CISA yüklenicisi GitHub olayında tam olarak neler sızdırıldı?

Yüklenici, herkese açık bir GitHub deposunda düz metin şifreler ve yüksek ayrıcalıklı AWS bulut anahtarları bıraktı. Düz metin şifreler teknik beceri gerektirmeksizin kullanılabilir; yüksek ayrıcalıklı AWS anahtarları ise herkese veri okuma, sunucu başlatma veya yok etme ve bulut yapılandırmalarını değiştirme yetkisi verebilir.

Yüksek ayrıcalıklı AWS anahtarları neden özellikle tehlikeli kabul edilir?

Yüksek ayrıcalıklı AWS anahtarları, sahiplerine veri okuma, sunucuları yok etme, yapılandırmaları değiştirme ve bağlı sistemlere daha derinlemesine sızma yetkisi verebilir. Söz konusu hesabın bir GovCloud hesabı olduğu bildirildiğinden, ifşa özellikle ciddi boyut kazandı; bu da kişisel bir geliştirici hesabına kıyasla çok daha yüksek riskler taşıdığı anlamına geliyor.

Ifşa edilen kimlik bilgileri başkaları tarafından ne kadar hızlı keşfedilebilirdi?

Otomatik botlar, bir dosya gönderilmesinin ardından çoğunlukla dakikalar içinde ifşa edilen kimlik bilgileri için GitHub'ı tarar. Ifşa penceresi kısa olmuş olsa da risk gerçek ve ciddi boyutta kabul edildi.

Devlet kurumları neden temel güvenlik uygulamalarında sürekli başarısız oluyor?

Birkaç etken buna katkıda bulunmaktadır: Yüklenicilerin ajans denetiminin kenarlarında faaliyet göstermesi ve tam zamanlı personelle aynı güvenlik eğitimini almaması, geliştiricilerin hızlı hareket etme baskısı altında kısa yollar alması ve büyük kuruluşlarda kimlik bilgisi yönetiminde tek bir sorumluluk noktasının bulunmamasına yol açan gizli bilgi yayılması bunların başında gelmektedir.

Bu tür bir olay devlet kurumları için alışılmadık bir durum mu?

Hayır, makale devlet kurumları ve yüklenicilerinin, başkalarının uyması gereken güvenlik kural kitaplarını yazarken bile temel güvenlik uygulamalarında başarısız olma konusunda iyi belgelenmiş bir örüntüye sahip olduğuna dikkat çekmektedir. Makale, benzer bir dinamiğin başka bir örneği olarak FBI Direktörünün kişisel e-posta hesabının hacklenmesini de aktarmaktadır.

CISA Yüklenicisi AWS Anahtarlarını ve Şifrelerini Herkese Açık GitHub'da Sızdırdı

Siber Güvenlik ve Altyapı Güvenliği Ajansı, daha yaygın adıyla CISA, Amerika Birleşik Devletleri hükümetinin dijital altyapıyı koruma konusundaki birincil otoritesidir. Güvenlik tavsiyeleri yayınlar, federal kurumlar için standartlar belirler ve kamuoyunu kimlik bilgisi hijyeni konusunda düzenli olarak uyarır. Bu yüzden bir CISA yüklenicisinin düz metin şifreleri ve yüksek ayrıcalıklı AWS bulut anahtarlarını herkese açık bir GitHub deposunda bırakması, ajansın güvenilirliğine adeta mide burkan bir darbe indirdi. Bu hükümet kimlik bilgisi sızıntısı güvenlik dersi, Washington'ın çok ötesine uzanıyor.

CISA Yüklenicisinin Gerçekte Neleri Ifşa Ettiği

Sızdırılan materyal küçümsenecek cinsten değildi. Düz metin şifreler, en basit ifadeyle, bir kimlik bilgisinin ham, şifrelenmemiş halidir. Düz metin bir şifreyle karşılaşan herkes, hiçbir teknik beceriye gerek duymadan onu anında kullanabilir. Kırılacak bir hash yoktur, tersine çevrilecek bir kodlama yoktur.

