CYBERSIKKERHED: "Det gjorde de ikke, MEN DU KAN!"
Med Paul Ducklin og Chester Wisniewski
Intro og outro musik af Edith Mudge.
Klik og træk på lydbølgerne nedenfor for at springe til ethvert punkt. Du kan også lytte direkte på Soundcloud.
Du kan lytte til os på Soundcloud, Apple Podcasts, Google Podcasts, Spotify, Stitcher og overalt, hvor gode podcasts findes. Eller bare drop URL til vores RSS-feed til din yndlings podcatcher.
LÆS TRANSCRIPTET
AND. Hej allesammen.
Velkommen til dette specielle mini-afsnit af Naked Security-podcasten.
Mit navn er Paul Ducklin, og jeg har i dag selskab af min ven og kollega Chester Wisniewski.
Chester, jeg tænkte, at vi skulle sige noget om, hvad der er blevet til ugens store historie... det bliver nok månedens store historie!
Jeg vil lige læse dig overskrift Jeg brugte på Naked Security:
"UBER HAR BLEET HACKET, praler af hacker - hvordan man stopper det med at ske for dig."
Så!
Fortæl os alt om det….
CHET. Nå, jeg kan bekræfte, at bilerne stadig kører.
Jeg kommer til dig fra Vancouver, jeg er i centrum, jeg kigger ud af vinduet, og der sidder faktisk en Uber uden for vinduet...
AND. Har den ikke været der hele dagen?
CHET. Nej, det har den ikke. [griner]
Hvis du trykker på knappen for at praje en bil inde i appen, så vær sikker: i øjeblikket ser det ud til, at du faktisk vil have nogen til at komme og give dig en tur.
Men det er ikke nødvendigvis så sikkert, hvis du er ansat hos Uber, at du kommer til at gøre meget af hvad som helst de næste par dage, i betragtning af indvirkningen på deres systemer.
Vi kender ikke mange detaljer, faktisk, Duck, om præcis, hvad der skete.
Men på et meget højt niveau ser konsensus ud til at være, at der var noget social engineering hos en Uber-medarbejder, der gjorde det muligt for nogen at få fodfæste i Ubers netværk.
Og de var i stand til at bevæge sig sideværts, som vi siger, eller pivotere, når de kom indenfor for at finde nogle administrative akkreditiver, der i sidste ende førte til, at de fik nøglerne til Uber-kongeriget.
AND. Så det ligner ikke traditionel datatyveri, nationalstat eller ransomware-angreb, gør det?
CHET. Nej.
Dermed ikke sagt, at en anden måske ikke også har været i deres netværk ved at bruge lignende teknikker – man ved aldrig rigtig.
Faktisk, når vores Rapid Response-team reagerer på hændelser, opdager vi ofte, at der har været mere end én trusselaktør inde i et netværk, fordi de udnyttede lignende adgangsmetoder.
AND. Ja... vi havde endda en historie om to ransomware-skurke, som stort set var ukendte for hinanden, som kom ind på samme tid.
Så nogle af filerne blev krypteret med ransomware-A-then-ransomware-B, og nogle med ransomware-B-efterfulgt af-ransomware-A.
Det var et uhelligt rod...
CHET. Nå, det er gamle nyheder, Duck. [griner]
Vi har siden udgivet endnu en hvor *tre* forskellige ransomwares var på samme netværk.
AND. Åh gud! [STOR LIN] Jeg bliver ved med at grine af det her, men det er forkert. [griner]
CHET. Det er ikke ualmindeligt, at flere trusselsaktører er i, for, som du siger, hvis én person er i stand til at opdage en fejl i din tilgang til at forsvare dit netværk, er der intet, der tyder på, at andre mennesker måske ikke har opdaget den samme fejl.
Men i dette tilfælde tror jeg, at du har ret i, at det ser ud til at være “for the lulz”, om du vil.
Jeg mener, den person, der gjorde det, samlede for det meste trofæer, mens de hoppede gennem netværket – i form af skærmbilleder af alle disse forskellige værktøjer og hjælpeprogrammer og programmer, der var i brug omkring Uber – og postede dem offentligt, tror jeg på gaden cred.
