Din toate punctele de vedere, și, din păcate, există mulți dintre ei, un hacker – în spargerea-în-rețeaua-voastră-în mod ilegal sens, nu într-un rezolvați-problemele-de-codare-super-hard-în-un-mod-funky sens – a intrat în compania de partajare a călătoriei Uber.
Potrivit unui raportează de la BBC, se spune că hackerul ar avea doar 18 ani și se pare că a renunțat la atac din același tip de motiv pentru care a condus faimosul alpinist britanic. George Mallory să încerce în continuare (și în cele din urmă să mor în încercare) de a ajunge pe vârful Muntelui Everest în anii 1920...
...„pentru că este acolo”.
Uber, de înțeles, nu a spus prea multe până acum [2022-09-16T15:45Z] decât să anunța pe Twitter:
În prezent, răspundem la un incident de securitate cibernetică. Suntem în legătură cu forțele de ordine și vom posta actualizări suplimentare aici pe măsură ce acestea devin disponibile.
- Uber Comms (@Uber_Comms) 16 Septembrie, 2022
Cât de multe știm până acum?
Dacă amploarea intruziunii este la fel de largă pe cât a sugerat presupusul hacker, pe baza capturilor de ecran pe care le-am văzut pe Twitter, nu suntem surprinși că Uber nu a oferit încă nicio informație anume, mai ales că forțele de ordine sunt implicat în anchetă.
Când vine vorba de criminalistica ciberincidentelor, diavol chiar este în detalii.
Cu toate acestea, datele disponibile public, despre care se presupune că eliberate de hacker însuși și distribuite pe scară largă, par să sugereze că acest hack a avut două cauze subiacente, pe care le vom descrie cu o analogie medievală.
Intrusul:
- A păcălit o persoană din interior să-i lase să intre în curte sau curte interioară în castele feudale. Aceasta este zona din interiorul peretelui cel mai exterior al castelului, dar separată de partea cel mai bine apărată.
- S-au găsit detalii nesupravegheate care explică cum să accesezi gardul sau bulgăre. După cum sugerează și numele, păstra este fortăreața centrală defensivă a unui castel european tradițional medieval.
Ruperea inițială
Termenul din jargon pentru a vă deschide drumul în echivalentul din secolul 21 al curții castelului este Inginerie sociala.
După cum știm cu toții, există multe feluri că atacatorii, cu timp, răbdare și darul de a-l pot convinge chiar și pe un utilizator bine informat și bine intenționat să-l ajute să ocolească procesele de securitate care ar trebui să-i țină departe.
Trucurile automate sau semi-automatizate de inginerie socială includ înșelătoriile de phishing pe e-mail și IM.
Aceste escrocherii ademenesc utilizatorii să-și introducă detaliile de conectare, deseori inclusiv codurile lor 2FA, pe site-uri web contrafăcute care arată ca o afacere reală, dar de fapt oferă atacatorilor codurile de acces necesare.
Pentru un utilizator care este deja autentificat și, prin urmare, este autentificat temporar pentru sesiunea curentă, atacatorii pot încerca să ajungă la așa-numita cookie-uri sau jetoane de acces pe computerul utilizatorului.
Prin implantarea de programe malware care deturnează sesiunile existente, de exemplu, atacatorii pot fi capabili să se prefacă drept utilizator legitim suficient de mult pentru a prelua complet controlul, fără a avea nevoie de niciuna dintre acreditările obișnuite pe care utilizatorul le-a cerut pentru a se conecta de la zero:
Și dacă toate celelalte nu reușesc – sau poate chiar în loc să încerce metodele mecanice descrise mai sus – atacatorii pot pur și simplu să cheme un utilizator și să-l fermecă, sau să-i fermecă, sau să cerșească, sau să mituiască, sau să-i amenajeze, în schimb, în funcție de modul în care conversația se desfășoară.
Inginerii sociali calificați sunt adesea capabili să convingă utilizatorii bine intenționați nu numai să deschidă ușa în primul rând, ci și să o țină deschisă pentru a le face și mai ușor accesul atacatorilor și poate chiar să transporte bagajele atacatorului și arata-le unde sa mearga in continuare.
Așa s-a desfășurat infamul hack-ul Twitter din 2020, unde 45 de conturi Twitter cu steag albastru, inclusiv cele ale lui Bill Gates, Elon Musk și Apple, au fost preluate și folosite pentru a promova o înșelătorie cu criptomonede.
Hackerea nu a fost atât tehnică, cât și culturală, efectuată prin intermediul personalului de asistență care s-a străduit atât de mult să facă ceea ce trebuie, încât au ajuns să facă exact opusul:
Compromis total
The jargon term for the equivalent of getting into the castle’s keep from the courtyard is ridicarea privilegiului.
De obicei, atacatorii vor căuta și vor folosi în mod deliberat vulnerabilitățile de securitate cunoscute în interior, chiar dacă nu au putut găsi o modalitate de a le exploata din exterior, deoarece apărătorii și-au dat osteneala să se protejeze împotriva lor la perimetrul rețelei.
