ตามบัญชีทั้งหมดและที่น่าเศร้าที่มีแฮ็กเกอร์หลายคน - ใน ทำลายและเข้าสู่เครือข่ายของคุณอย่างผิดกฎหมาย ความหมาย ไม่ใช่ใน a แก้ปัญหาสุดยากในการเข้ารหัสปัญหาในทางขี้ขลาด ความรู้สึก – ได้บุกเข้าไปในบริษัท Uber ที่ให้บริการแชร์รถ
ตาม รายงาน จาก BBC ระบุว่าแฮ็กเกอร์อายุเพียง 18 ปีและดูเหมือนว่าจะถอนการโจมตีด้วยเหตุผลแบบเดียวกับที่ขับนักปีนเขาชาวอังกฤษที่มีชื่อเสียง จอร์จ มัลลอรี่ เพื่อพยายามต่อไป (และท้ายที่สุดก็ตายในความพยายาม) เพื่อพิชิตยอดเขาเอเวอเรสต์ในปี ค.ศ. 1920…
...“เพราะมันอยู่ที่นั่น”
เห็นได้ชัดว่า Uber ไม่ได้พูดอะไรมากไปกว่านี้ [2022-09-16T15:45Z] มากไปกว่า to ประกาศ บนทวิตเตอร์:
ขณะนี้เรากำลังตอบสนองต่อเหตุการณ์ด้านความปลอดภัยทางไซเบอร์ เรากำลังติดต่อกับหน่วยงานบังคับใช้กฎหมายและจะโพสต์ข้อมูลอัปเดตเพิ่มเติมที่นี่เมื่อมีให้บริการ
- Uber Comms (@ Uber_Comms) September 16, 2022
เรารู้มากน้อยแค่ไหน?
หากขอบเขตของการบุกรุกนั้นกว้างพอๆ กับที่แฮ็กเกอร์แนะนำ โดยอ้างอิงจากภาพหน้าจอที่เราได้เห็นใน Twitter เราไม่แปลกใจเลยที่ Uber ยังไม่ได้ให้ข้อมูลเฉพาะเจาะจง โดยเฉพาะอย่างยิ่งเนื่องจากการบังคับใช้กฎหมายนั้น มีส่วนร่วมในการสอบสวน
เมื่อพูดถึงนิติวิทยาศาสตร์เหตุการณ์ในโลกไซเบอร์ ปีศาจ อยู่ในรายละเอียดจริงๆ
อย่างไรก็ตาม ข้อมูลที่เปิดเผยต่อสาธารณะซึ่งถูกกล่าวหาว่าเผยแพร่โดยแฮ็กเกอร์และเผยแพร่อย่างกว้างขวาง ดูเหมือนว่าจะแนะนำว่าการแฮ็กนี้มีสาเหตุพื้นฐานสองประการ ซึ่งเราจะอธิบายด้วยการเปรียบเทียบในยุคกลาง
ผู้บุกรุก:
- หลอกคนในให้เข้าไปในลานบ้านหรือ สวนหย่อม. นั่นคือพื้นที่ภายในกำแพงปราสาทชั้นนอกสุด แต่แยกจากส่วนป้องกันที่ดีที่สุด
- พบรายละเอียดโดยไม่มีใครดูแลซึ่งอธิบายวิธีเข้าถึงที่เก็บหรือ ก้อนเมฆ. ดังที่ชื่อแนะนำ เก็บ เป็นฐานที่มั่นป้องกันกลางของปราสาทยุโรปยุคกลางแบบดั้งเดิม
การพังทลายครั้งแรก
ศัพท์แสงที่ใช้เรียกคุณเข้าสู่ศตวรรษที่ 21 ที่เทียบเท่ากับลานภายในปราสาทคือ วิศวกรรมทางสังคม.