AND. Nu, i et angreb udført af en person, der *ikke* ønskede at prale, kunne den angriber have været en IAB, en indledende adgangsmægler, kunne de ikke?
I så fald ville de ikke have lavet den store larm om det.
De ville have samlet alle adgangskoderne og så stået ud og sagt: "Hvem vil gerne købe dem?"
CHET. Ja, det er super-super farligt!
Så slemt som det ser ud til at være Uber lige nu, især en person på Ubers PR- eller interne sikkerhedshold, er det faktisk det bedst mulige resultat...
…hvilket bare er, at resultatet af dette bliver pinligt, sandsynligvis nogle bøder for at miste følsomme medarbejderoplysninger, den slags.
Men sandheden i sagen er for næsten alle andre, at denne type angreb bliver ofre, slutresultatet ender med at blive ransomware eller flere ransomwares, kombineret med kryptominere og andre former for datatyveri.
Det er langt, langt dyrere for organisationen end blot at være flov.
AND. Så denne idé om skurke, der kommer ind og kan vandre rundt efter behag og vælge, hvor de skal hen...
… er desværre ikke usædvanligt.
CHET. Det understreger virkelig vigtigheden af aktivt at lede efter problemer, i modsætning til at vente på advarsler.
Det er klart, at denne person var i stand til at bryde Uber-sikkerheden uden at udløse nogen advarsler i starten, hvilket gav dem tid til at vandre rundt.
Derfor er trusselsjagt, som terminologien lyder, så kritisk i disse dage.
For jo tættere på minut-nul eller dag-nul, du kan registrere den mistænkelige aktivitet af folk, der stikker rundt i fildelinger og pludselig logger ind på en hel masse systemer serielt i træk - den slags aktiviteter eller masser af RDP-forbindelser flyver rundt på netværket fra konti, der normalt ikke er forbundet med den pågældende aktivitet...
…denne typer af mistænkelige ting kan hjælpe dig med at begrænse mængden af skade, som en person kan forårsage, ved at begrænse mængden af tid, de har til at opklare eventuelle andre sikkerhedsfejl, du måtte have begået, som gjorde det muligt for dem at få adgang til disse administrative legitimationsoplysninger.
Dette er en ting, som mange teams virkelig kæmper med: hvordan ser man, at disse legitime værktøjer bliver misbrugt?
Det er en rigtig udfordring her.
For i dette eksempel lyder det som om en Uber-medarbejder blev narret til at invitere nogen ind, i en forklædning, der lignede dem i sidste ende.
Du har nu fået en legitim medarbejders konto, en der ved et uheld inviterede en kriminel ind på deres computer og render rundt og laver ting, som medarbejder sandsynligvis ikke normalt er forbundet med.
Så det skal virkelig være en del af din overvågning og trusselsjagt: at vide, hvad der virkelig er normalt, så du kan opdage "unormalt normalt".
Fordi de ikke havde ondsindede værktøjer med sig – de bruger værktøjer, der allerede er der.
Vi ved, at de kiggede på PowerShell-scripts, den slags - de ting, du sikkert allerede har.
Hvad der er usædvanligt, er denne person, der interagerer med den PowerShell, eller denne person, der interagerer med den RDP.
Og det er ting, der er meget sværere at holde øje med end blot at vente på, at en advarsel dukker op i dit dashboard.
AND. Så, Chester, hvad er dit råd til virksomheder, der ikke ønsker at finde sig selv i Ubers position?
Selvom dette angreb forståeligt nok har fået en enorm mængde omtale, på grund af de skærmbilleder, der cirkulerer, fordi det ser ud til at være, "Wow, skurkene kom absolut overalt"...
… faktisk er det ikke en unik historie, hvad angår databrud.
CHET. Du spurgte om rådet, hvad ville jeg fortælle en organisation?
Og jeg skal tænke tilbage på en god ven af mig, som var CISO på et større universitet i USA for omkring ti år siden.
Jeg spurgte ham, hvad hans sikkerhedsstrategi var, og han sagde: ”Det er meget enkelt. Antagelse om brud."
