לכל הדעות, ולמרבה הצער יש רבים מהם, האקר - ב לפרוץ-והכנס-לרשת שלך באופן לא חוקי מובן, לא ב-a לפתור-סופר-קשה-בעיות-קידוד-באופן-פאנקי sense - פרצה לחברת שיתוף הנסיעות אובר.
פי לדווח מה-BBC, אומרים שההאקר הוא רק בן 18, ונראה שהוא ביטל את המתקפה מאותה סיבה שהובילה את מטפס הרים בריטי. ג'ורג 'מלורי להמשיך לנסות (ובסופו של דבר למות בניסיון) לעלות על הר האוורסט בשנות ה-1920...
..."כי זה שם."
Uber, באופן מובן, לא אמרה הרבה יותר עד כה [2022-09-16T15:45Z] מאשר להכריז בטוויטר:
אנו מגיבים כעת לאירוע אבטחת סייבר. אנו בקשר עם רשויות אכיפת החוק ונפרסם כאן עדכונים נוספים ככל שיהיו זמינים.
- Uber Comms (@Uber_Comms) ספטמבר 16, 2022
כמה אנחנו יודעים עד כה?
אם קנה המידה של החדירה הוא רחב כמו שההאקר לכאורה הציע, בהתבסס על צילומי המסך שראינו מודבקים בטוויטר, אנחנו לא מופתעים ש-Uber עדיין לא הציעה שום מידע ספציפי, במיוחד לאור העובדה שרשויות אכיפת החוק מעורב בחקירה.
כשזה מגיע לזיהוי פלילי של אירועי סייבר, ה שטן באמת נמצא בפרטים.
עם זאת, נראה כי נתונים זמינים לציבור, ששוחררו לכאורה על ידי ההאקר עצמו והופצו באופן נרחב, מרמזים כי לפריצה זו היו שתי סיבות בסיסיות, אותן נתאר באנלוגיה מימי הביניים.
הפורץ:
- רימו גורם פנימי לתת להם להיכנס לחצר, או ביילי. זה האזור בתוך חומת הטירה החיצונית ביותר, אבל נפרד מהחלק המוגן בצורה הטובה ביותר.
- נמצאו פרטים ללא השגחה המסבירים כיצד לגשת ל-Keep, או גוּשׁ. כפי שהשם מרמז, לשמור הוא מעוז ההגנה המרכזי של טירה אירופית מסורתית מימי הביניים.
הפריצה הראשונית
המונח בז'רגון להפלת דרכך אל המקבילה של המאה ה-21 של חצר הטירה הוא הנדסה חברתית.
כפי שכולנו יודעים, יש הרבה דרכים שתוקפים עם זמן, סבלנות ומתנת ה-gab יכולים לשכנע אפילו משתמש מושכל ובעל כוונות טובות לעזור להם לעקוף את תהליכי האבטחה שאמורים להרחיק אותם.
טריקים של הנדסה חברתית אוטומטית או אוטומטית למחצה כוללים הונאות דיוג מבוססות אימייל ו-IM.
הונאות אלו מפתות משתמשים להזין את פרטי ההתחברות שלהם, לרוב כולל קודי 2FA שלהם, באתרי אינטרנט מזויפים שנראים כמו העסקה האמיתית אך למעשה מספקים את קודי הגישה הדרושים לתוקפים.
עבור משתמש שכבר מחובר, ולכן מאומת באופן זמני עבור ההפעלה הנוכחית שלו, תוקפים עשויים לנסות להגיע למה שנקרא עוגיות או אסימוני גישה במחשב של המשתמש.
על ידי השתלת תוכנות זדוניות שחוטפות הפעלות קיימות, למשל, התוקפים יוכלו להתחזות למשתמש לגיטימי מספיק זמן כדי להשתלט עליו לחלוטין, מבלי להזדקק לאף אחד מהאישורים הרגילים שהמשתמש עצמו נדרש כדי להתחבר מאפס:
ואם כל השאר נכשל - או אולי אפילו במקום לנסות את השיטות המכניות שתוארו לעיל - התוקפים יכולים פשוט להתקשר למשתמש ולהקסים אותו, או להתחרפן, או להתחנן, או לשחד, או לשדל, או לאיים עליהם במקום זאת, תלוי איך השיחה מתפתחת.
