Według wszystkich kont, a niestety jest ich wielu, haker – w włamać-i-wejście-do-sieci-nielegalnie sens, nie w rozwiązywać-super-trudne-problemy-kodowania-w-funky-sposób sens – włamał się do firmy jeżdżącej Uber.
Według raport z BBC mówi się, że haker ma zaledwie 18 lat i wydaje się, że przeprowadził atak z tego samego powodu, co słynnego brytyjskiego wspinacza górskiego George Mallory próbować (i ostatecznie umrzeć w próbie) zdobycia Mount Everestu w latach dwudziestych…
...„ponieważ tam jest”.
Uber, co zrozumiałe, do tej pory nie powiedział o wiele więcej [2022-09-16T15:45Z] niż ogłosić na Twitterze:
Obecnie odpowiadamy na incydent związany z cyberbezpieczeństwem. Jesteśmy w kontakcie z organami ścigania i opublikujemy tutaj dodatkowe aktualizacje, gdy będą dostępne.
- Uber Comms (@Uber_Comms) 16 września 2022 r.
Ile wiemy do tej pory?
Jeśli skala włamania jest tak szeroka, jak sugerował rzekomy haker, na podstawie zrzutów ekranu, które widzieliśmy na Twitterze, nie jesteśmy zaskoczeni, że Uber nie przedstawił jeszcze żadnych konkretnych informacji, zwłaszcza że organy ścigania są zaangażowanych w dochodzenie.
Jeśli chodzi o kryminalistykę dotyczącą cyberincydentów, diabeł naprawdę tkwi w szczegółach.
Niemniej jednak publicznie dostępne dane, rzekomo opublikowane przez samego hakera i szeroko rozpowszechnione, wydają się sugerować, że włamanie to miało dwie przyczyny, które opiszemy w średniowiecznej analogii.
Intruz:
- Oszukać osobę z wewnątrz, by wpuścił ich na dziedziniec, lub Bailey. To obszar wewnątrz najbardziej zewnętrznego muru zamku, ale oddzielony od najlepiej bronionej części.
- Znaleziono nienadzorowane szczegóły wyjaśniające, jak uzyskać dostęp do twierdzy, lub motte. Jak sama nazwa wskazuje, zachować to centralna twierdza obronna tradycyjnego średniowiecznego zamku europejskiego.
Początkowe złamanie
Terminem żargonowym określającym drogę do XXI-wiecznego odpowiednika dziedzińca zamkowego jest inżynieria społeczna.
Jak wszyscy wiemy, są wiele sposobów że napastnicy z czasem, cierpliwością i darem gadania mogą przekonać nawet dobrze poinformowanego użytkownika o dobrych intencjach, aby pomógł im ominąć procesy bezpieczeństwa, które mają ich powstrzymać.
Zautomatyzowane lub półautomatyczne sztuczki socjotechniczne obejmują oszustwa phishingowe oparte na wiadomościach e-mail i komunikatorach internetowych.
Oszustwa te skłaniają użytkowników do wprowadzania swoich danych logowania, często w tym kodów 2FA, na fałszywych witrynach internetowych, które wyglądają jak prawdziwa okazja, ale w rzeczywistości dostarczają atakującym potrzebne kody dostępu.
W przypadku użytkownika, który jest już zalogowany, a tym samym jest tymczasowo uwierzytelniony w bieżącej sesji, osoby atakujące mogą próbować uzyskać dostęp do tzw. pliki cookie lub tokeny dostępu na komputerze użytkownika.
Na przykład wszczepiając złośliwe oprogramowanie, które porywa istniejące sesje, osoby atakujące mogą być w stanie podszywać się pod legalnego użytkownika wystarczająco długo, aby całkowicie przejąć kontrolę, bez konieczności posiadania jakichkolwiek zwykłych danych uwierzytelniających, których sam użytkownik wymagał do zalogowania się od zera:
A jeśli wszystko inne zawiedzie – a może nawet zamiast wypróbować mechaniczne metody opisane powyżej – napastnicy mogą po prostu zadzwonić do użytkownika i go oczarować, namiastować, błagać, przekupywać lub nakłaniać lub grozić mu, w zależności od tego, w jaki sposób rozmowa się rozwija.
