S3 Ep100.5: نقض Uber - یک متخصص صحبت می کند [صوت + متن]

برای پرش به هر نقطه، روی امواج صوتی زیر کلیک کنید و بکشید. شما همچنین می توانید مستقیم گوش کن در Soundcloud

[مودم موزیکال]

اردک.  سلام به همه.

به این مینی قسمت ویژه پادکست امنیت برهنه خوش آمدید.

نام من پل داکلین است و امروز دوست و همکارم چستر ویسنیوسکی به من ملحق شده است.

چستر، فکر کردم باید چیزی در مورد آنچه که به داستان بزرگ هفته تبدیل شده است بگوییم ... احتمالاً داستان بزرگ ماه خواهد بود!

من فقط شما را می خوانم عنوان من در Naked Security استفاده کردم:

"اوبر هک شده است، به هکر می بالد - چگونه از وقوع آن جلوگیری کنیم."

بنابراین!

همه چیز را درباره ی آن به ما بگو….

---

CHET.  خوب، من می توانم تأیید کنم که ماشین ها هنوز در حال رانندگی هستند.

من از ونکوور نزد شما می آیم، من در مرکز شهر هستم، از پنجره به بیرون نگاه می کنم، و در واقع یک اوبر بیرون از پنجره نشسته است…

---

اردک.  تمام روز آنجا نبوده است؟

---

CHET.  نه، این کار را نکرده است. [می خندد]

اگر دکمه ضربه زدن به ماشین را در داخل برنامه فشار دهید، مطمئن باشید: در حال حاضر، به نظر می‌رسد که واقعاً کسی خواهید آمد و شما را سوار می‌کند.

اما اگر کارمند اوبر هستید، لزوماً مطمئن نیستید که با توجه به تأثیری که بر سیستم‌های اوبر می‌گذارد، در چند روز آینده کارهای زیادی را انجام خواهید داد.

ما جزئیات زیادی را نمی دانیم، در واقع، داک، دقیقاً چه اتفاقی افتاده است.

اما، در سطح بسیار بالایی، به نظر می‌رسد اتفاق نظر این است که مهندسی اجتماعی یکی از کارمندان اوبر وجود داشته است که به کسی اجازه می‌دهد در شبکه اوبر جای پایی پیدا کند.

و آن‌ها می‌توانستند به‌طور جانبی، همانطور که می‌گوییم، حرکت کنند یا به محض ورود به داخل، برای یافتن برخی از اعتبارنامه‌های اداری که در نهایت باعث شد کلیدهای پادشاهی اوبر را در اختیار داشته باشند، حرکت کنند.

---

اردک.  بنابراین به نظر نمی رسد که این یک سرقت سنتی داده ها، یا دولت ملی یا حمله باج افزار باشد، اینطور نیست؟

---

CHET.  شماره

این بدان معنا نیست که ممکن است شخص دیگری نیز با استفاده از تکنیک های مشابه در شبکه آنها نبوده باشد - شما واقعاً هرگز نمی دانید.

در واقع، زمانی که تیم واکنش سریع ما به حوادث پاسخ می‌دهد، اغلب متوجه می‌شویم که بیش از یک عامل تهدید در داخل یک شبکه وجود داشته است، زیرا آنها از روش‌های دسترسی مشابهی استفاده می‌کنند.

---

اردک.  بله... ما حتی داستان دو کلاهبردار باج‌افزار را داشتیم که اساساً برای یکدیگر ناشناخته بودند و همزمان وارد آن شدند.

بنابراین، برخی از فایل‌ها با باج‌افزار-A-سپس-ransomware-B، و برخی با باج‌افزار-B-به دنبال-باج‌افزار-A رمزگذاری شدند.

