Etter alt å dømme, og dessverre er det mange av dem, en hacker – i bryte-og-gå inn-nettverket ditt-ulovlig forstand, ikke i en løse-superharde-kodingsproblemer-på-en-funky-måte sense – har brutt seg inn i samkjøringsselskapet Uber.
Ifølge en rapporterer fra BBC sies hackeren å være bare 18 år gammel, og ser ut til å ha stoppet angrepet av samme slags grunn som den kjente drevet britisk fjellklatrer George Mallory å fortsette å prøve (og til slutt dø i forsøket) å toppe Mount Everest på 1920-tallet...
..."fordi den er der."
Uber, forståelig nok, har ikke sagt mye mer så langt [2022-09-16T15:45Z] enn å kunngjøre på Twitter:
Vi reagerer for tiden på en cybersikkerhetshendelse. Vi er i kontakt med politi og vil legge ut flere oppdateringer her når de blir tilgjengelige.
- Uber Comms (@Uber_Comms) September 16, 2022
Hvor mye vet vi så langt?
Hvis omfanget av innbruddet er så bredt som den påståtte hackeren har antydet, basert på skjermbildene vi har sett på Twitter, er vi ikke overrasket over at Uber ikke har tilbudt noen spesifikk informasjon ennå, spesielt gitt at rettshåndhevelse er involvert i etterforskningen.
Når det gjelder kriminaltekniske hendelser, er det djevel er virkelig i detaljene.
Ikke desto mindre synes offentlig tilgjengelige data, angivelig utgitt av hackeren selv og distribuert bredt, å antyde at dette hacket hadde to underliggende årsaker, som vi vil beskrive med en middelaldersk analogi.
Inntrengeren:
- Lurte en innsider til å slippe dem inn på gårdsplassen, eller bailey. Det er området innenfor den ytterste slottsmuren, men atskilt fra den best forsvarte delen.
- Fant uovervåket detaljer som forklarer hvordan du får tilgang til keep, eller klump. Som navnet antyder, er держать er den sentrale defensive høyborgen til et tradisjonelt middelalderslott.
Det første innbruddet
Sjargongbegrepet for å blagge deg inn i det 21. århundres ekvivalent til slottets gårdsplass er sosialteknikk.
Som vi alle vet, finnes det mange måter at angripere med tid, tålmodighet og gab-gaven kan overtale selv en velinformert og velmenende bruker til å hjelpe dem omgå sikkerhetsprosessene som skal holde dem utenfor.
Automatiserte eller semi-automatiserte sosiale ingeniørtriks inkluderer e-post og IM-basert phishing-svindel.
Disse svindelene lokker brukere til å skrive inn påloggingsdetaljene deres, ofte inkludert 2FA-kodene deres, på falske nettsider som ser ut som den virkelige avtalen, men som faktisk leverer de nødvendige tilgangskodene til angriperne.
For en bruker som allerede er pålogget, og dermed er midlertidig autentisert for sin nåværende økt, kan angripere forsøke å komme til s.k. informasjonskapsler eller tilgangstokener på brukerens datamaskin.
Ved å implantere skadelig programvare som kaprer eksisterende økter, for eksempel, kan angripere være i stand til å maskere seg som en legitim bruker lenge nok til å ta over fullstendig, uten å trenge noen av de vanlige legitimasjonene som brukeren selv krevde for å logge på fra bunnen av:
Og hvis alt annet mislykkes – eller kanskje til og med i stedet for å prøve de mekaniske metodene beskrevet ovenfor – kan angriperne ganske enkelt ringe opp en bruker og sjarmere dem, eller tulle, eller tigge, eller bestikke, eller overtale, eller true dem i stedet, avhengig av hvordan samtalen utfolder seg.
Dyktige sosialingeniører er ofte i stand til å overbevise velmenende brukere om ikke bare å åpne døren i utgangspunktet, men også å holde den åpen for å gjøre det enda enklere for angriperne å komme seg inn, og kanskje til og med å bære angriperens vesker og vis dem hvor de skal gå videre.
