Ko galime išmokti iš „Capital One Hack“ – Krebsas apie saugumą
Pirmadienį buvęs „Amazon“ darbuotojas buvo areštuotas ir apkaltintas pavogus daugiau nei 100 milijonų vartotojų kredito paraiškų iš „Capital One“. Nuo to laiko daugelis spėja, kad pažeidimas galbūt atsirado dėl anksčiau nežinomo „nulio dienos“ trūkumo arba „viešai neatskleisto“ išpuolio, kai kaltinamoji pasinaudojo slapta iš savo buvusio darbdavio suteikta prieiga. Tačiau nauja informacija rodo, kad jos taikomi metodai buvo daugelį metų gerai suprantami.
Toliau pateikiama remiantis beveik dvylikos saugumo ekspertų interviu, įskaitant asmenį, kuriam suteikta išsami informacija apie vykdomą pažeidimų tyrimą. Kadangi šis incidentas susijęs su šiek tiek žargoninėmis ir ezoterinėmis sąvokomis, didžioji dalis to, kas aprašyta toliau, buvo dramatiškai supaprastinta. Kiekvienas, norintis techniškesnio čia nurodytų pagrindinių sąvokų paaiškinimo, turėtų ištirti keletą iš daugelio šioje istorijoje esančių nuorodų.
Pasak šaltinio, tiesiogiai žinančio apie pažeidimo tyrimą, problema iš dalies kilo dėl neteisingai sukonfigūruoto atvirojo kodo žiniatinklio programų užkardos (WAF), kurią „Capital One“ naudojo vykdydama debesyje priglobtas operacijas su „Amazon Web Services“ (AWS). .
Šis „WAF“, žinomas kaip „ModSecurity“, yra diegiamas kartu su atviruoju šaltiniu Apache Tinklo serveris teikia apsaugą nuo kelių rūšių pažeidžiamumų, kuriuos užpuolikai dažniausiai naudoja pažeisdami žiniatinklio programų saugumą.
Neteisinga WAF konfigūracija leido įsibrovėliui apgauti užkardą perduoti užklausas pagrindiniam AWS platformos ištekliui. Šis išteklius, žinomas kaip „metaduomenų“ paslauga, yra atsakingas už laikinos informacijos, susijusios su debesies serveriu, pateikimą, įskaitant dabartinius kredencialus, išsiųstus iš saugos tarnybos, norint pasiekti bet kurį debesies išteklių, prie kurio prieinamas tas serveris.
AWS tiksliai tai, ką tie kredencialai gali būti naudojami, norint susieti teises, reikalaujančias išteklių, kurie jų reikalauja. „Capital One“ atveju neteisingai sukonfigūruotam WAF dėl kokių nors priežasčių buvo suteikta per daug leidimų, ty buvo leista išvardyti visus failus bet kuriuose duomenų segmentuose ir perskaityti kiekvieno iš šių failų turinį.
Pažeidėjo, kurį įsibrovėlis naudoja „Capital One“ įsilaužime, tipas yra gerai žinomas metodas, vadinamas „Server Side Request Forgery“ (SSRF) ataka, kai serverį (šiuo atveju „CapOne“ WAF) galima apgauti vykdant komandas kad niekada neturėjo būti leidžiama paleisti, įskaitant tuos, kurie leidžia kalbėtis su metaduomenų tarnyba.
Evanas Johnsonas, produkto saugumo komandos vadovas Debesėlis, neseniai parašė lengvai įsisavinamą „Capital One“ įsilaužimo skiltį ir iššūkius aptikti ir blokuoti SSRF atakas, nukreiptas į debesų paslaugas. Johnsonas teigė, kad verta paminėti, kad SSRF atakos nėra tarp keliolikos atakų metodų, kurių aptikimo taisyklės pagal nutylėjimą yra siunčiamos WAF, kuris naudojamas kaip įsibrovimo į kapitalą dalis.
„SSRF tapo rimčiausiu pažeidžiamumu, su kuriuo susiduria organizacijos, naudojančios viešuosius debesis”, – rašė Johnsonas. „SSRF poveikį blogina viešų debesų pasiūla, o pagrindiniai žaidėjai, pavyzdžiui, AWS, nieko nedaro, kad tai ištaisytų. Problema yra įprasta ir gerai žinoma, tačiau jos sunku išvengti ir jos AWS platformoje nėra jokių sušvelninimų “.
Johnsonas teigė, kad AWS galėtų pašalinti šį trūkumą įtraukdama papildomą identifikavimo informaciją į bet kurią metaduomenų tarnybai siunčiamą užklausą, kaip „Google“ jau padarė su savo debesies prieglobos platforma. Jis taip pat pripažino, kad tai padarius, AWS suderinamumas gali sulaužyti daug atgal.
„Yra daug specializuotų žinių, susijusių su paslaugų teikimu AWS, ir tiems, kurie neturi specialių žinių apie AWS, [SSRF attacks are] ne tai, kas būtų rodoma bet kuriame kritiniame konfigūravimo vadove “, – interviu„ KrebsOnSecurity “sakė Johnsonas.
„Jūs turite išmokti, kaip veikia EC2, suprasti„ Amazon “tapatybės ir prieigos valdymo (IAM) sistemą ir autentifikuoti naudojant kitas AWS paslaugas“, – tęsė jis. „Daugelis žmonių, naudojančių AWS, sąveikaus su dešimtimis AWS paslaugų ir rašys programinę įrangą, kuri organizuoja ir automatizuoja naujas paslaugas, tačiau galų gale žmonės tikrai pasirenka toną AWS, o kartu atsiranda ir daugybė specializuotų žinių, kurias sunku išmokti. ir sunku susitvarkyti “.
