SECURITATE CIBERNICĂ: „EI NU AU DAR TU POȚI!”
Cu Paul Ducklin și Chester Wisniewski
Muzică intro și outro de Edith Mudge.
Faceți clic și trageți pe undele sonore de mai jos pentru a trece la orice punct. Poti de asemenea asculta direct pe Soundcloud.
Ne puteți asculta pe SoundCloud, Podcast-uri Apple, Podcast-uri Google, Spotify, stitcher și oriunde se găsesc podcasturi bune. Sau pur și simplu aruncați URL-ul fluxului nostru RSS în podcatcher-ul tău preferat.
CITIȚI TRANSCRIPTUL
RAȚĂ. Bună tuturor.
Bun venit la acest mini-episod special al podcastului Naked Security.
Numele meu este Paul Ducklin și mi se alătură astăzi prietenul și colegul meu Chester Wisniewski.
Chester, m-am gândit că ar trebui să spunem ceva despre ceea ce s-a transformat în marea poveste a săptămânii... probabil că va fi marea poveste a lunii!
O să vă citesc doar titlu Am folosit pe Naked Security:
„UBER A FOST HACKAT, se mândrește cu hackerul – cum să nu vi se întâmple asta.”
Asa de!
Spune-ne totul despre asta….
CHET. Ei bine, pot confirma că mașinile încă conduc.
Vin la tine din Vancouver, sunt în centrul orașului, mă uit pe fereastră și, de fapt, este un Uber care stă în afara ferestrei...
RAȚĂ. Nu a fost acolo toată ziua?
CHET. Nu, nu a făcut-o. [râde]
Dacă apăsați butonul pentru a chema o mașină în interiorul aplicației, fiți siguri: în acest moment, se pare că veți avea pe cineva să vină și să vă dea o plimbare.
Dar nu este neapărat atât de sigur, dacă ești angajat la Uber, că vei face multe din orice în următoarele zile, având în vedere impactul asupra sistemelor lor.
Nu știm multe detalii, de fapt, Duck, despre exact ce sa întâmplat.
Dar, la un nivel foarte înalt, consensul pare să fie că a existat o inginerie socială a unui angajat Uber care a permis cuiva să pună un punct în rețeaua Uber.
Și au putut să se miște lateral, așa cum spunem noi, sau să pivoteze, odată ce au intrat înăuntru, pentru a găsi niște acreditări administrative care i-au determinat în cele din urmă să dețină cheile regatului Uber.
RAȚĂ. Deci nu arată ca un furt tradițional de date, un stat național sau un atac ransomware, nu-i așa?
CHET. Nu.
Asta nu înseamnă că altcineva nu a fost, de asemenea, în rețeaua lor folosind tehnici similare - nu știi niciodată cu adevărat.
De fapt, atunci când echipa noastră de Răspuns Rapid răspunde la incidente, descoperim adesea că au existat mai mulți actori de amenințare în interiorul unei rețele, deoarece au exploatat metode similare de acces.
RAȚĂ. Da... chiar am avut o poveste cu doi escroci de ransomware, practic necunoscuți unul de celălalt, care au intrat în același timp.
Deci, unele dintre fișiere au fost criptate cu ransomware-A-apoi-ransomware-B, iar unele cu ransomware-B-urmat-de-ransomware-A.
A fost o mizerie nesfântă...
CHET. Ei bine, astea sunt vești vechi, Duck. [râde]
De atunci am mai publicat unul unde *trei* ransomware-uri diferite erau în aceeași rețea.
RAȚĂ. Aoleu! [RÂS MARE] Continui să râd de asta, dar asta e greșit. [râde]
CHET. Nu este neobișnuit ca mai mulți actori de amenințări să fie implicați, deoarece, după cum spuneți, dacă o persoană este capabilă să descopere un defect în abordarea dvs. de a vă apăra rețeaua, nu există nimic care să sugereze că alți oameni ar putea să nu fi descoperit același defect.
Dar în acest caz, cred că ai dreptate, în sensul că pare să fie „pentru lulz”, dacă vrei.
Adică, persoana care a făcut-o strângea în mare parte trofee în timp ce treceau prin rețea – sub formă de capturi de ecran ale tuturor acestor instrumente, utilități și programe diferite care erau folosite în jurul Uber – și le postează public, cred că pentru stradă. cred.