Wykwalifikowani inżynierowie społeczni są często w stanie przekonać użytkowników o dobrych intencjach nie tylko do otwarcia drzwi, ale także do trzymania ich otwartych, aby jeszcze bardziej ułatwić atakującym wejście, a być może nawet noszenie torby i torby napastnika. pokaż im, gdzie iść dalej.
W ten sposób doszło do niesławnego włamania do Twittera z 2020 roku, podczas którego przejęto 45 kont na Twitterze oznaczonych niebieską flagą, w tym konta Billa Gatesa, Elona Muska i Apple, i wykorzystano je do promowania oszustwa kryptowalutowego.
To hakowanie było nie tyle techniczne, co kulturowe, przeprowadzane przez personel pomocniczy, który tak bardzo starał się zrobić to, co właściwe, że w końcu robili dokładnie odwrotnie:
Pełny kompromis
Terminem żargonowym na ekwiwalent wejścia do baszty zamkowej z dziedzińca jest podniesienie uprawnień.
Zazwyczaj atakujący celowo wyszukują znane luki w zabezpieczeniach i wykorzystują je wewnętrznie, mimo że nie mogli znaleźć sposobu na ich wykorzystanie z zewnątrz, ponieważ obrońcy zadali sobie trud ochrony przed nimi na granicy sieci.
Na przykład w niedawno opublikowanej ankiecie dotyczącej włamań, Szybka reakcja w Sophos Zespół badany w 2021 r. ustalił, że tylko w 15% początkowych włamań – w których napastnicy przedostali się przez zewnętrzną ścianę i na dziedziniec – przestępcy byli w stanie włamać się za pomocą protokołu RDP.
(RDP to skrót od protokół zdalnego pulpitu, i jest to szeroko stosowany składnik systemu Windows, który został zaprojektowany, aby umożliwić użytkownikowi X pracę zdalną na komputerze Y, gdzie Y jest często serwerem, który nie ma własnego ekranu i klawiatury i może rzeczywiście znajdować się trzy piętra pod ziemią w serwerowni lub na całym świecie w centrum danych w chmurze).
Jednak w 80% ataków przestępcy korzystali z protokołu RDP, gdy byli w środku, aby wędrować niemal do woli po sieci:
Równie niepokojące jest to, że gdy oprogramowanie ransomware nie było zaangażowane (ponieważ atak ransomware sprawia, że natychmiast staje się oczywiste, że zostałeś naruszony!), średni średni czas, w którym przestępcy byli wędrowanie po sieci niezauważone było 34 dni – więcej niż miesiąc kalendarzowy:
Incydent z Uberem
Nie jesteśmy jeszcze pewni, jak przeprowadzono początkową inżynierię społeczną (w żargonie hakerskim skróconą do SE), ale badacz zagrożeń Bill Demirkapi tweetował zrzut ekranu zdaje się to ujawniać (z dokładnymi szczegółami zredagowanymi), jak osiągnięto podniesienie przywileju.
Najwyraźniej pomimo tego, że haker zaczynał jako zwykły użytkownik, a zatem miał dostęp tylko do niektórych części sieci…
…trochę wędrówki i węszenia na niechronionych udziałach w sieci ujawniło otwarty katalog sieciowy, który zawierał kilka skryptów PowerShell…
…zawierające zakodowane dane uwierzytelniające dla dostępu administratora do produktu znanego w żargonie jako PAM, skrót od Uprzywilejowany menedżer dostępu.
Jak sama nazwa wskazuje, PAM to system służący do zarządzania danymi uwierzytelniającymi i kontroli dostępu do wszystkich (lub przynajmniej wielu) innych produktów i usług wykorzystywanych przez organizację.
Krótko mówiąc, atakujący, który prawdopodobnie zaczynał od skromnego i być może bardzo ograniczonego konta użytkownika, natknął się na hasło ueber-ueber, które odblokowało wiele haseł ueber w globalnych operacjach IT firmy Uber.