Daha da endişe verici olan şey ise ifşa edilen AWS bulut anahtarlarıydı. Amazon Web Services (AWS) erişim anahtarları, bulut ortamları için ana tanımlayıcılar işlevi görür. Özellikle yüksek ayrıcalıklı anahtarlar, bunlara sahip olan kişiye verileri okuma, sunucuları başlatma veya yok etme, yapılandırmaları değiştirme ve potansiyel olarak bağlı sistemlere daha derinlemesine sızma yetkisi verebilir. Kongre Demokratlarının yanıt talep ederken işaret ettiği GovCloud hesabında söz konusu olan riskler, kişisel bir geliştirici hesabındakinden çok daha yüksektir.

Tüm bunların herkese açık bir GitHub deposuna düşmesi, en azından belirli bir süre için, bu bilgilerin herkes tarafından keşfedilebilir olduğu anlamına gelir. Otomatik botlar, bir dosya gönderilmesinin ardından çoğunlukla dakikalar içinde tam da bu tür materyaller için GitHub'ı taramaktadır. Ifşa penceresi kısa olmuş olabilir, ancak risk gerçek ve ciddi boyuttaydı.

Devlet Kurumları Neden Temel Konularda Sürekli Başarısız Oluyor

Bu olay, tek seferlik bir durum değildir. Devlet kurumları ve yüklenicileri, başkalarının uyması gereken kural kitaplarını yazarken bile temel güvenlik uygulamalarında tökezleme konusunda iyi belgelenmiş bir örüntüye sahiptir. FBI Direktörünün kişisel e-posta hesabının hacklenmesi benzer bir dinamiği gözler önüne serdi: Güvenlik otoritesi olarak konumlanan kişi ve kurumlar, en temel başarısızlıklara karşı bağışıklı değildir.

Bu örüntüye birkaç yapısal etken katkıda bulunmaktadır. Yükleniciler, bir ajansın denetim alanının kenarlarında faaliyet gösterir ve tam zamanlı personelle aynı güvenlik eğitimini almayabilir. Geliştirici iş akışları, özellikle bir projede hızla ilerleme söz konusu olduğunda, kısa yollar almak için baskı yaratır; kimlik bilgilerini bir kod tabanına sabit kodlamak ya da yanlışlıkla bir gizli dosyayı herkese açık bir depoya göndermek, her sektörde son derece yaygın bir geliştirici hatasıdır.

Büyük kuruluşlar ayrıca gizli bilgi yayılmasıyla da mücadele eder: Düzinelerce sistem, düzinelerce kimlik bilgisi ve her birinin doğru şekilde depolandığından, döndürüldüğünden ve iptal edildiğinden emin olacak tek bir sorumluluk noktası yoktur. Bu kuruluş bir devlet yüklenicisi olduğunda, yayılma ajanslar, sözleşmeler ve alt yükleniciler genelinde uzanır; tam da bu tür hatalara zemin hazırlayan yüzey alanını çoğaltır.

Bu Durum, Kurumlara Güvenen Sıradan Kullanıcılar İçin Ne Anlama Geliyor

Buradaki rahatsız edici çıkarım açıktır: Hiçbir kurum, ne kadar yetkili olursa olsun, verileriniz veya kimlik bilgileriniz için güvenli bir liman olarak güvenilemez. CISA, federal siber güvenlik rehberliğinin standardını belirler. Bu ajans için çalışan bir yüklenici bu kadar temel bir hata yapabiliyorsa, bilgilerinizi işleyen başka herhangi bir kuruluşun bağışıklı olduğunu varsaymak için hiçbir neden yoktur.

