Tüm hesaplara göre ve ne yazık ki birçoğu var, bir bilgisayar korsanı - ağınızı yasadışı bir şekilde kırmak ve girmek anlamda değil bir süper-zor-kodlama-problemlerini korkak bir şekilde çöz sense - araç paylaşım şirketi Uber'e girdi.
Bir göre rapor BBC'ye göre, bilgisayar korsanının sadece 18 yaşında olduğu ve saldırıyı ünlü İngiliz dağcıyı sürükleyen aynı türden bir nedenden dolayı gerçekleştirmiş olduğu söyleniyor. George Mallory 1920'lerde Everest Dağı'nı zirveye çıkarmaya çalışmak (ve sonunda bu girişimde ölmek) için...
..."çünkü orada."
Uber, anlaşılır bir şekilde, şimdiye kadar [2022-09-16T15:45Z] söylemekten çok daha fazlasını söylemedi. duyurmak : Twitter
Şu anda bir siber güvenlik olayına müdahale ediyoruz. Kolluk kuvvetleriyle temas halindeyiz ve ek güncellemeler geldikçe burada yayınlayacağız.
- Uber Comms (@Uber_Comms) Eylül 16, 2022
Şimdiye kadar ne kadar biliyoruz?
Twitter'da gördüğümüz ekran görüntülerine dayanarak, izinsiz girişin ölçeği iddia edilen bilgisayar korsanının önerdiği kadar genişse, özellikle kolluk kuvvetleri göz önüne alındığında, Uber'in henüz belirli bir bilgi sunmamasına şaşırmadık. soruşturmaya katıldı.
Siber olay adli bilişimi söz konusu olduğunda, şeytan gerçekten ayrıntılarda.
Bununla birlikte, iddiaya göre hacker'ın kendisi tarafından yayınlanmış ve geniş çapta dağıtılmış olan kamuya açık veriler, bu hack'in altında yatan iki neden olduğunu gösteriyor gibi görünüyor ve bunu bir ortaçağ benzetmesiyle açıklayacağız.
Davetsiz misafir:
- Avluya girmeleri için içeriden birini kandırdı ya da şatonun dış avlusu. Bu, en dıştaki kale duvarının içindeki alandır, ancak en iyi korunan kısımdan ayrıdır.
- Kaleye nasıl erişileceğini açıklayan gözetimsiz ayrıntılar bulundu veya höyük. Adından da anlaşılacağı gibi, tutmak geleneksel bir ortaçağ Avrupa kalesinin merkezi savunma kalesidir.
İlk kırılma
Kale avlusunun 21. yüzyıl eşdeğerine doğru yolunuzu açmak için kullanılan jargon terimi sosyal mühendislik.
Hepimizin bildiği gibi, var çok şekilde Saldırganların zamanı, sabrı ve gab yeteneğiyle, bilgili ve iyi niyetli bir kullanıcıyı bile onları dışarıda tutması gereken güvenlik süreçlerini atlamalarına yardımcı olmaya ikna edebileceğini.
Otomatik veya yarı otomatik sosyal mühendislik hileleri, e-posta ve anlık ileti tabanlı kimlik avı dolandırıcılıklarını içerir.
Bu dolandırıcılıklar, kullanıcıları, çoğu zaman 2FA kodları da dahil olmak üzere, gerçek bir anlaşma gibi görünen ancak aslında gerekli erişim kodlarını saldırganlara ileten sahte web sitelerine giriş bilgilerini girmeye yönlendirir.
Halihazırda oturum açmış ve bu nedenle mevcut oturumu için geçici olarak kimliği doğrulanmış bir kullanıcı için, saldırganlar sözde çerezler veya erişim belirteçleri kullanıcının bilgisayarında.
Örneğin, mevcut oturumları ele geçiren kötü amaçlı yazılımlar yerleştirerek, saldırganlar, kullanıcının sıfırdan oturum açmak için ihtiyaç duyduğu olağan kimlik bilgilerinin hiçbirine ihtiyaç duymadan, tamamen devralacak kadar uzun süre meşru bir kullanıcı gibi davranabilir:
Ve eğer her şey başarısız olursa – ya da belki de yukarıda açıklanan mekanik yöntemleri denemek yerine – saldırganlar, nasıl olduğuna bağlı olarak basitçe bir kullanıcıyı çağırabilir ve onları büyüleyebilir ya da onları kandırabilir, yalvarabilir, rüşvet verebilir ya da kandırabilir ya da tehdit edebilir. konuşma açılır.