این یک آشفتگی نامقدس بود…

---

CHET.  خب، این خبر قدیمی است، اردک. [می خندد]

ما از آن زمان یکی دیگر را در آنجا منتشر کرده ایم *سه* باج افزار مختلف در همین شبکه بودند

---

اردک.  اوه عزیزم! [خنده بزرگ] من به این موضوع می خندم، اما این اشتباه است. [می خندد]

---

CHET.  حضور چندین عامل تهدید غیرمعمول نیست، زیرا، همانطور که شما می گویید، اگر یک نفر بتواند نقصی را در رویکرد شما برای دفاع از شبکه شما کشف کند، هیچ چیزی وجود ندارد که نشان دهد افراد دیگر ممکن است همان نقص را کشف نکرده باشند.

اما در این مورد، فکر می‌کنم حق با شماست، از این جهت که به نظر می‌رسد "برای لولز" است.

منظورم این است که شخصی که این کار را انجام داد، بیشتر در حال جمع‌آوری غنائم بود که از طریق شبکه پرش می‌کردند - به شکل اسکرین شات از همه این ابزارها و ابزارهای مختلف و برنامه‌هایی که در اطراف اوبر استفاده می‌شدند - و آنها را به صورت عمومی پست می‌کردند، حدس می‌زنم برای خیابان. اعتقاد

---

اردک.  حالا، در حمله‌ای که توسط شخصی انجام می‌شود که *نمی‌خواهد* لاف بزند، آن مهاجم می‌توانست یک IAB، یک واسطه دسترسی اولیه باشد، اینطور نیست؟

در این صورت، آنها سر و صدای زیادی در مورد آن ایجاد نمی کردند.

آنها همه رمزهای عبور را جمع آوری می کردند و سپس بیرون می آمدند و می گفتند: "چه کسی دوست دارد آنها را بخرد؟"

---

CHET.  بله، این فوق العاده خطرناک است!

هر چقدر هم که در حال حاضر Uber بد به نظر می رسد، به ویژه فردی در تیم های روابط عمومی یا امنیت داخلی Uber، در واقع بهترین نتیجه ممکن است…

... که نتیجه این امر خجالت آور خواهد بود، احتمالاً جریمه هایی برای از دست دادن اطلاعات حساس کارمند، چنین چیزهایی.

اما حقیقت این است که تقریباً برای همه افراد دیگری که این نوع حمله قربانی می‌شود، نتیجه نهایی به باج‌افزار یا باج‌افزارهای متعدد همراه با cryptominers و انواع دیگر سرقت داده می‌شود.

این برای سازمان بسیار پرهزینه تر از خجالت کشیدن است.

---

اردک.  بنابراین این ایده که کلاهبرداران وارد می شوند و می توانند به دلخواه خود سرگردان شوند و جایی را که می روند انتخاب و انتخاب کنند…

... متأسفانه غیرعادی نیست.

---

CHET.  این واقعاً بر اهمیت جستجوی فعالانه برای مشکلات، به جای انتظار برای هشدارها تأکید می کند.

واضح است که این شخص می‌توانست امنیت Uber را بدون ایجاد هیچ هشداری در ابتدا نقض کند، که به آن‌ها اجازه داد تا در اطراف سرگردان باشند.

به همین دلیل است که شکار تهدید، به قول اصطلاحات، این روزها بسیار حیاتی است.

زیرا هرچه به دقیقه صفر یا روز صفر نزدیک‌تر باشید، می‌توانید فعالیت مشکوک افرادی را که به اشتراک‌گذاری فایل‌ها سرک می‌زنند و ناگهان وارد مجموعه‌ای از سیستم‌ها به‌صورت سریالی پشت سر هم می‌شوند، شناسایی کنید - این نوع فعالیت‌ها یا تعداد زیادی از اتصالات RDP در حال پرواز هستند. در سراسر شبکه از حساب‌هایی که معمولاً با آن فعالیت مرتبط نیستند…

... این نوع چیزهای مشکوک می توانند به شما کمک کنند تا میزان آسیبی که شخص می تواند ایجاد کند را محدود کنید، با محدود کردن مدت زمانی که آنها برای کشف هر گونه اشتباه امنیتی دیگری که ممکن است مرتکب شده باشید که به آنها امکان دسترسی به آن اعتبارنامه های اداری را می دهد.

