A detta di tutti, e purtroppo ce ne sono molti, un hacker – nel rompere ed entrare illegalmente nella tua rete senso, non in a risolvere-problemi-super-hard-coding-in-un-modo-funky senso – ha fatto irruzione nella società di ride-sharing Uber.
Secondo un rapporto dalla BBC, si dice che l'hacker abbia solo 18 anni e sembra aver messo a segno l'attacco per lo stesso tipo di motivo che ha spinto notoriamente l'alpinista britannico George Mallory continuare a provare (e alla fine morire nel tentativo) di scalare il Monte Everest negli anni '1920...
..."perché è lì."
Uber, comprensibilmente, finora [2022-09-16T15:45Z] non ha detto molto altro oltre a annunciare su Twitter:
Stiamo attualmente rispondendo a un incidente di sicurezza informatica. Siamo in contatto con le forze dell'ordine e pubblicheremo qui ulteriori aggiornamenti non appena saranno disponibili.
- Uber Comms (@Uber_Comms) 16 settembre 2022
Quanto sappiamo finora?
Se la portata dell'intrusione è così ampia come suggerisce il presunto hacker, sulla base degli screenshot che abbiamo visto su Twitter, non siamo sorpresi che Uber non abbia ancora offerto informazioni specifiche, soprattutto considerando che le forze dell'ordine sono coinvolti nelle indagini.
Quando si tratta di analisi forense sugli incidenti informatici, il demone è davvero nei dettagli.
Tuttavia, i dati pubblicamente disponibili, presumibilmente rilasciati dallo stesso hacker e distribuiti ampiamente, sembrano suggerire che questo hack avesse due cause sottostanti, che descriveremo con un’analogia medievale.
L'intruso:
- Ha ingannato un addetto ai lavori facendoli entrare nel cortile, o bastione. Questa è l'area all'interno delle mura più esterne del castello, ma separata dalla parte meglio difesa.
- Trovato dettagli incustoditi che spiegano come accedere al mastio, o motte. Come suggerisce il nome, il mantenere è la roccaforte difensiva centrale di un tradizionale castello medievale europeo.
L'irruzione iniziale
Il termine gergale per farsi strada nell'equivalente del 21° secolo del cortile del castello è Ingegneria sociale.
Come tutti sappiamo, ci sono molti modi che gli aggressori con tempo, pazienza e il dono della parlantina possono convincere anche un utente ben informato e ben intenzionato ad aiutarlo a bypassare i processi di sicurezza che dovrebbero tenerli lontani.
I trucchi di ingegneria sociale automatizzati o semiautomatici includono truffe di phishing basate su posta elettronica e messaggistica istantanea.
Queste truffe inducono gli utenti a inserire i propri dettagli di accesso, spesso inclusi i codici 2FA, su siti Web contraffatti che sembrano veri affari ma in realtà forniscono agli aggressori i codici di accesso necessari.
Per un utente che ha già effettuato l'accesso e che è quindi temporaneamente autenticato per la sessione corrente, gli aggressori possono tentare di accedere ai cosiddetti cookie o token di accesso sul computer dell'utente.
Impiantando malware che dirotta le sessioni esistenti, ad esempio, gli aggressori possono essere in grado di mascherarsi da utente legittimo per un tempo sufficiente a prendere il controllo completo, senza bisogno delle consuete credenziali che l'utente stesso richiede per accedere da zero:
E se tutto il resto fallisce – o forse anche invece di provare i metodi meccanici descritti sopra – gli aggressori possono semplicemente chiamare un utente e ammaliarlo, o blandirlo, o implorare, o corrompere, o blandirlo, o invece minacciarlo, a seconda di come la conversazione si svolge.
Gli ingegneri sociali esperti sono spesso in grado di convincere gli utenti ben intenzionati non solo ad aprire la porta, ma anche a tenerla aperta per rendere ancora più facile l'ingresso degli aggressori, e forse anche a portare con sé le borse e le borse dell'aggressore. mostra loro dove andare dopo.
