Tietomurrot

CISA:n alihankkija vuoti AWS-avaimet ja salasanat julkiseen GitHubiin

21. toukokuuta 20265 min lukuaika

By David Nakamura — Security tooling and full-stack development background

CISA:n alihankkija vuoti AWS-avaimet ja salasanat julkiseen GitHubiin

Cybersecurity and Infrastructure Security Agency, paremmin tunnettuna nimellä CISA, on Yhdysvaltain hallituksen ensisijainen viranomainen digitaalisen infrastruktuurin suojaamisessa. Se julkaisee tietoturvatiedotteita, asettaa standardeja liittovaltion virastoille ja varoittaa säännöllisesti yleisöä tunnistetietojen käsittelystä. Kun CISA:n alihankkija jätti selväkieliset salasanat ja korkean tason AWS-pilviavaimet julkiseen GitHub-repositorioon, tapaus osui viraston uskottavuuteen kuin nyrkki vatsaan. Tämä hallituksen tunnistetietovuodon turvallisuusopetus ulottuu kauas Washingtonin ulkopuolelle.

Mitä CISA:n alihankkija tarkalleen ottaen paljasti

Vuodettu materiaali ei ollut vähäpätöistä. Selväkieliset salasanat ovat yksinkertaisimmillaan tunnistetiedon raaka, salaamaton muoto. Kuka tahansa, joka törmää selväkieliseen salasanaan, voi käyttää sitä välittömästi ilman minkäänlaista teknistä osaamista. Ei ole mitään hajautusta murrettavaksi eikä koodausta purettavaksi.

Vielä hälyttävämpiä olivat paljastuneet AWS-pilviavaimet. Amazon Web Servicesin (AWS) käyttöavaimet toimivat pilviympäristöjen pääasiallisina tunnistetietoina. Korkean tason avaimet voivat erityisesti myöntää niiden haltijalle mahdollisuuden lukea tietoja, käynnistää tai tuhota palvelimia, muokata konfiguraatioita ja mahdollisesti siirtyä syvemmälle yhdistettyihin järjestelmiin. GovCloud-tilillä, johon kongressin demokraatit ovat viitanneet vaatiessaan vastauksia, panokset ovat huomattavasti korkeammat kuin henkilökohtaisella kehittäjätilillä.

Se, että kaikki tämä päätyi julkiseen GitHub-repositorioon, tarkoittaa, että se oli ainakin jonkin aikaa kenen tahansa löydettävissä. Automatisoidut botit skannaavat GitHubia säännöllisesti juuri tällaisen materiaalin varalta, usein muutamien minuuttien kuluessa tiedoston lataamisesta. Altistumisikkuna saattoi olla lyhyt, mutta riski oli todellinen ja vakava.

Miksi viranomaiset epäonnistuvat toistuvasti perusasioissa

Tämä tapaus ei ole yksittäinen. Viranomaisilla ja niiden alihankkijoilla on hyvin dokumentoitu kaava horjumisesta perustavanlaatuisissa tietoturvakäytännöissä, vaikka he kirjoittavatkin sääntökirjoja, joita kaikkien muiden on tarkoitus noudattaa. FBI-johtajan henkilökohtaisen sähköpostin hakkerointi havainnollisti samanlaista dynamiikkaa: tietoturvaviranomaisina toimivat ihmiset ja instituutiot eivät ole immuuneja kaikkein alkeellisimmille virheille.

Useat rakenteelliset tekijät myötävaikuttavat tähän kaavaan. Alihankkijat toimivat viraston valvonnan reuna-alueilla eivätkä välttämättä saa samaa tietoturvakoulutusta kuin vakituinen henkilöstö. Kehittäjien työnkulut, erityisesti projektin edetessä nopeasti, luovat paineita oikopolkuihin, ja tunnistetietojen kovakoodaus koodipohjaan tai salaisuustiedoston vahingossa vahvistaminen julkiseen repositorioon on hämmästyttävän yleinen kehittäjävirhe kaikilla aloilla.