این چیزی است که بسیاری از تیم ها واقعاً با آن دست و پنجه نرم می کنند: چگونه می توان شاهد سوء استفاده از این ابزارهای قانونی بود؟

اینجا یک چالش واقعی است.

زیرا، در این مثال، به نظر می رسد که یکی از کارمندان اوبر فریب خورده است تا فردی را به داخل دعوت کند، با لباس مبدلی که در نهایت شبیه آنها به نظر می رسد.

شما اکنون یک حساب کارمند قانونی دارید، حسابی که به طور تصادفی یک مجرم را به رایانه خود دعوت کرده و کارهایی را انجام می دهد که احتمالاً کارمند معمولاً با آنها ارتباط ندارد.

بنابراین این واقعاً باید بخشی از نظارت و شکار تهدید شما باشد: دانستن اینکه واقعاً چه چیزی طبیعی است، تا بتوانید «عادی غیرعادی» را تشخیص دهید.

از آنجا که آنها ابزارهای مخرب را با خود نیاورده اند - آنها از ابزارهایی استفاده می کنند که از قبل وجود دارد.

ما می‌دانیم که آنها به اسکریپت‌های PowerShell نگاه کرده‌اند، چیزهایی که احتمالاً قبلاً دارید.

آنچه غیرعادی است این است که این شخص با آن PowerShell یا این شخص با آن RDP تعامل دارد.

و اینها چیزهایی هستند که بسیار سخت تر از انتظار برای ظاهر شدن یک هشدار در داشبورد شما هستند.

---

اردک.  بنابراین، چستر، توصیه شما برای شرکت هایی که نمی خواهند خود را در موقعیت اوبر بیابند چیست؟

اگرچه این حمله به طور قابل‌توجهی تبلیغات گسترده‌ای داشته است، به دلیل اسکرین شات‌هایی که در حال پخش است، زیرا به نظر می‌رسد، "وای، کلاهبرداران کاملاً همه جا را گرفتند"…

... در واقع، این یک داستان منحصر به فرد نیست تا آنجا که نقض داده ها پیش می رود.

---

CHET.  شما در مورد مشاوره پرسیدید، من به یک سازمان چه بگویم؟

و باید به یکی از دوستان خوبم فکر کنم که حدود ده سال پیش مدیر ارشد یک دانشگاه بزرگ در ایالات متحده بود.

از او پرسیدم که استراتژی امنیتی شما چیست و او گفت: "خیلی ساده است. فرض تخلف.»

من فرض می‌کنم که من هک شده‌ام، و افرادی در شبکه من هستند که من نمی‌خواهم در شبکه من باشند.

بنابراین من باید همه چیز را با این فرض بسازم که کسی در حال حاضر در اینجا است که نباید باشد، و بپرسم، "آیا با وجود اینکه تماس از داخل خانه می‌آید، حفاظت را دارم؟"

امروز یک کلمه کلیدی برای آن داریم: اعتماد صفر، که اکثر ما از گفتن آن خسته شده ایم. [می خندد]

اما این رویکرد است: فرض نقض; اعتماد صفر

شما نباید این آزادی را داشته باشید که به سادگی در اطراف پرسه بزنید زیرا لباس مبدلی به تن کرده اید که به نظر می رسد کارمند سازمان است.

---

اردک.  و این واقعاً کلید Zero Trust است، اینطور نیست؟

این به این معنا نیست که "شما هرگز نباید برای انجام کاری به کسی اعتماد کنید."

این نوعی استعاره است برای گفتن، "هیچ چیز را فرض نکنید"، و "به مردم اجازه ندهید که بیش از آنچه برای وظیفه در دست دارند انجام دهند."

---

CHET.  دقیقا.

با این فرض که مهاجمان شما از هک شدن شما آنقدر خوشحال نمی شوند که در این مورد اتفاق افتاد…

... احتمالاً می خواهید مطمئن شوید که راه خوبی برای کارکنان برای گزارش ناهنجاری ها در مواقعی که چیزی درست به نظر نمی رسد دارید، تا مطمئن شوید که آنها می توانند به تیم امنیتی شما گوشزد کنند.

