Az UBER HACKELT, hackerekkel büszkélkedhet – hogyan akadályozhatja meg, hogy veled megtörténjen

Mindenesetre, és sajnos sok van belőlük, egy hacker – a törje meg és lépjen be a hálózatába illegálisan értelemben, nem a oldja meg a szuperkemény kódolási problémákat funky módon értelme – betört az Uber telekocsi-társaságba.

A találmány egy jelentést A BBC szerint a hacker mindössze 18 éves, és úgy tűnik, ugyanazért a támadásért húzta le a támadást, amely a híres brit hegymászót hajtotta. George Mallory továbbra is megpróbálni (és végül belehalni) a Mount Everest csúcsára az 1920-as években…

...– Mert ott van.

Az Uber, érthető módon, eddig [2022-09-16T15:45Z] nem mondott többet, mint bejelent Twitteren:

Jelenleg egy kiberbiztonsági incidensre reagálunk. Kapcsolatba lépünk a rendészeti szervekkel, és amint elérhetővé válnak, további frissítéseket teszünk közzé.

- Uber Comms (@Uber_Comms) 16. szeptember 2022.

Mennyit tudunk eddig?

Ha a behatolás mértéke olyan széles, mint amennyire az állítólagos hacker javasolta, a Twitteren látható képernyőképek alapján nem csodálkozunk azon, hogy az Uber még nem kínált semmilyen konkrét információt, különös tekintettel arra, hogy a bűnüldözés részt vett a nyomozásban.

Ha a kiberincidensek kriminalisztikai vizsgálatáról van szó, a ördög tényleg a részletekben rejlik.

Mindazonáltal a nyilvánosan elérhető adatok, amelyeket állítólag maga a hacker tett közzé, és amelyeket széles körben terjesztettek, azt sugallják, hogy ennek a feltörésnek két mögöttes oka volt, amelyeket egy középkori analógiával írunk le.

A behatoló:

• Becsapott egy bennfentes, hogy beengedje őket az udvarra, ill bailey. Ez a terület a legkülső várfalon belül, de külön a legjobban védett résztől.
• Felügyelet nélküli részleteket talált, amelyek elmagyarázzák, hogyan lehet hozzáférni a tárolóhoz, ill gyep. Ahogy a neve is mutatja, a tartani egy hagyományos középkori európai kastély központi védelmi fellegvára.

A kezdeti betörés

A zsargon kifejezés arra, hogy a kastélyudvar 21. századi megfelelőjébe bújj bele szociális tervezés.

Mint mindannyian tudjuk, vannak sokféleképp hogy a támadók idővel, türelemmel és a gabona ajándékával rávehetik még egy jól tájékozott és jó szándékú felhasználót is, hogy segítsen megkerülni azokat a biztonsági folyamatokat, amelyektől távol kell tartani őket.

Az automatizált vagy félig automatizált social engineering trükkök közé tartoznak az e-mail- és IM-alapú adathalász csalások.

Ezek a csalások arra csábítják a felhasználókat, hogy adják meg bejelentkezési adataikat, gyakran a 2FA-kódjaikat is, hamis webhelyeken, amelyek úgy néznek ki, mint az igazi, de valójában eljuttatják a szükséges hozzáférési kódokat a támadókhoz.

A már bejelentkezett, és így az aktuális munkamenetéhez ideiglenesen hitelesített felhasználó esetében a támadók megpróbálhatnak ún. cookie-k vagy hozzáférési tokenek a felhasználó számítógépén.

Például a meglévő munkameneteket eltérítő rosszindulatú programok beültetésével a támadók elegendő ideig legitim felhasználónak álcázhatják magukat ahhoz, hogy teljesen átvegyék az irányítást anélkül, hogy szükségük lenne a szokásos hitelesítő adatokra, amelyekre a felhasználónak magának a semmiből való bejelentkezéséhez szüksége volt:

És ha minden más nem sikerül – vagy talán a fent leírt mechanikus módszerek kipróbálása helyett – a támadók egyszerűen felhívhatnak egy felhasználót, és elbűvölhetik, vagy fütyülhetnek, vagy könyöröghetnek, megvesztegethetik, vagy fenyegetőzhetnek, attól függően, hogy hogyan. kibontakozik a beszélgetés.

