Dari semua akun, dan sayangnya ada banyak dari mereka, seorang peretas – di hancurkan-dan-masukkan-jaringan-Anda-secara ilegal akal, bukan dalam memecahkan-super-hard-coding-masalah-dalam-cara-funky akal – telah membobol perusahaan berbagi perjalanan Uber.
Menurut melaporkan dari BBC, peretas dikatakan baru berusia 18 tahun, dan tampaknya telah melakukan serangan untuk alasan yang sama dengan yang dikendarai oleh pendaki gunung Inggris. George Mallory untuk terus mencoba (dan akhirnya mati dalam usahanya) untuk mencapai puncak Gunung Everest pada tahun 1920-an…
...“karena itu ada.”
Uber, dapat dimengerti, sejauh ini tidak banyak bicara [2022-09-16T15:45Z] selain mengumumkan di Twitter:
Saat ini kami sedang menanggapi insiden keamanan siber. Kami berhubungan dengan penegak hukum dan akan memposting pembaruan tambahan di sini saat tersedia.
- Uber Comms (@Uber_Comms) September 16, 2022
Berapa banyak yang kita ketahui sejauh ini?
Jika skala intrusi seluas yang diduga peretas, berdasarkan tangkapan layar yang kami lihat terpampang di Twitter, kami tidak terkejut bahwa Uber belum menawarkan informasi spesifik apa pun, terutama mengingat penegakan hukum terlibat dalam penyelidikan.
Ketika datang ke forensik insiden siber, iblis benar-benar dalam rincian.
Namun demikian, data yang tersedia untuk umum, yang diduga dirilis oleh peretas itu sendiri dan didistribusikan secara luas, tampaknya menunjukkan bahwa peretasan ini memiliki dua penyebab mendasar, yang akan kami jelaskan dengan analogi abad pertengahan.
Penyusup:
- Menipu orang dalam untuk membiarkan mereka masuk ke halaman, atau— kebun istana. Itu adalah area di dalam tembok kastil terluar, tetapi terpisah dari bagian yang paling dijaga.
- Menemukan detail tanpa pengawasan yang menjelaskan cara mengakses penyimpanan, atau tanah. Seperti namanya, the menjaga adalah benteng pertahanan utama dari kastil Eropa abad pertengahan tradisional.
Pembobolan awal
Istilah jargon untuk memasuki abad ke-21 yang setara dengan halaman kastil adalah rekayasa sosial.
Seperti yang kita semua tahu, ada banyak jalan bahwa penyerang dengan waktu, kesabaran, dan kemampuan mengobrol dapat membujuk bahkan pengguna yang berpengetahuan luas dan bermaksud baik untuk membantu mereka melewati proses keamanan yang seharusnya mencegah mereka.
Trik rekayasa sosial otomatis atau semi-otomatis termasuk email dan penipuan phishing berbasis IM.
Penipuan ini memikat pengguna untuk memasukkan detail login mereka, sering kali termasuk kode 2FA mereka, di situs web palsu yang terlihat seperti real deal tetapi sebenarnya memberikan kode akses yang diperlukan kepada penyerang.
Untuk pengguna yang sudah masuk, dan dengan demikian diautentikasi sementara untuk sesi mereka saat ini, penyerang dapat mencoba untuk mendapatkan apa yang disebut cookie atau token akses pada komputer pengguna.
Dengan menanamkan malware yang membajak sesi yang ada, misalnya, penyerang mungkin dapat menyamar sebagai pengguna yang sah cukup lama untuk mengambil alih sepenuhnya, tanpa memerlukan kredensial biasa yang diperlukan pengguna sendiri untuk masuk dari awal:
Dan jika semuanya gagal – atau mungkin bahkan daripada mencoba metode mekanis yang dijelaskan di atas – penyerang dapat dengan mudah memanggil pengguna dan memikat mereka, atau membujuk, atau memohon, atau menyuap, atau membujuk, atau mengancam mereka, tergantung pada bagaimana percakapan terungkap.
