Po vseh pogledih, in na žalost jih je veliko, heker – v vdor-in-vstop v vaše-omrežje nezakonito smislu, ne v a rešite-super-težke-težave-kodiranja-na-funki-način smisel – je vdrl v družbo za souporabo prevozov Uber.
Glede na poročilo iz BBC-ja naj bi bil heker star komaj 18 let in zdi se, da je napad izvedel iz enakega razloga, ki je vodil britanskega alpinista George Mallory še naprej poskušati (in na koncu pri poskusu umreti) doseči vrh Mount Everesta v dvajsetih letih prejšnjega stoletja ...
..."ker je tam."
Uber, razumljivo, doslej ni povedal veliko več [2022-09-16T15:45Z] kot napovedati na Twitterju:
Trenutno se odzivamo na kibernetski varnostni incident. Smo v stiku z organi pregona in tukaj bomo objavili dodatne posodobitve, ko bodo na voljo.
- Uber Comms (@Uber_Comms) September 16, 2022
Koliko vemo do sedaj?
Če je obseg vdora tako širok, kot domnevni heker predlaga na podlagi posnetkov zaslona, ki smo jih videli na Twitterju, nas ne preseneča, da Uber še ni ponudil nobenih posebnih informacij, zlasti glede na to, da so organi pregona vključeni v preiskavo.
Ko gre za forenziko kibernetskih incidentov, Hudič res je v podrobnostih.
Kljub temu se zdi, da javno dostopni podatki, ki naj bi jih heker izdal sam in jih široko razširil, nakazujejo, da je imel ta vdor dva vzroka, ki ju bomo opisali s srednjeveško analogijo.
Vsiljivec:
- Insajderja s prevaro spustili dvorišče, ali bailey. To je območje znotraj najbolj zunanjega grajskega obzidja, vendar ločeno od najbolje branjenega dela.
- Najdene nenadzorovane podrobnosti, ki pojasnjujejo, kako dostopati do hrambe, ali gruda. Kot že ime pove, naprej je osrednje obrambno oporišče tradicionalnega srednjeveškega evropskega gradu.
Začetni zlom
Žargonski izraz za blaging vašo pot v 21. stoletje ustreza grajskemu dvorišču socialni inženiring.
Kot vsi vemo, obstajajo veliko načinov da napadalci s časom, potrpežljivostjo in darom brbljanja lahko prepričajo celo dobro obveščenega in dobronamernega uporabnika, da jim pomaga obiti varnostne procese, ki naj bi jih preprečili.
Avtomatski ali polavtomatski triki socialnega inženiringa vključujejo lažno predstavljanje na podlagi e-pošte in neposrednih sporočil.
Te prevare zvabijo uporabnike, da vnesejo svoje podatke za prijavo, pogosto vključno s svojimi kodami 2FA, na ponarejenih spletnih mestih, ki so videti kot prava stvar, vendar napadalcem dejansko dostavijo potrebne kode za dostop.
Pri uporabniku, ki je že prijavljen in je tako začasno overjen za svojo trenutno sejo, lahko napadalci poskušajo priti do t.i. piškotke ali žetone za dostop na uporabnikovem računalniku.
Z vsaditvijo zlonamerne programske opreme, ki ugrabi obstoječe seje, se lahko napadalci na primer dovolj dolgo maskirajo v zakonitega uporabnika, da ga popolnoma prevzamejo, ne da bi potrebovali kakršne koli običajne poverilnice, ki jih uporabnik sam potrebuje za prijavo iz nič:
In če vse drugo odpove – ali morda celo namesto, da bi poskusili z zgoraj opisanimi mehanskimi metodami – lahko napadalci preprosto prikličejo uporabnika in ga očarajo, ali pretehtajo, ali prosjačijo, ali podkupijo, ali mu namesto tega grozijo, odvisno od tega, kako pogovor se razplete.
Izkušeni socialni inženirji so pogosto sposobni prepričati dobronamerne uporabnike ne samo, da najprej odprejo vrata, ampak jih tudi zadržijo odprta, da bi napadalcem še lažje vstopili, in morda celo nosijo napadalčeve torbe in pokažite jim, kam naj gredo naprej.
Tako je bil izveden zloglasni vdor v Twitter leta 2020, kjer je bilo prevzetih 45 Twitter računov z modro zastavo, vključno s tistimi Billa Gatesa, Elona Muska in Applea, in uporabljenih za promocijo prevare s kriptovalutami.
To vdiranje ni bilo toliko tehnično kot kulturno, izvajalo ga je podporno osebje, ki se je tako zelo trudilo narediti pravo stvar, da je na koncu naredilo ravno nasprotno:
Popoln kompromis
Žargonski izraz za enakovredno vstopiti v grajsko trdnjavo z dvorišča je povišanje privilegija.
Običajno bodo napadalci namenoma iskali in uporabljali znane varnostne ranljivosti interno, čeprav niso mogli najti načina, kako bi jih izkoristili od zunaj, ker so se branilci potrudili zaščititi pred njimi na omrežnem obodu.
