CISA:n urakoitsija Nightwingin GitHub-vuoto paljasti AWS GovCloud -avaimet
Julkisesti saatavilla oleva GitHub-repositorio, joka on yhdistetty valtion urakoitsija Nightwingiin, on paljastanut arkaluonteisia todennustietoja ja pilvipalvelun käyttöavaimia, jotka liittyvät Kyberturvallisuus- ja infrastruktuuriturvallisuusviraston (CISA) ja sisäisen turvallisuuden ministeriön käyttämiin järjestelmiin. GitHubissa tapahtunut CISA:n urakoitsijan tietovuoto on herättänyt välittömiä vaatimuksia lainsäätäjiltä, jotka painostavat CISA:ta järjestämään täydellisen tiedotustilaisuuden altistumisen laajuudesta ja käynnissä olevista korjaustoimenpiteistä.
Tapaus on terävä muistutus siitä, että jopa liittovaltion kyberturvallisuusstandardeista vastaavat virastot ovat alttiita samoille perusmokille, jotka vaivaavat kaikenkokoisia organisaatioita.
Mitä Nightwingin GitHub-repositoriossa paljastui
Tapauksen keskipisteenä oleva repositorio oli julkisesti nähtävillä GitHubissa ja sisälsi tutkijoiden kuvailemia etuoikeutettuja tunnistetietoja, mukaan lukien todennustokeneita ja pilvipalvelun käyttöavaimia, jotka on sidottu CISA:n ja DHS:n käyttämiin AWS GovCloud -ympäristöihin. AWS GovCloud on rajoitettu pilviympäristö, joka on rakennettu nimenomaan arkaluonteisia Yhdysvaltain hallituksen työmääriä varten, mikä tekee paljastumisesta erityisen merkittävän.
Repositorio oli kuulemma nimetty tavalla, joka viittasi sen pitäneen olla yksityinen, mikä viittaa suoraviivaiseen mutta vakavaan virheelliseen konfiguraatioon. Ongelman esiin nostaneet tutkijat pystyivät tunnistamaan tunnistetiedot ennen kuin repositorio poistettiin, mutta altistumisikkuna näyttää olleen riittävän pitkä herättämään vakavia kysymyksiä siitä, kuinka nopeasti tällaiset vuodot havaitaan sisäisesti.
Lainsäätäjät reagoivat viipymättä. Kongressin vanhemmat jäsenet vaativat nyt suoraa tiedotustilaisuutta CISA:lta selvittääkseen, mihin järjestelmiin on ehkä päästy käsiksi, onko tunnistetietoja hyödynnetty ja miksi virasto tai sen urakoitsija ei havainnut vuotoa aiemmin.
Miksi todennustietojen vuodot ovat erityisen vaarallisia
Kaikilla tietovuodoilla ei ole sama riskiprofiili. Nimien ja sähköpostiosoitteiden paljastaminen on haitallista; aktiivisten todennustietojen ja pilvipalvelun käyttöavainten paljastaminen on kokonaan eri uhkaluokka.
Kun API-avaimet, käyttötokenit tai pilvipalvelun tunnistetiedot julkaistaan julkisessa repositoriossa, kuka tahansa ne löytävä voi mahdollisesti käyttää niitä välittömästi. Toisin kuin salasanavuodossa, jossa hajautettu tunniste täytyy murtaa ennen kuin se on käyttökelpoinen, live-API-avain tai käyttötoken on valmis otettavaksi käyttöön heti löytämishetkellä. Hyökkääjät voivat todentautua suoraan pilviympäristöihin, luetteloida resursseja, korottaa oikeuksia, suodattaa tietoja tai häiritä palveluja — kaikki tämä ilman, että se laukaisee perinteisten tunkeutumisyritysten kaltaisia hälytyksiä.
Valtiollisessa kontekstissa panoksia kasvattaa kyseessä olevien järjestelmien arkaluonteisuus. AWS GovCloud -instanssit sisältävät usein luokiteltua ei-salaista tietoa, ja pääsy näihin ympäristöihin voisi antaa vastustajalle yksityiskohtaisen kartan liittovaltion infrastruktuurista. Vaikka välitöntä hyväksikäyttöä ei tapahtuisi, on merkittävää tiedusteluarvoa siinä, että ymmärtää, miten CISA:n järjestelmät on rakennettu ja todennettu.
Miten valtion urakoitsijoiden virheet heijastavat tavallisia tietoturvavirheitä
Se, mikä tekee tästä tapauksesta opettavaisen välittömän poliittisen seurauksensa lisäksi, on se, kuinka tavanomainen taustalla oleva virhe on. Tunnistetietojen vahingollinen sisällyttäminen julkiseen repositorioon mainitaan johdonmukaisesti yhtenä yleisimmistä kehittäjien tietoturvavirheistä. Sitä tapahtuu startupeissa, suuryrityksissä, avoimen lähdekoodin projekteissa ja ilmeisesti myös maan johtavaa kyberturvallisuusvirastoa tukevassa urakoitsijajärjestelmässä.
