Преди няколко години строителен предприемач от Вашингтон получава връзка към документ от First American – компания за финансови услуги в сектора на недвижимите имоти – във връзка със сделка, по която работи. Всичко в документа било напълно наред и нормално.
Странното, казал той на един репортер, било, че ако промени една единствена цифра в URL адреса, изведнъж можел да види документ на някой друг. Променете я отново и ще видите друг документ. Без никакви технически инструменти или опит разработчикът можел да извлече записи на FirstAm, датиращи от 2003 г. – общо 885 милиона, много от които съдържали чувствителни данни, разкривани при сделки с недвижими имоти, като банкови данни, номера на социални осигуровки и, разбира се, имена и адреси.
Фактът, че близо един милиард записи могат да изтекат от толкова проста уеб уязвимост, изглеждаше шокиращ. И все пак всяка седмица компаниите за финансови услуги се сблъскват с още по-тежки последици. В най-новия си доклад за разследванията на нарушения на сигурността на данните Verizon разкрива, че финансите са единствената индустрия в света, която е обект на най-много атаки срещу основни уеб приложения. А според Statista успешните пробиви струват на тези компании средно по около шест милиона долара на брой. МВФ е изчислил, че загубите на цялата индустрия от кибератаки „могат да достигнат няколкостотин милиарда долара годишно, което ще намали печалбите на банките и потенциално ще застраши финансовата стабилност“.
В отговор на това ръководителите отделят всяка година милиони повече за сложни системи за защита – XDR, SOC, инструменти за изкуствен интелект и др. Но докато компаниите се укрепват срещу APT и зрели операции на киберпрестъпници, в цялата индустрия продължават да се появяват толкова елементарни пропуски в сигурността като тези на FirstAm.
Има една категория уязвимости, която рядко се обсъжда в заседателните зали. Но щом започнете да търсите, ще я откриете почти навсякъде. И много повече от нулевите дни, дълбоките фалшификати или фишинга, за хакерите е доста лесно да открият този вид грешки и да се възползват от тях.
През 2019 г. трима изследователи от Държавния университет на Северна Каролина провериха една хипотеза, която е общоприета, но не се обсъжда често в областта на киберсигурността.
Историята разказва, че Github и други хранилища за изходен код са предизвикали бум в софтуерната индустрия. Те позволяват на талантливи разработчици да си сътрудничат по целия свят, като даряват, вземат и комбинират код в по-нов и по-добър софтуер, създаден по-бързо от всякога. За да могат различните кодове да се разбират, те използват удостоверения – тайни ключове, токени и т.н. Тези свързващи звена позволяват на всяка част от софтуера да отвори вратата си към друга. За да не могат нападателите да преминат по същия начин, те са защитени зад воал от сигурност.
Между 31 октомври 2017 г. и 20 април 2018 г. изследователите от NCSU анализират над два милиарда файла от над четири милиона хранилища на Github, което представлява около 13% от всичко в сайта. В тези проби се съдържаха близо 600 000 API и криптографски ключове – тайни, вградени направо в изходния код, които всеки може да види. Над 200 000 от тези ключове бяха уникални и бяха разпределени в общо над 100 000 хранилища.
Макар че в проучването са събрани данни за шест месеца, няколко дни – дори няколко часа – биха били достатъчни, за да се направи изводът. Изследователите подчертават как през всеки ден от проучването им са изтичали хиляди нови тайни.
Последните изследвания не само подкрепиха техните данни, но и ги доведоха до още една стъпка напред. Например, само през календарната 2021 г. GitGuardian идентифицира над шест милиона тайни, публикувани в Github – около три на всеки 1000 коммита.
В този момент човек може да се запита дали тайните данни, съдържащи се („hardcoded“) в изходния код, са наистина толкова лоши, щом са толкова разпространени. Сигурността в числата, нали?
Твърдо кодираните пълномощия изглеждат като теоретична уязвимост, докато не попаднат в реално приложение.
Миналата есен Symantec идентифицира близо 2000 мобилни приложения, които разкриват тайни. Повече от три четвърти от тях изпускаха AWS токени, които даваха възможност на външни лица да получат достъп до частни облачни услуги, а почти половината изпускаха токени, които допълнително позволяваха „пълен достъп до множество, често милиони, частни файлове“.
За да сме наясно, това са били легитимни, публични приложения, които се използват днес по целия свят. Подобно на петте банкови приложения, които Symantec откри, че всички използват един и същ SDK на трети страни за удостоверяване на цифрова идентичност. Данните за идентификация са едни от най-чувствителната информация, която приложенията притежават, но при това SDK са изтекли облачни данни, които „биха могли да разкрият частни данни за идентификация и ключове, принадлежащи на всяко банково и финансово приложение, използващо SDK“. Това не свърши дотук, тъй като „биометричните цифрови пръстови отпечатъци на потребителите, използвани за удостоверяване, заедно с личните данни на потребителите (имена, дати на раждане и т.н.), бяха изложени на риск в облака“. Като цяло ot петте банкови приложения са изтекли над 300 000 биометрични пръстови отпечатъка на потребители.
Ако тези банки са избегнали компрометиране, то те са късметлии. Подобни изтичания на информация са изваждали на показ дори по-големи риби преди.
Като например Uber. Бихте си представили, че само високоорганизирани и талантливи кибернетични противници биха могли да пробият технологична компания от ранга на Uber. През 2022 г. обаче един 17-годишен младеж успя да направи всичко сам. След като лек социален инженеринг го отвежда във вътрешната мрежа на компанията, той открива скрипт на Powershell, съдържащ идентификационни данни на ниво администратор за системата за управление на привилегирования достъп на Uber. Това е всичко, от което се е нуждаел, за да компрометира всички видове инструменти и услуги, използвани от компанията – от AWS до Google Drive, Slack, таблата за управление на служителите и хранилищата за код.
Това можеше да е по-забележителна история, ако не беше другият път, когато Uber загуби тайни от хакери при пробива в частното хранилище през 2016 г., при който бяха разкрити данни, принадлежащи на над 50 милиона клиенти и седем милиона шофьори. Или другия път, когато го направиха чрез публично репо през 2014 г., разкривайки по този начин личната информация на 100 000 шофьори.
Финансите са секторът, който е най-притегателен за кибератаки в световен мащаб. И всеки изследовател, който открива хиляди уязвими приложения или милиони уязвими хранилища, показва колко лесно би било за нападателите да идентифицират твърдо кодирани идентификационни данни в кода, който е от съществено значение за управлението на всяка модерна компания в този отрасъл.
Но колкото лесно могат да го направят лошите, толкова лесно могат да го направят и добрите. Както AWS, така и Github се опитват, доколкото могат, да следят за изтичане на пълномощия в своите платформи. Ясно е, че тези усилия не са достатъчни сами по себе си и тук се намесва доставчикът на киберсигурност.
Научете повече за наблюдението на изходния код за тайни от един от нашите експерти.
Забележка – Тази статия е написана от Томас Сегура, автор на техническо съдържание в GitGuardian. Томас е работил като анализатор и консултант по софтуерно инженерство за различни големи френски компании.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.