B6 Security

Kiberbiztonság mindenkinek***

1. rész : Bevezetés

Üdvözöljük ebben a részben, amelynek célja, hogy segítsen megérteni a kiberbiztonság növekvő igényét.

A kibertámadások soha nem látott mértékű megugrásával szembesülve még soha nem volt ilyen magas a kereslet a kiberbiztonsági szakemberek iránt.

Tudjon meg többet arról, mit akarnak a kiberbűnözők, és mit tehet annak érdekében, hogy a kiberfenyegetés soha ne váljon valósággá.

1.3 LABOR: Mit loptak el?

1.3.1 Első forgatókönyv

Napjainkban igen gyakori a védett belső információk elrablása, a támadók folyamatosan új és innovatív módszereket találnak arra, hogy beszivárogva a szervezetekbe értékes adatokat szerezzenek meg.

1.3.2 Mi történt?

Forrásaink szerint egy jól ismert, világszerte működő szállodalánc hatalmas adatvédelmi incidensről számolt be, több mint hárommillió vendég személyes adataihoz jutottak hackerek.

A szálloda felfedezte, hogy a hackerek az egyik alkalmazott bejelentkezési adatainak használatával jutottak hozzá az ügyfelek adatbázisához.

A lényeg, hogy a szálloda szerint a hackerek nem férhettek hozzá a fiókok jelszavaihoz vagy pénzügyi adataihoz. A korábbi vendégeket arra kérték, hogy jelentkezzenek be a szállodalánc internetes portálján. Ott ellenőrizzék, hogy nem érintette-e őket a betörés.

*Ez egy kitalált forgatókönyv.

Ebben a példában mit loptak el a hackerek?

1.3.3 Második forgatókönyv

Veszélyben az eLearning platformok!

A @Apollo csapata aggódik. Az eLearning platformok a támadók elsődleges célpontjává válnak, mivel egyre több szervezet tér át a digitális tanulásra.

Egy népszerű online képzési platform beismerte, hogy diákjainak milliói (köztük sok kiskorú) személyes adatait nyilvánosan elérhető felhőalapú adatbázisban tették közzé.

A hackerek közvetlenül hozzáférhettek a diákok teljes nevéhez, e -mail címéhez, telefonszámához és az iskolai beiratkozási adatokhoz az interneten keresztül!

Bár nem világos, hogy a hackerek mit kezdtek ezekkel a megszerzett információval, nyugodtan kijelenthetjük, hogy mindenük megvan ahhoz, hogy széles körű adathalászatot kezdeményezzenek, vagy rosszindulatú támadásokat hajtsanak végre.

1.3.4 Mit lehet kihasználni?

Mit használhattak ki a hackerek ebben az esetben, hogy hozzáférjenek az értékes személyes adatokhoz?

Válaszd ki a megfelelő választ!

A hackerek növekvő számban azokat a szervezeteket célozzák meg, akik felhőbe mentik az adataikat, vagy felhőalapú szolgáltatásokat és erőforrásokat használnak.

Ebben a forgatókönyvben a hackerek a szervezet rossz biztonsági gyakorlatát használták ki. Az interneten célba vehető nem biztonságos felhőalapú adatbázisok óriási sebezhetőséget jelentenek, amelyet a támadók ki fognak használni, hiszen így könnyen hozzáférhetnek értékes szervezeti adatokhoz.

1.3.4.1 A hackerek négy mérvadó tulajdonsága

A hackerekről szóló misztikus történetében sok időt töltenek azzal, hogy arról beszélnek, hogy a hackerek „másként gondolkodnak”, mint az átlagember. A nagy piros gomb példája alapján azt mondanám, hogy egyetértek, de az idegrendszer kutatása sokat tanított nekünk az agy plaszticitásáról. Természettől fakadóan elítélem a hackelést. Azt gondolom viszont, hogy ebben az esetben a számítógépek programozták át az embereket, méghozzá arra, hogy gombok nyomkodásával keressenek és találjanak is válaszokat. A tehetséges hacker képességei sok más szakmában is mérvadók: sok sportoló, művész és üzleti vezető ugyanazon négy tulajdonságra támaszkodik.