از آنجا که صحبت در مورد نقض داده ها از زمان ما فاصله دارد کتاب بازی دشمن فعال، مجرمان اغلب برای حداقل ده روز در شبکه شما هستند:

بنابراین، معمولاً یک هفته تا ده روز محکم دارید، که اگر فقط چند چشم عقابی داشته باشید که چیزها را تشخیص می دهد، شانس واقعی خوبی برای خاموش کردن آن قبل از وقوع بدترین اتفاق دارید.

---

اردک.  در واقع، زیرا اگر به نحوه عملکرد یک حمله فیشینگ معمولی فکر کنید، بسیار نادر است که کلاهبرداران در اولین تلاش موفق شوند.

و اگر در اولین تلاش موفق نشدند، فقط چمدان های خود را جمع نمی کنند و سرگردان نمی شوند.

آنها نفر بعدی و نفر بعدی و نفر بعدی را امتحان می کنند.

اگر آنها فقط زمانی موفق می شوند که حمله به نفر 50 را امتحان کنند، پس اگر یکی از 49 نفر قبلی آن را تشخیص داده و چیزی می گوید، شما می توانید مداخله کرده و مشکل را برطرف کنید.

---

CHET.  کاملاً - این بسیار مهم است!

و شما در مورد فریب دادن مردم برای دادن توکن های 2FA صحبت کردید.

این یک نکته مهم در اینجا است – احراز هویت چند عاملی در اوبر وجود داشت، اما به نظر می‌رسد که شخص متقاعد شده است که از آن عبور کند.

و ما نمی دانیم که آن متدولوژی چه بود، اما متأسفانه اکثر روش های چند عاملی قابلیت دور زدن را دارند.

همه ما با توکن‌های مبتنی بر زمان آشنا هستیم، جایی که شما شش رقم را روی صفحه نمایش می‌گیرید و از شما خواسته می‌شود که آن شش رقم را برای احراز هویت در برنامه قرار دهید.

البته، هیچ چیزی مانع شما نمی شود که شش رقم را به فرد اشتباهی بدهید تا بتواند احراز هویت کند.

بنابراین، احراز هویت دو عاملی یک داروی همه منظوره نیست که همه بیماری ها را درمان کند.

این به سادگی یک سرعت گیر است که گام دیگری در مسیر امن تر شدن است.

---

اردک.  یک کلاهبردار مصمم که زمان و حوصله لازم برای ادامه تلاش را دارد، ممکن است در نهایت وارد شود.

و همانطور که شما می گویید، هدف شما به حداقل رساندن زمان آنها برای به حداکثر رساندن بازدهی است که در وهله اول بدست آورده اند…

---

CHET.  و این نظارت باید همیشه انجام شود.

شرکت‌هایی مانند اوبر به اندازه‌ای بزرگ هستند که مرکز عملیات امنیتی 24/7 خود را برای نظارت بر همه چیز داشته باشند، اگرچه ما کاملاً مطمئن نیستیم که اینجا چه اتفاقی افتاده است، این شخص چه مدت در آنجا بوده است، و چرا متوقف نشده‌اند.

اما اکثر سازمان ها لزوماً در موقعیتی نیستند که بتوانند این کار را در داخل انجام دهند.

بسیار مفید است که منابع خارجی در دسترس داشته باشید که می توانند این رفتار مخرب را - *به طور مستمر* نظارت کنند - و مدت زمان انجام فعالیت مخرب را حتی بیشتر کوتاه کنند.

برای افرادی که ممکن است مسئولیت‌های منظم فناوری اطلاعات و کارهای دیگری را انجام دهند، دیدن استفاده از این ابزارهای قانونی و تشخیص یک الگوی خاص از آنها که به عنوان یک چیز مخرب استفاده می‌شود، بسیار سخت است…

---

اردک.  کلیدواژه ای که شما در مورد آن صحبت می کنید همان چیزی است که ما به عنوان MDR می شناسیم که مخفف آن است شناسایی و پاسخ مدیریت شده، جایی که شما یک دسته از متخصصان را دریافت می کنید تا این کار را برای شما انجام دهند یا به شما کمک کنند.