Suurilla organisaatioilla on myös vaikeuksia salaisuuksien leviämisen kanssa: kymmeniä järjestelmiä, kymmeniä tunnistetietoja eikä yhtä vastuupistettä, joka varmistaisi, että jokainen niistä tallennetaan, kierrätetään ja perutaan asianmukaisesti. Kun kyseessä on valtion alihankkija, leviäminen ulottuu virastojen, sopimusten ja alihankkijoiden välille, moninkertaistaen pinnan juuri tämänkaltaisille virheille.

Mitä tämä tarkoittaa tavallisille käyttäjille, jotka luottavat instituutioihin

Epämukava johtopäätös on suoraviivainen: mihinkään instituutioon, kuinka arvovaltaiseen tahansa, ei voi luottaa turvallisena paikkana tietojesi tai tunnistetietojesi säilyttämiseen. CISA asettaa liittovaltion kyberturvallisuusohjeiden standardin. Jos kyseisen viraston alihankkija voi tehdä niin perustavanlaatuisen virheen, ei ole mitään syytä olettaa, että mikään muu tietojasi käsittelevä organisaatio olisi immuuni.

Tällä on merkitystä, koska useimmat ihmiset toimivat implisiittisen olettamuksen varassa, että viranomaisilla ja suurilla yrityksillä on tietoturva hallinnassa. He eivät ajattele kahdesti ennen kuin käyttävät samaa salasanaa useilla palveluilla tai ohittavat kaksivaiheisen tunnistautumisen, koska he luottavat toisessa päässä oleviin alustoihin ja instituutioihin. Tämänkaltaisten CISA:n alihankkijan vuotojen pitäisi häiritä tätä olettamusta. Suuriin valtion elimiin vaikuttavista tietomurroista on tullut niin rutiininomaisia, että kysymys ei ole enää se, epäonnistuvatko instituutiot, vaan milloin.

Henkilökohtainen tietoturva-asentosi ei voi riippua heidän tietoturvastaan.

Kerrostetun tietoturvan tarkistuslista: mitä voit tosiasiassa hallita

CISA:n tapaus on hyödyllinen kehotus tarkastaa omat tunnistetietokäytäntösi. Kerrostettu tietoturva tarkoittaa, ettei mikään yksittäinen vikapiste voi vaarantaa kaikkea tärkeää. Tästä kannattaa aloittaa:

Salasananhallintaohjelmat. Jos salasanasi on tallennettu laskentataulukkoon, muistiinpanosovellukseen tai muistisi varaan, ne ovat joko heikkoja, uudelleenkäytettyjä tai molempia. Salasananhallintaohjelma luo ja tallentaa monimutkaiset, uniikit salasanat jokaiselle tilille. Jos yksi palvelu murretaan, vahinko pysyy rajattuna.

Kaksivaiheinen tunnistautuminen (2FA). Vaikka salasana paljastuisi selväkielisenä, hyökkääjä, jolla ei ole pääsyä toiseen tekijääsi, ei pysty kirjautumaan sisään. Käytä mahdollisuuksien mukaan todentajasovellusta SMS:n sijaan, sillä SMS voidaan siepata SIM-vaihtohyökkäyksillä.

Arkaluonteisten tietojen salaus. Tunnistetietoja, taloustietoja tai henkilökohtaisia tietoja sisältävät tiedostot tulee salata levossa. Pilvitallennus on kätevää, mutta kätevyys ja tietoturva eivät ole sama asia.

Säännölliset tunnistetietojen tarkastukset. Tarkista, ovatko sähköpostiosoitteesi tai salasanasi esiintyneet tunnetuissa tietomurtokannoissa. Palvelut kuten Have I Been Pwned antavat sinun tehdä hakuja ilman, että sinun täytyy luovuttaa enemmän tietoja kuin tarpeen.

Missä VPN:t sopivat kokonaisuuteen. VPN suojaa liikkeellä olevaa dataa, erityisesti julkisissa tai epäluotettavissa verkoissa, salaamalla yhteyden laitteesi ja internetin välillä. Se on yksi hyödyllinen kerros laajemmassa tietoturva-arkkitehtuurissa, vaikka se ei suojaakaan tunnistetietojen varkaudelta, tietojenkalastelulta tai tässä tapahtuneenkaltaiselta paljastumiselta. Ajattele sitä yhtenä useista työkaluista, ei täydellisenä ratkaisuna.