Curiosity - kíváncsiság: Ha csak egy jellemzőt kellene választanom, a kíváncsiság valószínűleg kiterjeszthető a másik háromra is. De bárki, aki etikus hackeléssel vagy „hackerszerű” viselkedéssel foglalkozik, kíváncsi a dolgok működésére. Ha megnyomják a piros gombot, mi történik? Ha csak a megfelelő csomagot küldik, betörhetnek a rendszerbe? Ha a recepció hívásakor megfelelő kérdéseket tesznek fel, megkaphatják az ügyvezető email címét?

Creativity - kreativitás: A különböző emberek különbözőképpen határozzák meg a kreativitást. Számomra ez arról szól, hogyan közelítesz egy problémához. Például általában nem akarok hozzáférni a kódbázishoz, amikor segítek egy alkalmazás vagy platform tesztelésében. Úgy akarom látni, ahogy a felhasználó találkozhat vele a vadonban. Ez a megkötés növeli a képességemet, hogy érdekes megközelítéseket találjak ki, ami kreativitást kényszerít ki, ott ahol a kódbázis vagy az architektúra ismerete túl sok lehetőséget kínál számomra és ez hasznos. A korlátok elősegítik a kreativitást.

Respect for diversity of thought - a gondolatok sokszínűségének tiszteletben tartása: Az internet nem egy személy munkája. Tudom, hogy ez nyilvánvalónak tűnhet, de több ezer elme (talán több százezer) készíti el az összes alkalmazást és webhelyet, amelyeket élelmiszerek beszerzésére, tanulásra, egészségügyi ellátáshoz való hozzáférésre használunk, és gondoskodunk arról, hogy elegendő pénz álljon rendelkezésünkre a kedvenc kiskereskedelmi webhelyeinken történő vásárláshoz. Ahogy korábban említettem, az internet az információk megosztására született; úgy írhatjuk le a biztonságot és a magánéletet, hogy „be van drótozva”. Mindazok az elmék a világ minden tájáról különböző módon teszik a dolgokat egyszerre; például a rosszak szerte a világon kitalálják a folyamatosan fejlődő támadásokat. Egyszerűen nincs értelme összeállítani egy olyan biztonsági csapatot, akik ugyanabból a háttérből származnak, ugyanarra az egyetemre jártak, ugyanazokkal a tanároktóll tanultak, hogy végül ugyanazt a zenét hallgassák, és ugyanazt a mémtartalmat osszák meg. A különböző környezetből jövő emberek különböző módon reagálnak a problémákra. Ez hatékonyabbá tette a webhelyek védelmén dolgozó vegyes csapatokat a DEF CON fekete jelvények elnyerésében (erről bővebben a következő részben). (Vannak olyan friss kutatások, amelyek szerint a sokféleség még segített is a csapatoknak a járvány idején.)

Tenacity - kitartás: Az etikus hackerek és a rosszindulatú szereplők is osztoznak ezen a tulajdonságon, hogy makacsok és nem adják fel. Egyikük sem tiszteli az alkalmazást, néhány egérkattintás után úgy dönt a programozó, hogy nem törhetnek be. De ő is ember, ezért téved. Ez azt jelenti, hogy előbb vagy utóbb, de sebezhetőséggel rukkolnak elő. Előfordulhat, hogy ez egy etikus hacker, akita cég bízott meg ezzel, vagy egy szabadúszó. Ilyen az esetekben jó, ha az etikus hackerek segítséget kapnak abban, hogy el tudják elérni a biztonsággal foglalkozó csoportot.

1.3.5 Ismétlés...

Minden szervezetet fenyeget a kibertámadás veszélye, ezért megfelelő lépéseket kell tennie a védelme érdekében.

Visszagondolva a fent ismertetett két biztonsági rést tartalmazó példára, milyen intézkedéseket foganasotíthattak a szervezetek annak érdekében, hogy megakadályozzák a biztonság ezekből fakadó sérülését?

Mindkét esetben a szervezeteknek be kell fektetniük a biztonsági gyakorlatuk javításába.

