Търсене
Close this search box.

Тайната уязвимост, която финансовите директори пропускат

(Другият) риск в областта на финансите

Преди няколко години строителен предприемач от Вашингтон получава връзка към документ от First American – компания за финансови услуги в сектора на недвижимите имоти – във връзка със сделка, по която работи. Всичко в документа било напълно наред и нормално.

Странното, казал той на един репортер, било, че ако промени една единствена цифра в URL адреса, изведнъж можел да види документ на някой друг. Променете я отново и ще видите друг документ. Без никакви технически инструменти или опит разработчикът можел да извлече записи на FirstAm, датиращи от 2003 г. – общо 885 милиона, много от които съдържали чувствителни данни, разкривани при сделки с недвижими имоти, като банкови данни, номера на социални осигуровки и, разбира се, имена и адреси.

Фактът, че близо един милиард записи могат да изтекат от толкова проста уеб уязвимост, изглеждаше шокиращ. И все пак всяка седмица компаниите за финансови услуги се сблъскват с още по-тежки последици. В най-новия си доклад за разследванията на нарушения на сигурността на данните Verizon разкрива, че финансите са единствената индустрия в света, която е обект на най-много атаки срещу основни уеб приложения. А според Statista успешните пробиви струват на тези компании средно по около шест милиона долара на брой. МВФ е изчислил, че загубите на цялата индустрия от кибератаки „могат да достигнат няколкостотин милиарда долара годишно, което ще намали печалбите на банките и потенциално ще застраши финансовата стабилност“.

В отговор на това ръководителите отделят всяка година милиони повече за сложни системи за защита – XDR, SOC, инструменти за изкуствен интелект и др. Но докато компаниите се укрепват срещу APT и зрели операции на киберпрестъпници, в цялата индустрия продължават да се появяват толкова елементарни пропуски в сигурността като тези на FirstAm.

Има една категория уязвимости, която рядко се обсъжда в заседателните зали. Но щом започнете да търсите, ще я откриете почти навсякъде. И много повече от нулевите дни, дълбоките фалшификати или фишинга, за хакерите е доста лесно да открият този вид грешки и да се възползват от тях.

Уязвимост, която всички пренебрегват

През 2019 г. трима изследователи от Държавния университет на Северна Каролина провериха една хипотеза, която е общоприета, но не се обсъжда често в областта на киберсигурността.

Историята разказва, че Github и други хранилища за изходен код са предизвикали бум в софтуерната индустрия. Те позволяват на талантливи разработчици да си сътрудничат по целия свят, като даряват, вземат и комбинират код в по-нов и по-добър софтуер, създаден по-бързо от всякога. За да могат различните кодове да се разбират, те използват удостоверения – тайни ключове, токени и т.н. Тези свързващи звена позволяват на всяка част от софтуера да отвори вратата си към друга. За да не могат нападателите да преминат по същия начин, те са защитени зад воал от сигурност.

Или не са?

Между 31 октомври 2017 г. и 20 април 2018 г. изследователите от NCSU анализират над два милиарда файла от над четири милиона хранилища на Github, което представлява около 13% от всичко в сайта. В тези проби се съдържаха близо 600 000 API и криптографски ключове – тайни, вградени направо в изходния код, които всеки може да види. Над 200 000 от тези ключове бяха уникални и бяха разпределени в общо над 100 000 хранилища.

Макар че в проучването са събрани данни за шест месеца, няколко дни – дори няколко часа – биха били достатъчни, за да се направи изводът. Изследователите подчертават как през всеки ден от проучването им са изтичали хиляди нови тайни.

Последните изследвания не само подкрепиха техните данни, но и ги доведоха до още една стъпка напред. Например, само през календарната 2021 г. GitGuardian идентифицира над шест милиона тайни, публикувани в Github – около три на всеки 1000 коммита.

В този момент човек може да се запита дали тайните данни, съдържащи се („hardcoded“) в изходния код, са наистина толкова лоши, щом са толкова разпространени. Сигурността в числата, нали?

Опасността от твърдо кодираните пълномощия

Твърдо кодираните пълномощия изглеждат като теоретична уязвимост, докато не попаднат в реално приложение.

Миналата есен Symantec идентифицира близо 2000 мобилни приложения, които разкриват тайни. Повече от три четвърти от тях изпускаха AWS токени, които даваха възможност на външни лица да получат достъп до частни облачни услуги, а почти половината изпускаха токени, които допълнително позволяваха „пълен достъп до множество, често милиони, частни файлове“.

