Naruszenia danych

Wykonawca CISA ujawnia klucze AWS i hasła na publicznym GitHubie

21 maja 20265 min czytania

By David Nakamura — Security tooling and full-stack development background

Wykonawca CISA ujawnia klucze AWS i hasła na publicznym GitHubie

Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury, znana powszechnie jako CISA, jest głównym organem rządu Stanów Zjednoczonych odpowiedzialnym za ochronę infrastruktury cyfrowej. Publikuje ostrzeżenia dotyczące bezpieczeństwa, ustanawia standardy dla agencji federalnych i regularnie przestrzega opinię publiczną przed zagrożeniami związanymi z higieną danych uwierzytelniających. Dlatego gdy wykonawca CISA zostawił hasła w postaci zwykłego tekstu i klucze chmurowe AWS o wysokich uprawnieniach w publicznym repozytorium GitHub, incydent ten uderzył w wiarygodność agencji niczym cios w splot słoneczny. Ta lekcja bezpieczeństwa związana z wyciekiem rządowych danych uwierzytelniających ma znaczenie daleko wykraczające poza Waszyngton.

Co dokładnie ujawnił wykonawca CISA

Ujawnione materiały nie były błahe. Hasła w postaci zwykłego tekstu to, mówiąc najprościej, surowa, niezaszyfrowana forma danych uwierzytelniających. Każdy, kto natknie się na hasło w postaci zwykłego tekstu, może go natychmiast użyć — bez żadnych umiejętności technicznych. Nie ma żadnego skrótu do złamania ani kodowania do odwrócenia.

Jeszcze bardziej alarmujące były ujawnione klucze chmurowe AWS. Klucze dostępu do Amazon Web Services (AWS) pełnią rolę głównych identyfikatorów środowisk chmurowych. Klucze o wysokich uprawnieniach mogą w szczególności umożliwić osobie, która je posiada, odczytywanie danych, uruchamianie lub niszczenie serwerów, modyfikowanie konfiguracji oraz potencjalne wnikanie głębiej w powiązane systemy. Na koncie GovCloud — na które powołują się kongresowi demokraci w swoich żądaniach wyjaśnień — stawka jest znacznie wyższa niż w przypadku prywatnego konta dewelopera.

Fakt, że wszystko to trafiło do publicznego repozytorium GitHub, oznacza, że przez pewien czas było dostępne dla każdego. Zautomatyzowane boty rutynowo skanują GitHub w poszukiwaniu właśnie takich materiałów, często w ciągu kilku minut od wypchnięcia pliku. Okno ekspozycji mogło być krótkie, ale ryzyko było realne i poważne.

Dlaczego agencje rządowe wciąż zawodzą w podstawach

Ten incydent nie jest jednorazowym przypadkiem. Agencje rządowe i ich wykonawcy mają dobrze udokumentowany wzorzec potykania się o fundamentalne praktyki bezpieczeństwa, nawet gdy sami piszą przepisy, których wszyscy inni muszą przestrzegać. Włamanie na prywatne konto e-mail dyrektora FBI ilustrowało podobną dynamikę: osoby i instytucje pełniące rolę autorytetów w dziedzinie bezpieczeństwa nie są odporne na najbardziej elementarne błędy.

Kilka czynników strukturalnych przyczynia się do tego wzorca. Wykonawcy działają na obrzeżach nadzoru agencji i mogą nie przechodzić takich samych szkoleń z zakresu bezpieczeństwa jak stali pracownicy. Przepływy pracy deweloperów, zwłaszcza przy szybkim realizowaniu projektu, wywierają presję na skróty, a wpisywanie danych uwierzytelniających bezpośrednio w kodzie lub przypadkowe zatwierdzenie pliku z sekretami do publicznego repozytorium to zadziwiająco powszechny błąd deweloperski w każdym sektorze.

