Por todas as contas, e infelizmente há muitos deles, um hacker – no quebrar-e-entrar-sua-rede-ilegalmente sentido, não em resolver-super-hard-coding-problems-in-a-funky-way sentido – invadiu a empresa de compartilhamento de caronas Uber.
De acordo com uma Denunciar da BBC, o hacker teria apenas 18 anos e parece ter realizado o ataque pelo mesmo motivo que levou o alpinista britânico George Mallory continuar tentando (e finalmente morrendo na tentativa) de escalar o Monte Everest na década de 1920…
...“porque está lá”.
Uber, compreensivelmente, não disse muito mais até agora [2022-09-16T15:45Z] do que anunciar no Twitter:
No momento, estamos respondendo a um incidente de segurança cibernética. Estamos em contato com as autoridades e publicaremos atualizações adicionais aqui assim que estiverem disponíveis.
- Uber Comms (@Uber_Comms) 16 de Setembro de 2022
Quanto sabemos até agora?
Se a escala da invasão for tão ampla quanto o suposto hacker sugeriu, com base nas capturas de tela que vimos no Twitter, não estamos surpresos que o Uber ainda não tenha oferecido nenhuma informação específica, especialmente porque a aplicação da lei é envolvidos na investigação.
Quando se trata de análise forense de incidentes cibernéticos, o diabo realmente está nos detalhes.
No entanto, dados publicamente disponíveis, supostamente divulgados pelo próprio hacker e amplamente distribuídos, parecem sugerir que esse hack teve duas causas subjacentes, que descreveremos com uma analogia medieval.
O intruso:
- Enganou uma pessoa de dentro para deixá-los entrar no pátio, ou bailey. Essa é a área dentro da parede externa do castelo, mas separada da parte mais bem defendida.
- Encontrado detalhes autônomos explicando como acessar a fortaleza, ou relvado. Como o nome sugere, o manter é a fortaleza defensiva central de um castelo europeu medieval tradicional.
A quebra inicial
O jargão para abrir caminho para o equivalente do século 21 ao pátio do castelo é engenharia social.
Como todos sabemos, existem várias maneiras que os invasores com tempo, paciência e o dom da palavra podem persuadir até mesmo um usuário bem informado e bem-intencionado a ajudá-los a contornar os processos de segurança que deveriam mantê-los afastados.
Os truques de engenharia social automatizados ou semiautomatizados incluem golpes de phishing baseados em e-mail e mensagens instantâneas.
Esses golpes atraem os usuários a inserir seus detalhes de login, geralmente incluindo seus códigos 2FA, em sites falsificados que parecem o negócio real, mas na verdade fornecem os códigos de acesso necessários aos invasores.
Para um usuário que já está logado e, portanto, está temporariamente autenticado para sua sessão atual, os invasores podem tentar acessar os chamados cookies ou tokens de acesso no computador do usuário.
Ao implantar um malware que sequestra sessões existentes, por exemplo, os invasores podem se passar por um usuário legítimo por tempo suficiente para assumir o controle completamente, sem precisar de nenhuma das credenciais usuais que o próprio usuário exigiu para fazer login do zero:
E se tudo mais falhar – ou talvez até mesmo em vez de tentar os métodos mecânicos descritos acima – os atacantes podem simplesmente chamar um usuário e encantá-lo, ou adulá-lo, ou implorar, ou subornar, ou bajular, ou ameaçá-lo, dependendo de como a conversa se desenrola.
Engenheiros sociais habilidosos geralmente são capazes de convencer usuários bem-intencionados não apenas a abrir a porta em primeiro lugar, mas também a mantê-la aberta para facilitar ainda mais a entrada dos invasores, e talvez até mesmo carregar as malas do invasor e mostre-lhes para onde ir em seguida.
Foi assim que o infame hack do Twitter de 2020 foi realizado, onde 45 contas de Twitter de bandeira azul, incluindo as de Bill Gates, Elon Musk e Apple, foram tomadas e usadas para promover um golpe de criptomoeda.
Esse hacking não era tanto técnico quanto cultural, realizado por uma equipe de suporte que se esforçou tanto para fazer a coisa certa que acabou fazendo exatamente o oposto:
Compromisso total
O jargão para o equivalente a entrar na fortaleza do castelo pelo pátio é elevação de privilégio.
Normalmente, os invasores procuram e usam deliberadamente vulnerabilidades de segurança conhecidas internamente, mesmo que não consigam encontrar uma maneira de explorá-las de fora porque os defensores se deram ao trabalho de protegê-las no perímetro da rede.