Insinyur sosial yang terampil seringkali mampu meyakinkan pengguna yang bermaksud baik tidak hanya untuk membuka pintu sejak awal, tetapi juga menahannya agar lebih mudah bagi penyerang untuk masuk, dan bahkan mungkin untuk membawa tas dan tas penyerang. menunjukkan kepada mereka ke mana harus pergi selanjutnya.
Begitulah cara peretasan Twitter yang terkenal pada tahun 2020 dilakukan, di mana 45 akun Twitter berbendera biru, termasuk milik Bill Gates, Elon Musk dan Apple, diambil alih dan digunakan untuk mempromosikan penipuan cryptocurrency.
Peretasan itu tidak terlalu teknis seperti budaya, dilakukan melalui staf pendukung yang berusaha keras untuk melakukan hal yang benar sehingga mereka akhirnya melakukan hal yang sebaliknya:
Kompromi penuh
Istilah jargon yang setara dengan masuk ke kastil dari halaman adalah peningkatan hak istimewa.
Biasanya, penyerang akan dengan sengaja mencari dan menggunakan kerentanan keamanan yang diketahui secara internal, meskipun mereka tidak dapat menemukan cara untuk mengeksploitasinya dari luar karena para pembela telah bersusah payah untuk melindungi mereka dari perimeter jaringan.
Misalnya, dalam survei yang kami terbitkan baru-baru ini tentang gangguan yang Respon Cepat Sophos tim yang diselidiki pada tahun 2021, kami menemukan bahwa hanya 15% dari intrusi awal – di mana penyerang melewati tembok luar dan masuk ke bailey – para penjahat dapat menerobos masuk menggunakan RDP.
(RDP adalah kependekan dari protokol desktop jarak jauh, dan ini adalah komponen Windows yang banyak digunakan yang dirancang untuk memungkinkan pengguna X bekerja dari jarak jauh di komputer Y, di mana Y sering kali merupakan server yang tidak memiliki layar dan keyboard sendiri, dan mungkin memang tiga lantai di bawah tanah di ruang server , atau di seluruh dunia di pusat data cloud.)
Namun dalam 80% serangan, para penjahat menggunakan RDP begitu mereka berada di dalam untuk berkeliaran hampir sesuka hati di seluruh jaringan:
Sama mengkhawatirkannya, ketika ransomware tidak terlibat (karena serangan ransomware membuatnya langsung terlihat jelas bahwa Anda telah dilanggar!), rata-rata waktu rata-rata penjahat itu menjelajah jaringan tanpa disadari adalah 34 hari – lebih dari satu bulan kalender:
Insiden Uber
Kami belum yakin bagaimana rekayasa sosial awal (disingkat SE dalam jargon peretasan) dilakukan, tetapi peneliti ancaman Bill Demirkapi telah tweet screenshot yang tampaknya mengungkapkan (dengan rincian yang tepat disunting) bagaimana peningkatan hak istimewa dicapai.
Rupanya, meskipun peretas memulai sebagai pengguna biasa, dan karena itu hanya memiliki akses ke beberapa bagian jaringan…
…sedikit berkeliaran dan mengintip pada bagian yang tidak terlindungi di jaringan mengungkapkan direktori jaringan terbuka yang menyertakan banyak skrip PowerShell…
…yang mencakup kredensial keamanan hard-code untuk akses admin ke produk yang dikenal dalam jargon sebagai PAM, kependekan dari Pengelola Akses Istimewa.
Seperti namanya, PAM adalah sistem yang digunakan untuk mengelola kredensial, dan mengontrol akses ke, semua (atau setidaknya banyak) produk dan layanan lain yang digunakan oleh organisasi.
Sayangnya, penyerang, yang mungkin memulai dengan akun pengguna yang sederhana dan mungkin sangat terbatas, menemukan kata sandi ueber-ueber yang membuka banyak kata sandi ueber dari operasi TI global Uber.
Kami tidak yakin seberapa luas peretas dapat menjelajah setelah mereka membuka basis data PAM, tetapi posting Twitter dari berbagai sumber menunjukkan bahwa penyerang mampu menembus banyak infrastruktur TI Uber.