Nitelikli sosyal mühendisler genellikle iyi niyetli kullanıcıları sadece ilk etapta kapıyı açmaya değil, aynı zamanda saldırganların içeri girmesini daha da kolaylaştırmak için açık tutmaya ve hatta belki de saldırganın çantalarını ve çantalarını taşımaya ikna edebilirler. onlara daha sonra nereye gideceklerini gösterin.
Bill Gates, Elon Musk ve Apple da dahil olmak üzere 2020 mavi bayraklı Twitter hesabının ele geçirildiği ve bir kripto para birimi dolandırıcılığını teşvik etmek için kullanıldığı 45'nin rezil Twitter hack'i bu şekilde gerçekleştirildi.
Doğru şeyi yapmak için çok uğraşan ve sonunda tam tersini yapan destek personeli tarafından gerçekleştirilen bu hackleme, kültürel olduğu kadar teknik de değildi:
Tam uzlaşma
Avludan kalenin iç kısmına girmenin jargonu şudur: ayrıcalık yükselmesi.
Tipik olarak, saldırganlar bilinen güvenlik açıklarını dahili olarak arayacak ve kullanacaklardır, ancak savunucular ağ çevresinde onlara karşı koruma sağlama zahmetine katlandıkları için bunları dışarıdan kullanmanın bir yolunu bulamasalar bile.
Örneğin, izinsiz girişler hakkında yakın zamanda yayınladığımız bir ankette, Sophos Hızlı Yanıt ekibin 2021'de araştırdığı bir çalışmada, saldırganların dış duvarı aşıp bailey'e girdiği ilk izinsiz girişlerin yalnızca %15'inde suçluların RDP kullanarak içeri girebildiğini bulduk.
(RDP kısaltmasıdır uzak masaüstü protokolüve bu, X kullanıcısının Y bilgisayarında uzaktan çalışmasına izin vermek için tasarlanmış, yaygın olarak kullanılan bir Windows bileşenidir; burada Y, genellikle kendi ekranı ve klavyesi olmayan bir sunucudur ve aslında bir sunucu odasında yeraltında üç kat olabilir. veya bir bulut veri merkezinde dünya çapında.)
Ancak saldırıların %80'inde suçlular, ağda neredeyse istedikleri gibi dolaşmak için içeri girdiklerinde RDP'yi kullandılar:
Endişe verici bir şekilde, fidye yazılımı dahil olmadığında (çünkü bir fidye yazılımı saldırısı, ihlal edildiğinizi anında ortaya çıkarır!), suçluların ortalama ortalama süre. fark edilmeden ağda gezinme 34 gündü – bir takvim ayından fazla:
Uber olayı
İlk sosyal mühendisliğin (hackleme jargonunda SE olarak kısaltılmıştır) nasıl yürütüldüğünden henüz emin değiliz, ancak tehdit araştırmacısı Bill Demirkapı, bir ekran görüntüsünü tweetledi bu, (kesin ayrıntılar çıkarılarak) ayrıcalığın nasıl yükseltildiğini ortaya koyuyor gibi görünüyor.
Görünüşe göre, bilgisayar korsanı normal bir kullanıcı olarak başlamış ve bu nedenle ağın yalnızca bazı bölümlerine erişebilmiş olsa da…
…ağdaki korumasız paylaşımlar üzerinde biraz gezinme ve gözetleme, bir grup PowerShell betiği içeren açık bir ağ dizini ortaya çıkardı…
…bu, jargonda PAM olarak bilinen bir ürüne yönetici erişimi için sabit kodlanmış güvenlik kimlik bilgilerini içeriyordu. Ayrıcalıklı Erişim Yöneticisi.
Adından da anlaşılacağı gibi, bir PAM, bir kuruluş tarafından kullanılan diğer ürün ve hizmetlerin tümüne (veya en azından birçoğuna) yönelik kimlik bilgilerini yönetmek ve bunlara erişimi kontrol etmek için kullanılan bir sistemdir.
Muhtemelen mütevazi ve belki de çok sınırlı bir kullanıcı hesabıyla yola çıkan saldırgan, Uber'in küresel BT operasyonlarının ueber şifrelerinin çoğunun kilidini açan bir ueber-ueber şifresine rastladı.