Det var slik det beryktede Twitter-hakket i 2020 ble utført, der 45 Twitter-kontoer med blått flagg, inkludert de til Bill Gates, Elon Musk og Apple, ble overtatt og brukt til å promotere en kryptovaluta-svindel.
Den hackingen var ikke så mye teknisk som kulturell, utført via støttepersonell som prøvde så hardt å gjøre det rette at de endte opp med å gjøre det motsatte:
Fullstendig kompromiss
Sjargongbetegnelsen for det som tilsvarer å komme inn i slottets gard fra gårdsplassen er forhøyelse av privilegiet.
Vanligvis vil angripere bevisst lete etter og bruke kjente sikkerhetssårbarheter internt, selv om de ikke kunne finne en måte å utnytte dem fra utsiden fordi forsvarerne hadde tatt seg bryet med å beskytte mot dem ved nettverksperimeteren.
For eksempel, i en undersøkelse vi nylig publiserte av inntrengninger som Sophos Rapid Response teamet som ble undersøkt i 2021, fant vi at i bare 15 % av de første inntrengingene – der angriperne kommer over ytterveggen og inn i borggården – var de kriminelle i stand til å bryte seg inn ved å bruke RDP.
(RDP er forkortelse for ekstern skrivebordsprotokoll, og det er en mye brukt Windows-komponent som er designet for å la bruker X jobbe eksternt på datamaskin Y, der Y ofte er en server som ikke har en egen skjerm og tastatur, og som faktisk kan være tre etasjer under jorden i et serverrom , eller over hele verden i et skydatasenter.)
Men i 80 % av angrepene brukte de kriminelle RDP når de var inne for å vandre nesten etter eget ønske gjennom nettverket:
Like bekymringsfullt, når løsepengevare ikke var involvert (fordi et løsepenge-angrep gjør det umiddelbart åpenbart at du har blitt krenket!), gjennomsnittlig gjennomsnittstid for kriminelle var roaming på nettverket ubemerket var 34 dager – mer enn en kalendermåned:
Uber-hendelsen
Vi er ennå ikke sikre på hvordan den første sosiale ingeniørkunsten (forkortet til SE i hackingsjargong) ble utført, men trusselforsker Bill Demirkapi har twitret et skjermbilde som ser ut til å avsløre (med presise detaljer redigert) hvordan hevingen av privilegier ble oppnådd.
Tilsynelatende, selv om hackeren startet som en vanlig bruker, og derfor bare hadde tilgang til noen deler av nettverket ...
...litt vandring og snoking på ubeskyttede delinger på nettverket avslørte en åpen nettverkskatalog som inkluderte en haug med PowerShell-skript ...
…som inkluderte hardkodet sikkerhetslegitimasjon for administratortilgang til et produkt kjent på sjargongen som en PAM, en forkortelse for Privileged Access Manager.
Som navnet antyder, er en PAM et system som brukes til å administrere legitimasjon for og kontrollere tilgang til alle (eller i det minste mange av) de andre produktene og tjenestene som brukes av en organisasjon.
Vittig sagt snublet angriperen, som sannsynligvis startet med en ydmyk og kanskje svært begrenset brukerkonto, over et ueber-ueber-passord som låste opp mange av ueber-passordene til Ubers globale IT-drift.
Vi er ikke sikre på hvor bredt hackeren var i stand til å streife rundt når de først hadde åpnet PAM-databasen, men Twitter-poster fra en rekke kilder tyder på at angriperen var i stand til å trenge gjennom mye av Ubers IT-infrastruktur.
Hackeren skal ha dumpet data for å vise at de hadde tilgang til minst følgende forretningssystemer: Slakke arbeidsområder; Ubers programvare for trusselbeskyttelse (som ofte tilfeldigvis refereres til som en anti-virus); en AWS-konsoll; informasjon om firmareiser og utgifter (inkludert ansattes navn); en vSphere virtuell serverkonsoll; en liste over Google Workspaces; og til og med Ubers egen bug bounty-tjeneste.