È così che è stato effettuato il famigerato hack di Twitter del 2020, in cui 45 account Twitter con bandiera blu, inclusi quelli di Bill Gates, Elon Musk e Apple, sono stati rilevati e utilizzati per promuovere una truffa di criptovaluta.
Quell'hacking non era tanto tecnico quanto culturale, portato avanti da personale di supporto che si sforzava così tanto di fare la cosa giusta da finire per fare esattamente il contrario:
Compromesso totale
Il termine gergale per indicare l’equivalente di entrare nel mastio del castello dal cortile è elevazione del privilegio.
In genere, gli aggressori cercheranno e utilizzeranno deliberatamente le vulnerabilità di sicurezza note internamente, anche se non sono riusciti a trovare un modo per sfruttarle dall’esterno perché i difensori si sono presi la briga di proteggerle sul perimetro della rete.
Ad esempio, in un sondaggio che abbiamo pubblicato di recente sulle intrusioni che il Sophos risposta rapida team analizzato nel 2021, abbiamo scoperto che solo nel 15% delle intrusioni iniziali – in cui gli aggressori scavalcano il muro esterno e entrano nel cortile – i criminali sono riusciti a irrompere utilizzando l’RDP.
(RDP è l'abbreviazione di protocollo desktop remoto, ed è un componente Windows ampiamente utilizzato progettato per consentire all'utente X di lavorare in remoto sul computer Y, dove Y è spesso un server che non dispone di uno schermo e di una tastiera propri e potrebbe effettivamente trovarsi a tre piani sottoterra in una sala server , o in tutto il mondo in un data center cloud.)
Ma nell’80% degli attacchi, i criminali hanno utilizzato la RDP una volta entrati per vagare quasi a piacimento attraverso la rete:
Altrettanto preoccupante è il fatto che, quando non era coinvolto il ransomware (perché un attacco ransomware rende immediatamente evidente che sei stato violato!), il tempo medio medio trascorso dai criminali vagare inosservato per la rete era di 34 giorni – più di un mese di calendario:
L'incidente di Uber
Non siamo ancora sicuri di come sia stata effettuata l’ingegneria sociale iniziale (abbreviato in SE nel gergo degli hacker), ma il ricercatore di minacce Bill Demirkapi ha twittato uno screenshot ciò sembra rivelare (con dettagli precisi oscurati) come è stata ottenuta l'elevazione del privilegio.
A quanto pare, anche se l'hacker inizialmente era un utente normale, e quindi aveva accesso solo ad alcune parti della rete...
…un po’ di girovagando e curiosando sulle condivisioni non protette della rete hanno rivelato una directory di rete aperta che includeva un mucchio di script PowerShell…
…che includeva credenziali di sicurezza codificate per l'accesso amministrativo a un prodotto noto in gergo come PAM, abbreviazione di Gestore degli accessi privilegiati.
Come suggerisce il nome, un PAM è un sistema utilizzato per gestire le credenziali e controllare l'accesso a tutti (o almeno a molti) gli altri prodotti e servizi utilizzati da un'organizzazione.
In parole povere, l’aggressore, che probabilmente aveva iniziato con un account utente umile e forse molto limitato, si è imbattuto in una ueber-ueber-password che ha sbloccato molte delle ueber-password delle operazioni IT globali di Uber.
Non siamo sicuri di quanto sia riuscito a vagare l’hacker una volta aperto il database PAM, ma i post su Twitter provenienti da numerose fonti suggeriscono che l’aggressore è riuscito a penetrare gran parte dell’infrastruttura IT di Uber.
L’hacker avrebbe presumibilmente scaricato dati per dimostrare di aver avuto accesso almeno ai seguenti sistemi aziendali: spazi di lavoro Slack; Il software di protezione dalle minacce di Uber (quello che spesso viene ancora casualmente definito an anti-virus); una console AWS; informazioni su viaggi e spese aziendali (compresi i nomi dei dipendenti); una console del server virtuale vSphere; un elenco di Google Workspaces; e persino il servizio bug bounty di Uber.