Por exemplo, em uma pesquisa que publicamos recentemente sobre invasões que o Resposta Rápida Sophos equipe investigada em 2021, descobrimos que em apenas 15% das invasões iniciais – onde os invasores passam pela parede externa e entram no pátio – os criminosos conseguiram invadir usando o RDP.
(RDP é a abreviação de protocolo de área de trabalho remota, e é um componente do Windows amplamente usado que foi projetado para permitir que o usuário X trabalhe remotamente no computador Y, onde Y geralmente é um servidor que não possui tela e teclado próprios e pode de fato estar três andares abaixo do solo em uma sala de servidores , ou em todo o mundo em um data center em nuvem.)
Mas em 80% dos ataques, os criminosos usaram o RDP assim que entraram para vagar quase à vontade pela rede:
Tão preocupante quanto, quando o ransomware não estava envolvido (porque um ataque de ransomware torna instantaneamente óbvio que você foi violado!), o tempo médio médio que os criminosos foram roaming na rede despercebido foi de 34 dias – mais do que um mês civil:
O incidente do Uber
Ainda não temos certeza de como a engenharia social inicial (abreviada para SE no jargão de hackers) foi realizada, mas o pesquisador de ameaças Bill Demirkapi tweetou uma captura de tela que parece revelar (com detalhes precisos redigidos) como a elevação do privilégio foi alcançada.
Aparentemente, embora o hacker tenha começado como um usuário comum e, portanto, tivesse acesso apenas a algumas partes da rede…
…um pouco de perambulação e espionagem em compartilhamentos desprotegidos na rede revelou um diretório de rede aberto que incluía vários scripts do PowerShell…
…que incluíam credenciais de segurança codificadas para acesso de administrador a um produto conhecido no jargão como PAM, abreviação de Gerenciador de Acesso Privilegiado.
Como o nome sugere, um PAM é um sistema usado para gerenciar credenciais e controlar o acesso a todos (ou pelo menos muitos) os outros produtos e serviços usados por uma organização.
Dito com ironia, o invasor, que provavelmente começou com uma conta de usuário humilde e talvez muito limitada, tropeçou em uma senha ueber-ueber que desbloqueou muitas das senhas ueber das operações globais de TI da Uber.
Não temos certeza de quão amplamente o hacker conseguiu fazer roaming depois de abrir o banco de dados PAM, mas postagens no Twitter de várias fontes sugerem que o invasor conseguiu penetrar em grande parte da infraestrutura de TI da Uber.
O hacker supostamente despejou dados para mostrar que eles acessaram pelo menos os seguintes sistemas de negócios: Slack workspaces; O software de proteção contra ameaças da Uber (o que muitas vezes ainda é casualmente chamado de anti-vírus); um console AWS; informações sobre viagens e despesas da empresa (incluindo nomes de funcionários); um console de servidor virtual vSphere; uma lista de Google Workspaces; e até mesmo o próprio serviço de recompensas de bugs do Uber.
(Aparentemente, e ironicamente, o serviço de recompensas de bugs era onde o hacker se gabava alto em letras maiúsculas, como mostrado na manchete, que UBER FOI HACKEADO.)
O que fazer?
É fácil apontar o dedo para o Uber neste caso e sugerir que essa violação deve ser considerada muito pior do que a maioria, simplesmente por causa da natureza barulhenta e muito pública de tudo isso.
Mas a triste verdade é que muitos, se não a maioria, dos ataques cibernéticos contemporâneos acabam envolvendo os invasores obtendo exatamente esse grau de acesso…
…ou pelo menos potencialmente ter esse nível de acesso, mesmo que eles não vasculhassem todos os lugares que pudessem ter.
Afinal, muitos ataques de ransomware nos dias de hoje não representam o começo, mas o fim de uma intrusão que provavelmente durou dias ou semanas, e pode ter durado meses, período durante o qual os invasores provavelmente conseguiram se promover para ter status igual com o administrador de sistema mais sênior na empresa que tinham violado.
É por isso que os ataques de ransomware costumam ser tão devastadores – porque, no momento em que o ataque ocorre, há poucos laptops, servidores ou serviços aos quais os criminosos não conseguiram acesso, então eles são quase literalmente capazes de embaralhar tudo.
Em outras palavras, o que parece ter acontecido com a Uber neste caso não é uma história nova ou única de violação de dados.