Jeg går ud fra, at jeg er blevet brudt, og at der er folk i mit netværk, som jeg ikke vil have i mit netværk.
Så jeg er nødt til at bygge alting med den antagelse, at der allerede er nogen herinde, som ikke burde være det, og spørge: "Har jeg beskyttelsen på plads, selvom opkaldet kommer inde fra huset?"
I dag har vi et buzzword for det: Nul tillid, som de fleste af os er trætte af at sige allerede. [griner]
Men det er tilgangen: antagelse om brud; nul tillid.
Du skal ikke have friheden til blot at strejfe rundt, fordi du tager en forklædning på, der ser ud til at være en ansat i organisationen.
AND. Og det er virkelig nøglen til Zero Trust, er det ikke?
Det betyder ikke: "Du må aldrig stole på, at nogen gør noget."
Det er en slags metafor for at sige: "Antag ingenting", og "Lad være med at give folk tilladelse til at gøre mere, end de har brug for til at udføre opgaven."
CHET. Præcis.
Ud fra den antagelse, at dine angribere ikke får så meget glæde af at komme ud af det faktum, at du blev hacket, som det skete i dette tilfælde...
...du vil sikkert gerne sikre dig, at du har en god måde for personalet at rapportere uregelmæssigheder på, når noget ikke virker rigtigt, for at sikre dig, at de kan give besked til dit sikkerhedsteam.
Fordi taler om databrud dvæle tider fra vores Aktiv modstander Playbook, de kriminelle er oftest på dit netværk i mindst ti dage:
Så du har typisk en solid uge-til-ti-dage, hvor hvis du bare har nogle ørneøjne, der får øje på ting, har du en rigtig god chance for at lukke den ned, inden det værste sker.
AND. For hvis du tænker på, hvordan et typisk phishing-angreb fungerer, er det meget sjældent, at skurkene vil lykkes i det første forsøg.
Og hvis det ikke lykkes i første forsøg, pakker de ikke bare deres kufferter og vandrer af sted.
De prøver den næste person, og den næste person og den næste person.
Hvis de først vil lykkes, når de prøver angrebet på den 50. person, så hvis nogen af de tidligere 49 opdagede det og sagde noget, kunne du have grebet ind og løst problemet.
CHET. Absolut – det er kritisk!
Og du talte om at narre folk til at give 2FA-tokens væk.
Det er en vigtig pointe her – der var multi-faktor autentificering hos Uber, men personen ser ud til at være blevet overbevist om at omgå det.
Og vi ved ikke, hvad den metode var, men de fleste multifaktormetoder har desværre evnen til at blive omgået.
Vi kender alle de tidsbaserede tokens, hvor du får de seks cifre på skærmen, og du bliver bedt om at sætte disse seks cifre ind i appen for at godkende.
Selvfølgelig er der intet, der forhindrer dig i at give de seks cifre til den forkerte person, så de kan autentificere.
Så tofaktorautentificering er ikke en medicin til alle formål, der helbreder al sygdom.
Det er simpelthen et fartbump, der er endnu et skridt på vejen til at blive mere sikker.
AND. En velbestemt skurk, der har tid og tålmodighed til at blive ved med at prøve, kan i sidste ende komme ind.
Og som du siger, er dit mål at minimere den tid, de har til at maksimere afkastet af det faktum, at de fik i første omgang...
CHET. Og den overvågning skal ske hele tiden.
Virksomheder som Uber er store nok til at have deres eget 24/7 sikkerhedsoperationscenter til at overvåge tingene, selvom vi ikke er helt sikre på, hvad der skete her, og hvor længe denne person var i, og hvorfor de ikke blev stoppet
Men de fleste organisationer er ikke nødvendigvis i stand til at kunne gøre det internt.
Det er super praktisk at have eksterne ressourcer tilgængelige, som kan overvåge – *kontinuerligt* overvåge – for denne ondsindede adfærd, hvilket forkorter den tid, den ondsindede aktivitet finder sted endnu mere.