(Apparentemente, e per ironia della sorte, il servizio bug bounty era il luogo in cui l'hacker si vantava ad alta voce in maiuscolo, come mostrato nel titolo, che UBER È STATO HACKERATO.)
Cosa fare?
È facile puntare il dito contro Uber in questo caso e lasciare intendere che questa violazione dovrebbe essere considerata molto peggiore di altre, semplicemente a causa della natura rumorosa e molto pubblica di tutto ciò.
Ma la triste verità è che molti, se non la maggior parte, degli attacchi informatici contemporanei risultano aver coinvolto gli aggressori che ottenevano esattamente questo livello di accesso...
…o almeno potenzialmente avere questo livello di accesso, anche se alla fine non hanno curiosato ovunque avrebbero potuto.
Dopotutto, molti attacchi ransomware di questi tempi rappresentano non l'inizio ma la fine di un'intrusione che probabilmente è durata giorni o settimane, e potrebbe essere durata mesi, durante i quali gli aggressori probabilmente sono riusciti a promuoversi per avere status paritario con l'amministratore di sistema più anziano nell'azienda che avevano violato.
Ecco perché gli attacchi ransomware sono spesso così devastanti: quando arriva l’attacco, sono pochi i laptop, i server o i servizi a cui i criminali non hanno avuto accesso, quindi sono quasi letteralmente in grado di manomettere tutto.
In altre parole, ciò che sembra essere accaduto a Uber in questo caso non è una storia di violazione dei dati nuova o unica.
Ecco quindi alcuni suggerimenti stimolanti che puoi utilizzare come punto di partenza per migliorare la sicurezza generale della tua rete:
- I gestori di password e la 2FA non sono una panacea. L'uso di password ben scelte impedisce ai truffatori di indovinare la via d'accesso, e la sicurezza 2FA basata su codici monouso o token di accesso hardware (di solito piccoli dongle USB o NFC che un utente deve portare con sé) rende le cose più difficili, spesso molto più difficili, per aggressori. Ma contro i cosiddetti di oggi attacchi guidati dall'uomo, laddove gli "avversari attivi" si coinvolgono personalmente e direttamente nell'intrusione, è necessario aiutare gli utenti a modificare il loro comportamento generale online, in modo che abbiano meno probabilità di essere convinti a eludere le procedure, indipendentemente da quanto tali procedure possano essere complete e complesse.
- La sicurezza appartiene ovunque nella rete, non solo ai margini. Al giorno d'oggi, moltissimi utenti necessitano di accedere almeno ad una parte della rete: dipendenti, appaltatori, personale temporaneo, guardie di sicurezza, fornitori, partner, addetti alle pulizie, clienti e altro ancora. Se vale la pena rafforzare un’impostazione di sicurezza in quello che sembra il perimetro della rete, allora quasi certamente è necessario rafforzarla anche “all’interno”. Ciò vale soprattutto per il patching. Come ci piace dire su Naked Security, "Patch presto, patch spesso, patch ovunque."
- Misura e testa regolarmente la tua sicurezza informatica. Non dare mai per scontato che le precauzioni che pensavi di aver messo in atto funzionino davvero. Non dare per scontato; verificare sempre. Inoltre, ricorda che, poiché nuovi strumenti, tecniche e procedure di attacco informatico compaiono continuamente, le tue precauzioni devono essere riviste regolarmente. In parole semplici, “La sicurezza informatica è un viaggio, non una destinazione.”
- Considera l'idea di chiedere aiuto a un esperto. Iscriversi a Rilevamento e risposta gestiti (MDR) non è un'ammissione di fallimento o un segno che non capisci tu stesso la sicurezza informatica. L’MDR non è un’abrogazione della tua responsabilità: è semplicemente un modo per avere esperti dedicati a portata di mano quando ne hai veramente bisogno. MDR significa anche che, in caso di attacco, il tuo personale non deve abbandonare tutto ciò che sta attualmente facendo (comprese le attività regolari che sono vitali per la continuità della tua attività), lasciando quindi potenzialmente aperte altre falle di sicurezza.