อย่างที่เราทราบกันดีว่ามี หลายวิธี ที่ผู้โจมตีด้วยเวลา ความอดทน และของกำนัลสามารถชักชวนแม้แต่ผู้ใช้ที่มีข้อมูลดีและมีความหมายเพื่อช่วยพวกเขาหลีกเลี่ยงกระบวนการรักษาความปลอดภัยที่ควรจะป้องกันไม่ให้พวกเขาออกไป
กลอุบายด้านวิศวกรรมสังคมแบบอัตโนมัติหรือกึ่งอัตโนมัติ ได้แก่ อีเมลและการหลอกลวงแบบฟิชชิ่งแบบ IM
กลโกงเหล่านี้หลอกล่อผู้ใช้ให้ป้อนรายละเอียดการเข้าสู่ระบบ ซึ่งมักจะรวมถึงรหัส 2FA บนเว็บไซต์ปลอมที่ดูเหมือนของจริง แต่จริงๆ แล้วส่งรหัสการเข้าถึงที่จำเป็นไปยังผู้โจมตี
สำหรับผู้ใช้ที่เข้าสู่ระบบแล้วและได้รับการตรวจสอบสิทธิ์ชั่วคราวสำหรับเซสชันปัจจุบัน ผู้โจมตีอาจพยายามเข้าถึงสิ่งที่เรียกว่า คุกกี้หรือโทเค็นการเข้าถึง บนคอมพิวเตอร์ของผู้ใช้
โดยการฝังมัลแวร์ที่จี้เซสชันที่มีอยู่ เช่น ผู้โจมตีอาจสามารถปลอมแปลงเป็นผู้ใช้ที่ถูกต้องได้นานพอที่จะเข้าครอบครองโดยสมบูรณ์ โดยไม่ต้องใช้ข้อมูลประจำตัวใดๆ ตามปกติที่ผู้ใช้จำเป็นต้องเข้าสู่ระบบตั้งแต่เริ่มต้น:
และหากทุกอย่างล้มเหลว – หรือแม้แต่แทนที่จะลองใช้วิธีการทางกลที่อธิบายข้างต้น – ผู้โจมตีสามารถเรียกผู้ใช้และสะกดจิตพวกเขา หรือล้อเล่น อ้อนวอน หรือให้สินบน หรือเกลี้ยกล่อม หรือข่มขู่พวกเขาแทน ขึ้นอยู่กับว่า การสนทนาแผ่ออกไป
วิศวกรสังคมที่มีทักษะมักจะสามารถโน้มน้าวผู้ใช้ที่หวังดีได้ ไม่เพียงแต่ให้เปิดประตูแต่แรกเท่านั้น แต่ยังต้องเปิดไว้เพื่อให้ผู้โจมตีเข้าไปได้ง่ายขึ้น และอาจถึงกับถือกระเป๋าของผู้โจมตีและ แสดงให้พวกเขาเห็นว่าจะไปที่ไหนต่อไป
นั่นคือวิธีการแฮ็ก Twitter ที่น่าอับอายในปี 2020 โดยบัญชี Twitter ที่มีธงสีน้ำเงิน 45 บัญชี รวมถึงบัญชีของ Bill Gates, Elon Musk และ Apple ถูกควบคุมและใช้เพื่อส่งเสริมการหลอกลวงสกุลเงินดิจิทัล
การแฮ็กนั้นไม่ใช่เทคนิคเชิงวัฒนธรรมมากนัก ดำเนินการผ่านเจ้าหน้าที่ฝ่ายสนับสนุนที่พยายามอย่างหนักเพื่อทำสิ่งที่ถูกต้องจนพวกเขากลับกลายเป็นตรงกันข้าม:
ประนีประนอมอย่างเต็มที่
ศัพท์แสงที่เทียบเท่ากับการเข้าไปในปราสาทจากลานบ้านคือ การยกระดับสิทธิ์.