Peretas diduga membuang data untuk menunjukkan bahwa mereka telah mengakses setidaknya sistem bisnis berikut: Ruang kerja Slack; Perangkat lunak perlindungan ancaman Uber (yang sering disebut sebagai an anti-virus); konsol AWS; informasi perjalanan dan pengeluaran perusahaan (termasuk nama karyawan); konsol server virtual vSphere; daftar Google Workspaces; dan bahkan layanan hadiah bug milik Uber sendiri.
(Rupanya, dan ironisnya, layanan bug bounty adalah tempat peretas membual dengan keras dalam huruf kapital, seperti yang ditunjukkan pada judul, bahwa UBER TELAH DIHACK.)
Apa yang harus dilakukan?
Sangat mudah untuk menunjuk Uber dalam kasus ini dan menyiratkan bahwa pelanggaran ini harus dianggap jauh lebih buruk daripada kebanyakan, hanya karena sifatnya yang keras dan sangat umum dari semua itu.
Tetapi kebenaran yang disayangkan adalah bahwa banyak, jika bukan sebagian besar, serangan siber kontemporer ternyata melibatkan penyerang yang mendapatkan tingkat akses yang persis seperti ini…
…atau setidaknya berpotensi memiliki tingkat akses ini, bahkan jika mereka pada akhirnya tidak mencari-cari di mana pun mereka bisa.
Lagi pula, banyak serangan ransomware akhir-akhir ini tidak mewakili awal tetapi akhir dari intrusi yang mungkin berlangsung berhari-hari atau berminggu-minggu, dan mungkin telah berlangsung selama berbulan-bulan, selama waktu itu penyerang mungkin berhasil mempromosikan diri mereka untuk memiliki statusnya setara dengan sysadmin paling senior di perusahaan yang mereka langgar.
Itulah mengapa serangan ransomware sering kali sangat menghancurkan – karena, pada saat serangan datang, hanya ada beberapa laptop, server, atau layanan yang tidak dapat diakses oleh para penjahat, sehingga mereka hampir secara harfiah dapat mengacak semuanya.
Dengan kata lain, apa yang tampaknya terjadi pada Uber dalam kasus ini bukanlah kisah pelanggaran data yang baru atau unik.
Jadi, berikut adalah beberapa tips pemikiran yang dapat Anda gunakan sebagai titik awal untuk meningkatkan keamanan secara keseluruhan di jaringan Anda sendiri:
- Pengelola kata sandi dan 2FA bukanlah obat mujarab. Menggunakan kata sandi yang dipilih dengan baik menghentikan penjahat yang menebak-nebak jalan masuk, dan keamanan 2FA berdasarkan kode satu kali atau token akses perangkat keras (biasanya dongle USB atau NFC kecil yang perlu dibawa oleh pengguna) membuat segalanya lebih sulit, seringkali jauh lebih sulit, untuk penyerang. Tapi melawan apa yang disebut hari ini serangan yang dipimpin manusia, di mana "musuh aktif" melibatkan diri mereka secara pribadi dan langsung dalam penyusupan, Anda perlu membantu pengguna Anda mengubah perilaku online mereka secara umum, sehingga mereka cenderung tidak diajak untuk menghindari prosedur, terlepas dari seberapa komprehensif dan kompleksnya prosedur tersebut.
- Keamanan ada di mana-mana di jaringan, tidak hanya di tepi. Saat ini, sangat banyak pengguna yang membutuhkan akses ke setidaknya beberapa bagian dari jaringan Anda – karyawan, kontraktor, staf sementara, penjaga keamanan, pemasok, mitra, pembersih, pelanggan, dan banyak lagi. Jika pengaturan keamanan layak diperketat pada apa yang terasa seperti perimeter jaringan Anda, maka hampir pasti perlu diperketat "di dalam" juga. Ini berlaku terutama untuk menambal. Seperti yang ingin kami katakan di Naked Security, “Tambal lebih awal, tambal sering, tambal di mana-mana.”
- Ukur dan uji keamanan siber Anda secara teratur. Jangan pernah berasumsi bahwa tindakan pencegahan yang Anda pikir Anda lakukan benar-benar berhasil. Jangan berasumsi; selalu verifikasi. Juga, ingatlah bahwa karena alat, teknik, dan prosedur serangan siber baru muncul setiap saat, tindakan pencegahan Anda perlu ditinjau secara teratur. Dengan kata sederhana, “Keamanan siber adalah sebuah perjalanan, bukan tujuan.”
