Търсене
Close this search box.

Тайната уязвимост, която финансовите директори пропускат

(Другият) риск в областта на финансите

Преди няколко години строителен предприемач от Вашингтон получава връзка към документ от First American – компания за финансови услуги в сектора на недвижимите имоти – във връзка със сделка, по която работи. Всичко в документа било напълно наред и нормално.

Странното, казал той на един репортер, било, че ако промени една единствена цифра в URL адреса, изведнъж можел да види документ на някой друг. Променете я отново и ще видите друг документ. Без никакви технически инструменти или опит разработчикът можел да извлече записи на FirstAm, датиращи от 2003 г. – общо 885 милиона, много от които съдържали чувствителни данни, разкривани при сделки с недвижими имоти, като банкови данни, номера на социални осигуровки и, разбира се, имена и адреси.

Фактът, че близо един милиард записи могат да изтекат от толкова проста уеб уязвимост, изглеждаше шокиращ. И все пак всяка седмица компаниите за финансови услуги се сблъскват с още по-тежки последици. В най-новия си доклад за разследванията на нарушения на сигурността на данните Verizon разкрива, че финансите са единствената индустрия в света, която е обект на най-много атаки срещу основни уеб приложения. А според Statista успешните пробиви струват на тези компании средно по около шест милиона долара на брой. МВФ е изчислил, че загубите на цялата индустрия от кибератаки „могат да достигнат няколкостотин милиарда долара годишно, което ще намали печалбите на банките и потенциално ще застраши финансовата стабилност“.

В отговор на това ръководителите отделят всяка година милиони повече за сложни системи за защита – XDR, SOC, инструменти за изкуствен интелект и др. Но докато компаниите се укрепват срещу APT и зрели операции на киберпрестъпници, в цялата индустрия продължават да се появяват толкова елементарни пропуски в сигурността като тези на FirstAm.

Има една категория уязвимости, която рядко се обсъжда в заседателните зали. Но щом започнете да търсите, ще я откриете почти навсякъде. И много повече от нулевите дни, дълбоките фалшификати или фишинга, за хакерите е доста лесно да открият този вид грешки и да се възползват от тях.

Уязвимост, която всички пренебрегват

През 2019 г. трима изследователи от Държавния университет на Северна Каролина провериха една хипотеза, която е общоприета, но не се обсъжда често в областта на киберсигурността.

Историята разказва, че Github и други хранилища за изходен код са предизвикали бум в софтуерната индустрия. Те позволяват на талантливи разработчици да си сътрудничат по целия свят, като даряват, вземат и комбинират код в по-нов и по-добър софтуер, създаден по-бързо от всякога. За да могат различните кодове да се разбират, те използват удостоверения – тайни ключове, токени и т.н. Тези свързващи звена позволяват на всяка част от софтуера да отвори вратата си към друга. За да не могат нападателите да преминат по същия начин, те са защитени зад воал от сигурност.

Или не са?

Между 31 октомври 2017 г. и 20 април 2018 г. изследователите от NCSU анализират над два милиарда файла от над четири милиона хранилища на Github, което представлява около 13% от всичко в сайта. В тези проби се съдържаха близо 600 000 API и криптографски ключове – тайни, вградени направо в изходния код, които всеки може да види. Над 200 000 от тези ключове бяха уникални и бяха разпределени в общо над 100 000 хранилища.

Макар че в проучването са събрани данни за шест месеца, няколко дни – дори няколко часа – биха били достатъчни, за да се направи изводът. Изследователите подчертават как през всеки ден от проучването им са изтичали хиляди нови тайни.

Последните изследвания не само подкрепиха техните данни, но и ги доведоха до още една стъпка напред. Например, само през календарната 2021 г. GitGuardian идентифицира над шест милиона тайни, публикувани в Github – около три на всеки 1000 коммита.

В този момент човек може да се запита дали тайните данни, съдържащи се („hardcoded“) в изходния код, са наистина толкова лоши, щом са толкова разпространени. Сигурността в числата, нали?

Опасността от твърдо кодираните пълномощия

Твърдо кодираните пълномощия изглеждат като теоретична уязвимост, докато не попаднат в реално приложение.

Миналата есен Symantec идентифицира близо 2000 мобилни приложения, които разкриват тайни. Повече от три четвърти от тях изпускаха AWS токени, които даваха възможност на външни лица да получат достъп до частни облачни услуги, а почти половината изпускаха токени, които допълнително позволяваха „пълен достъп до множество, често милиони, частни файлове“.