Suojaa itsesi, älä odota, että instituutiot tekevät sen puolestasi

CISA:n alihankkijan vuoto on virastolle noloa, mutta kaikille muille se on konkreettinen muistutus siitä, että tunnistetietojen huolellinen käsittely on henkilökohtainen vastuu. Mikään työnantaja, valtiollinen elin tai alusta ei voi taata, että tietojasi käsitellään oikein heidän päässään. Se, mitä voit hallita, on se, miten hallitset omia tunnistetietojasi ja kuinka paljon vahinkoa yksittäinen vikapiste voi tosiasiassa aiheuttaa.

Tarkasta salasanasi tällä viikolla. Ota 2FA käyttöön kaikilla tileillä, jotka sitä tukevat. Ja pidä tätä tarinaa yhdessä FBI-johtajan sähköpostimurron kanssa todisteena siitä, että tärkeimmät tekemäsi tietoturvapäätökset tapahtuvat omilla laitteillasi, ei jonkun muun pilvessä.

// UKK

Mitä tarkalleen ottaen vuodettiin CISA:n alihankkijan GitHub-tapauksessa?

Alihankkija paljasti selväkieliset salasanat ja korkean tason AWS-pilviavaimet julkisessa GitHub-repositoriossa. Selväkielisten salasanojen käyttäminen ei vaadi teknistä osaamista, ja korkean tason AWS-avaimet olisivat antaneet kenelle tahansa mahdollisuuden lukea tietoja, käynnistää tai tuhota palvelimia ja muokata pilvikonfiguraatioita.

Miksi korkean tason AWS-avaimia pidetään erityisen vaarallisina?

Korkean tason AWS-avaimet voivat myöntää haltijoille mahdollisuuden lukea tietoja, tuhota palvelimia, muokata konfiguraatioita ja siirtyä syvemmälle yhdistettyihin järjestelmiin. Paljastuminen oli erityisen vakavaa, koska kyseessä oleva tili oli tiettävästi GovCloud-tili, jonka panokset ovat suuremmat kuin henkilökohtaisella kehittäjätilillä.

Kuinka nopeasti muut olisivat voineet löytää paljastuneet tunnistetiedot?

Automatisoidut botit skannaavat GitHubia paljastuneiden tunnistetietojen varalta säännöllisesti, usein muutamien minuuttien kuluessa tiedoston lataamisesta. Vaikka altistumisikkuna saattoi olla lyhyt, riskin katsottiin olevan todellinen ja vakava.

Miksi viranomaiset epäonnistuvat toistuvasti perustavanlaatuisissa tietoturvakäytännöissä?

Useita tekijöitä vaikuttaa asiaan, mukaan lukien alihankkijat, jotka toimivat viraston valvonnan reuna-alueilla ilman samanlaista tietoturvakoulutusta kuin vakituisella henkilöstöllä, kehittäjien paine edetä nopeasti johtaen oikopolkuihin, sekä salaisuuksien leviäminen suurissa organisaatioissa ilman yhtä vastuupistettä tunnistetietojen hallinnalle.

Onko tämäntyyppinen tapaus epätavallinen viranomaisille?

Ei, artikkeli toteaa, että viranomaisilla ja niiden alihankkijoilla on hyvin dokumentoitu kaava epäonnistumisesta perustavanlaatuisissa tietoturvakäytännöissä, vaikka he kirjoittavatkin tietoturvasääntökirjoja, joita muiden on noudatettava. Artikkeli mainitsee FBI-johtajan henkilökohtaisen sähköpostin hakkeroinnin toisena esimerkkinä samanlaisesta dynamiikasta.

CISA:n alihankkija vuoti AWS-avaimet ja salasanat julkiseen GitHubiin

Mitä CISA:n alihankkija tarkalleen ottaen paljasti

Miksi viranomaiset epäonnistuvat toistuvasti perusasioissa

Mitä tämä tarkoittaa tavallisille käyttäjille, jotka luottavat instituutioihin

Kerrostetun tietoturvan tarkistuslista: mitä voit tosiasiassa hallita

Suojaa itsesi, älä odota, että instituutiot tekevät sen puolestasi

// UKK

// Aiheeseen liittyvät