โดยทั่วไปแล้ว ผู้โจมตีจะจงใจค้นหาและใช้ช่องโหว่ด้านความปลอดภัยที่เป็นที่รู้จักภายใน แม้ว่าพวกเขาจะไม่สามารถหาวิธีที่จะใช้ประโยชน์จากพวกเขาจากภายนอกได้ เนื่องจากผู้ปกป้องได้ใช้ปัญหาในการป้องกันพวกเขาที่ขอบเขตของเครือข่าย
ตัวอย่างเช่น ในการสำรวจเมื่อเร็ว ๆ นี้เราได้เผยแพร่เกี่ยวกับการบุกรุกที่ การตอบสนองอย่างรวดเร็วของ Sophos ทีมตรวจสอบในปี 2021 เราพบว่ามีเพียง 15% ของการบุกรุกครั้งแรก – ที่ผู้โจมตีข้ามกำแพงภายนอกและเข้าไปในเบลีย์ – เป็นอาชญากรที่สามารถบุกเข้าไปโดยใช้ RDP
(RDP ย่อมาจาก โปรโตคอลเดสก์ท็อประยะไกลและเป็นคอมโพเนนต์ของ Windows ที่ใช้กันอย่างแพร่หลาย ซึ่งออกแบบมาเพื่อให้ผู้ใช้ X ทำงานจากระยะไกลบนคอมพิวเตอร์ Y โดยที่ Y มักจะเป็นเซิร์ฟเวอร์ที่ไม่มีหน้าจอและแป้นพิมพ์เป็นของตัวเอง และอาจอยู่ใต้ดินสามชั้นในห้องเซิร์ฟเวอร์ หรือทั่วโลกในศูนย์ข้อมูลบนคลาวด์)
แต่ใน 80% ของการโจมตี อาชญากรใช้ RDP เมื่อพวกเขาเข้าไปข้างในเพื่อเดินเตร่ไปทั่วเครือข่ายตามต้องการ:
เช่นเดียวกับที่น่าเป็นห่วง เมื่อไม่มีแรนซัมแวร์เข้ามาเกี่ยวข้อง (เพราะการโจมตีของแรนซัมแวร์ทำให้เห็นได้ชัดเจนว่าคุณถูกละเมิดในทันที!) เวลาเฉลี่ยเฉลี่ยที่อาชญากร โรมมิ่งเครือข่ายโดยไม่มีใครสังเกต คือ 34 วัน – มากกว่าหนึ่งเดือนตามปฏิทิน:
อุบัติการณ์อูเบอร์
เรายังไม่แน่ใจว่าวิศวกรรมสังคมเบื้องต้น (ย่อมาจาก SE ในภาษาแฮ็ก) ดำเนินการอย่างไร แต่นักวิจัยด้านภัยคุกคาม Bill Demirkapi มี ทวีตภาพหน้าจอ ที่ดูเหมือนว่าจะเปิดเผย (พร้อมรายละเอียดที่แม่นยำที่ถูกปกปิด) ว่าการยกระดับสิทธิ์นั้นบรรลุผลได้อย่างไร
เห็นได้ชัดว่าแม้ว่าแฮ็กเกอร์จะเริ่มต้นจากการเป็นผู้ใช้ทั่วไป ดังนั้นจึงเข้าถึงได้เพียงบางส่วนของเครือข่าย...
…การเดินและสอดแนมเล็กน้อยในการแชร์ที่ไม่มีการป้องกันบนเครือข่ายเปิดเผยไดเร็กทอรีเครือข่ายแบบเปิดที่มีสคริปต์ PowerShell จำนวนมาก…
…ที่รวมข้อมูลรับรองความปลอดภัยแบบฮาร์ดโค้ดสำหรับการเข้าถึงของผู้ดูแลระบบในผลิตภัณฑ์ซึ่งเป็นที่รู้จักในศัพท์เฉพาะในชื่อ PAM ซึ่งย่อมาจาก ผู้จัดการการเข้าถึงสิทธิพิเศษ.
