Što je točno procurilo u CISA-inom GitHub incidentu s izvođačem radova?

Izvođač je izložio lozinke u otvorenom tekstu i AWS ključeve visokih privilegija u javnom GitHub repozitoriju. Lozinke u otvorenom tekstu ne zahtijevaju nikakve tehničke vještine za korištenje, a AWS ključevi visokih privilegija mogli su svakome omogućiti čitanje podataka, pokretanje ili uništavanje poslužitelja i izmjenu konfiguracija oblaka.

Zašto se AWS ključevi visokih privilegija smatraju posebno opasnima?

AWS ključevi visokih privilegija mogu posjednicima omogućiti čitanje podataka, uništavanje poslužitelja, izmjenu konfiguracija i prodor dublje u povezane sustave. Izloženost je bila posebno ozbiljna jer je račun o kojemu je riječ navodno bio GovCloud račun, koji nosi veće uloge od osobnog razvojnog računa.

Zašto vladine agencije stalno griješe u osnovnim sigurnosnim praksama?

Nekoliko čimbenika tome doprinosi, uključujući izvođače koji djeluju na rubovima nadzora agencije bez iste sigurnosne obuke kao stalni zaposlenici, pritisak na programere da brzo napreduju što vodi do prečaca, te proliferaciju tajni u velikim organizacijama bez jedne točke odgovornosti za upravljanje vjerodajnicama.

Je li ova vrsta incidenta neuobičajena za vladine agencije?

Ne, članak napominje da vladine agencije i njihovi izvođači imaju dobro dokumentiran obrazac zakazivanja u temeljnim sigurnosnim praksama, čak i dok sami pišu sigurnosne pravilnike kojima se drugi moraju pridržavati. Članak navodi hakiranje osobnog e-mail računa direktora FBI-a kao još jedan primjer slične dinamike.

CISA izvođač radova procurio AWS ključeve i lozinke na javni GitHub

Q: Koliko brzo su drugi mogli otkriti izložene vjerodajnice?

Automatizirani botovi rutinski pretražuju GitHub za izloženim vjerodajnicama, često u roku od nekoliko minuta od postavljanja datoteke. Iako je prozor izloženosti možda bio kratak, rizik je ocijenjen stvarnim i ozbiljnim.

CISA izvođač radova procurio AWS ključeve i lozinke na javni GitHub

Agencija za kibernetičku sigurnost i sigurnost infrastrukture, poznatija kao CISA, primarno je tijelo američke vlade za zaštitu digitalne infrastrukture. Objavljuje sigurnosna upozorenja, postavlja standarde za savezne agencije i redovito upozorava javnost o higijeni vjerodajnica. Stoga je incident u kojemu je CISA-in izvođač radova ostavio lozinke u otvorenom tekstu i AWS ključeve visokih privilegija u javnom GitHub repozitoriju pogodio agenciju poput udarca u trbuh i ozbiljno narušio njezin kredibilitet. Ova sigurnosna pouka o curenju vladinih vjerodajnica doseže daleko izvan Washingtona.

Što je zapravo procurilo od CISA-inog izvođača radova

Procureni materijal nije bio beznačajan. Lozinke u otvorenom tekstu su, najjednostavnije rečeno, sirov, nešifriran oblik vjerodajnice. Svatko tko naiđe na lozinku u otvorenom tekstu može je odmah koristiti, bez ikakvih tehničkih vještina. Nema hashiranja za probijanje, nema kodiranja za poništavanje.

Još alarmantniji bili su izloženi AWS ključevi oblaka. Amazon Web Services (AWS) pristupni ključevi djeluju kao glavni identifikatori za okruženja oblaka. Konkretno, ključevi visokih privilegija mogu svakome tko ih posjeduje omogućiti čitanje podataka, pokretanje ili uništavanje poslužitelja, izmjenu konfiguracija i potencijalni prodor dublje u povezane sustave. Na GovCloud računu, na koji su demokratski zastupnici u Kongresu ukazali u zahtjevima za odgovore, ulozi su znatno viši nego na osobnom razvojnom računu.

Činjenica da je sve ovo završilo u javnom GitHub repozitoriju znači da je, barem neko vrijeme, bilo dostupno svakome. Automatizirani botovi rutinski pretražuju GitHub upravo za ovakvim materijalom, često u roku od nekoliko minuta od postavljanja datoteke. Prozor izloženosti možda je bio kratak, ali rizik je bio stvaran i ozbiljan.

Zašto vladine agencije stalno griješe u osnovama

Ovaj incident nije jednokratan slučaj. Vladine agencije i njihovi izvođači imaju dobro dokumentiran obrazac spoticanja o temeljne sigurnosne prakse, čak i dok sami pišu pravilnike kojima se trebaju voditi svi drugi. Hakiranje osobnog e-mail računa direktora FBI-a ilustriralo je sličnu dinamiku: ljudi i institucije pozicionirani kao sigurnosni autoriteti nisu imuni na najosnovnije propuste.