- Pertimbangkan untuk mendapatkan bantuan ahli. Mendaftar untuk Deteksi dan Respons Terkelola Layanan (MDR) bukanlah pengakuan kegagalan, atau tanda bahwa Anda sendiri tidak memahami keamanan siber. MDR bukanlah pembatalan tanggung jawab Anda – ini hanyalah cara untuk memiliki ahli yang berdedikasi saat Anda benar-benar membutuhkannya. MDR juga berarti bahwa jika terjadi serangan, staf Anda sendiri tidak perlu menghentikan semua yang sedang mereka lakukan (termasuk tugas rutin yang vital bagi kelangsungan bisnis Anda), dan dengan demikian berpotensi membuka celah keamanan lainnya.
- Mengadopsi pendekatan tanpa kepercayaan. Zero-trust tidak secara harfiah berarti bahwa Anda tidak pernah mempercayai siapa pun untuk melakukan apa pun. Ini adalah metafora untuk "tidak membuat asumsi" dan "tidak pernah mengizinkan siapa pun untuk melakukan lebih dari yang mereka butuhkan". Akses jaringan tanpa kepercayaan Produk (ZTNA) tidak berfungsi seperti alat keamanan jaringan tradisional seperti VPN. VPN umumnya menyediakan cara yang aman bagi seseorang di luar untuk mendapatkan akses umum ke jaringan, setelah itu mereka sering menikmati lebih banyak kebebasan daripada yang benar-benar mereka butuhkan, memungkinkan mereka untuk menjelajah, mengintip, dan mencari-cari kunci ke seluruh kastil. Akses tanpa kepercayaan mengambil pendekatan yang jauh lebih terperinci, sehingga jika yang benar-benar perlu Anda lakukan hanyalah menelusuri daftar harga internal terbaru, itulah akses yang akan Anda dapatkan. Anda juga tidak akan mendapatkan hak untuk masuk ke forum dukungan, menelusuri catatan penjualan, atau menyodok hidung Anda ke dalam basis data kode sumber.
- Siapkan hotline keamanan siber untuk staf jika Anda belum memilikinya. Permudah siapa saja untuk melaporkan masalah keamanan siber. Baik itu panggilan telepon yang mencurigakan, lampiran email yang tidak mungkin, atau bahkan hanya file yang mungkin tidak seharusnya ada di jaringan, miliki satu titik kontak (mis.
securityreport@yourbiz.example) yang mempercepat dan memudahkan kolega Anda untuk menghubunginya. - Jangan pernah menyerah pada orang. Teknologi saja tidak dapat menyelesaikan semua masalah keamanan siber Anda. Jika Anda memperlakukan staf Anda dengan hormat, dan jika Anda menerapkan sikap keamanan siber yang “Tidak ada pertanyaan konyol, yang ada hanya jawaban bodoh”, maka Anda dapat mengubah semua orang di organisasi menjadi mata dan telinga bagi tim keamanan Anda.
Mengapa tidak bergabung dengan kami dari 26-29 September 2022 untuk tahun ini Minggu SOS Keamanan Sophos:
Empat pembicaraan singkat namun menarik dengan pakar dunia.
Pelajari tentang perlindungan, deteksi, dan respons,
dan cara menyiapkan tim SecOps Anda sendiri yang sukses:
- blockchain
- kecerdasan
- dompet cryptocurrency
- pertukaran kripto
- keamanan cyber
- penjahat cyber
- Keamanan cyber
- Data pelanggaran
- kehilangan data
- Departemen Keamanan Dalam Negeri
- dompet digital
- firewall
- peretasan
- Kaspersky
- malware
- mcafe
- Keamanan Telanjang
- BerikutnyaBLOC
- plato
- plato ai
- Kecerdasan Data Plato
- Permainan Plato
- Data Plato
- permainan plato
- pribadi
- uber
- VPN
- website security
- zephyrnet.dll