За да сме наясно, това са били легитимни, публични приложения, които се използват днес по целия свят. Подобно на петте банкови приложения, които Symantec откри, че всички използват един и същ SDK на трети страни за удостоверяване на цифрова идентичност. Данните за идентификация са едни от най-чувствителната информация, която приложенията притежават, но при това SDK са изтекли облачни данни, които „биха могли да разкрият частни данни за идентификация и ключове, принадлежащи на всяко банково и финансово приложение, използващо SDK“. Това не свърши дотук, тъй като „биометричните цифрови пръстови отпечатъци на потребителите, използвани за удостоверяване, заедно с личните данни на потребителите (имена, дати на раждане и т.н.), бяха изложени на риск в облака“. Като цяло ot петте банкови приложения са изтекли над 300 000 биометрични пръстови отпечатъка на потребители.

Ако тези банки са избегнали компрометиране, то те са късметлии. Подобни изтичания на информация са изваждали на показ дори по-големи риби преди.

Като например Uber. Бихте си представили, че само високоорганизирани и талантливи кибернетични противници биха могли да пробият технологична компания от ранга на Uber. През 2022 г. обаче един 17-годишен младеж успя да направи всичко сам. След като лек социален инженеринг го отвежда във вътрешната мрежа на компанията, той открива скрипт на Powershell, съдържащ идентификационни данни на ниво администратор за системата за управление на привилегирования достъп на Uber. Това е всичко, от което се е нуждаел, за да компрометира всички видове инструменти и услуги, използвани от компанията – от AWS до Google Drive, Slack, таблата за управление на служителите и хранилищата за код.

Това можеше да е по-забележителна история, ако не беше другият път, когато Uber загуби тайни от хакери при пробива в частното хранилище през 2016 г., при който бяха разкрити данни, принадлежащи на над 50 милиона клиенти и седем милиона шофьори. Или другия път, когато го направиха чрез публично репо през 2014 г., разкривайки по този начин личната информация на 100 000 шофьори.

Какво да правим

Финансите са секторът, който е най-притегателен за кибератаки в световен мащаб. И всеки изследовател, който открива хиляди уязвими приложения или милиони уязвими хранилища, показва колко лесно би било за нападателите да идентифицират твърдо кодирани идентификационни данни в кода, който е от съществено значение за управлението на всяка модерна компания в този отрасъл.

Но колкото лесно могат да го направят лошите, толкова лесно могат да го направят и добрите. Както AWS, така и Github се опитват, доколкото могат, да следят за изтичане на пълномощия в своите платформи. Ясно е, че тези усилия не са достатъчни сами по себе си и тук се намесва доставчикът на киберсигурност.

Научете повече за наблюдението на изходния код за тайни от един от нашите експерти.

Забележка – Тази статия е написана от Томас Сегура, автор на техническо съдържание в GitGuardian. Томас е работил като анализатор и консултант по софтуерно инженерство за различни големи френски компании.

 

Източник: The Hacker News

Подобни публикации

10 септември 2024

Как да създадем и подобрим сигурността на крайн...

Поради голямата си атакувана повърхност, съставена от различни набо...
10 септември 2024

Кибератаките на „TIDrone“

Изследователите наричат „TIDrone“  заплахата, която активно преслед...
10 септември 2024

Използването на търговски шпионски софтуер се з...

Усилията на САЩ и други правителства да ограничат разработването, и...
10 септември 2024

300 000 души са засегнати от пробива на данните...

Avis Car Rental уведомява близо 300 000 души, че личната им информа...
10 септември 2024

Двама са обвинени в САЩ за организиране на паза...

САЩ повдигнаха обвинения на гражданин на Казахстан и гражданин на Р...
9 септември 2024

Шпионският софтуер Predator се появяви отново с...

Шпионският софтуер Predator се е появил отново с нова инфраструктур...
9 септември 2024

Един милион клиенти на Kaspersky в САЩ са прехв...

Клиентите на Kaspersky в Съединените щати са уведомени, че абонамен...
9 септември 2024

CISA сигнализира за грешки в ICS в продуктите н...

Миналата седмица американската Агенция за киберсигурност и инфрастр...
Бъдете социални
Още по темата
18/07/2024

Сигурността в облака и експ...

Въпреки че изкуственият интелект е на...
05/05/2024

Олимпиада под прицел

Въпреки че служителите на Олимпийските игри...
20/03/2024

Kои приложения използват на...

Въпреки че “неограничените” планове за интернет...
Последно добавени
10/09/2024

Как да създадем и подобрим ...

Поради голямата си атакувана повърхност, съставена...
10/09/2024

Кибератаките на „TIDrone“

Изследователите наричат „TIDrone“  заплахата, която активно...
10/09/2024

Използването на търговски ш...

Усилията на САЩ и други правителства...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!