RAȚĂ. Acum, într-un atac făcut de cineva care *nu a vrut* drepturi de lăudare, acel atacator ar fi putut fi un IAB, un broker de acces inițial, nu-i așa?
În acest caz, nu ar fi făcut mare zgomot în privința asta.
Ei ar fi strâns toate parolele și apoi ar fi ieșit și ar fi spus: „Cine ar dori să le cumpere?”
CHET. Da, e super-super periculos!
Oricât de rău pare să fie Uber în acest moment, în special cineva din PR sau echipele de securitate internă ale Uber, este de fapt cel mai bun rezultat posibil...
… ceea ce este doar că rezultatul va fi jenă, probabil niște amenzi pentru pierderea informațiilor sensibile ale angajaților, așa ceva.
Dar adevărul este că pentru aproape toți ceilalți acest tip de atac îl victimizează, rezultatul final ajunge să fie ransomware sau mai multe ransomware, combinate cu criptomineri și alte tipuri de furt de date.
Acest lucru este mult, mult mai costisitor pentru organizație decât pur și simplu a fi jenat.
RAȚĂ. Așadar, această idee a escrocilor care intră și pot rătăci în voie și să aleagă unde merg...
… din păcate nu este neobișnuit.
CHET. Subliniază cu adevărat importanța căutării active a problemelor, spre deosebire de așteptarea alertelor.
În mod clar, această persoană a putut încălca securitatea Uber fără să declanșeze alerte inițial, ceea ce le-a permis să se plimbe.
De aceea, vânătoarea de amenințări, după cum spune terminologia, este atât de critică în zilele noastre.
Deoarece cu cât mai aproape de minut zero sau de ziua zero poți detecta activitatea suspectă a persoanelor care caută în partajări de fișiere și se conectează brusc la o grămadă de sisteme în serie la rând - acele tipuri de activități sau o mulțime de conexiuni RDP care zboară în jurul rețelei de la conturi care nu sunt în mod normal asociate cu acea activitate...
… aceste tipuri de lucruri suspecte vă pot ajuta să limitați cantitatea de daune pe care o poate cauza persoana respectivă, limitând timpul pe care îl are pentru a dezlega orice alte greșeli de securitate pe care le-ați făcut și care le-au permis să obțină acces la acele acreditări administrative.
Acesta este un lucru cu care multe echipe se luptă cu adevărat: cum să vedeți că aceste instrumente legitime sunt abuzate?
Aceasta este o adevărată provocare aici.
Pentru că, în acest exemplu, se pare că un angajat Uber a fost păcălit să invite pe cineva înăuntru, într-o deghizare care arăta ca ei în cele din urmă.
Aveți acum un cont legitim de angajat, unul care a invitat accidental un criminal în computerul său, alergând făcând lucruri cu care angajatul probabil nu este asociat în mod normal.
Deci, asta trebuie să facă parte din monitorizarea și vânătoarea de amenințări: știind ce este cu adevărat normal, astfel încât să puteți detecta „normalul anormal”.
Pentru că nu au adus instrumente rău intenționate cu ei – folosesc instrumente care sunt deja acolo.
Știm că s-au uitat la scripturile PowerShell, așa ceva – lucrurile pe care probabil le aveți deja.
Ceea ce este neobișnuit este că această persoană interacționează cu acel PowerShell sau această persoană care interacționează cu acel RDP.
Și acestea sunt lucruri la care sunt mult mai greu de urmărit decât pur și simplu așteptarea unei alerte să apară în tabloul de bord.
RAȚĂ. Deci, Chester, care este sfatul tău pentru companiile care nu vor să se găsească în poziția Uber?
Deși acest atac a primit, de înțeles, o cantitate masivă de publicitate, din cauza capturilor de ecran care circulă, pentru că pare să fie „Wow, escrocii au ajuns absolut peste tot”...
…de fapt, nu este o poveste unică în ceea ce privește încălcările datelor.
CHET. Ai întrebat despre sfat, ce aș spune unei organizații?
Și trebuie să mă gândesc la un bun prieten de-al meu care a fost CISO al unei universități importante din Statele Unite în urmă cu aproximativ zece ani.
L-am întrebat care este strategia lui de securitate și mi-a spus: "E foarte simplu. Presupuneție de încălcare.”