Duże organizacje zmagają się również z rozrastaniem się sekretów: dziesiątki systemów, dziesiątki danych uwierzytelniających i żaden pojedynczy punkt odpowiedzialności za zapewnienie, że każdy z nich jest odpowiednio przechowywany, rotowany i unieważniany. Gdy tą organizacją jest wykonawca rządowy, rozrost ten obejmuje agencje, kontrakty i podwykonawców, zwielokrotniając powierzchnię ataku dla dokładnie tego rodzaju błędów.

Co to oznacza dla zwykłych użytkowników ufających instytucjom

Niewygodny wniosek jest prosty: żadnej instytucji, bez względu na jej autorytet, nie można ufać jako bezpiecznej przystani dla Twoich danych lub danych uwierzytelniających. CISA wyznacza standardy federalnych wytycznych w zakresie cyberbezpieczeństwa. Jeśli wykonawca pracujący dla tej agencji może popełnić tak fundamentalny błąd, nie ma powodów, by zakładać, że jakakolwiek inna organizacja przetwarzająca Twoje dane jest na to odporna.

Ma to znaczenie, ponieważ większość ludzi działa na podstawie milczącego założenia, że agencje rządowe i duże firmy mają bezpieczeństwo pod kontrolą. Nie zastanawiają się dwa razy nad ponownym użyciem hasła w wielu serwisach ani nad pomijaniem uwierzytelniania dwuskładnikowego, ponieważ ufają platformom i instytucjom po drugiej stronie. Takie zdarzenia jak wyciek danych przez wykonawcę CISA powinny zakwestionować to założenie. Naruszenia dotyczące głównych organów rządowych stały się na tyle rutynowe, że pytanie brzmi już nie czy instytucje zawodzą, ale kiedy.

Twoja osobista postawa bezpieczeństwa nie może zależeć od ich postawy.

Lista kontrolna bezpieczeństwa warstwowego: co możesz faktycznie kontrolować

Incydent z CISA jest użytecznym impulsem do przeprowadzenia audytu własnych praktyk dotyczących danych uwierzytelniających. Bezpieczeństwo warstwowe oznacza, że żaden pojedynczy punkt awarii nie może zagrozić wszystkiemu, na czym Ci zależy. Oto od czego zacząć:

Menedżery haseł. Jeśli Twoje hasła są przechowywane w arkuszu kalkulacyjnym, aplikacji do notatek lub w Twojej pamięci, są albo słabe, albo ponownie używane, albo jedno i drugie. Menedżer haseł generuje i przechowuje złożone, unikalne hasła dla każdego konta. Jeśli jeden serwis zostanie naruszony, szkody pozostają ograniczone.

Uwierzytelnianie dwuskładnikowe (2FA). Nawet jeśli hasło zostanie ujawnione w postaci zwykłego tekstu, atakujący bez dostępu do Twojego drugiego czynnika nie będzie mógł się zalogować. W miarę możliwości używaj aplikacji uwierzytelniającej zamiast SMS-ów, ponieważ SMS-y mogą być przechwytywane przez ataki SIM-swapping.

Szyfrowanie wrażliwych danych. Pliki zawierające dane uwierzytelniające, dokumenty finansowe lub dane osobowe powinny być szyfrowane w miejscu przechowywania. Przechowywanie w chmurze jest wygodne, ale wygoda i bezpieczeństwo to nie to samo.

Regularne audyty danych uwierzytelniających. Sprawdź, czy Twoje adresy e-mail lub hasła pojawiły się w znanych bazach danych naruszeń. Serwisy takie jak Have I Been Pwned pozwalają przeprowadzić wyszukiwanie bez konieczności przekazywania więcej danych niż to konieczne.

Miejsce VPN-ów w tym wszystkim. VPN chroni dane podczas przesyłania, szczególnie w sieciach publicznych lub niezaufanych, szyfrując połączenie między Twoim urządzeniem a internetem. Jest to jedna przydatna warstwa w szerszym stosie zabezpieczeń, choć nie chroni przed kradzieżą danych uwierzytelniających, phishingiem ani przed tego rodzaju ekspozycją, jaka miała miejsce w tym przypadku. Traktuj go jako jedno z wielu narzędzi, a nie kompleksowe rozwiązanie.