Bilgisayar korsanının PAM veritabanını açmaya değer verdikten sonra ne kadar geniş bir alanda dolaşabildiğinden emin değiliz, ancak çok sayıda kaynaktan gelen Twitter gönderileri, saldırganın Uber'in BT altyapısının çoğuna nüfuz edebildiğini gösteriyor.
Bilgisayar korsanının, en azından aşağıdaki iş sistemlerine eriştiklerini göstermek için verileri boşalttığı iddia ediliyor: Gevşek çalışma alanları; Uber'in tehdit koruma yazılımı (genellikle hala gelişigüzel bir şekilde Anti-virüs); bir AWS konsolu; şirket seyahat ve masraf bilgileri (çalışan isimleri dahil); vSphere sanal sunucu konsolu; Google Workspaces'in bir listesi; ve hatta Uber'in kendi hata ödül servisi.
(Görünüşe göre ve ironik bir şekilde, hata ödül hizmeti, bilgisayar korsanının başlıkta gösterildiği gibi yüksek sesle büyük harflerle övündüğü yerdi. UBER HACK EDİLDİ.)
Ne yapalım?
Bu durumda parmakları Uber'e yöneltmek ve bu ihlalin, yalnızca yüksek sesle ve çok kamusal doğası nedeniyle, çoğundan çok daha kötü olarak kabul edilmesi gerektiğini ima etmek kolaydır.
Ancak talihsiz gerçek şu ki, çoğu olmasa da çoğu çağdaş siber saldırı, saldırganların tam olarak bu derecede erişim elde etmesini içerdiği ortaya çıktı…
…ya da en azından potansiyel olarak bu düzeyde bir erişime sahip olmaları, nihayetinde sahip olabilecekleri her yeri kurcalamamış olsalar bile.
Ne de olsa, bugünlerde pek çok fidye yazılımı saldırısı, muhtemelen günler veya haftalar süren ve aylarca sürmüş olabilecek bir izinsiz girişin başlangıcını değil, sonunu temsil ediyor; en kıdemli sistem yöneticisi ile eşit statü şirkette ihlal ettiler.
Bu nedenle fidye yazılımı saldırıları genellikle çok yıkıcıdır - çünkü saldırı geldiğinde, suçluların erişmeye çalışmadığı birkaç dizüstü bilgisayar, sunucu veya hizmet vardır, bu nedenle neredeyse her şeyi karıştırabilirler.
Başka bir deyişle, bu durumda Uber'in başına gelenler, yeni veya benzersiz bir veri ihlali hikayesi değil.
İşte kendi ağınızda genel güvenliği artırmak için bir başlangıç noktası olarak kullanabileceğiniz bazı düşündürücü ipuçları:
- Parola yöneticileri ve 2FA her derde deva değildir. İyi seçilmiş parolaların kullanılması, dolandırıcıların yollarını tahmin etmesini engeller ve tek seferlik kodlara veya donanım erişim belirteçlerine (genellikle bir kullanıcının yanlarında taşıması gereken küçük USB veya NFC dongle'ları) dayalı 2FA güvenliği işleri daha da zorlaştırır, çoğu zaman daha da zorlaştırır. saldırganlar. Ama bugünün sözde karşı insan kaynaklı saldırılar, "aktif düşmanların" kendilerini kişisel olarak ve doğrudan izinsiz girişe dahil ettikleri durumlarda, kullanıcılarınızın genel çevrimiçi davranışlarını değiştirmelerine yardımcı olmanız gerekir, böylece bu prosedürler ne kadar kapsamlı ve karmaşık olursa olsun, yanılma prosedürleri konusunda konuşulmaları daha az olasıdır.
- Güvenlik, yalnızca uçta değil, ağda her yere aittir. Bugünlerde çok sayıda kullanıcının ağınızın en azından bir kısmına erişmesi gerekiyor - çalışanlar, yükleniciler, geçici personel, güvenlik görevlileri, tedarikçiler, ortaklar, temizlikçiler, müşteriler ve daha fazlası. Bir güvenlik ayarı, ağ çevreniz gibi hissettiren bir şekilde sıkılaştırmaya değerse, o zaman neredeyse kesinlikle "içeride" de sıkılaştırmaya ihtiyacı vardır. Bu özellikle yama için geçerlidir. Çıplak Güvenlik'te söylemek istediğimiz gibi, "Erken yama yapın, sık yama yapın, her yeri yamalayın."