Presupun că am fost încălcat și că în rețeaua mea se află oameni pe care nu le vreau în rețeaua mea.
Așa că trebuie să construiesc totul cu presupunerea că cineva este deja aici, care nu ar trebui să fie și să întreb: „Am protecția la loc, chiar dacă apelul vine din interiorul casei?”
Astăzi avem un cuvânt la modă pentru asta: Încredere zero, pe care cei mai mulți dintre noi ne-am săturat să o spună deja. [râde]
Dar aceasta este abordarea: presupunerea încălcării; încredere zero.
Nu ar trebui să aveți libertatea de a vă plimba pur și simplu pentru că vă puneți o deghizare care pare a fi un angajat al organizației.
RAȚĂ. Și asta este într-adevăr cheia Zero Trust, nu-i așa?
Nu înseamnă „Nu trebuie să ai încredere în nimeni să facă nimic”.
Este un fel de metaforă pentru a spune: „Nu presupuneți nimic” și „Nu autorizați oamenii să facă mai mult decât trebuie să facă pentru sarcina pe care o au în mână”.
CHET. Exact.
Presupunând că atacatorii tăi nu se bucură de faptul că ai fost piratat așa cum sa întâmplat în acest caz...
… probabil că doriți să vă asigurați că aveți o modalitate bună pentru membrii personalului de a raporta anomalii atunci când ceva nu pare în regulă, pentru a vă asigura că pot informa echipa dvs. de securitate.
Pentru că vorbim despre încălcarea datelor de la noi Adversar activ Playbook, criminalii sunt cel mai adesea în rețeaua dvs. de cel puțin zece zile:
Deci, aveți o săptămână solidă până la zece zile, de obicei, în care, dacă aveți doar niște ochi de vultur care observă lucruri, aveți șanse foarte bune să o închideți înainte de a se întâmpla cel mai rău.
RAȚĂ. Într-adevăr, pentru că dacă te gândești la modul în care funcționează un atac tipic de phishing, este foarte rar ca escrocii să reușească la prima încercare.
Și dacă nu reușesc la prima încercare, nu își fac doar bagajele și se rătăcesc.
Ei încearcă următoarea persoană, și următoarea persoană și următoarea persoană.
Dacă vor reuși doar când vor încerca atacul asupra celei de-a 50-a persoane, atunci dacă vreunul dintre cei 49 anteriori l-a observat și a spus ceva, ați fi putut interveni și remedia problema.
CHET. Absolut – asta este critic!
Și ai vorbit despre păcălirea oamenilor să dea jetoane 2FA.
Acesta este un punct important aici – a existat autentificare multifactorială la Uber, dar persoana pare să fi fost convinsă să o ocolească.
Și nu știm care a fost această metodologie, dar majoritatea metodelor multifactoriale, din păcate, au capacitatea de a fi ocolită.
Cu toții suntem familiarizați cu jetoanele bazate pe timp, unde obțineți cele șase cifre de pe ecran și vi se cere să introduceți acele șase cifre în aplicație pentru a vă autentifica.
Desigur, nimic nu te împiedică să dai cele șase cifre persoanei greșite, astfel încât să se poată autentifica.
Deci, autentificarea cu doi factori nu este un medicament universal care vindecă toate bolile.
Este pur și simplu o viteză care este un alt pas pe calea spre a deveni mai sigur.
RAȚĂ. Un escroc bine hotărât, care are timp și răbdare pentru a continua să încerce, poate intra în cele din urmă.
Și, așa cum spuneți, obiectivul dvs. este să minimizați timpul pe care îl au pentru a maximiza rentabilitatea faptului că au obținut în primul rând...
CHET. Și această monitorizare trebuie să aibă loc tot timpul.
Companii precum Uber sunt suficient de mari pentru a avea propriul centru de operațiuni de securitate 24/7 pentru a monitoriza lucrurile, deși nu suntem foarte siguri ce s-a întâmplat aici și cât timp a stat această persoană și de ce nu a fost oprită.
Dar majoritatea organizațiilor nu sunt neapărat în măsură să poată face acest lucru în interior.
Este foarte util să aveți la dispoziție resurse externe care pot monitoriza – *continuu* – pentru acest comportament rău intenționat, scurtând și mai mult timpul în care se desfășoară activitatea rău intenționată.