Bu önemlidir, çünkü çoğu insan devlet kurumlarının ve büyük şirketlerin güvenliği hallettikleri konusunda örtük bir varsayım üzerine hareket eder. Karşı taraftaki platformlara ve kurumlara güvendikleri için, birden fazla hizmette aynı şifreyi yeniden kullanmayı ya da iki faktörlü kimlik doğrulamayı atlamayı iki kez düşünmezler. Bu CISA yüklenicisi sızıntısı gibi olaylar bu varsayımı sarsmalıdır. Büyük devlet kurumlarını etkileyen ihlaller, artık kurumların başarısız olup olmayacağı sorusunun değil, ne zaman başarısız olacağı sorusunun gündemde olduğu kadar rutin hale gelmiştir.

Kişisel güvenlik tutumunuz onlarınkine bağlı olamaz.

Katmanlı Güvenlik Kontrol Listesi: Gerçekte Neyi Kontrol Edebilirsiniz

CISA olayı, kendi kimlik bilgisi uygulamalarınızı denetlemek için faydalı bir fırsat sunuyor. Katmanlı güvenlik, tek bir başarısızlık noktasının önem verdiğiniz her şeyi tehlikeye atamaması anlamına gelir. Nereden başlayacağınız aşağıda açıklanmıştır:

Şifre yöneticileri. Şifreleriniz bir elektronik tabloda, notlar uygulamasında veya belleğinizde saklanıyorsa, ya zayıf ya da yeniden kullanılmış ya da her ikisi birden söz konusudur. Bir şifre yöneticisi, her hesap için karmaşık ve benzersiz şifreler oluşturur ve saklar. Bir hizmet ihlal edilirse, hasar sınırlı kalır.

İki faktörlü kimlik doğrulama (2FA). Bir şifre düz metin olarak ifşa edilse bile, ikinci faktörünüze erişimi olmayan bir saldırgan oturum açamaz. SMS SIM değiştirme saldırıları yoluyla ele geçirilebildiğinden, mümkün olan durumlarda SMS yerine bir kimlik doğrulama uygulaması kullanın.

Hassas veriler için şifreleme. Kimlik bilgileri, finansal kayıtlar veya kişisel bilgiler içeren dosyalar, bekleme durumunda şifrelenmelidir. Bulut depolama kullanışlıdır, ancak kullanışlılık ve güvenlik aynı şey değildir.

Düzenli kimlik bilgisi denetimleri. E-posta adreslerinizin veya şifrelerinizin bilinen ihlal veritabanlarında yer alıp almadığını kontrol edin. Have I Been Pwned gibi hizmetler, gereğinden fazla veri teslim etmenizi gerektirmeden arama yapmanıza izin verir.

VPN'lerin bu tablodaki yeri. Bir VPN, cihazınız ile internet arasındaki bağlantıyı şifreleyerek verileri aktarım sırasında, özellikle kamuya açık veya güvenilmeyen ağlarda korur. Daha geniş bir güvenlik yığınında kullanışlı bir katmandır; ancak kimlik bilgisi hırsızlığına, kimlik avına veya burada yaşanan türden ifşalara karşı koruma sağlamaz. Bunu eksiksiz bir çözüm olarak değil, birkaç araçtan biri olarak düşünün.

Kendinizi Koruyun, Kurumların Bunu Yapmasını Beklemeyin

CISA yüklenicisi sızıntısı, ajans için utanç vericidir; ancak diğer herkes için kimlik bilgisi hijyeninin kişisel bir sorumluluk olduğunun somut bir hatırlatıcısıdır. Hiçbir işveren, devlet kurumu veya platform, verilerinizin kendi taraflarında doğru şekilde işlendiğini garanti edemez. Kontrol edebildiğiniz şey, kendi kimlik bilgilerinizi nasıl yönettiğiniz ve tek bir başarısızlık noktasının gerçekte ne kadar hasara yol açabileceğidir.

Bu hafta şifrelerinizi denetleyin. 2FA'yı destekleyen her hesapta etkinleştirin. Ve bu hikayeyi, FBI Direktörünün e-posta ihlaliyle birlikte, aldığınız en önemli güvenlik kararlarının başkasının bulutunda değil, kendi cihazlarınızda gerçekleştiğinin kanıtı olarak değerlendirin.