Nie jesteśmy pewni, jak szeroko haker był w stanie wędrować po otwarciu bazy danych PAM, ale posty na Twitterze z wielu źródeł sugerują, że atakujący był w stanie przeniknąć znaczną część infrastruktury IT Ubera.
Haker rzekomo zrzucił dane, aby pokazać, że uzyskał dostęp do co najmniej następujących systemów biznesowych: Slack workspaces; Oprogramowanie do ochrony przed zagrożeniami firmy Uber (często nadal nazywane potocznie antywirusowe); konsola AWS; informacje o podróżach i wydatkach firmy (w tym nazwiska pracowników); konsola serwera wirtualnego vSphere; wykaz Google Workspaces; a nawet własną usługę bug bounty firmy Uber.
(Najwyraźniej i jak na ironię, w usłudze bug bounty haker głośno chwalił się wielkimi literami, jak pokazano w nagłówku, że UBER ZOSTAŁ ZHAKOWANY.)
Co robić?
W tym przypadku łatwo jest wskazać palcem na Ubera i sugerować, że to naruszenie należy uznać za znacznie gorsze niż większość, po prostu ze względu na głośny i bardzo publiczny charakter tego wszystkiego.
Niestety, okazuje się, że w wielu, jeśli nie w większości współczesnych cyberataków, atakujący uzyskali właśnie taki stopień dostępu…
…lub przynajmniej potencjalnie mieć taki poziom dostępu, nawet jeśli ostatecznie nie grzebali wszędzie, gdzie mogli.
W końcu wiele ataków ransomware w dzisiejszych czasach stanowi nie początek, ale koniec włamań, które prawdopodobnie trwały dni lub tygodnie i mogły trwać miesiącami. równy status z najwyższym rangą administratorem w firmie, którą naruszyli.
Dlatego ataki ransomware są często tak niszczycielskie – ponieważ w chwili ataku jest niewiele laptopów, serwerów lub usług, do których przestępcy nie uzyskali dostępu, więc prawie dosłownie są w stanie wszystko zaszyfrować.
Innymi słowy, to, co wydaje się przytrafić Uberowi w tym przypadku, nie jest nową ani wyjątkową historią naruszeń danych.
Oto kilka prowokujących do myślenia wskazówek, które można wykorzystać jako punkt wyjścia do poprawy ogólnego bezpieczeństwa we własnej sieci:
- Menedżery haseł i 2FA nie są panaceum. Korzystanie z dobrze dobranych haseł uniemożliwia oszustom zgadywanie, a zabezpieczenia 2FA oparte na jednorazowych kodach lub tokenach dostępu do sprzętu (zwykle małe klucze USB lub NFC, które użytkownik musi mieć przy sobie) utrudniają, często znacznie trudniej, dla napastnicy. Ale przeciwko dzisiejszym tzw. ataki prowadzone przez człowieka, gdzie „aktywni przeciwnicy” angażują się osobiście i bezpośrednio w wtargnięcie, musisz pomóc swoim użytkownikom zmienić ich ogólne zachowanie w Internecie, aby zmniejszyć prawdopodobieństwo nakłonienia ich do obchodzenia procedur, niezależnie od tego, jak kompleksowe i złożone mogą być te procedury.
- Bezpieczeństwo należy do każdego miejsca w sieci, nie tylko na brzegu. W dzisiejszych czasach bardzo wielu użytkowników potrzebuje dostępu do przynajmniej części Twojej sieci – pracownicy, kontrahenci, pracownicy tymczasowi, ochroniarze, dostawcy, partnerzy, sprzątaczki, klienci i nie tylko. Jeśli ustawienie zabezpieczeń jest warte zaostrzenia w miejscu, które wydaje się przypominać granicę sieci, prawie na pewno wymaga również zaostrzenia „wewnątrz”. Dotyczy to zwłaszcza patchowania. Jak lubimy mówić na Naked Security, „Załataj wcześnie, załataj często, załataj wszędzie”.