و من فکر می‌کنم هنوز افراد زیادی وجود دارند که تصور می‌کنند، «اگر دیده شود که این کار را انجام می‌دهم، به نظر نمی‌رسد که من مسئولیت خود را لغو کرده‌ام؟ آیا این اعتراف نیست که من مطلقاً نمی دانم دارم چه کار می کنم؟»

و اینطور نیست، اینطور نیست؟

در واقع، می‌توانید استدلال کنید که در واقع کارها را به شیوه‌ای کنترل‌شده‌تر انجام می‌دهد، زیرا افرادی را انتخاب می‌کنید که به شما کمک کنند مراقب شبکه‌تان باشند *که این کار را انجام می‌دهند و فقط آن را برای امرار معاش می‌کنند.

و این بدان معناست که تیم IT معمولی شما، و حتی تیم امنیتی خودتان... در مواقع اضطراری، در واقع می توانند تمام کارهای دیگری را که باید انجام دهید، حتی اگر مورد حمله قرار بگیرید، انجام دهند.

---

CHET.  کاملا.

حدس می زنم آخرین فکری که به ذهنم می رسد این باشد…

هک شدن برندی مانند اوبر را به این معنا تصور نکنید که دفاع از خود غیرممکن است.

نام‌های شرکت‌های بزرگ تقریباً برای افرادی مانند افرادی که در این هک خاص شرکت دارند، جوایز بزرگی هستند.

و فقط به این دلیل که یک شرکت بزرگ ممکن است امنیت لازم را نداشته باشد، به این معنی نیست که شما نمی توانید!

پس از هک‌های بزرگ قبلی، مانند تارگت و سونی، و برخی از این هک‌هایی که ده سال پیش در اخبار داشتیم، در میان بسیاری از سازمان‌هایی که با آنها صحبت کردم، صحبت‌های شکست‌آمیز زیادی وجود داشت.

و مردم می گفتند: "آرغ... اگر با تمام امکانات هدف نتوانند از خود دفاع کنند، چه امیدی برای من وجود دارد؟"

و من واقعاً فکر نمی کنم که این اصلا درست باشد.

در بیشتر این موارد، آنها هدف قرار گرفتند، زیرا آنها سازمان های بسیار بزرگی بودند و یک حفره بسیار کوچک در رویکرد آنها وجود داشت که کسی توانست از آن عبور کند.

این بدان معنا نیست که شما فرصتی برای دفاع از خود ندارید.

این مهندسی اجتماعی بود و به دنبال آن برخی از شیوه های مشکوک ذخیره رمز عبور در فایل های PowerShell بود.

اینها چیزهایی هستند که می توانید به راحتی مراقب آنها باشید و به کارکنان خود آموزش دهید تا مطمئن شوید که اشتباهات مشابهی را مرتکب نمی شوید.

فقط به این دلیل که اوبر نمی تواند این کار را انجام دهد به این معنی نیست که شما نمی توانید!

---

اردک.  در واقع - من فکر می کنم این خیلی خوب است، چستر.

آیا مشکلی ندارید که با یکی از کلیشه های سنتی خود پایان دهم؟

(نکته ای که در مورد کلیشه ها وجود دارد این است که عموماً با واقعی بودن و مفید بودن تبدیل به کلیشه می شوند.)

پس از حوادثی مانند این: "کسانی که نمی توانند تاریخ را به خاطر بسپارند، محکوم به تکرار آن هستند - آن شخص نباشید!"

چستر، از شما بسیار سپاسگزارم که از برنامه شلوغ خود وقت صرف کردید، زیرا می دانم که شما واقعاً امشب یک گفتگوی آنلاین دارید.

بنابراین، از شما بسیار سپاسگزارم.

و بگذارید به روش مرسوم خود با گفتن «تا دفعه بعد، ایمن بمانید» به پایان برسانیم.

[مودم موزیکال]