(Tilsynelatende, og ironisk nok, var bug bounty-tjenesten der hackeren skrøt høyt med store bokstaver, som vist i overskriften, at UBER HAR BLITT HACKET.)
Hva gjør jeg?
Det er lett å peke fingre på Uber i denne saken og antyde at dette bruddet bør anses som mye verre enn de fleste, rett og slett på grunn av den høylytte og svært offentlige karakteren av det hele.
Men den uheldige sannheten er at mange, om ikke de fleste, moderne nettangrep viser seg å ha involvert angriperne som fikk akkurat denne graden av tilgang...
…eller i det minste potensielt ha dette tilgangsnivået, selv om de til slutt ikke kikket rundt overalt de kunne ha.
Tross alt representerer mange løsepengevare-angrep i disse dager ikke begynnelsen, men slutten på en inntrenging som sannsynligvis varte i dager eller uker, og som kan ha vart i flere måneder, hvor angriperne sannsynligvis klarte å promotere seg selv til å ha lik status med den høyeste systemadministratoren i selskapet de hadde brutt.
Det er derfor ransomware-angrep ofte er så ødeleggende – fordi når angrepet kommer, er det få bærbare datamaskiner, servere eller tjenester de kriminelle ikke har kranglet tilgang til, så de er nesten bokstavelig talt i stand til å forvrenge alt.
Med andre ord, det som ser ut til å ha skjedd med Uber i dette tilfellet er ikke en ny eller unik datainnbruddshistorie.
Så her er noen tankevekkende tips som du kan bruke som utgangspunkt for å forbedre den generelle sikkerheten på ditt eget nettverk:
- Passordadministratorer og 2FA er ikke et universalmiddel. Bruk av velvalgte passord hindrer kjeltringer i å gjette seg inn, og 2FA-sikkerhet basert på engangskoder eller maskinvaretilgangstokener (vanligvis små USB- eller NFC-dongler som en bruker må ha med seg) gjør ting vanskeligere, ofte mye vanskeligere, for angripere. Men mot dagens såkalte menneskestyrte angrep, der "aktive motstandere" involverer seg personlig og direkte i inntrengingen, må du hjelpe brukerne dine med å endre sin generelle nettadferd, slik at det er mindre sannsynlig at de blir overtalt til å omgå prosedyrer, uavhengig av hvor omfattende og komplekse disse prosedyrene kan være.
- Sikkerhet hører hjemme overalt i nettverket, ikke bare på kanten. I disse dager trenger svært mange brukere tilgang til minst en del av nettverket ditt – ansatte, entreprenører, vikarer, sikkerhetsvakter, leverandører, partnere, renholdere, kunder og mer. Hvis en sikkerhetsinnstilling er verdt å stramme opp på det som føles som nettverkets omkrets, må den nesten helt sikkert strammes opp "inne" også. Dette gjelder spesielt lapping. Som vi liker å si om Naked Security, "Last tidlig, lapp ofte, lapp overalt."
- Mål og test cybersikkerheten din med jevne mellomrom. Anta aldri at forholdsreglene du trodde du har tatt virkelig fungerer. Ikke anta; alltid bekrefte. Husk også at fordi nye verktøy, teknikker og prosedyrer for nettangrep dukker opp hele tiden, må forholdsreglene dine vurderes regelmessig. Med enkle ord, "Sybersikkerhet er en reise, ikke en destinasjon."
- Vurder å få eksperthjelp. Registrer deg for en Administrert deteksjon og respons (MDR)-tjeneste er ikke en innrømmelse av feil, eller et tegn på at du ikke forstår cybersikkerhet selv. MDR er ikke en opphevelse av ditt ansvar – det er ganske enkelt en måte å ha dedikerte eksperter på når du virkelig trenger dem. MDR betyr også at i tilfelle et angrep, trenger ikke dine egne ansatte å droppe alt de gjør for øyeblikket (inkludert vanlige oppgaver som er avgjørende for kontinuiteten i virksomheten din), og dermed potensielt la andre sikkerhetshull åpne.