Chroń siebie — nie czekaj, aż zrobią to za Ciebie instytucje

Wyciek danych przez wykonawcę CISA jest kłopotliwy dla agencji, ale dla wszystkich innych stanowi konkretne przypomnienie, że higiena danych uwierzytelniających jest osobistą odpowiedzialnością. Żaden pracodawca, organ rządowy ani platforma nie może zagwarantować, że Twoje dane są po ich stronie prawidłowo obsługiwane. To, co możesz kontrolować, to sposób zarządzania własnymi danymi uwierzytelniającymi i to, jakie szkody może faktycznie wyrządzić pojedynczy punkt awarii.

Przeprowadź audyt swoich haseł w tym tygodniu. Włącz 2FA na każdym koncie, które to obsługuje. I potraktuj tę historię, obok naruszenia konta e-mail dyrektora FBI, jako dowód na to, że najważniejsze decyzje bezpieczeństwa, jakie podejmujesz, to te zapadające na Twoich własnych urządzeniach, a nie w czyjejś chmurze.

// FAQ

Co dokładnie wyciekło w incydencie z wykonawcą CISA na GitHubie?

Wykonawca ujawnił hasła w postaci zwykłego tekstu oraz klucze chmurowe AWS o wysokich uprawnieniach w publicznym repozytorium GitHub. Hasła w postaci zwykłego tekstu nie wymagają żadnych umiejętności technicznych do użycia, a klucze AWS o wysokich uprawnieniach mogłyby umożliwić każdemu odczytywanie danych, uruchamianie lub niszczenie serwerów oraz modyfikowanie konfiguracji chmury.

Dlaczego klucze AWS o wysokich uprawnieniach są uważane za szczególnie niebezpieczne?

Klucze AWS o wysokich uprawnieniach mogą umożliwić ich posiadaczom odczytywanie danych, niszczenie serwerów, modyfikowanie konfiguracji oraz wnikanie głębiej w powiązane systemy. Ekspozycja była szczególnie poważna, ponieważ zaangażowane konto było podobno kontem GovCloud, co niesie wyższe ryzyko niż prywatne konto dewelopera.

Jak szybko ujawnione dane uwierzytelniające mogły zostać odkryte przez innych?

Zautomatyzowane boty rutynowo skanują GitHub w poszukiwaniu ujawnionych danych uwierzytelniających, często w ciągu kilku minut od wypchnięcia pliku. Choć okno ekspozycji mogło być krótkie, ryzyko uznano za realne i poważne.

Dlaczego agencje rządowe wielokrotnie zawodzą w podstawowych praktykach bezpieczeństwa?

Przyczynia się do tego kilka czynników, m.in. wykonawcy działający na obrzeżach nadzoru agencji bez takich samych szkoleń z zakresu bezpieczeństwa jak stali pracownicy, presja na szybkie działanie prowadząca do skrótów, a także rozrastanie się sekretów w dużych organizacjach bez jednego punktu odpowiedzialności za zarządzanie danymi uwierzytelniającymi.

Czy tego rodzaju incydenty są rzadkością w agencjach rządowych?

Nie — artykuł zauważa, że agencje rządowe i ich wykonawcy mają dobrze udokumentowany wzorzec zawodzenia w fundamentalnych praktykach bezpieczeństwa, nawet gdy sami piszą przepisy bezpieczeństwa, których muszą przestrzegać inni. Artykuł przytacza włamanie na prywatne konto e-mail dyrektora FBI jako kolejny przykład podobnej dynamiki.

Wykonawca CISA ujawnia klucze AWS i hasła na publicznym GitHubie

Co dokładnie ujawnił wykonawca CISA

Dlaczego agencje rządowe wciąż zawodzą w podstawach

Co to oznacza dla zwykłych użytkowników ufających instytucjom

Lista kontrolna bezpieczeństwa warstwowego: co możesz faktycznie kontrolować

Chroń siebie — nie czekaj, aż zrobią to za Ciebie instytucje

// FAQ

// Powiązane