Pentru cei care au probabil responsabilități IT regulate și alte activități de făcut, poate fi destul de greu să vezi că aceste instrumente legitime sunt folosite și să vezi un anumit tipar al acestora fiind folosit ca un lucru rău intenționat...
RAȚĂ. Cuvântul la modă despre care vorbești acolo este ceea ce știm ca MDR, prescurtare pentru Detectare și răspuns gestionat, unde ai o grămadă de experți fie care să o facă pentru tine, fie să te ajute.
Și cred că există încă destul de mulți oameni care își imaginează: „Dacă sunt văzut că fac asta, nu pare că mi-am abrogat responsabilitatea? Nu este o recunoaștere că nu știu absolut ce fac?”
Și nu este, nu-i așa?
De fapt, ai putea argumenta că faci lucrurile într-un mod mai controlat, pentru că alegi oameni care să te ajute să ai grijă de rețeaua ta *care fac asta și doar asta* pentru a-ți câștiga existența.
Și asta înseamnă că echipa ta IT obișnuită, și chiar și propria ta echipă de securitate... în cazul unei urgențe, pot continua să facă toate celelalte lucruri care trebuie făcute oricum, chiar dacă ești atacat.
CHET. Absolut.
Cred că ultimul gând pe care l-am avut este acesta...
Nu percepeți că o marcă precum Uber este piratată ca însemnând că vă este imposibil să vă apărați.
Numele mari de companii sunt aproape o mare vânătoare de trofee pentru oameni precum persoana implicată în acest hack special.
Și doar pentru că o companie mare poate nu a avut securitatea pe care ar trebui să-l facă nu înseamnă că nu poți!
Au existat o mulțime de discuții de defetiste în rândul multor organizații cu care am vorbit după niște hackuri mari anterioare, cum ar fi Target și Sony, și unele dintre aceste hack-uri pe care le-am avut în știri acum zece ani.
Și oamenii au spus: „Aaargh... dacă cu toate resursele de la Target ei nu se pot apăra, ce speranță există pentru mine?”
Și nu cred că este deloc adevărat.
În cele mai multe dintre aceste cazuri, ei au fost vizați pentru că erau organizații foarte mari și a existat o foarte mică gaură în abordarea lor prin care cineva a putut trece.
Asta nu înseamnă că nu ai șanse să te aperi.
Aceasta a fost inginerie socială, urmată de unele practici discutabile de stocare a parolelor în fișierele PowerShell.
Acestea sunt lucruri pe care le puteți urmări foarte ușor și pe care le puteți educa pe angajații, pentru a vă asigura că nu faceți aceleași greșeli.
Doar pentru că Uber nu poate face asta, nu înseamnă că tu nu poți!
RAȚĂ. Într-adevăr, cred că este foarte bine pus, Chester.
Te superi dacă termin cu unul dintre clișeele mele tradiționale?
(Chestia cu clișeele este că, în general, devin clișee fiind adevărate și utile.)
După incidente de genul acesta: „Cei care nu-și pot aminti istoria sunt condamnați să o repete – nu fi acea persoană!”
Chester, îți mulțumesc foarte mult că ai luat timp din programul tău încărcat, pentru că știu că ai de făcut o discuție online în seara asta.
Deci, mulțumesc mult pentru asta.
Și să terminăm în modul nostru obișnuit spunând: „Până data viitoare, fii în siguranță”.
[MODEM MUZICAL]
- blockchain
- coingenius
- portofele de criptare
- criptoschimb
- securitate cibernetică
- cybercriminals
- Securitate cibernetică
- pierderi de date
- Departamentul de Securitate Națională
- portofele digitale
- firewall
- Kaspersky
- malware
- McAfee
- Securitate goală
- NexBLOC
- Plato
- platoul ai
- Informații despre date Platon
- Jocul lui Platon
- PlatoData
- platogaming
- Podcast
- Conducerea securității
- VPN
- securitatea site-ului
- zephyrnet
![S3 Ep119: Încălcări, patch-uri, scurgeri și ajustări! [Audio + Text]](https://platoaistream.net/wp-content/uploads/2023/01/s3-ep119-breaches-patches-leaks-and-tweaks-audio-text-360x188.jpg)