Na primer, v raziskavi, ki smo jo nedavno objavili o vdorih, ki jih je Sophos Rapid Response skupina, ki je bila raziskana leta 2021, je ugotovila, da so kriminalci v samo 15 % začetnih vdorov – ko napadalci pridejo čez zunanjo steno v ograjen prostor – uspeli vdreti z uporabo RDP.
(RDP je okrajšava za protokol oddaljenega namizja, in je pogosto uporabljena komponenta sistema Windows, ki je zasnovana tako, da uporabniku X omogoča delo na daljavo na računalniku Y, kjer je Y pogosto strežnik, ki nima lastnega zaslona in tipkovnice in je morda res tri nadstropja pod zemljo v strežniški sobi , ali po vsem svetu v podatkovnem centru v oblaku.)
Toda v 80 % napadov so kriminalci uporabili RDP, ko so bili v notranjosti, da so skoraj po mili volji tavali po omrežju:
Enako skrb vzbujajoče je, da ko izsiljevalska programska oprema ni bila vpletena (ker je zaradi napada z izsiljevalsko programsko opremo takoj očitno, da ste bili vdori!), je bil srednji povprečni čas, ko so bili kriminalci neopazno gostovanje po omrežju je bil 34 dni – več kot koledarski mesec:
Incident z Uberjem
Nismo še prepričani, kako je bil izveden začetni socialni inženiring (skrajšano na SE v hekerskem žargonu), vendar je raziskovalec groženj Bill Demirkapi je objavil posnetek zaslona zdi se, da razkriva (z redigiranimi natančnimi podrobnostmi), kako je bil dosežen dvig privilegijev.
Očitno, čeprav je heker začel kot običajen uporabnik in je imel zato dostop le do nekaterih delov omrežja ...
… malo tavanja in vohljanja po nezaščitenih skupnih rabah v omrežju je razkrilo odprt omrežni imenik, ki je vseboval kup skriptov PowerShell …
... ki je vključeval trdo kodirane varnostne poverilnice za skrbniški dostop do izdelka, v žargonu znanega kot PAM, okrajšava za Upravitelj privilegiranega dostopa.
Kot že ime pove, je PAM sistem, ki se uporablja za upravljanje poverilnic in nadzor dostopa do vseh (ali vsaj veliko) drugih izdelkov in storitev, ki jih uporablja organizacija.
Hitro povedano, napadalec, ki je verjetno začel s skromnim in morda zelo omejenim uporabniškim računom, je naletel na ueber-ueber-geslo, ki je odklenilo veliko ueber-gesel Uberjevih globalnih operacij IT.
Nismo prepričani, kako široko se je lahko heker potepal, ko so odkrili bazo podatkov PAM, vendar objave na Twitterju iz številnih virov kažejo, da je napadalec uspel prodreti v velik del Uberjeve IT infrastrukture.
Heker naj bi izpustil podatke, da bi pokazal, da so dostopali vsaj do naslednjih poslovnih sistemov: delovni prostori Slack; Uberjeva programska oprema za zaščito pred grožnjami (kar se pogosto še vedno mimogrede imenuje anti-virus); konzola AWS; informacije o potovanjih in stroških podjetja (vključno z imeni zaposlenih); konzola virtualnega strežnika vSphere; seznam Google Workspaces; in celo Uberjeva lastna storitev nagrajevanja hroščev.
(Očitno in ironično je, da je bila storitev nagrajevanja hroščev tista, kjer se je heker glasno hvalil z velikimi črkami, kot je prikazano v naslovu, da UBER JE BIL HAKIRAN.)
Kaj storiti?
V tem primeru je enostavno kazati s prstom na Uber in namigovati, da je treba to kršitev obravnavati kot veliko hujšo od večine, preprosto zaradi glasne in zelo javne narave vsega skupaj.
Toda žalostna resnica je, da se je izkazalo, da so številni, če ne večina, sodobnih kibernetskih napadov vključevali napadalce, ki so dobili točno to stopnjo dostopa ...
…ali vsaj potencialno imeti to raven dostopa, tudi če na koncu niso brskali povsod, kjer bi lahko.
Navsezadnje številni napadi z izsiljevalsko programsko opremo danes ne predstavljajo začetka, ampak konec vdora, ki je verjetno trajal dneve ali tedne in morda več mesecev, v tem času pa so se napadalci verjetno uspeli promovirati, da so enak status kot najvišji sistemski skrbnik v podjetju, ki so ga vdrli.
Zato so napadi z izsiljevalsko programsko opremo pogosto tako uničujoči – ker je do napada le malo prenosnih računalnikov, strežnikov ali storitev, do katerih kriminalci niso preprečevali dostopa, tako da lahko skoraj dobesedno premešajo vse.
Z drugimi besedami, to, kar se zdi, da se je v tem primeru zgodilo Uberju, ni nova ali edinstvena zgodba o kršitvi podatkov.