מהנדסים חברתיים מיומנים מצליחים לעתים קרובות לשכנע משתמשים בעלי כוונות טובות לא רק לפתוח את הדלת מלכתחילה, אלא גם להחזיק אותה פתוחה כדי להקל על התוקפים להיכנס פנימה, ואולי אפילו לשאת את התיקים של התוקף. להראות להם לאן ללכת הלאה.
כך בוצעה פריצת הטוויטר הידועה לשמצה של 2020, שבה השתלטו על 45 חשבונות טוויטר עם דגל כחול, כולל אלה של ביל גייטס, אילון מאסק ואפל, ושימשו לקידום הונאת מטבעות קריפטוגרפיים.
הפריצה הזו לא הייתה כל כך טכנית אלא תרבותית, שבוצעה באמצעות צוות תמיכה שניסו כל כך קשה לעשות את הדבר הנכון שבסופו של דבר עשו בדיוק את ההיפך:
פשרה מלאה
המונח הז'רגון המקביל לכניסה למשמורת הטירה מהחצר הוא העלאת הרשאות.
בדרך כלל, תוקפים יחפשו וישתמשו בכוונה בפרצות אבטחה ידועות באופן פנימי, למרות שלא הצליחו למצוא דרך לנצל אותן מבחוץ מכיוון שהמגנים טרחו להגן מפניהן בהיקף הרשת.
לדוגמה, בסקר שפרסמנו לאחרונה על חדירות שה- Sophos Rapid Response צוות שנחקר ב-2021, גילינו שרק ב-15% מהפריצות הראשוניות - שבהן התוקפים עוברים את החומה החיצונית ולתוך העירייה - הצליחו הפושעים לפרוץ באמצעות RDP.
(RDP הוא קיצור של פרוטוקול שולחן עבודה מרוחק, וזהו רכיב Windows בשימוש נרחב שנועד לאפשר למשתמש X לעבוד מרחוק במחשב Y, כאשר Y הוא לרוב שרת שאין לו מסך ומקלדת משלו, והוא עשוי להיות שלוש קומות מתחת לאדמה בחדר שרתים , או ברחבי העולם במרכז נתונים בענן.)
אבל ב-80% מההתקפות, הפושעים השתמשו ב-RDP ברגע שהם היו בפנים כדי לשוטט כמעט כרצונם ברחבי הרשת:
לא פחות מדאיג, כשתוכנת כופר לא הייתה מעורבת (מכיוון שהתקפת תוכנת כופר הופכת את זה לברור מיידית שנפרצת!), הזמן החציוני שבו היו הפושעים שוטטות ברשת מבלי לשים לב היה 34 ימים - יותר מחודש קלנדרי:
תקרית אובר
אנחנו עדיין לא בטוחים כיצד בוצעה ההנדסה החברתית הראשונית (מקוצרת ל-SE בז'רגון הפריצה), אבל חוקר האיומים ביל דמירקאפי צייץ צילום מסך שנדמה שחושפת (עם פרטים מדויקים מסודרים) כיצד הושגה העלאת הפריבילגיה.
ככל הנראה, למרות שההאקר התחיל כמשתמש רגיל, ולכן היה לו גישה רק לחלקים מסוימים של הרשת...
...קצת שיטוט וחטטנות על שיתופים לא מוגנים ברשת חשפו ספריית רשת פתוחה שכללה חבורה של סקריפטים של PowerShell...
...שכלל אישורי אבטחה מקודדים עבור גישת מנהל למוצר המכונה בעגה המכונה PAM, קיצור של מנהל גישה מועדף.
כפי שהשם מרמז, PAM היא מערכת המשמשת לניהול אישורים ושליטה בגישה לכל המוצרים והשירותים האחרים (או לפחות רבים מהם) המשמשים ארגון.
במילים מטומטמות, התוקף, שכנראה התחיל עם חשבון משתמש צנוע ואולי מוגבל מאוד, נתקל בסיסמת ueber-ueber שפתחה רבות מהסיסמאות ueber של פעולות ה-IT העולמיות של אובר.
אנחנו לא בטוחים באיזו רחבה הצליח ההאקר לשוטט ברגע שהם פתחו את מסד הנתונים של PAM, אבל פרסומים בטוויטר ממקורות רבים מצביעים על כך שהתוקף הצליח לחדור הרבה מתשתית ה-IT של אובר.