For folk, der måske har regelmæssige it-ansvar og andet arbejde at udføre, kan det være ret svært at se disse legitime værktøjer blive brugt og opdage et bestemt mønster af dem, der bliver brugt som en ondsindet ting...
AND. Buzzwordet, du taler om der, er det, vi kender som MDR, en forkortelse for Administreret detektion og respons, hvor du får en flok eksperter enten til at gøre det for dig eller til at hjælpe dig.
Og jeg tror, at der stadig er en del mennesker derude, som forestiller sig: "Hvis jeg bliver set til at gøre det, ser det så ikke ud til, at jeg har fraskrevet mit ansvar? Er det ikke en indrømmelse af, at jeg absolut ikke ved, hvad jeg laver?”
Og det er det ikke, vel?
Faktisk kan du argumentere for, at det faktisk gør tingene på en mere kontrolleret måde, fordi du vælger folk til at hjælpe dig med at passe dit netværk *der gør det og kun det* for at leve af.
Og det betyder, at dit almindelige it-team og endda dit eget sikkerhedsteam... i tilfælde af en nødsituation, kan de faktisk fortsætte med at gøre alle de andre ting, der skal gøres alligevel, selvom du er under angreb.
CHET. Absolut.
Jeg tror den sidste tanke jeg har er denne...
Opfatt ikke, at et brand som Uber bliver hacket, som at det er umuligt for dig at forsvare dig selv.
Store firmanavne er næsten store trofæjagter efter folk som den person, der er involveret i dette særlige hack.
Og bare fordi en stor virksomhed måske ikke havde den sikkerhed, de burde, betyder det ikke, at du ikke kan!
Der var en masse nederlagssnak blandt mange organisationer, jeg talte med efter nogle tidligere store hacks, som Target og Sony, og nogle af disse hacks, som vi havde i nyhederne for ti år siden.
Og folk tænkte: "Aaargh... hvis de med alle ressourcerne fra Target ikke kan forsvare sig selv, hvilket håb er der så for mig?"
Og det tror jeg slet ikke er rigtigt.
I de fleste af disse tilfælde blev de målrettet, fordi de var meget store organisationer, og der var et meget lille hul i deres tilgang, som nogen kunne komme ind igennem.
Det betyder ikke, at du ikke har en chance for at forsvare dig selv.
Dette var social engineering, efterfulgt af nogle tvivlsomme praksisser med at gemme adgangskoder i PowerShell-filer.
Det er ting, som du meget nemt kan holde øje med, og uddanne dine medarbejdere i, for at sikre, at du ikke begår de samme fejl.
Bare fordi Uber ikke kan gøre det, betyder det ikke, at du ikke kan!
AND. Faktisk – jeg synes, det er meget godt sagt, Chester.
Har du noget imod, hvis jeg slutter med en af mine traditionelle klicheer?
(Tingen med klicheer er, at de generelt bliver klicheer ved at være sande og nyttige.)
Efter hændelser som denne: "De, der ikke kan huske historien, er dømt til at gentage den - vær ikke den person!"
Chester, mange tak, fordi du tog dig tid ud af din travle hverdag, for jeg ved, at du faktisk har en online snak at lave i aften.
Så mange tak for det.
Og lad os afslutte på vores sædvanlige måde med at sige: "Indtil næste gang, vær sikker."
[MUSIK MODEM]
- blockchain
- coingenius
- cryptocurrency tegnebøger
- kryptoverveksling
- cybersikkerhed
- cyberkriminelle
- Cybersecurity
- datatab
- afdeling for indenrigssikkerhed
- digitale tegnebøger
- firewall
- Kaspersky
- malware
- Mcafee
- Naked Security
- Nexbloc
- plato
- platon ai
- Platon Data Intelligence
- Platon spil
- PlatoData
- platogaming
- podcast
- Sikkerhedsledelse
- VPN
- website sikkerhed
- zephyrnet
![S3 Ep116: Sidste dråbe til LastPass? Er krypto dømt? [Lyd + tekst]](https://platoaistream.net/wp-content/uploads/2023/01/s3-ep116-last-straw-for-lastpass-is-crypto-doomed-audio-text-360x220.jpg)