A képzett szociális mérnökök gyakran képesek meggyőzni a jó szándékú felhasználókat, hogy ne csak először nyissa ki az ajtót, hanem tartsa is nyitva, hogy a támadók még könnyebben bejussanak, sőt, talán még a támadó táskáit is magukkal vigyék, mutasd meg nekik, merre menjenek tovább.

Így hajtották végre a hírhedt 2020-as Twitter-hackelést, ahol 45 kék zászlós Twitter-fiókot, köztük Bill Gates, Elon Musk és az Apple fiókját vették át és használták fel egy kriptovaluta-átverés népszerűsítésére.

Ez a hackelés nem annyira technikai, mint inkább kulturális volt, és a támogató személyzeten keresztül hajtották végre, akik annyira igyekeztek a helyes dolgot tenni, hogy végül pont az ellenkezőjét csinálták:

Teljes kompromisszum

A zsargon kifejezés a kastély udvarából való bejutás megfelelőjére a kiváltság emelése.

Jellemzően a támadók szándékosan belsőleg keresik és használják fel az ismert biztonsági réseket, még akkor sem, ha kívülről nem tudták kihasználni azokat, mert a védők vették a fáradságot, hogy védekezzenek ellenük a hálózat peremén.

Például egy nemrégiben közzétett felmérésünkben azokról a behatolásokról, amelyek a Sophos gyors reagálás A 2021-ben vizsgált csapat azt találta, hogy a kezdeti behatolások – ahol a támadók átjutnak a külső falon és bejutnak a nyílásba – csak 15%-ában tudták a bűnözők betörni az RDP használatával.

(Az RDP a rövidítése távoli asztali protokoll, és ez egy széles körben használt Windows-összetevő, amelyet arra terveztek, hogy X felhasználó távolról dolgozhasson az Y számítógépen, ahol Y gyakran egy kiszolgáló, amely nem rendelkezik saját képernyővel és billentyűzettel, és valóban lehet, hogy három emelettel a föld alatt, egy szerverteremben. vagy az egész világon egy felhőadatközpontban.)

De a támadások 80%-ában a bűnözők az RDP-t használták, amikor már bent voltak, hogy szinte tetszés szerint vándoroljanak a hálózaton:

Ugyanilyen aggodalomra ad okot, hogy amikor a zsarolóprogramok nem érintettek (mivel a zsarolóprogramok támadása azonnal nyilvánvalóvá teszi, hogy Önt megsértették!), akkor a bûnözõk által elkövetett átlagos idõ átlaga. észrevétlenül barangol a hálózaton 34 nap volt – több mint egy naptári hónap:

Az Uber incidens

Még nem tudjuk biztosan, hogyan valósították meg a kezdeti social engineering-et (a hacker zsargonban SE-re rövidítve), de Bill Demirkapi fenyegetéskutató tweetelt egy képernyőképet ez felfedi (pontos részletek kivonatával), hogy miként valósult meg a privilégium emelése.

Nyilvánvalóan annak ellenére, hogy a hacker rendszeres felhasználóként indult, és ezért csak a hálózat egyes részeihez férhetett hozzá…

…egy kis bolyongás és leskelődés a hálózat nem védett megosztásaiban, és egy nyílt hálózati könyvtárat tárt fel, amely egy csomó PowerShell-szkriptet tartalmazott…

…amely kemény kódolt biztonsági hitelesítő adatokat tartalmazott egy olyan termékhez való rendszergazdai hozzáféréshez, amelyet a szakzsargonban PAM néven ismernek, rövidítésként Privileged Access Manager.

Ahogy a neve is sugallja, a PAM egy olyan rendszer, amely a szervezet által használt összes (vagy legalábbis sok) egyéb termék és szolgáltatás hitelesítő adatainak kezelésére és hozzáférésének szabályozására szolgál.