Nekoliko strukturnih čimbenika doprinosi ovom obrascu. Izvođači radova djeluju na rubovima nadzora agencije i možda ne prolaze ista sigurnosna obuka kao stalni zaposlenici. Razvojni procesi, posebno pri brzom radu na projektu, stvaraju pritisak za prečace, a hardkodiranje vjerodajnica u bazu koda ili slučajno postavljanje datoteke s tajnama u javni repozitorij iznimno je česta greška programera u svim sektorima.

Velike organizacije također se bore s proliferacijom tajni: deseci sustava, deseci vjerodajnica i nijedna točka odgovornosti koja bi osigurala da je svaka pravilno pohranjena, rotirana i opozvana. Kada je ta organizacija vladini izvođač radova, proliferacija se proteže kroz agencije, ugovore i podugovarače, množeći površinu za upravo ovakve greške.

Što ovo znači za obične korisnike koji vjeruju institucijama

Neugodan zaključak ovdje je jasan: nijednoj instituciji, ma koliko bila autoritativna, ne može se vjerovati kao sigurnom utočištu za vaše podatke ili vjerodajnice. CISA postavlja standarde za savezne kibernetičke sigurnosne smjernice. Ako izvođač koji radi za tu agenciju može napraviti tako temeljnu grešku, nema razloga pretpostavljati da je bilo koja druga organizacija koja rukuje vašim podacima imuna.

Ovo je važno jer većina ljudi funkcionira na temelju implicitne pretpostavke da vladine agencije i velike tvrtke imaju sigurnost pod kontrolom. Ne razmišljaju dvaput o ponovnoj upotrebi lozinke na više usluga ili preskakanju dvofaktorske autentifikacije, jer vjeruju platformama i institucijama s druge strane. Događaji poput ovog curenja CISA-inog izvođača trebali bi poremetiti tu pretpostavku. Povrede koje pogađaju velika vladina tijela postale su dovoljno rutinske da pitanje više nije hoće li institucije zakazati, nego kada.

Vaš osobni sigurnosni stav ne može ovisiti o njihovom.

Kontrolni popis slojevite sigurnosti: Što zapravo možete kontrolirati

CISA incident koristan je poticaj za provjeru vlastitih praksi s vjerodajnicama. Slojevita sigurnost znači da nijedna točka kvara ne može ugroziti sve što vam je važno. Evo gdje početi:

Upravitelji lozinki. Ako su vaše lozinke pohranjene u proračunskoj tablici, aplikaciji za bilješke ili vašem pamćenju, one su ili slabe, ponovo korištene ili oboje. Upravitelj lozinki generira i pohranjuje složene, jedinstvene lozinke za svaki račun. Ako jedna usluga bude ugrožena, šteta ostaje ograničena.

Dvofaktorska autentifikacija (2FA). Čak i ako je lozinka izložena u otvorenom tekstu, napadač bez pristupa vašem drugom faktoru ne može se prijaviti. Koristite aplikaciju za autentifikaciju umjesto SMS-a gdje je to moguće, jer SMS može biti presretnut kroz napade zamjene SIM kartice.

Enkripcija osjetljivih podataka. Datoteke koje sadrže vjerodajnice, financijske zapise ili osobne podatke trebaju biti šifrirane u mirovanju. Pohrana u oblaku je praktična, ali praktičnost i sigurnost nisu ista stvar.

Redovite provjere vjerodajnica. Provjerite jesu li vaše e-mail adrese ili lozinke zabilježene u poznatim bazama podataka o povredama. Usluge poput Have I Been Pwned omogućuju pretraživanje bez potrebe da date više podataka nego što je potrebno.

Gdje VPN-ovi imaju ulogu. VPN štiti podatke u prijenosu, posebno na javnim ili nepouzdanim mrežama, šifriranjem veze između vašeg uređaja i interneta. To je jedan koristan sloj u širem sigurnosnom stacku, iako ne štiti od krađe vjerodajnica, phishinga ili vrste izloženosti kakva se ovdje dogodila. Zamislite ga kao jedan od nekoliko alata, a ne kao potpuno rješenje.

Zaštitite sebe, ne čekajte da to učine institucije

Curenje CISA-inog izvođača radova sramotno je za agenciju, ali za sve ostale konkretni je podsjetnik da je higijena vjerodajnica osobna odgovornost. Nijedan poslodavac, vladino tijelo ni platforma ne može jamčiti da se vašim podacima pravilno rukuje na njihovoj strani. Ono što možete kontrolirati jest kako upravljate vlastitim vjerodajnicama i koliku štetu jedna točka kvara zapravo može nanijeti.

Provjerite svoje lozinke ovaj tjedan. Omogućite 2FA na svakom računu koji to podržava. I tretirajte ovu priču, zajedno s povredom e-maila direktora FBI-a, kao dokaz da su najvažnije sigurnosne odluke koje donosite one koje se događaju na vašim vlastitim uređajima, a ne u nečijem tuđem oblaku.

CISA izvođač radova procurio AWS ključeve i lozinke na javni GitHub

Što je zapravo procurilo od CISA-inog izvođača radova

Zašto vladine agencije stalno griješe u osnovama

Što ovo znači za obične korisnike koji vjeruju institucijama

Kontrolni popis slojevite sigurnosti: Što zapravo možete kontrolirati

Zaštitite sebe, ne čekajte da to učine institucije

// FAQ

// Povezano