(Другият) риск в областта на финансите

Преди няколко години строителен предприемач от Вашингтон получава връзка към документ от First American – компания за финансови услуги в сектора на недвижимите имоти – във връзка със сделка, по която работи. Всичко в документа било напълно наред и нормално.

Странното, казал той на един репортер, било, че ако промени една единствена цифра в URL адреса, изведнъж можел да види документ на някой друг. Променете я отново и ще видите друг документ. Без никакви технически инструменти или опит разработчикът можел да извлече записи на FirstAm, датиращи от 2003 г. – общо 885 милиона, много от които съдържали чувствителни данни, разкривани при сделки с недвижими имоти, като банкови данни, номера на социални осигуровки и, разбира се, имена и адреси.

Фактът, че близо един милиард записи могат да изтекат от толкова проста уеб уязвимост, изглеждаше шокиращ. И все пак всяка седмица компаниите за финансови услуги се сблъскват с още по-тежки последици. В най-новия си доклад за разследванията на нарушения на сигурността на данните Verizon разкрива, че финансите са единствената индустрия в света, която е обект на най-много атаки срещу основни уеб приложения. А според Statista успешните пробиви струват на тези компании средно по около шест милиона долара на брой. МВФ е изчислил, че загубите на цялата индустрия от кибератаки „могат да достигнат няколкостотин милиарда долара годишно, което ще намали печалбите на банките и потенциално ще застраши финансовата стабилност“.

В отговор на това ръководителите отделят всяка година милиони повече за сложни системи за защита – XDR, SOC, инструменти за изкуствен интелект и др. Но докато компаниите се укрепват срещу APT и зрели операции на киберпрестъпници, в цялата индустрия продължават да се появяват толкова елементарни пропуски в сигурността като тези на FirstAm.

Има една категория уязвимости, която рядко се обсъжда в заседателните зали. Но щом започнете да търсите, ще я откриете почти навсякъде. И много повече от нулевите дни, дълбоките фалшификати или фишинга, за хакерите е доста лесно да открият този вид грешки и да се възползват от тях.

Уязвимост, която всички пренебрегват

През 2019 г. трима изследователи от Държавния университет на Северна Каролина провериха една хипотеза, която е общоприета, но не се обсъжда често в областта на киберсигурността.

Историята разказва, че Github и други хранилища за изходен код са предизвикали бум в софтуерната индустрия. Те позволяват на талантливи разработчици да си сътрудничат по целия свят, като даряват, вземат и комбинират код в по-нов и по-добър софтуер, създаден по-бързо от всякога. За да могат различните кодове да се разбират, те използват удостоверения – тайни ключове, токени и т.н. Тези свързващи звена позволяват на всяка част от софтуера да отвори вратата си към друга. За да не могат нападателите да преминат по същия начин, те са защитени зад воал от сигурност.

Или не са?

Между 31 октомври 2017 г. и 20 април 2018 г. изследователите от NCSU анализират над два милиарда файла от над четири милиона хранилища на Github, което представлява около 13% от всичко в сайта. В тези проби се съдържаха близо 600 000 API и криптографски ключове – тайни, вградени направо в изходния код, които всеки може да види. Над 200 000 от тези ключове бяха уникални и бяха разпределени в общо над 100 000 хранилища.

Макар че в проучването са събрани данни за шест месеца, няколко дни – дори няколко часа – биха били достатъчни, за да се направи изводът. Изследователите подчертават как през всеки ден от проучването им са изтичали хиляди нови тайни.

Последните изследвания не само подкрепиха техните данни, но и ги доведоха до още една стъпка напред. Например, само през календарната 2021 г. GitGuardian идентифицира над шест милиона тайни, публикувани в Github – около три на всеки 1000 коммита.

В този момент човек може да се запита дали тайните данни, съдържащи се („hardcoded“) в изходния код, са наистина толкова лоши, щом са толкова разпространени. Сигурността в числата, нали?

Опасността от твърдо кодираните пълномощия

Твърдо кодираните пълномощия изглеждат като теоретична уязвимост, докато не попаднат в реално приложение.

Миналата есен Symantec идентифицира близо 2000 мобилни приложения, които разкриват тайни. Повече от три четвърти от тях изпускаха AWS токени, които даваха възможност на външни лица да получат достъп до частни облачни услуги, а почти половината изпускаха токени, които допълнително позволяваха „пълен достъп до множество, често милиони, частни файлове“.