Então, aqui estão algumas dicas instigantes que você pode usar como ponto de partida para melhorar a segurança geral em sua própria rede:
- Gerenciadores de senhas e 2FA não são uma panacéia. O uso de senhas bem escolhidas impede que os criminosos adivinhem o caminho, e a segurança 2FA baseada em códigos de uso único ou tokens de acesso de hardware (geralmente pequenos dongles USB ou NFC que um usuário precisa carregar com eles) torna as coisas mais difíceis, muitas vezes muito mais difíceis, por atacantes. Mas contra os chamados de hoje ataques liderados por humanos, onde “adversários ativos” se envolvem pessoalmente e diretamente na invasão, você precisa ajudar seus usuários a mudar seu comportamento on-line geral, para que eles sejam menos propensos a evitar procedimentos, independentemente de quão abrangentes e complexos esses procedimentos possam ser.
- A segurança pertence a todos os lugares da rede, não apenas à borda. Hoje em dia, muitos usuários precisam de acesso a pelo menos alguma parte da sua rede – funcionários, prestadores de serviços, funcionários temporários, seguranças, fornecedores, parceiros, faxineiros, clientes e muito mais. Se vale a pena reforçar uma configuração de segurança no que parece ser o perímetro da sua rede, então é quase certo que ela também precisará ser reforçada “internamente”. Isso se aplica especialmente ao patch. Como gostamos de dizer no Naked Security, “Corrija cedo, corrija com frequência, corrija em todos os lugares.”
- Meça e teste sua segurança cibernética regularmente. Nunca assuma que as precauções que você pensou que colocou em prática realmente estão funcionando. Não assuma; sempre verifique. Além disso, lembre-se de que, como novas ferramentas, técnicas e procedimentos de ataques cibernéticos aparecem o tempo todo, suas precauções precisam ser revisadas regularmente. Em palavras simples, “A cibersegurança é uma jornada, não um destino.”
- Considere obter ajuda especializada. Inscrevendo-se para um Detecção e resposta gerenciadas (MDR) não é uma admissão de falha ou um sinal de que você mesmo não entende de segurança cibernética. O MDR não é uma revogação de sua responsabilidade – é simplesmente uma maneira de ter especialistas dedicados à mão quando você realmente precisa deles. O MDR também significa que, no caso de um ataque, sua própria equipe não precisa abandonar tudo o que está fazendo no momento (incluindo tarefas regulares que são vitais para a continuidade de seus negócios) e, assim, potencialmente deixar outras brechas de segurança abertas.
- Adote uma abordagem de confiança zero. Confiança zero não significa literalmente que você nunca confia em ninguém para fazer nada. É uma metáfora para “não faça suposições” e “nunca autorize ninguém a fazer mais do que estritamente necessário”. Acesso à rede de confiança zero (ZTNA) não funcionam como ferramentas tradicionais de segurança de rede, como VPNs. Uma VPN geralmente fornece uma maneira segura para alguém de fora obter acesso geral à rede, após o que muitas vezes eles desfrutam de muito mais liberdade do que realmente precisam, permitindo-lhes vagar, bisbilhotar e bisbilhotar em busca das chaves do resto do castelo. O acesso Zero Trust adota uma abordagem muito mais granular, de modo que, se tudo o que você realmente precisa fazer é navegar pela lista de preços interna mais recente, esse é o acesso que você terá. Você também não terá o direito de entrar em fóruns de suporte, vasculhar registros de vendas ou enfiar o nariz no banco de dados de código-fonte.
- Configure uma linha direta de segurança cibernética para a equipe, se você ainda não tiver uma. Facilite para qualquer pessoa relatar problemas de segurança cibernética. Seja um telefonema suspeito, um anexo de e-mail improvável ou até mesmo um arquivo que provavelmente não deveria estar na rede, tenha um único ponto de contato (por exemplo,
securityreport@yourbiz.example) que torna rápido e fácil para seus colegas chamá-lo. - Nunca desista das pessoas. A tecnologia sozinha não pode resolver todos os seus problemas de segurança cibernética. Se você tratar sua equipe com respeito e adotar a atitude de segurança cibernética que “Não existe pergunta boba, apenas resposta boba”, você pode transformar todos na organização em olhos e ouvidos para sua equipe de segurança.
Por que não se juntar a nós de 26 a 29 de setembro de 2022 para este ano Semana Sophos Segurança SOS:
Quatro conversas curtas, mas fascinantes, com especialistas mundiais.
Saiba mais sobre proteção, detecção e resposta,
e como montar sua própria equipe de SecOps de sucesso:
- blockchain
- Coingenius
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- violação de dados
- Perda de Dados
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- hacker
- Kaspersky
- malwares
- Mcafee
- Segurança nua
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- política de privacidade
- Uber
- VPN
- a segurança do website
- zefirnet