ตามชื่อที่แนะนำ PAM เป็นระบบที่ใช้จัดการข้อมูลประจำตัวสำหรับและควบคุมการเข้าถึงผลิตภัณฑ์และบริการอื่น ๆ ทั้งหมด (หรืออย่างน้อยที่สุด) ที่องค์กรใช้
พูดง่ายๆ ก็คือ ผู้โจมตีที่อาจเริ่มต้นด้วยบัญชีผู้ใช้ที่ต่ำต้อยและอาจมีข้อจำกัดอย่างมาก บังเอิญพบรหัสผ่าน ueber-ueber ที่ปลดล็อกรหัสผ่าน ueber จำนวนมากของการดำเนินงานด้านไอทีทั่วโลกของ Uber
เราไม่แน่ใจว่าแฮ็กเกอร์สามารถท่องไปในวงกว้างเพียงใดเมื่อพวกเขาเปิดฐานข้อมูล PAM แต่การโพสต์ Twitter จากแหล่งต่าง ๆ ชี้ให้เห็นว่าผู้โจมตีสามารถเจาะโครงสร้างพื้นฐานด้านไอทีของ Uber ได้มาก
แฮ็กเกอร์ถูกกล่าวหาว่าทิ้งข้อมูลเพื่อแสดงว่าพวกเขาเข้าถึงระบบธุรกิจต่อไปนี้เป็นอย่างน้อย: พื้นที่ทำงาน Slack; ซอฟต์แวร์ป้องกันภัยคุกคามของ Uber (ซึ่งมักเรียกง่ายๆ ว่า an ป้องกันไวรัส); คอนโซล AWS ข้อมูลการเดินทางและค่าใช้จ่ายของบริษัท (รวมถึงชื่อพนักงาน) คอนโซลเซิร์ฟเวอร์เสมือน vSphere; รายชื่อ Google Workspaces; และแม้กระทั่งบริการหาบั๊กของ Uber เอง
(เห็นได้ชัดว่าและแดกดันบริการ Bug Bounty เป็นที่ที่แฮ็กเกอร์คุยโวด้วยตัวพิมพ์ใหญ่ดังที่แสดงในพาดหัวข่าวว่า UBER ถูกแฮ็ก.)
จะทำอย่างไร?
ในกรณีนี้ ง่ายที่จะชี้นิ้วไปที่ Uber และบอกเป็นนัยว่าการละเมิดนี้ควรได้รับการพิจารณาว่าเลวร้ายยิ่งกว่าคนส่วนใหญ่ เพียงเพราะลักษณะที่ดังและเป็นสาธารณะของเรื่องทั้งหมด
แต่ความจริงที่โชคร้ายก็คือ หากไม่ใช่ส่วนใหญ่ การโจมตีทางไซเบอร์ในสมัยนี้กลับกลายเป็นว่าผู้โจมตีเข้ามาพัวพันกับการเข้าถึงระดับนี้...
…หรืออย่างน้อยก็มีโอกาสเข้าถึงระดับนี้ได้ แม้ว่าท้ายที่สุดแล้วพวกเขาจะไม่ได้แหย่ไปทุกที่ที่พวกเขาสามารถมีได้ก็ตาม
ท้ายที่สุด การโจมตีของแรนซัมแวร์จำนวนมากในทุกวันนี้ไม่ใช่จุดเริ่มต้น แต่เป็นจุดสิ้นสุดของการบุกรุกที่อาจกินเวลาหลายวันหรือหลายสัปดาห์ และอาจกินเวลานานหลายเดือน ในช่วงเวลานั้นผู้โจมตีอาจพยายามโปรโมตตัวเองให้มี สถานะเท่าเทียมกับผู้ดูแลระบบที่อาวุโสที่สุด ในบริษัทที่พวกเขาละเมิด
นั่นเป็นสาเหตุที่การโจมตีของแรนซัมแวร์มักจะสร้างความเสียหายอย่างมาก – เพราะเมื่อถึงเวลาที่การโจมตีมาถึง มีแล็ปท็อป เซิร์ฟเวอร์หรือบริการเพียงไม่กี่เครื่องที่อาชญากรไม่สามารถเข้าถึงได้ ดังนั้นพวกเขาจึงเกือบจะสามารถแย่งชิงทุกอย่างได้อย่างแท้จริง
กล่าวอีกนัยหนึ่ง สิ่งที่เกิดขึ้นกับ Uber ในกรณีนี้ไม่ใช่เรื่องราวการละเมิดข้อมูลใหม่หรือไม่ซ้ำใคร