Ravaszul fogalmazva, a támadó, aki valószínűleg szerény és talán nagyon korlátozott felhasználói fiókkal indult, belebotlott egy ueber-ueber-jelszóba, amely feloldotta az Uber globális IT-műveleteinek számos ueber-jelszóját.

Nem vagyunk biztosak abban, hogy a hacker milyen széles körben tudott barangolni, miután nagyra értékelték a PAM-adatbázis megnyitását, de számos forrásból származó Twitter-bejegyzések arra utalnak, hogy a támadó képes volt behatolni az Uber IT-infrastruktúrájába.

A hacker állítólag kiírt adatokat annak bizonyítására, hogy legalább a következő üzleti rendszerekhez fértek hozzá: Slack munkaterületek; Az Uber fenyegetések elleni védelmi szoftvere (amit gyakran még mindig véletlenül egy anti-vírus); egy AWS konzol; vállalati utazási és költségadatok (beleértve az alkalmazottak nevét); egy vSphere virtuális szerver konzol; a Google Workspaces listája; és még az Uber saját hibajavító szolgáltatása is.

(Úgy látszik, és ironikus módon, a bug bounty szolgáltatás az volt, ahol a hacker hangosan kérkedett nagybetűkkel, amint az a címben látható, hogy Az UBER-T FELKÉRTE.)

Mit kell tenni?

Ebben az esetben könnyű ujjal mutogatni az Uberre, és azt sugallni, hogy ezt a jogsértést sokkal rosszabbnak kell tekinteni, mint a legtöbbet, egyszerűen az egész hangos és nagyon nyilvános jellege miatt.

A sajnálatos igazság azonban az, hogy sok, ha nem a legtöbb kortárs kibertámadásról kiderül, hogy a támadók pontosan ilyen mértékű hozzáférést kaptak…

…vagy legalábbis potenciálisan ilyen szintű hozzáféréssel, még akkor is, ha végül nem túrtak be mindenhova, ahol csak lehetett.

Végül is manapság sok zsarolóprogram-támadás nem a kezdetét, hanem a végét jelenti egy behatolásnak, amely valószínűleg napokig vagy hetekig tartott, és akár hónapokig is eltarthatott, és ezalatt a támadóknak valószínűleg sikerült reklámozniuk magukat. egyenlő státusz a legidősebb rendszergazdával abban a társaságban, amelyet megszegtek.

Ez az oka annak, hogy a zsarolóprogramok támadásai gyakran olyan pusztítóak – mert a támadás idejére már kevés olyan laptop, szerver vagy szolgáltatás van, amelyhez a bűnözők ne férkőztek volna hozzá, így szinte szó szerint mindent össze tudnak keverni.

Más szóval, ami ebben az esetben úgy tűnik, hogy az Uberrel történt, az nem új vagy egyedi adatvédelmi incidens.

Íme tehát néhány elgondolkodtató tipp, amelyeket kiindulási pontként használhat saját hálózata általános biztonságának javításához:

• A jelszókezelők és a 2FA nem csodaszer. A jól megválasztott jelszavak használata megakadályozza, hogy a csalók kitalálják az utat, és az egyszeri kódokon vagy hardveres hozzáférési tokeneken (általában kis USB- vagy NFC-kulcsokon, amelyeket a felhasználónak magukkal kell hordani) alapuló 2FA-biztonság megnehezíti, gyakran sokkal nehezebbé teszi. támadók. De a mai ún ember által irányított támadások, ahol az „aktív ellenfelek” személyesen és közvetlenül részt vesznek a behatolásban, segítenie kell felhasználóit általános online viselkedésük megváltoztatásában, így kevésbé valószínű, hogy rábeszélik őket a kitérő eljárásokra, függetlenül attól, hogy ezek az eljárások mennyire átfogóak és összetettek.
• A biztonság a hálózatban mindenhol megtalálható, nem csak a szélén. Manapság nagyon sok felhasználónak van szüksége hozzáférésre a hálózat legalább egy részéhez – alkalmazottaknak, vállalkozóknak, ideiglenes alkalmazottaknak, biztonsági őröknek, beszállítóknak, partnereknek, takarítóknak, ügyfeleknek és egyebeknek. Ha egy biztonsági beállítást megéri szigorítani a hálózat kerületén, akkor szinte biztos, hogy „belül” is szigorítani kell. Ez különösen a foltozásra vonatkozik. Ahogy mondani szoktuk a Naked Security-ről, "Folts korán, foltozzon gyakran, foltozzon mindenhol."
• Rendszeresen mérje és tesztelje kiberbiztonságát. Soha ne feltételezze, hogy a bevezetett óvintézkedések valóban működnek. Ne feltételezd; mindig ellenőrizze. Ne feledje továbbá, hogy mivel az új kibertámadási eszközök, technikák és eljárások folyamatosan jelennek meg, az óvintézkedéseket rendszeresen felül kell vizsgálni. Egyszerű szavakkal, "A kiberbiztonság utazás, nem cél."
• Vegye fontolóra szakértő segítségét. Jelentkezés a Felügyelt észlelés és válasz (MDR) szolgáltatás nem a kudarc beismerése, vagy annak a jele, hogy maga nem érti a kiberbiztonságot. Az MDR nem jelenti az Ön felelősségének hatályon kívül helyezését – ez egyszerűen egy módja annak, hogy elhivatott szakértők legyenek kéznél, amikor valóban szüksége van rájuk. Az MDR azt is jelenti, hogy támadás esetén a saját munkatársainak nem kell mindent feladniuk, amit jelenleg végeznek (beleértve az üzletmenet folytonossága szempontjából létfontosságú rendszeres feladatokat is), és így potenciálisan más biztonsági rések is nyitva maradhatnak.
• Fogadjon el egy nulla bizalmi megközelítést. A nulla bizalom nem szó szerint azt jelenti, hogy soha senkiben nem bízol meg semmiben. Ez egy metafora a „ne tégy feltételezéseket” és a „soha ne hatalmazz fel senkit, hogy többet tegyen, mint amennyire feltétlenül szüksége van”. Nulla megbízható hálózati hozzáférés (ZTNA) termékek nem úgy működnek, mint a hagyományos hálózati biztonsági eszközök, például a VPN-ek. A VPN általában biztonságos módot biztosít a kívülállók számára, hogy általános hozzáférést kapjanak a hálózathoz, ami után gyakran sokkal nagyobb szabadságot élveznek, mint amennyire valójában szükségük van, lehetővé téve számukra, hogy barangoljanak, leskeljenek és turkálják a kastély többi részének kulcsait. A nulla bizalmas hozzáférés sokkal részletesebb megközelítést alkalmaz, így ha csak a legfrissebb belső árlistát kell böngésznie, akkor ezt a hozzáférést kapja meg. Nem lesz joga arra sem, hogy bekanyarodjon a támogatási fórumokba, keresgélje az értékesítési nyilvántartásokat, vagy dugja be az orrát a forráskód-adatbázisba.
• Hozzon létre kiberbiztonsági forródrótot a személyzet számára, ha még nem rendelkezik ilyennel. Könnyítse meg bárki számára a kiberbiztonsági problémák bejelentését. Legyen szó gyanús telefonhívásról, valószínűtlen e-mail-mellékletről, vagy akár csak egy fájlról, amelynek valószínűleg nem kellene ott lennie a hálózaton, egyetlen kapcsolattartó legyen (pl. securityreport@yourbiz.example), így kollégái gyorsan és egyszerűen behívhatják.
• Soha ne add fel az embereket. A technológia önmagában nem képes megoldani az összes kiberbiztonsági problémát. Ha tisztelettel bánik a munkatársaival, és elfogadja azt a kiberbiztonsági hozzáállást "Nincs hülye kérdés, csak hülye válasz", akkor a szervezetben mindenkit szemekké és fülekké alakíthat biztonsági csapata számára.

---

Miért ne csatlakozna hozzánk 26. szeptember 29-2022. között az idei évre Sophos Security SOS Week:

Négy rövid, de lenyűgöző beszélgetés világszakértőkkel.

Ismerje meg a védelmet, az észlelést és a reagálást,
és hogyan hozhat létre egy saját, sikeres SecOps-csapatot:

---