- Siber güvenliğinizi düzenli olarak ölçün ve test edin. Aldığınızı düşündüğünüz önlemlerin gerçekten işe yaradığını asla varsaymayın. varsaymayın; her zaman doğrulayın. Ayrıca, yeni siber saldırı araçları, teknikleri ve prosedürleri her zaman ortaya çıktığından, önlemlerinizin düzenli olarak gözden geçirilmesi gerektiğini unutmayın. Basit kelimelerle, "Siber güvenlik bir yolculuktur, bir varış noktası değil."
- Uzman yardımı almayı düşünün. için kaydolmak Yönetilen Tespit ve Yanıt (MDR) hizmeti, bir hata kabulü veya siber güvenliği anlamadığınızın bir işareti değildir. MDR, sorumluluğunuzun ortadan kaldırılması değildir - gerçekten ihtiyacınız olduğunda uzman uzmanların elinizin altında olmasını sağlamanın bir yoludur. MDR ayrıca bir saldırı durumunda, kendi personelinizin şu anda yapmakta oldukları her şeyi (işinizin devamlılığı için hayati önem taşıyan düzenli görevler dahil) bırakmak zorunda kalmaması ve dolayısıyla potansiyel olarak diğer güvenlik açıklarını açık bırakması anlamına gelir.
- Sıfır güven yaklaşımını benimseyin. Sıfır güven, kelimenin tam anlamıyla kimseye bir şey yapması için asla güvenmediğiniz anlamına gelmez. Bu, "hiçbir varsayımda bulunmamak" ve "hiç kimseye kesinlikle ihtiyaç duyduğundan fazlasını yapması için yetki vermemek" için bir metafordur. Sıfır güven ağ erişimi (ZTNA) ürünleri, VPN'ler gibi geleneksel ağ güvenliği araçları gibi çalışmaz. Bir VPN genellikle, dışarıdaki birinin ağa genel olarak kabul edilmesi için güvenli bir yol sağlar, bundan sonra genellikle gerçekten ihtiyaç duyduklarından çok daha fazla özgürlüğün tadını çıkarırlar, gezinmelerine, gözetlemelerine ve kalenin geri kalanının anahtarlarını aramalarına izin verir. Sıfır güven erişimi çok daha ayrıntılı bir yaklaşım gerektirir, bu nedenle gerçekten yapmanız gereken tek şey en son dahili fiyat listesine göz atmaksa, alacağınız erişim budur. Ayrıca destek forumlarına girme, satış kayıtlarında gezinme veya kaynak kodu veritabanına burnunuzu sokma hakkınız da olmayacak.
- Henüz yoksa, personel için bir siber güvenlik hattı kurun. Herkesin siber güvenlik sorunlarını bildirmesini kolaylaştırın. Şüpheli bir telefon görüşmesi, olası olmayan bir e-posta eki veya hatta muhtemelen ağda olmaması gereken bir dosya olsun, tek bir iletişim noktasına sahip olun (örn.
securityreport@yourbiz.example) bu, iş arkadaşlarınızın onu aramasını hızlı ve kolay hale getirir. - İnsanlardan asla vazgeçme. Teknoloji tek başına tüm siber güvenlik sorunlarınızı çözemez. Çalışanlarınıza saygılı davranırsanız ve siber güvenlik tavrını benimserseniz, "aptalca soru diye bir şey yoktur, sadece aptalca bir cevap vardır", ardından kuruluştaki herkesi güvenlik ekibiniz için göz ve kulak haline getirebilirsiniz.
Bu yılki 26-29 Eylül 2022 tarihleri arasında neden bize katılmıyorsunuz? Sophos Güvenlik SOS Haftası:
Dünya uzmanlarıyla dört kısa ama etkileyici konuşma.
Koruma, tespit ve müdahale hakkında bilgi edinin,
ve kendi başarılı SecOps ekibinizi nasıl kurabilirsiniz:
- blockchain
- zeka
- cryptocurrency cüzdanlar
- kripto değişimi
- siber güvenlik
- siber suçluların
- Siber güvenlik
- veri ihlali
- Veri Kaybı
- iç güvenlik bakanlığı
- dijital cüzdanlar
- güvenlik duvarı
- hack
- Kaspersky
- kötü amaçlı yazılım
- Mcafee
- Çıplak Güvenlik
- NexBLOC
- Platon
- plato yapay zekası
- Plato Veri Zekası
- Plato Oyunu
- PlatoVeri
- plato oyunu
- gizlilik
- Uber
- VPN
- web sitesi güvenliği
- zefirnet