ต่อไปนี้เป็นเคล็ดลับที่กระตุ้นความคิดซึ่งคุณสามารถใช้เป็นจุดเริ่มต้นในการปรับปรุงความปลอดภัยโดยรวมในเครือข่ายของคุณเองได้:
- ผู้จัดการรหัสผ่านและ 2FA ไม่ใช่ยาครอบจักรวาล การใช้รหัสผ่านที่เลือกสรรมาอย่างดีจะช่วยไม่ให้มิจฉาชีพคาดเดาทางเข้าได้ และการรักษาความปลอดภัย 2FA ตามรหัสแบบใช้ครั้งเดียวหรือโทเค็นการเข้าถึงฮาร์ดแวร์ (โดยปกติคือดองเกิล USB หรือ NFC ขนาดเล็กที่ผู้ใช้ต้องพกติดตัว) ทำให้สิ่งต่างๆ ยากขึ้น มักจะยากขึ้นมากสำหรับ ผู้โจมตี แต่กับสิ่งที่เรียกว่า .ในปัจจุบัน การโจมตีที่นำโดยมนุษย์ที่ซึ่ง “คู่ต่อสู้ที่กระตือรือร้น” เข้ามาเกี่ยวข้องเป็นการส่วนตัวและโดยตรงในการบุกรุก คุณต้องช่วยผู้ใช้ของคุณเปลี่ยนพฤติกรรมออนไลน์ทั่วไปของพวกเขา ดังนั้นจึงมีโอกาสน้อยที่จะถูกพูดถึงในกระบวนการหลบเลี่ยง ไม่ว่าขั้นตอนเหล่านั้นจะซับซ้อนและซับซ้อนเพียงใด
- ความปลอดภัยมีอยู่ทุกที่ในเครือข่าย ไม่ใช่แค่ที่ขอบ ทุกวันนี้ ผู้ใช้จำนวนมากต้องการเข้าถึงเครือข่ายของคุณอย่างน้อยบางส่วน – พนักงาน ผู้รับเหมา พนักงานชั่วคราว เจ้าหน้าที่รักษาความปลอดภัย ซัพพลายเออร์ คู่ค้า พนักงานทำความสะอาด ลูกค้า และอื่นๆ หากการตั้งค่าความปลอดภัยนั้นคุ้มค่าที่จะกระชับขึ้นในขอบเขตของเครือข่ายของคุณ ก็ต้องทำให้ "ภายใน" กระชับขึ้นด้วยเช่นกัน สิ่งนี้ใช้ได้เฉพาะกับการแก้ไข อย่างที่เราชอบพูดใน Naked Security “แพทช์ก่อน แพทช์บ่อย แพทช์ทุกที่”
- วัดผลและทดสอบความปลอดภัยทางไซเบอร์ของคุณเป็นประจำ อย่าทึกทักเอาเองว่ามาตรการป้องกันที่คุณคิดว่าใช้ได้ผลจริง อย่าถือว่า; ตรวจสอบเสมอ นอกจากนี้ โปรดจำไว้ว่าเนื่องจากเครื่องมือ เทคนิค และขั้นตอนการโจมตีทางอินเทอร์เน็ตใหม่ ๆ ปรากฏขึ้นตลอดเวลา ข้อควรระวังของคุณจึงจำเป็นต้องตรวจสอบอย่างสม่ำเสมอ พูดง่ายๆ ว่า “ความปลอดภัยทางไซเบอร์คือการเดินทาง ไม่ใช่จุดหมายปลายทาง”
- พิจารณารับความช่วยเหลือจากผู้เชี่ยวชาญ การลงทะเบียนเพื่อรับไฟล์ การตรวจจับและการตอบสนองที่มีการจัดการ บริการ (MDR) ไม่ใช่การยอมรับความล้มเหลว หรือเป็นสัญญาณว่าคุณไม่เข้าใจความปลอดภัยในโลกไซเบอร์ด้วยตนเอง MDR ไม่ใช่การละทิ้งความรับผิดชอบของคุณ แต่เป็นวิธีการที่มีผู้เชี่ยวชาญเฉพาะทางพร้อมเสมอเมื่อคุณต้องการพวกเขาจริงๆ MDR ยังหมายความว่าในกรณีที่มีการโจมตี พนักงานของคุณไม่ต้องละทิ้งทุกสิ่งที่พวกเขากำลังทำอยู่ (รวมถึงงานปกติที่มีความสำคัญต่อความต่อเนื่องของธุรกิจของคุณ) และอาจเปิดช่องโหว่ด้านความปลอดภัยอื่นๆ ไว้ได้