За да сме наясно, това са били легитимни, публични приложения, които се използват днес по целия свят. Подобно на петте банкови приложения, които Symantec откри, че всички използват един и същ SDK на трети страни за удостоверяване на цифрова идентичност. Данните за идентификация са едни от най-чувствителната информация, която приложенията притежават, но при това SDK са изтекли облачни данни, които „биха могли да разкрият частни данни за идентификация и ключове, принадлежащи на всяко банково и финансово приложение, използващо SDK“. Това не свърши дотук, тъй като „биометричните цифрови пръстови отпечатъци на потребителите, използвани за удостоверяване, заедно с личните данни на потребителите (имена, дати на раждане и т.н.), бяха изложени на риск в облака“. Като цяло ot петте банкови приложения са изтекли над 300 000 биометрични пръстови отпечатъка на потребители.

Ако тези банки са избегнали компрометиране, то те са късметлии. Подобни изтичания на информация са изваждали на показ дори по-големи риби преди.

Като например Uber. Бихте си представили, че само високоорганизирани и талантливи кибернетични противници биха могли да пробият технологична компания от ранга на Uber. През 2022 г. обаче един 17-годишен младеж успя да направи всичко сам. След като лек социален инженеринг го отвежда във вътрешната мрежа на компанията, той открива скрипт на Powershell, съдържащ идентификационни данни на ниво администратор за системата за управление на привилегирования достъп на Uber. Това е всичко, от което се е нуждаел, за да компрометира всички видове инструменти и услуги, използвани от компанията – от AWS до Google Drive, Slack, таблата за управление на служителите и хранилищата за код.

Това можеше да е по-забележителна история, ако не беше другият път, когато Uber загуби тайни от хакери при пробива в частното хранилище през 2016 г., при който бяха разкрити данни, принадлежащи на над 50 милиона клиенти и седем милиона шофьори. Или другия път, когато го направиха чрез публично репо през 2014 г., разкривайки по този начин личната информация на 100 000 шофьори.

Какво да правим

Финансите са секторът, който е най-притегателен за кибератаки в световен мащаб. И всеки изследовател, който открива хиляди уязвими приложения или милиони уязвими хранилища, показва колко лесно би било за нападателите да идентифицират твърдо кодирани идентификационни данни в кода, който е от съществено значение за управлението на всяка модерна компания в този отрасъл.

Но колкото лесно могат да го направят лошите, толкова лесно могат да го направят и добрите. Както AWS, така и Github се опитват, доколкото могат, да следят за изтичане на пълномощия в своите платформи. Ясно е, че тези усилия не са достатъчни сами по себе си и тук се намесва доставчикът на киберсигурност.

Научете повече за наблюдението на изходния код за тайни от един от нашите експерти.

Забележка – Тази статия е написана от Томас Сегура, автор на техническо съдържание в GitGuardian. Томас е работил като анализатор и консултант по софтуерно инженерство за различни големи френски компании.

 

Източник: The Hacker News

Подобни публикации

29 май 2024

Пуснат е експлойт за FortiSIEM с максимална тежест

Изследователи в областта на сигурността публикуваха доказателство з...
29 май 2024

Операторът на NYSE Intercontinental Exchange по...

Миналата сряда Комисията по ценните книжа и фондовите борси на САЩ ...
29 май 2024

Рутерът за игри TP-Link Archer C5400X е уязвим

Рутерът за игри TP-Link Archer C5400X е уязвим към пропуски в сигур...
29 май 2024

Christie's потвърждава пробив от RansomHub

Christie’s потвърди, че е претърпяла инцидент със сигурността...
28 май 2024

Потребителите на блокери на реклами имат пробле...

Много потребители съобщават, че видеоклиповете в YouTube автоматичн...
28 май 2024

VMware е била използвана в неотдавнашната хакер...

MITRE сподели информация за това как свързаните с Китай хакери са и...

Как работи Интерпол в областта на киберпрестъпн...

Необходима е сложна координация между правоприлагащите органи, съде...
28 май 2024

Хакерите се насочват към VPN мрежите на Check P...

Заплахите се насочват към VPN устройствата за отдалечен достъп на C...
28 май 2024

Фишингът се разраства

Преходът към облака, лошата хигиена на паролите и развитието на тех...
Бъдете социални
Още по темата
05/05/2024

Олимпиада под прицел

Въпреки че служителите на Олимпийските игри...
20/03/2024

Kои приложения използват на...

Въпреки че “неограничените” планове за интернет...
28/02/2024

Предимства на включването н...

Кибератаките се развиват и стават все...
Последно добавени
29/05/2024

Пуснат е експлойт за FortiS...

Изследователи в областта на сигурността публикуваха...
29/05/2024

Операторът на NYSE Intercon...

Миналата сряда Комисията по ценните книжа...
29/05/2024

Рутерът за игри TP-Link Arc...

Рутерът за игри TP-Link Archer C5400X...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!