ההאקר זרק לכאורה נתונים כדי להראות שהם ניגשו לפחות למערכות העסקיות הבאות: חללי עבודה רפויים; תוכנת הגנת האיומים של אובר (מה שעדיין מכונה בדרך כלל כבדרך אגב an אנטי וירוס); קונסולת AWS; מידע על נסיעות והוצאות של החברה (כולל שמות עובדים); קונסולת שרת וירטואלית vSphere; רשימה של Google Workspaces; ואפילו שירות הבאונטי באגים של אובר.
(כנראה, ובאופן אירוני, שירות הבאונטי באגים היה המקום שבו ההאקר התרברב בקול באותיות גדולות, כפי שמוצג בכותרת, כי UBER נפרץ.)
מה לעשות?
קל להפנות אצבעות לאובר במקרה הזה ולרמוז שהפרה הזו צריכה להיחשב הרבה יותר גרועה מרוב, פשוט בגלל האופי הקולני והפומבי מאוד של כל זה.
אבל האמת המצערת היא שרבות, אם לא רובן, התקפות סייבר עכשוויות מתבררות שכללו את התוקפים שקיבלו בדיוק את מידת הגישה הזו...
...או לפחות בעלי רמת גישה כזו, אפילו אם הם לא הסתובבו בסופו של דבר בכל מקום שהם יכולים לקבל.
אחרי הכל, התקפות רבות של תוכנות כופר בימינו מייצגות לא התחלה אלא סופה של חדירה שנמשכה כנראה ימים או שבועות, ואולי נמשכה חודשים, שבמהלכן התוקפים כנראה הצליחו לקדם את עצמם מעמד שווה עם מנהל המערכת הבכיר ביותר בחברה שהם פרצו.
זו הסיבה שהתקפות של תוכנות כופר הן לעתים כה הרסניות - כי עד שהמתקפה מגיעה, ישנם מעט מחשבים ניידים, שרתים או שירותים שהפושעים לא הסתכסכו בגישה אליהם, כך שהם כמעט מסוגלים לטרוף הכל.
במילים אחרות, מה שנראה שקרה לאובר במקרה זה אינו סיפור חדש או ייחודי של הפרת נתונים.
אז הנה כמה טיפים מעוררי מחשבה שתוכל להשתמש בהם כנקודת התחלה כדי לשפר את האבטחה הכוללת ברשת שלך:
- מנהלי סיסמאות ו-2FA אינם תרופת פלא. שימוש בסיסמאות שנבחרו היטב מונע מנוכלים לנחש את דרכם פנימה, ואבטחת 2FA המבוססת על קודים חד-פעמיים או אסימוני גישה לחומרה (בדרך כלל דונגלים קטנים מסוג USB או NFC שמשתמש צריך לשאת איתם) הופכת את הדברים לקשים יותר, לרוב הרבה יותר, עבור תוקפים. אבל נגד מה שנקרא היום התקפות בהנהגת אדם, כאשר "יריבים פעילים" מערבים את עצמם באופן אישי וישיר בפריצה, אתה צריך לעזור למשתמשים שלך לשנות את ההתנהגות המקוונת הכללית שלהם, כך שיש סיכוי נמוך יותר שהם ידברו על הליכי עקיפה, ללא קשר למידת ההליכים הללו מקיפים ומורכבים.
- האבטחה שייכת לכל מקום ברשת, לא רק בקצה. בימים אלה, הרבה מאוד משתמשים זקוקים לגישה לפחות לחלק מהרשת שלכם - עובדים, קבלנים, צוות זמני, מאבטחים, ספקים, שותפים, מנקים, לקוחות ועוד. אם כדאי להדק הגדרת אבטחה במה שמרגיש כמו היקף הרשת שלך, אז כמעט בוודאות יש צורך להדק אותה גם "בפנים". זה חל במיוחד על תיקון. כמו שאנחנו אוהבים לומר על אבטחה עירומה, "התקן מוקדם, תיקון לעתים קרובות, תיקון בכל מקום."
- מדוד ובדוק את אבטחת הסייבר שלך על בסיס קבוע. לעולם אל תניח שאמצעי הזהירות שחשבת שהצבת באמת עובדים. אל תניח; תמיד לאמת. כמו כן, זכור שמכיוון שכלים, טכניקות ונהלים חדשים להתקפות סייבר מופיעים כל הזמן, אמצעי הזהירות שלך צריכים לבחון באופן קבוע. במילים פשוטות, "אבטחת סייבר היא מסע, לא יעד."