- Vedta en null-tillit-tilnærming. Null-tillit betyr ikke bokstavelig talt at du aldri stoler på at noen gjør noe. Det er en metafor for "ikke gjøre noen antagelser" og "aldri gi noen tillatelse til å gjøre mer enn de strengt tatt trenger". Null-tillit nettverkstilgang (ZTNA)-produkter fungerer ikke som tradisjonelle nettverkssikkerhetsverktøy som VPN-er. En VPN gir generelt en sikker måte for noen utenfor å få generell tilgang til nettverket, hvoretter de ofte nyter mye mer frihet enn de egentlig trenger, slik at de kan streife rundt, snoke og rote rundt og lete etter nøklene til resten av slottet. Null-tillit tilgang har en mye mer detaljert tilnærming, slik at hvis alt du virkelig trenger å gjøre er å bla gjennom den nyeste interne prislisten, er det tilgangen du får. Du vil heller ikke få rett til å vandre inn i støttefora, tråle gjennom salgsoppføringer eller stikke nesen inn i kildekodedatabasen.
- Sett opp en hotline for nettsikkerhet for ansatte hvis du ikke allerede har en. Gjør det enkelt for alle å rapportere cybersikkerhetsproblemer. Enten det er en mistenkelig telefonsamtale, et usannsynlig e-postvedlegg, eller til og med bare en fil som sannsynligvis ikke burde være der ute på nettverket, har du ett enkelt kontaktpunkt (f.eks.
securityreport@yourbiz.example) som gjør det raskt og enkelt for kollegene dine å ringe det inn. - Aldri gi opp folk. Teknologi alene kan ikke løse alle cybersikkerhetsproblemene dine. Hvis du behandler ansatte med respekt, og hvis du inntar cybersikkerhetsholdningen som "det finnes ikke noe dumt spørsmål, bare et dumt svar", så kan du gjøre alle i organisasjonen til øyne og ører for sikkerhetsteamet ditt.
Hvorfor ikke bli med oss fra 26.-29. september 2022 for årets Sophos Security SOS Week:
Fire korte, men fascinerende samtaler med verdenseksperter.
Lær om beskyttelse, gjenkjenning og svar,
og hvordan du setter opp et vellykket SecOps-team selv:
- blockchain
- coingenius
- cryptocurrency lommebøker
- kryptoverveksling
- cybersikkerhet
- nettkriminelle
- Cybersecurity
- datainnbrudd
- Data Loss
- innenriksdepartementet
- digitale lommebøker
- brannmur
- hacking
- Kaspersky
- malware
- Mcafee
- Naken sikkerhet
- NexBLOC
- plato
- plato ai
- Platon Data Intelligence
- Platon spill
- PlatonData
- platogaming
- privatliv
- Uber
- VPN
- nettside sikkerhet
- zephyrnet
![S3 Ep119: Brudd, flekker, lekkasjer og justeringer! [Lyd + tekst]](https://platoblockchain.com/wp-content/uploads/2023/01/s3-ep119-breaches-patches-leaks-and-tweaks-audio-text-300x156.jpg "S3 Ep119: Brudd, flekker, lekkasjer og justeringer! [Lyd + tekst]")
![S3 Ep99: TikTok "angrep" - var det et datainnbrudd, eller ikke? [Lyd + tekst] PlatoBlockchain Data Intelligence. Vertikalt søk. Ai.](https://platoblockchain.com/wp-content/uploads/2022/09/moth-1200-300x156.jpg "S3 Ep99: TikTok \"angrep\" - var det et datainnbrudd, eller ikke? [Lyd + tekst]")
![S3 Ep117: Kryptokrisen som ikke var (og farvel for alltid til Win 7) [Lyd + tekst]](https://platoblockchain.com/wp-content/uploads/2023/01/s3-ep117-the-crypto-crisis-that-wasnt-and-farewell-forever-to-win-7-audio-text-360x188.png "S3 Ep117: Kryptokrisen som ikke var (og farvel for alltid til Win 7) [Lyd + tekst]")