Tukaj je nekaj nasvetov, ki spodbujajo razmišljanje in jih lahko uporabite kot izhodišče za izboljšanje splošne varnosti v svojem omrežju:
- Upravitelji gesel in 2FA niso rešitev. Uporaba dobro izbranih gesel prepreči prevarantom, da bi uganili svojo pot, varnost 2FA, ki temelji na enkratnih kodah ali žetonih za dostop do strojne opreme (običajno majhni ključki USB ali NFC, ki jih mora uporabnik nositi s seboj), pa otežuje, pogosto veliko težje, za napadalci. Toda proti današnjemu t.i napadi, ki jih vodijo ljudje, kjer se »aktivni nasprotniki« osebno in neposredno vključijo v vdor, morate svojim uporabnikom pomagati spremeniti njihovo splošno spletno vedenje, tako da je manj verjetno, da bodo nagovorjeni k izogibanju postopkom, ne glede na to, kako obsežni in zapleteni so ti postopki.
- Varnost pripada povsod v omrežju, ne samo na robu. Dandanes zelo veliko uporabnikov potrebuje dostop do vsaj nekega dela vašega omrežja – zaposleni, izvajalci, začasno osebje, varnostniki, dobavitelji, partnerji, čistilci, stranke in drugi. Če je varnostna nastavitev vredna poostritve na vašem omrežnem obodu, potem jo je skoraj zagotovo treba poostriti tudi »znotraj«. To še posebej velja za krpanje. Kot radi rečemo na Naked Security, "Popravi zgodaj, popravi pogosto, popravi povsod."
- Redno merite in testirajte svojo kibernetsko varnost. Nikoli ne predvidevajte, da varnostni ukrepi, za katere ste mislili, da ste jih uvedli, res delujejo. Ne domnevaj; vedno preveri. Ne pozabite tudi, da je treba vaše previdnostne ukrepe redno pregledovati, ker se nova orodja, tehnike in postopki pojavljajo ves čas. Preprosto povedano, "Kibernetska varnost je potovanje, ne cilj."
- Razmislite o pomoči strokovnjaka. Prijava na a Upravljano odkrivanje in odziv (MDR) storitev ni priznanje neuspeha ali znak, da sami ne razumete kibernetske varnosti. MDR ni razveljavitev vaše odgovornosti – je preprosto način, da imate predane strokovnjake pri roki, ko jih res potrebujete. MDR tudi pomeni, da v primeru napada vašemu lastnemu osebju ni treba opustiti vsega, kar trenutno počne (vključno z rednimi nalogami, ki so bistvenega pomena za neprekinjeno poslovanje), in tako potencialno pustiti odprte druge varnostne luknje.
- Sprejmite pristop ničelnega zaupanja. Ničelno zaupanje dobesedno ne pomeni, da nikoli nikomur ne zaupate ničesar. To je metafora za "ne delaj predpostavk" in "nikoli nikogar ne pooblasti, da naredi več, kot nujno potrebuje". Dostop do omrežja brez zaupanja (ZTNA) izdelki ne delujejo kot tradicionalna orodja za varnost omrežja, kot so VPN. VPN na splošno zagotavlja varen način za nekoga zunaj, da dobi splošen dostop do omrežja, po katerem pogosto uživa veliko več svobode, kot jo v resnici potrebuje, kar mu omogoča, da tava, vohlja in brska naokoli in išče ključe do preostalega gradu. Dostop brez zaupanja ima veliko bolj razdrobljen pristop, tako da če je vse, kar morate narediti, brskanje po najnovejšem internem ceniku, je to dostop, ki ga boste dobili. Prav tako ne boste dobili pravice, da se sprehajate po forumih za podporo, brskate po prodajnih zapisih ali vtikate nos v bazo izvorne kode.
- Vzpostavite telefonsko linijo za kibernetsko varnost za osebje, če je še nimate. Vsakomur olajšajte prijavo težav s kibernetsko varnostjo. Ne glede na to, ali gre za sumljiv telefonski klic, malo verjetno e-poštno prilogo ali celo samo datoteko, ki verjetno ne bi smela biti v omrežju, imejte eno samo kontaktno točko (npr.
securityreport@yourbiz.example), ki omogoča hiter in enostaven vpoklic vaših sodelavcev. - Nikoli ne obupajte nad ljudmi. Sama tehnologija ne more rešiti vseh vaših težav s kibernetsko varnostjo. Če do svojega osebja ravnate spoštljivo in če zavzamete odnos do kibernetske varnosti "neumnega vprašanja ni, je samo neumen odgovor", potem lahko vse v organizaciji spremenite v oči in ušesa vaše varnostne ekipe.
Zakaj se nam ne bi letos pridružili od 26. do 29. septembra 2022 Sophos Security SOS teden:
Štirje kratki, a fascinantni pogovori s svetovnimi strokovnjaki.
Poučite se o zaščiti, odkrivanju in odzivanju,
in kako vzpostaviti lastno uspešno ekipo SecOps:
- blockchain
- coingenius
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- kršitev varnosti podatkov
- izguba podatkov
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- taksist
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- Gola varnost
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- zasebnost
- Uber
- VPN
- spletna varnost
- zefirnet