- Regularnie mierz i testuj swoje cyberbezpieczeństwo. Nigdy nie zakładaj, że środki ostrożności, o których myślałeś, że wprowadziłeś, naprawdę działają. Nie zakładaj; zawsze weryfikuj. Pamiętaj też, że ponieważ nowe narzędzia, techniki i procedury cyberataków pojawiają się cały czas, Twoje środki ostrożności wymagają regularnego sprawdzania. W prostych słowach „Cyberbezpieczeństwo to podróż, a nie cel”.
- Rozważ skorzystanie z pomocy eksperta. Rejestracja na Zarządzane wykrywanie i reagowanie Usługa (MDR) nie jest przyznaniem się do porażki ani znakiem, że sam nie rozumiesz cyberbezpieczeństwa. MDR nie jest zrzeczeniem się odpowiedzialności – to po prostu sposób na posiadanie oddanych ekspertów pod ręką, gdy naprawdę ich potrzebujesz. MDR oznacza również, że w przypadku ataku Twoi pracownicy nie muszą rezygnować ze wszystkiego, co aktualnie robią (w tym z regularnych zadań, które mają kluczowe znaczenie dla ciągłości działania Twojej firmy), a tym samym potencjalnie pozostawiać inne luki w zabezpieczeniach.
- Przyjmij podejście zerowego zaufania. Zero zaufania nie oznacza dosłownie, że nigdy nikomu nie ufasz. To metafora „nie rób założeń” i „nigdy nie upoważniaj nikogo do robienia więcej, niż jest to absolutnie konieczne”. Dostęp do sieci bez zaufania Produkty (ZTNA) nie działają jak tradycyjne narzędzia bezpieczeństwa sieci, takie jak VPN. VPN ogólnie zapewnia bezpieczny sposób, aby ktoś z zewnątrz uzyskał ogólne wejście do sieci, po czym często cieszą się znacznie większą swobodą, niż naprawdę potrzebują, pozwalając im wędrować, węszyć i grzebać w poszukiwaniu kluczy do reszty zamku. Dostęp z zerowym zaufaniem ma znacznie bardziej szczegółowe podejście, więc jeśli wszystko, co naprawdę musisz zrobić, to przejrzeć najnowszy wewnętrzny cennik, taki dostęp uzyskasz. Nie uzyskasz również prawa do wędrowania po forach pomocy technicznej, przeglądania rekordów sprzedaży ani wtykania nosa w bazę danych z kodami źródłowymi.
- Skonfiguruj gorącą linię ds. bezpieczeństwa cybernetycznego dla personelu, jeśli jeszcze jej nie masz. Ułatw każdemu zgłaszanie problemów z cyberbezpieczeństwem. Niezależnie od tego, czy jest to podejrzana rozmowa telefoniczna, mało prawdopodobny załącznik do wiadomości e-mail, czy nawet po prostu plik, który prawdopodobnie nie powinien znajdować się w sieci, miej jeden punkt kontaktowy (np.
securityreport@yourbiz.example), dzięki czemu Twoi współpracownicy mogą szybko i łatwo zadzwonić. - Nigdy nie rezygnuj z ludzi. Sama technologia nie rozwiąże wszystkich problemów związanych z cyberbezpieczeństwem. Jeśli traktujesz swoich pracowników z szacunkiem i przyjmujesz postawę cyberbezpieczeństwa, która „nie ma głupiego pytania, tylko głupia odpowiedź”, możesz zmienić wszystkich w organizacji w oczy i uszy swojego zespołu ds. bezpieczeństwa.
Dołącz do nas w dniach 26-29 września 2022 r. na tegorocznych Sophos Security Tydzień SOS:
Cztery krótkie, ale fascynujące rozmowy ze światowymi ekspertami.
Dowiedz się o ochronie, wykrywaniu i reagowaniu,
i jak stworzyć własny, odnoszący sukcesy zespół SecOps:
- blockchain
- pomysłowość
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- naruszenie danych
- Utrata danych
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- włamanie
- Kaspersky
- malware
- Mcafee
- Nagie bezpieczeństwo
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- prywatność
- Uber
- VPN
- zabezpieczenia stron internetowych
- zefirnet