De exemplu, într-un sondaj pe care l-am publicat recent despre intruziunile pe care Răspuns rapid Sophos Echipa investigată în 2021, am constatat că în doar 15% din intruziunile inițiale – în care atacatorii trec peste peretele exterior și intră în curte – infractorii au fost capabili să spargă folosind RDP.
(RDP este prescurtarea pentru protocol desktop de la distanță, și este o componentă Windows utilizată pe scară largă, care este concepută pentru a permite utilizatorului X să lucreze de la distanță pe computerul Y, unde Y este adesea un server care nu are ecran și tastatură proprii și poate fi într-adevăr la trei etaje sub pământ într-o cameră de server , sau în întreaga lume într-un centru de date cloud.)
Dar în 80% dintre atacuri, criminalii au folosit RDP odată ce au fost înăuntru pentru a rătăci aproape în voie prin rețea:
La fel de îngrijorător, atunci când ransomware-ul nu a fost implicat (deoarece un atac ransomware face evident că ai fost încălcat!), timpul mediu mediu în care au fost infractorii roaming prin rețea neobservată a fost de 34 de zile – mai mult de o lună calendaristică:
Incidentul Uber
Încă nu suntem siguri cum a fost realizată ingineria socială inițială (prescurtată la SE în jargon de hacking), dar cercetătorul amenințărilor Bill Demirkapi a tweeted o captură de ecran care pare să dezvăluie (cu detalii precise redactate) modul în care a fost atinsă înălțarea privilegiului.
Apparently, even though the hacker started off as a regular user, and therefore had access only to some parts of the network…
… un pic de rătăcire și snooping pe partajări neprotejate în rețea a dezvăluit un director de rețea deschis care includea o grămadă de scripturi PowerShell…
… care includea acreditări de securitate codificate pentru accesul de administrator la un produs cunoscut în jargon ca PAM, prescurtare pentru Manager de acces privilegiat.
După cum sugerează și numele, un PAM este un sistem folosit pentru a gestiona acreditările și pentru a controla accesul la toate (sau cel puțin la multe) celelalte produse și servicii utilizate de o organizație.
În mod ironic, atacatorul, care probabil a început cu un cont de utilizator umil și poate foarte limitat, a dat peste o parolă ueber-ueber-care a deblocat multe dintre parolele ueber ale operațiunilor IT globale ale Uber.
Nu suntem siguri cât de larg a putut hackerul să se deplaseze după ce au deschis baza de date PAM, dar postările pe Twitter din numeroase surse sugerează că atacatorul a putut pătrunde în mare parte din infrastructura IT a Uber.
Hackerul ar fi aruncat date pentru a arăta că au accesat cel puțin următoarele sisteme de afaceri: spații de lucru Slack; Software-ul Uber de protecție împotriva amenințărilor (ceea ce este adesea denumit în mod obișnuit ca un anti virus); o consolă AWS; informații despre călătoriile și cheltuielile companiei (inclusiv numele angajaților); o consolă de server virtual vSphere; o listă cu Google Workspaces; și chiar și serviciul de recompensă de erori al lui Uber.
(Aparent, și în mod ironic, serviciul de recompensă pentru erori a fost locul în care hackerul s-a lăudat tare cu majuscule, așa cum se arată în titlu, că UBER a fost piratat.)
Ce să fac?
În acest caz, este ușor să arăți cu degetul către Uber și să sugerezi că această încălcare ar trebui considerată mult mai gravă decât majoritatea, pur și simplu din cauza naturii zgomotoase și foarte publice a tuturor.
Dar adevărul nefericit este că multe, dacă nu majoritatea, atacurile cibernetice contemporane se dovedesc a fi implicat atacatorii care obțin exact acest grad de acces...
… sau cel puțin potențial să aibă acest nivel de acces, chiar dacă în cele din urmă nu au căutat peste tot pe unde ar putea avea.
La urma urmei, multe atacuri ransomware din aceste zile reprezintă nu începutul, ci sfârșitul unei intruziuni care probabil a durat zile sau săptămâni și poate să fi durat luni de zile, timp în care atacatorii probabil au reușit să se promoveze pentru a avea statut egal cu cel mai înalt administrator de sistem în compania pe care o încălcaseră.
De aceea, atacurile ransomware sunt adesea atât de devastatoare – pentru că, în momentul în care vine atacul, există puține laptopuri, servere sau servicii la care criminalii nu au avut acces, așa că sunt aproape literalmente capabili să amestece totul.
Cu alte cuvinte, ceea ce pare să se fi întâmplat cu Uber în acest caz nu este o poveste nouă sau unică de încălcare a datelor.