A biztonsági javítása a következőket foglalhatja magába:

  • fektessenek be a személyzet kiberbiztonsági képzésébe, hogy azok tisztában legyenek a veszélyekkel és képesek legyenek észrevenni egy kibertámadást
  • kéttényezős hitelesítés kikényszerítése az érzékeny adatokat tartalmazó fájlokhoz és alkalmazásokhoz hozzáférő alkalmazottak számára
  • a naplófájlok karbantartása és a folyamatos felügyelet az adatvédelmi incidensre utaló rendellenességek azonosítása érdekében
  • az ügyfelek jelszavainak tárolása sózás és robusztus hash algoritmusok kombinációjával
  • a felhőalapú erőforrások leválasztása a nyilvános internetről egy elszigetelt magánhálózati szegmensre
  • a munkavállalók személyes adatokhoz és belső rendszerekhez való hozzáférése csak biztonságos VPN-kapcsolaton keresztül történjen.

1.3.6 Kulcs a lopás ellen

A biztonsági behatolás olyan esemény, amely jogosulatlan hozzáférést eredményez az adatokhoz, alkalmazásokhoz, szolgáltatásokhoz vagy eszközökhöz, és felfedi azokat a személyes információkat, amelyeket a támadók pénzügyi haszonszerzés vagy más előnyök érdekében használhatnak fel.

Sokféleképpen védheti meg mindenki magát és szervezetét. Fontos, hogy tisztában legyünk a számítógépes fenyegetések gyakoriságával. Legyünk éberek, nehogy mi váljunk majd áldozatokká.

1.3.7 Tudj meg többet

Keress példákat biztonsági behatolásra!

Dokumentáld az eredményt az alábbiak szerint:

  • Az esemény dátuma
  • Érintett szervezet
  • Mit loptak el?
  • Milyen kizsákmányolásokat alkalmaztak?
  • Hogyan lehet megakadályozni ezt a biztonsági rést?
  • Referencia forrás

Példák angol nyelven:

1.3.7.1 Marriott Suffers Another Credential-Based Breach

The Story

On March 31, 2020, Marriott posted an announcement that "an unexpected amount of guest information may have been accessed using the login credentials of two employees at a franchise property." That "unexpected amount" turned out to be the data of 5.2 million guests.

This news is particularly unfortunate for Marriott since it's only been two years since it discovered another massive breach, stemming from its acquisition of Starwood Hotels.

How the Breach Happened

We know that a hacker obtained the credentials of two employees at a Marriott property and used them to siphon data for roughly a month before being discovered. We don't know how that hacker obtained employee credentials, but credential stuffing and phishing are both likely culprits.

What Data Was Exposed

Help Net Security reports that the attacker a ccessed a wide range of personal data, including contact information, personal details like gender and birthday, and linked account data like airline loyalty programs.

The Lesson for Businesses

To protect customer data, you have to control how employees access data rigorously.

Marriott could have avoided this breach by implementing multi-factor authentication for employees attempting to access sensitive data. That way, it would have taken more than a password for the attacker to sneak into their systems.

In addition, Marriott could have gotten wise to the hacker's presence much sooner if their IAM system had monitored for suspicious behavior. Such a system would have flagged the situation — two employees at a franchise location accessing millions of guest records — as an anomaly that merited investigation.

1.3.7.2 Slickwraps and the Case of the "White Hat" Hacker

The Story

Slickwraps, a company that lets users design custom skins for their electronics, was embroiled in a data breach story The Verge called "comically bad." The breach started when someone claimed to be a "white hat" hacker who tried to alert the company about its "abysmal cybersecurity".

Unfortunately, Slickwraps ignored them, so the hacker published a now-deleted Medium post about the experience. A second hacker read this post and exploited Slickwraps' vulnerability, hacking the company. In a particularly egregious touch, the hacker then emailed all the customers to notify them that their data had been compromised.

How the Breach Happened

The company's phone customization tool was vulnerable to remote code execution. Users needed to be able to upload their custom photos, but Slickwraps let them upload any file to the highest directory on the server. So this hacker uploaded a file that allowed them to achieve remote code execution and execute shell commands. (In the Medium post, the hacker called this "skin to obtaining a skeleton key").

What Data Was Exposed

Per the original hacker, the vulnerability gave them nearly free rein over Slickwraps' systems, including access to customer photos, billing and shipping addresses, admin account details, and the resumes of all employees.

The Lesson for Businesses

Get an independent security audit.

If someone points out a vulnerability, listen to them.