За да сме наясно, това са били легитимни, публични приложения, които се използват днес по целия свят. Подобно на петте банкови приложения, които Symantec откри, че всички използват един и същ SDK на трети страни за удостоверяване на цифрова идентичност. Данните за идентификация са едни от най-чувствителната информация, която приложенията притежават, но при това SDK са изтекли облачни данни, които „биха могли да разкрият частни данни за идентификация и ключове, принадлежащи на всяко банково и финансово приложение, използващо SDK“. Това не свърши дотук, тъй като „биометричните цифрови пръстови отпечатъци на потребителите, използвани за удостоверяване, заедно с личните данни на потребителите (имена, дати на раждане и т.н.), бяха изложени на риск в облака“. Като цяло ot петте банкови приложения са изтекли над 300 000 биометрични пръстови отпечатъка на потребители.

Ако тези банки са избегнали компрометиране, то те са късметлии. Подобни изтичания на информация са изваждали на показ дори по-големи риби преди.

Като например Uber. Бихте си представили, че само високоорганизирани и талантливи кибернетични противници биха могли да пробият технологична компания от ранга на Uber. През 2022 г. обаче един 17-годишен младеж успя да направи всичко сам. След като лек социален инженеринг го отвежда във вътрешната мрежа на компанията, той открива скрипт на Powershell, съдържащ идентификационни данни на ниво администратор за системата за управление на привилегирования достъп на Uber. Това е всичко, от което се е нуждаел, за да компрометира всички видове инструменти и услуги, използвани от компанията – от AWS до Google Drive, Slack, таблата за управление на служителите и хранилищата за код.

Това можеше да е по-забележителна история, ако не беше другият път, когато Uber загуби тайни от хакери при пробива в частното хранилище през 2016 г., при който бяха разкрити данни, принадлежащи на над 50 милиона клиенти и седем милиона шофьори. Или другия път, когато го направиха чрез публично репо през 2014 г., разкривайки по този начин личната информация на 100 000 шофьори.

Какво да правим

Финансите са секторът, който е най-притегателен за кибератаки в световен мащаб. И всеки изследовател, който открива хиляди уязвими приложения или милиони уязвими хранилища, показва колко лесно би било за нападателите да идентифицират твърдо кодирани идентификационни данни в кода, който е от съществено значение за управлението на всяка модерна компания в този отрасъл.

Но колкото лесно могат да го направят лошите, толкова лесно могат да го направят и добрите. Както AWS, така и Github се опитват, доколкото могат, да следят за изтичане на пълномощия в своите платформи. Ясно е, че тези усилия не са достатъчни сами по себе си и тук се намесва доставчикът на киберсигурност.

Научете повече за наблюдението на изходния код за тайни от един от нашите експерти.

Забележка – Тази статия е написана от Томас Сегура, автор на техническо съдържание в GitGuardian. Томас е работил като анализатор и консултант по софтуерно инженерство за различни големи френски компании.

 

Източник: The Hacker News

Подобни публикации

19 януари 2025

Нарушението на данните на Wolf Haldenstein зася...

Адвокатската кантора Wolf Haldenstein Adler Freeman & Herz LLP ...
19 януари 2025

САЩ призовават за преодоляване на разликата в р...

Агенцията за киберсигурност CISA и други правителствени агенции при...
19 януари 2025

САЩ наложиха санкции за масираната хакерска ата...

Министерството на финансите обяви в петък санкции във връзка с маща...
19 януари 2025

Фалшивият Брад Пит е разкрит: как етичен хакер ...

Маруан Уараб, бивш измамник и киберпрестъпник, превърнал се в етиче...
18 януари 2025

FTC нарежда на GoDaddy да коригира неадекватнит...

След като установи, че политиките за сигурност на GoDaddy са недост...
17 януари 2025

SSO - опростете достъпа и защитете бизнеса си

Днес предприятията са изправени пред сложна работна среда, в която ...
17 януари 2025

Руски кибершпиони са хванати да извършват Spear...

Изследователи на Microsoft са разкрили, че руски разузнавателни аге...
17 януари 2025

Cisco представи AI Defense

Тази седмица Cisco представи AI Defense – ново решение, предн...
17 януари 2025

DORA: Провеждане на тестове за проникване, осно...

Международният валутен фонд изчислява, че през последните две десет...
Бъдете социални
Още по темата
18/07/2024

Сигурността в облака и експ...

Въпреки че изкуственият интелект е на...
05/05/2024

Олимпиада под прицел

Въпреки че служителите на Олимпийските игри...
20/03/2024

Kои приложения използват на...

Въпреки че “неограничените” планове за интернет...
Последно добавени
19/01/2025

Нарушението на данните на W...

Адвокатската кантора Wolf Haldenstein Adler Freeman...
19/01/2025

САЩ призовават за преодоляв...

Агенцията за киберсигурност CISA и други...
19/01/2025

САЩ наложиха санкции за мас...

Министерството на финансите обяви в петък...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!