Institutionaalisen tiedonhallinnan puutteiden johtamisesta kongressin valvontaan on tulossa tuttu kaava. Aivan äskettäin ShinyHuntersin Canvas-tietomurto noudatti samanlaista kaarta: urakoitsija tai toimittaja epäonnistui arkaluonteisten tietojen suojaamisessa, altistuminen tuli julkiseksi ja lainsäätäjät vaativat vastuullisuutta. Yksityiskohdat eroavat, mutta rakenteellinen epäonnistuminen on sama. Organisaatiot uskovat arkaluonteiset tunnistetiedot tai tiedot kolmansille osapuolille, eivätkä nämä kolmannet osapuolet aina sovella samoja standardeja, joita ensisijainen organisaatio väittää noudattavansa.
CISA:lle optiikka on erityisen kiusallinen. Virasto on vuosien ajan julkaissut ohjeistusta kehottaen sekä julkisen että yksityisen sektorin organisaatioita välttämään salaisuuksien tallentamista koodirepositorioon, kiertämään tunnistetietoja säännöllisesti ja ottamaan käyttöön automaattisen skannauksen paljastuneita avaimia varten. Se, että urakoitsija tekee täsmälleen sen, mistä CISA varoittaa muita, heikentää viraston auktoriteettia näissä asioissa ja antaa ammuksia kriitikoille, jotka väittävät liittovaltion kyberturvallisuusaseman olevan enemmän esitystä kuin käytäntöä.
Miten estää omien tunnistetietojesi paljastuminen verkossa
Nightwingin tapaus on hyödyllinen herätys kaikille, jotka hallitsevat tunnistetietoja — mikä nykyään tarkoittaa käytännössä kaikkia kehittäjiä, IT-ammattilaisia ja jopa monia tavallisia käyttäjiä, jotka luottavat pilvipalveluihin tai hallinnoivat omia työkalujaan.
Tässä on konkreettisia toimenpiteitä tunnistetietohygienian tarkastamiseksi ja parantamiseksi:
Älä koskaan koodaa tunnistetietoja suoraan koodiin. Käytä ympäristömuuttujia tai omistettuja salaisuuksien hallintavälineitä pitääksesi tunnistetiedot kokonaan pois lähdetiedostoista. Jos käytät palvelua, joka tarjoaa SDK:n tai CLI:n, tarkista sen dokumentaatiosta suositeltu tapa todentautua ilman avainten upottamista koodiin.
Skannaa repositoriosi ennen lähettämistä. Erityisesti koodissa olevien salaisuuksien havaitsemiseen suunnitellut työkalut voivat toimia pre-commit-koukkuina, merkiten mahdolliset vuodot ennen kuin ne koskaan pääsevät etärepositorioon. Myös olemassa olevien repositorioiden — sekä yksityisten että julkisten — skannauksen suorittaminen on suositeltavaa.
Kierrä tunnistetietoja säännöllisesti ja välittömästi epäillyn altistumisen jälkeen. Jos on edes mahdollista, että tunniste on ollut näkyvissä, kohtele sitä vaarantuneena ja kierrä se viivytyksettä. Monet pilvipalveluntarjoajat sallivat uuden avaimen myöntämisen ja vanhan peruuttamisen ilman käyttökatkoa.
Käytä mahdollisuuksien mukaan lyhytikäisiä tunnistetietoja. Väliaikaiset tunnistetiedot, joilla on kapeat käyttöoikeudet ja automaattinen vanheneminen, rajoittavat vahinkoa jos ne koskaan paljastuvat. Pilvipalveluntarjoajat tukevat yhä enemmän identiteettifederaatiota ja roolipohjaista pääsynhallintaa, mikä poistaa tarpeen pitkäikäisille staattisille avaimille.
Tarkasta kolmannen osapuolen pääsy. Jos käytät urakoitsijoita, toimittajia tai avoimen lähdekoodin integraatioita, tarkista säännöllisesti, mitä tunnistetietoja ja käyttöoikeuksia olet myöntänyt. Peruuta pääsy, jota ei enää tarvita.
Mitä tämä tarkoittaa sinulle
CISA:n urakoitsijan tietovuoto GitHubissa ei ole pelkästään hallituksen ongelma. Se heijastaa systeemistä heikkoa kohtaa siinä, miten kaikenlaiset organisaatiot käsittelevät salaisuuksia — heikkous, joka koskee kaikkia, jotka tallentavat tunnistetietoja koodiin, käyttävät pilvipalveluja tai luottavat urakoitsijoihin arkaluonteisten järjestelmien hallinnassa.
Ota tämä kehotuksena suorittaa oma tarkastuksesi. Tarkista repositoriosi, käy läpi pilvipalvelun käyttöavainvarastosi ja varmista, ettei yhtään tunnistetta ole jossakin missä sen ei pitäisi olla. Sama kurinalaisuus, jota CISA kannattaa julkisesti mutta jonka se ilmeisesti laiminlöi sisäisesti, on kaikkien saatavilla — ja sen soveltaminen ennakoivasti maksaa huomattavasti vähemmän kuin siivoaminen altistumisen jälkeen.
Jos kriittisen Yhdysvaltain infrastruktuurin suojaamisesta vastaava virasto voi kohdata tällaisen nolostumisen urakoitsijansa perusvirheen vuoksi, on kohtuullinen hetki kysyä, onko oma taloutesi vastaavasti kunnossa.
