके पास हो सकता है।

आखिरकार, इन दिनों कई रैंसमवेयर हमले शुरुआत नहीं बल्कि घुसपैठ के अंत का प्रतिनिधित्व करते हैं जो शायद दिनों या हफ्तों तक चले, और महीनों तक चले, जिस दौरान हमलावर शायद खुद को बढ़ावा देने में कामयाब रहे सबसे वरिष्ठ sysadmin के साथ समान स्थिति कंपनी में उन्होंने उल्लंघन किया।

इसलिए रैंसमवेयर हमले अक्सर इतने विनाशकारी होते हैं - क्योंकि, जब तक हमला आता है, तब तक कुछ लैपटॉप, सर्वर या सेवाएं होती हैं, जिन तक अपराधियों की पहुंच में कोई दिक्कत नहीं होती है, इसलिए वे लगभग हर चीज को खंगालने में सक्षम होते हैं।

दूसरे शब्दों में, ऐसा लगता है कि इस मामले में उबेर के साथ जो हुआ है वह कोई नई या अनूठी डेटा उल्लंघन की कहानी नहीं है।

तो यहां कुछ विचारोत्तेजक युक्तियां दी गई हैं जिनका उपयोग आप अपने नेटवर्क पर समग्र सुरक्षा को बेहतर बनाने के लिए शुरुआती बिंदु के रूप में कर सकते हैं:

• पासवर्ड मैनेजर और 2FA रामबाण नहीं हैं। अच्छी तरह से चुने गए पासवर्ड का उपयोग करने से बदमाश अपने रास्ते का अनुमान लगाना बंद कर देते हैं, और एक बार के कोड या हार्डवेयर एक्सेस टोकन (आमतौर पर छोटे यूएसबी या एनएफसी डोंगल जिन्हें उपयोगकर्ता को अपने साथ ले जाने की आवश्यकता होती है) के आधार पर 2FA सुरक्षा चीजों को कठिन, अक्सर बहुत कठिन बना देती है। हमलावर लेकिन आज के तथाकथित के खिलाफ मानव नेतृत्व वाले हमले, जहां "सक्रिय विरोधी" खुद को व्यक्तिगत रूप से और सीधे घुसपैठ में शामिल करते हैं, आपको अपने उपयोगकर्ताओं को उनके सामान्य ऑनलाइन व्यवहार को बदलने में मदद करने की आवश्यकता है, इसलिए उन प्रक्रियाओं को दरकिनार करने की संभावना कम है, भले ही वे प्रक्रियाएं कितनी व्यापक और जटिल हों।
• सुरक्षा नेटवर्क में हर जगह होती है, न कि केवल किनारे पर। इन दिनों, बहुत से उपयोगकर्ताओं को आपके नेटवर्क के कम से कम कुछ हिस्से तक पहुंच की आवश्यकता होती है - कर्मचारी, ठेकेदार, अस्थायी कर्मचारी, सुरक्षा गार्ड, आपूर्तिकर्ता, भागीदार, सफाईकर्मी, ग्राहक और बहुत कुछ। यदि एक सुरक्षा सेटिंग आपके नेटवर्क परिधि की तरह महसूस करने के लायक है, तो इसे लगभग निश्चित रूप से "अंदर" भी कसने की आवश्यकता है। यह विशेष रूप से पैचिंग पर लागू होता है। जैसा कि हम नग्न सुरक्षा पर कहना चाहते हैं, "जल्दी पैच करें, अक्सर पैच करें, हर जगह पैच करें।"
• अपनी साइबर सुरक्षा को नियमित रूप से मापें और उसका परीक्षण करें। यह कभी न सोचें कि आपने जो सावधानियां बरती हैं, वे वास्तव में काम कर रही हैं। मत मानो; हमेशा सत्यापित करें। साथ ही, याद रखें कि चूंकि साइबर हमले के नए उपकरण, तकनीक और प्रक्रियाएं हर समय दिखाई देती हैं, इसलिए आपकी सावधानियों की नियमित रूप से समीक्षा करने की आवश्यकता है। सरल शब्दों में, "साइबर सुरक्षा एक यात्रा है, गंतव्य नहीं।"
• विशेषज्ञ सहायता प्राप्त करने पर विचार करें। . के लिए साइन अप करना प्रबंधित जांच और प्रतिक्रिया (एमडीआर) सेवा विफलता की स्वीकृति नहीं है, या यह संकेत नहीं है कि आप स्वयं साइबर सुरक्षा को नहीं समझते हैं। एमडीआर आपकी जिम्मेदारी का हनन नहीं है - यह केवल समर्पित विशेषज्ञों को हाथ में लेने का एक तरीका है जब आपको वास्तव में उनकी आवश्यकता होती है। एमडीआर का यह भी अर्थ है कि हमले की स्थिति में, आपके अपने कर्मचारियों को वह सब कुछ छोड़ना नहीं पड़ता जो वे वर्तमान में कर रहे हैं (नियमित कार्यों सहित जो आपके व्यवसाय की निरंतरता के लिए महत्वपूर्ण हैं), और इस प्रकार संभावित रूप से अन्य सुरक्षा छेदों को खुला छोड़ देते हैं।
• जीरो-ट्रस्ट अप्रोच अपनाएं। जीरो-ट्रस्ट का शाब्दिक अर्थ यह नहीं है कि आप कभी भी किसी पर कुछ भी करने के लिए भरोसा न करें। यह "कोई धारणा न बनाएं" और "किसी को भी सख्ती से जरूरत से ज्यादा करने के लिए अधिकृत नहीं करने" के लिए एक रूपक है। जीरो-ट्रस्ट नेटवर्क एक्सेस (ZTNA) उत्पाद वीपीएन जैसे पारंपरिक नेटवर्क सुरक्षा उपकरण की तरह काम नहीं करते हैं। एक वीपीएन आम तौर पर बाहर के किसी व्यक्ति को नेटवर्क में सामान्य प्रवेश पाने के लिए एक सुरक्षित तरीका प्रदान करता है, जिसके बाद वे अक्सर जरूरत से ज्यादा स्वतंत्रता का आनंद लेते हैं, जिससे उन्हें घूमने, जासूसी करने और महल के बाकी हिस्सों की चाबियों की तलाश करने की अनुमति मिलती है। ज़ीरो-ट्रस्ट एक्सेस बहुत अधिक बारीक दृष्टिकोण लेता है, ताकि यदि आपको वास्तव में नवीनतम आंतरिक मूल्य सूची ब्राउज़ करने की ज़रूरत है, तो वह पहुंच आपको प्राप्त होगी। आपको समर्थन मंचों में भटकने, बिक्री रिकॉर्ड के माध्यम से ट्रैवेल करने, या स्रोत कोड डेटाबेस में अपनी नाक पोक करने का अधिकार भी नहीं मिलेगा।
• यदि आपके पास पहले से एक नहीं है तो कर्मचारियों के लिए साइबर सुरक्षा हॉटलाइन स्थापित करें। किसी के लिए भी साइबर सुरक्षा संबंधी समस्याओं की रिपोर्ट करना आसान बनाएं। चाहे वह एक संदिग्ध फोन कॉल हो, एक असंभावित ईमेल अटैचमेंट, या यहां तक ​​कि सिर्फ एक फाइल जो शायद नेटवर्क पर नहीं होनी चाहिए, संपर्क का एक बिंदु है (उदाहरण के लिए) securityreport@yourbiz.example) जो आपके सहकर्मियों के लिए इसे कॉल करना त्वरित और आसान बनाता है।
• लोगों को कभी मत छोड़ो। अकेले प्रौद्योगिकी आपकी सभी साइबर सुरक्षा समस्याओं का समाधान नहीं कर सकती है। यदि आप अपने कर्मचारियों के साथ सम्मान से पेश आते हैं, और यदि आप साइबर सुरक्षा रवैया अपनाते हैं तो "मूर्खतापूर्ण प्रश्न जैसी कोई बात नहीं होती, केवल मूर्खतापूर्ण उत्तर होता है", तो आप अपनी सुरक्षा टीम के लिए संगठन के सभी लोगों को आंख और कान बना सकते हैं।

---

क्यों न इस साल के लिए 26-29 सितंबर 2022 तक हमसे जुड़ें? सोफोस सुरक्षा एसओएस सप्ताह:

विश्व विशेषज्ञों के साथ चार छोटी लेकिन आकर्षक बातचीत।

सुरक्षा, पता लगाने और प्रतिक्रिया के बारे में जानें,
और अपनी खुद की एक सफल SecOps टीम कैसे स्थापित करें:

---