„Amazon“ pareiškime, pateiktame „KrebsOnSecurity“, yra netikslu teigti, kad „Capital One“ pažeidimą bet kokiu būdu sukėlė AWS IAM, egzemplioriaus metaduomenų tarnyba arba AWS WAF.
„Įsilaužimą sukėlė neteisinga žiniatinklio programų užkardos konfigūracija, o ne pagrindinė infrastruktūra ar infrastruktūros vieta”, – sakoma pranešime. „AWS nuolat teikia paslaugas ir funkcijas, kad būtų galima numatyti naujas grėsmes, siūlant daugiau saugumo galimybių ir lygių, nei klientai gali rasti bet kur kitur, įskaitant savo duomenų centruose, o plačiai naudojami, tinkamai sukonfigūruoti ir stebimi siūlo neprilygstamą saugumą ir kelią saugus naudojimasis AWS klientams, vyresniems nei 13 metų, suteikia aiškių įrodymų, kad šie sluoksniai veikia “.
„Amazon“ atkreipė dėmesį į kelias (daugiausia „a la carte“) paslaugas, kurias ji siūlo AWS klientams, kad padėtų sušvelninti daugelį grėsmių, kurios buvo pagrindiniai šio pažeidimo veiksniai, įskaitant:
– „Access Advisor“, kuris padeda nustatyti ir išplėsti AWS vaidmenis, kurie gali turėti daugiau teisių, nei jiems reikia;
–GuardDuty, skirtas kelti pavojaus signalus, kai kas nors ieško potencialiai pažeidžiamų sistemų ar perkelia neįprastai didelius duomenų kiekius į netikėtas vietas arba iš jų;
–AWS WAF, kuris, anot „Amazon“, gali aptikti įprastus išnaudojimo būdus, įskaitant SSRF atakas;
–Amazon Macie, sukurta automatiškai atrasti, klasifikuoti ir apsaugoti neskelbtinus duomenis, saugomus AWS.
William Bengston, buvęs vyresnysis saugumo inžinierius „Netflix“, pernai parašė tinklaraščio įrašų seriją apie tai, kaip „Netflix“ sukūrė savo sistemas, kad aptiktų ir užkirstų kelią AWS kredencialų kompromisams. Įdomu tai, kad maždaug prieš du mėnesius Bengstonas buvo pasamdytas „Capital One“ debesų saugumo direktoriumi. Spėju, kad „Capital One“ dabar nori, kad kažkaip pavyktų jį greičiau išvilioti.
Richas Mogullas yra įmonės „DisruptOPS“, padedančios įmonėms apsaugoti debesų infrastruktūrą, įkūrėjas ir vyriausiasis pareigūnas. Mogullas teigė, kad vienas didžiausių iššūkių įmonėms, perkeliančioms savo veiklą iš besiplečiančių, brangių fizinių duomenų centrų į debesį, yra tai, kad labai dažnai už šio perėjimo tvarkymą atsakingi darbuotojai yra programų ir programinės įrangos kūrėjai, kurie gali būti ne taip stipriai apimti saugumo.
„Yra pagrindinių įgūdžių ir žinių spraga, su kuria visi pramonės atstovai kovoja šiuo metu”, – sakė Mogullas. „Šioms didelėms įmonėms, kurios juda, jie turi išmokti visus šiuos naujus dalykus, išlaikydami savo senus dalykus. Aš galiu jus lengviau apsaugoti debesyje lengviau nei vietoje fiziniame duomenų centre, bet jums bus pereinamasis laikotarpis, kai jūs įgyjate tų naujų žinių. “
Kadangi pirmadienį pasirodė naujienos apie „Capital One“ pažeidimą, „KrebsOnSecurity“ gavo daugybę el. Laiškų ir telefono skambučių iš saugumo vadovų, kurie labai nori gauti daugiau informacijos apie tai, kaip jiems pavyks išvengti klaidų, dėl kurių įvyko šis milžiniškas pažeidimas, auka (iš tikrųjų tos užklausos buvo dalis šios istorijos postūmio).
Kai kuriems iš tų žmonių priklausė didelių konkuruojančių bankų vadovai, kurie dar neįsigilino į debesį taip giliai, kaip tai padarė „Capital One“. Bet turbūt nedaug yra sakyti, kad jie visi rikiuojasi priešais nardymo lentą.
Per pastaruosius porą metų buvo įdomu stebėti, kaip įvairūs debesijos paslaugų teikėjai reagavo į didelius savo platformų sutrikimus – labai dažnai netrukus po to, kai paskelbė išsamius post mortem apie pagrindines nutraukimo priežastis ir ką jie daro, kad išvengtų tokių įvykių ateitis. Lygiai taip pat būtų nuostabu, jei tokio pobūdžio viešoji apskaita būtų išplėsta ir kitose didelėse įmonėse po didelio pažeidimo.
Neturiu daug vilties, kad tokią informaciją gausime oficialiai iš „Capital One“, kuri atsisakė komentuoti įrašą ir nukreipė mane į jų pareiškimą dėl pažeidimo ir į Teisingumo departamento skundą dėl įsilaužėlio. To tikriausiai ir reikia tikėtis, nes įmonė jau nagrinėja grupinių ieškinių bylą dėl pažeidimo ir, tikėtina, bus nukreipta į kitus teismo procesus.
Tačiau tol, kol viešą ir privatų atsakymą į duomenų pažeidimus pirmiausia organizuos advokatai (kas, be abejo, dabar yra daugumoje pagrindinių korporacijų), visiems kitiems ir toliau nebus naudinga mokytis iš tų pačių klaidų ir jų išvengti.