- ใช้แนวทาง Zero-trust Zero-trust ไม่ได้หมายความว่าคุณไม่เคยไว้ใจใครให้ทำอะไรเลย เป็นคำอุปมาสำหรับ "อย่าตั้งสมมติฐาน" และ "อย่าอนุญาตให้ใครทำเกินความจำเป็นอย่างเคร่งครัด" การเข้าถึงเครือข่ายที่ไม่ไว้วางใจ ผลิตภัณฑ์ (ZTNA) ไม่ทำงานเหมือนกับเครื่องมือรักษาความปลอดภัยเครือข่ายแบบเดิม เช่น VPN โดยทั่วไป VPN จะให้วิธีการที่ปลอดภัยสำหรับบุคคลภายนอกในการเข้าสู่เครือข่าย หลังจากนั้นพวกเขามักจะเพลิดเพลินกับอิสระมากกว่าที่พวกเขาต้องการจริงๆ ทำให้พวกเขาสามารถท่อง สอดแนม และแหย่ไปรอบๆ เพื่อค้นหากุญแจไปยังส่วนอื่นๆ ของปราสาท การเข้าถึงแบบ Zero-trust นั้นใช้วิธีการที่ละเอียดกว่ามาก ดังนั้นหากคุณจำเป็นต้องทำเพียงแค่เรียกดูรายการราคาภายในล่าสุด นั่นคือการเข้าถึงที่คุณจะได้รับ คุณจะไม่ได้รับสิทธิ์เข้าไปที่ฟอรัมสนับสนุน สืบค้นประวัติการขาย หรือดึงจมูกของคุณเข้าสู่ฐานข้อมูลซอร์สโค้ด
- ตั้งค่าสายด่วนความปลอดภัยทางไซเบอร์สำหรับพนักงาน หากคุณยังไม่มี ทำให้ทุกคนสามารถรายงานปัญหาความปลอดภัยทางไซเบอร์ได้ง่าย ไม่ว่าจะเป็นสายโทรศัพท์ที่น่าสงสัย ไฟล์แนบอีเมลที่ไม่น่าจะเป็นไปได้ หรือแม้แต่ไฟล์ที่ไม่น่าจะอยู่ในเครือข่าย มีจุดติดต่อเพียงจุดเดียว (เช่น
securityreport@yourbiz.example) ที่ทำให้เพื่อนร่วมงานของคุณโทรหาได้ง่ายและรวดเร็ว - ไม่เคยยอมแพ้คน เทคโนโลยีเพียงอย่างเดียวไม่สามารถแก้ปัญหาความปลอดภัยทางไซเบอร์ทั้งหมดของคุณได้ หากคุณปฏิบัติต่อพนักงานของคุณด้วยความเคารพ และหากคุณยอมรับทัศนคติด้านความปลอดภัยทางไซเบอร์ที่ “คำถามโง่ๆไม่มีหรอก มีแต่คำตอบโง่ๆ”จากนั้นคุณสามารถเปลี่ยนทุกคนในองค์กรให้เป็นหูเป็นตาให้กับทีมรักษาความปลอดภัยของคุณได้
ทำไมไม่เข้าร่วมกับเราตั้งแต่ 26-29 กันยายน 2022 สำหรับปีนี้ Sophos Security SOS สัปดาห์:
สี่คำปราศรัยสั้น ๆ แต่น่าสนใจกับผู้เชี่ยวชาญระดับโลก
เรียนรู้เกี่ยวกับการป้องกัน การตรวจจับ และการตอบสนอง
และวิธีตั้งค่าทีม SecOps ที่ประสบความสำเร็จของคุณเอง:
- blockchain
- เหรียญอัจฉริยะ
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- การละเมิดข้อมูล
- ข้อมูลสูญหาย
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- ไฟร์วอลล์
- แฮ็ค
- Kaspersky
- มัลแวร์
- แมคคาฟี
- ความปลอดภัยเปล่า
- เน็กซ์บล๊อก
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- ความเป็นส่วนตัว
- Uber
- VPN
- ความปลอดภัยของเว็บไซต์
- ลมทะเล