Așadar, iată câteva sfaturi care vă provoacă gândirea pe care le puteți folosi ca punct de plecare pentru a îmbunătăți securitatea generală a propriei rețele:
- Managerii de parole și 2FA nu sunt un panaceu. Folosirea parolelor bine alese împiedică escrocii să-și ghicească drumul, iar securitatea 2FA bazată pe coduri unice sau jetoane de acces hardware (de obicei dongle-uri USB sau NFC mici pe care un utilizator trebuie să le poarte cu ei) îngreunează lucrurile, adesea mult mai dificile, pentru atacatori. Dar împotriva așa-zisului de astăzi atacuri conduse de oameni, unde „adversarii activi” se implică personal și direct în intruziune, trebuie să-ți ajuți utilizatorii să-și schimbe comportamentul general online, astfel încât să fie mai puțin probabil ca aceștia să fie implicați în proceduri de ocolire, indiferent de cât de cuprinzătoare și complexe ar fi acele proceduri.
- Securitatea aparține peste tot în rețea, nu doar la margine. These days, very many users need access to at least some part of your network – employees, contractors, temporary staff, security guards, suppliers, partners, cleaners, customers and more. If a security setting is worth tightening up at what feels like your network perimeter, then it almost certainly needs tightening up “inside” as well. This applies especially to patching. As we like to say on Naked Security, „Corectează-te devreme, reușește-te des, plasează peste tot.”
- Măsurați și testați-vă securitatea cibernetică în mod regulat. Nu presupune niciodată că măsurile de precauție pe care credeai că le-ai pus în aplicare funcționează cu adevărat. Nu presupune; verifica intotdeauna. De asemenea, rețineți că, deoarece instrumentele, tehnicile și procedurile noi de atac cibernetic apar tot timpul, măsurile de precauție trebuie revizuite în mod regulat. Cu cuvinte simple, „Securitatea cibernetică este o călătorie, nu o destinație.”
- Luați în considerare obținerea de ajutor de specialitate. Înscriere pentru un Detectare și răspuns gestionat Serviciul (MDR) nu este o recunoaștere a eșecului sau un semn că nu înțelegeți singur securitatea cibernetică. MDR nu este o abrogare a răspunderii dumneavoastră – este pur și simplu o modalitate de a avea experți dedicați la îndemână atunci când aveți cu adevărat nevoie de ei. MDR înseamnă, de asemenea, că, în cazul unui atac, propriul personal nu trebuie să renunțe la tot ceea ce face în prezent (inclusiv sarcini obișnuite care sunt vitale pentru continuitatea afacerii dvs.) și, astfel, pot lăsa alte găuri de securitate deschise.
- Adoptă o abordare cu încredere zero. Încrederea zero nu înseamnă literalmente că nu ai încredere în nimeni să facă ceva. Este o metaforă pentru „nu faceți presupuneri” și „nu autorizați niciodată pe nimeni să facă mai mult decât are strict nevoie”. Acces la rețea fără încredere (ZTNA) products don’t work like traditional network security tools such as VPNs. A VPN generally provides a secure way for someone outside to get general admission to network, after which they often enjoy much more freedom than they really need, allowing them to roam, snoop and poke around looking for the keys to the rest of the castle. Zero-trust access takes a much more granular approach, so that if all you really need to do is browse the latest internal price list, that’s the access you’ll get. You won’t also get the right to wander into support forums, trawl through sales records, or poke your nose into the source code database.
- Creați o linie telefonică de securitate cibernetică pentru personal dacă nu aveți deja una. Facilități pentru oricine să raporteze problemele de securitate cibernetică. Fie că este un apel telefonic suspect, un atașament de e-mail improbabil sau chiar doar un fișier care probabil nu ar trebui să fie acolo în rețea, aveți un singur punct de contact (de ex.
securityreport@yourbiz.example), ceea ce face ca colegii să apeleze rapid și ușor. - Nu renunța niciodată la oameni. Tehnologia singură nu vă poate rezolva toate problemele de securitate cibernetică. Dacă vă tratați personalul cu respect și dacă adoptați atitudinea de securitate cibernetică asta „Nu există o întrebare prostească, ci doar un răspuns stupid”, atunci puteți transforma toți cei din organizație în ochi și urechi pentru echipa dvs. de securitate.
De ce să nu ni te alături în perioada 26-29 septembrie 2022 pentru anul acesta Sophos Security SOS Week:
Patru discuții scurte, dar fascinante, cu experți mondiali.
Aflați despre protecție, detectare și răspuns,
și cum să-ți înființezi o echipă SecOps de succes:
- blockchain
- coingenius
- portofele de criptare
- criptoschimb
- securitate cibernetică
- cybercriminals
- Securitate cibernetică
- încălcării securității datelor
- pierderi de date
- Departamentul de Securitate Națională
- portofele digitale
- firewall
- hacking
- Kaspersky
- malware
- McAfee
- Securitate goală
- NexBLOC
- Plato
- platoul ai
- Informații despre date Platon
- Jocul lui Platon
- PlatoData
- platogaming
- intimitate
- Uber
- VPN
- securitatea site-ului
- zephyrnet