- שקול לקבל עזרה ממומחים. הרשמה לא איתור מנוהל ותגובה שירות (MDR) אינו הודאה בכישלון, או סימן שאינך מבין בעצמך אבטחת סייבר. MDR אינו ביטול אחריותך - זו פשוט דרך להחזיק מומחים מסורים בהישג יד כשאתה באמת זקוק להם. MDR גם אומר שבמקרה של תקיפה, הצוות שלך לא צריך להפסיק את כל מה שהם עושים כרגע (כולל משימות רגילות שהן חיוניות להמשכיות העסק שלך), ובכך עלולים להשאיר חורי אבטחה אחרים פתוחים.
- אמצו גישה של אפס אמון. אפס אמון לא אומר שאתה אף פעם לא סומך על אף אחד שיעשה שום דבר. זוהי מטאפורה ל"אל תניח הנחות" ו"לעולם אל תאשר לאף אחד לעשות יותר ממה שהוא באמת צריך". אפס גישה לרשת מוצרי (ZTNA) אינם פועלים כמו כלי אבטחת רשת מסורתיים כגון VPNs. VPN בדרך כלל מספק דרך מאובטחת למישהו מבחוץ לקבל כניסה כללית לרשת, ולאחר מכן הם נהנים לרוב מחופש הרבה יותר ממה שהם באמת צריכים, מה שמאפשר להם לשוטט, לחטט ולחטט בחיפוש אחר המפתחות לשאר הטירה. גישה אפס אמון נוקטת בגישה הרבה יותר מפורטת, כך שאם כל מה שאתה באמת צריך לעשות הוא לעיין במחירון הפנימי העדכני ביותר, זו הגישה שתקבל. לא תקבל גם את הזכות לשוטט בפורומי תמיכה, לסרוק ברשומות מכירות או לדחוף את האף שלך למסד הנתונים של קוד המקור.
- הגדר קו חם לאבטחת סייבר לצוות אם עדיין אין לך. הקל על כל אחד לדווח על בעיות אבטחת סייבר. בין אם מדובר בשיחת טלפון חשודה, קובץ מצורף לא סביר בדוא"ל, או אפילו סתם קובץ שכנראה לא אמור להיות שם ברשת, יש נקודת מגע אחת (למשל
securityreport@yourbiz.example) שמאפשר לעמיתיך להתקשר בקלות ובמהירות. - לעולם אל תוותר על אנשים. טכנולוגיה לבדה לא יכולה לפתור את כל בעיות אבטחת הסייבר שלך. אם תתייחס לצוות שלך בכבוד, ואם תאמץ את הגישה של אבטחת סייבר "אין דבר כזה שאלה טיפשית, רק תשובה טיפשית", אז אתה יכול להפוך את כולם בארגון לעיניים ואוזניים עבור צוות האבטחה שלך.
למה לא להצטרף אלינו מה-26-29 בספטמבר 2022 לשנה זו Sophos Security SOS Week:
ארבע שיחות קצרות אך מרתקות עם מומחים בעולם.
למד על הגנה, זיהוי ותגובה,
וכיצד להקים צוות SecOps מוצלח משלך:
![S3 Ep95: דליפה רפויה, הסתערות של Github והקריפטו פוסט-קוונטי [אודיו + טקסט] PlatoBlockchain Data Intelligence. חיפוש אנכי. איי.](https://platoblockchain.com/wp-content/uploads/2022/08/schroe-1200-300x157.png "S3 Ep95: דליפה רפה, הסתערות Github והקריפטו פוסט-קוונטי [אודיו + טקסט]")
![S3 Ep90: Chrome 0-day שוב, True Cybercrime, ו-2FA עוקף [Podcast + Transcript] PlatoBlockchain Data Intelligence. חיפוש אנכי. איי.](https://platoblockchain.com/wp-content/uploads/2022/07/ns-1200-logo-podcast-300x157.png "S3 Ep90: Chrome 0-day again, True Cybercrime, ומעקף 2FA [פודקאסט + תמלול]"){kind=logo}
![S3 Ep119: פריצות, טלאים, דליפות ותיקונים! [אודיו + טקסט]](https://platoblockchain.com/wp-content/uploads/2023/01/s3-ep119-breaches-patches-leaks-and-tweaks-audio-text-300x156.jpg "S3 Ep119: פריצות, טלאים, דליפות ותיקונים! [אודיו + טקסט]")