- Adottare un approccio Zero Trust. Zero Trust non significa letteralmente che non ti fidi mai di nessuno per fare qualcosa. È una metafora del “non fare supposizioni” e del “non autorizzare mai nessuno a fare più di quanto strettamente necessario”. Accesso alla rete Zero Trust (ZTNA) non funzionano come i tradizionali strumenti di sicurezza di rete come le VPN. Una VPN generalmente fornisce un modo sicuro per qualcuno all'esterno di ottenere l'accesso generale alla rete, dopo di che spesso godono di molta più libertà di quella di cui hanno realmente bisogno, permettendo loro di vagare, curiosare e curiosare alla ricerca delle chiavi del resto del castello. L’accesso Zero Trust adotta un approccio molto più granulare, quindi se tutto ciò che devi fare è sfogliare l’ultimo listino prezzi interno, questo è l’accesso che otterrai. Non avrai nemmeno il diritto di vagare nei forum di supporto, sfogliare i record di vendita o ficcare il naso nel database del codice sorgente.
- Crea una hotline per la sicurezza informatica per il personale se non ne hai già una. Rendi semplice per chiunque segnalare problemi di sicurezza informatica. Che si tratti di una telefonata sospetta, di un improbabile allegato di posta elettronica o anche solo di un file che probabilmente non dovrebbe essere disponibile in rete, disponi di un unico punto di contatto (ad es.
securityreport@yourbiz.example) in modo che i tuoi colleghi possano chiamarlo in modo semplice e veloce. - Non rinunciare mai alle persone. La tecnologia da sola non può risolvere tutti i tuoi problemi di sicurezza informatica. Se tratti il tuo personale con rispetto e se adotti un atteggiamento di sicurezza informatica, quello “Non esistono domande stupide, ma solo risposte stupide”, potrai trasformare tutti i membri dell'organizzazione in occhi e orecchie per il tuo team di sicurezza.
Perché non unirti a noi dal 26 al 29 settembre 2022 per quest'anno Settimana SOS per la sicurezza Sophos:
Quattro brevi ma affascinanti colloqui con esperti mondiali.
Ulteriori informazioni su protezione, rilevamento e risposta,
e come creare un tuo team SecOps di successo:
- blockchain
- geniale
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- violazione di dati
- Perdita di dati
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- pirateria informatica
- Kaspersky
- il malware
- Mcafee
- Sicurezza nuda
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- Privacy
- Uber
- VPN
- sicurezza del sito Web
- zefiro
![S3 Ep119: Violazioni, patch, perdite e modifiche! [Audio + testo]](https://platoblockchain.com/wp-content/uploads/2023/01/s3-ep119-breaches-patches-leaks-and-tweaks-audio-text-300x156.jpg "S3 Ep119: Violazioni, patch, perdite e modifiche! [Audio + testo]")
![S3 Ep99: “Attacco” di TikTok – c’è stata una violazione dei dati oppure no? [Audio + Testo] PlatoBlockchain Data Intelligence. Ricerca verticale. Ai.](https://platoblockchain.com/wp-content/uploads/2022/09/moth-1200-300x156.jpg "S3 Ep99: TikTok \"attacco\" - c'è stata una violazione dei dati o no? [Audio + testo]")
![S3 Ep117: La crisi delle criptovalute che non c'era (e addio per sempre a Win 7) [Audio + Testo]](https://platoblockchain.com/wp-content/uploads/2023/01/s3-ep117-the-crypto-crisis-that-wasnt-and-farewell-forever-to-win-7-audio-text-360x188.png "S3 Ep117: La crisi delle criptovalute che non c'era (e addio per sempre a Win 7) [Audio + Testo]")
