Διδάγματα από την Παραβίαση Δεδομένων της Equifax

nickpsar
4 Min Read

Την προηγούμενη εβδομάδα, συζητήσαμε για τη διάσημη παραβίαση δεδομένων της Equifax, η οποία εξέθεσε τα προσωπικά δεδομένα σχεδόν 150 εκατομμυρίων Αμερικανών. Αυτή την εβδομάδα, θα εξετάσουμε τι μπορούμε να μάθουμε από αυτό το περιστατικό.

Επιδιόρθωση προβλημάτων (Patching problems)

Μία από τις κύριες αιτίες της παραβίασης της Equifax ήταν μια μη ενημερωμένη ευπάθεια στο Apache Struts. Είχε κυκλοφορήσει μια ενημέρωση ασφαλείας, και η Equifax είχε ενημερωθεί για αυτήν, αλλά η ενημέρωση δεν εφαρμόστηκε ποτέ. Ένα από τα μεγάλα προβλήματα ήταν ότι η Equifax έστειλε την ειδοποίηση σε πολλούς από τους υπαλλήλους ασφαλείας της, χρησιμοποιώντας όμως μια παλιά λίστα email. Οι υπεύθυνοι για την εγκατάσταση της ενημέρωσης δεν ενημερώθηκαν ποτέ.

Αυτή η αποτυχία μας δίνει ένα αρκετά σαφές δίδαγμα—πρέπει να έχουμε κατάλληλα συστήματα επικοινωνίας στη θέση τους. Αν δώσουμε εντολή σε έναν διαχειριστή να εγκαταστήσει μια ενημέρωση, τότε πρέπει να διασφαλίσουμε ότι λαμβάνει πράγματι την εντολή. Λαμβάνοντας υπόψη τη σημασία της έγκαιρης ενημέρωσης κρίσιμων συστημάτων, πρέπει επίσης να υπάρχουν έλεγχοι και ισορροπίες για να διασφαλιστεί ότι αυτές οι ενημερώσεις έχουν εφαρμοστεί πραγματικά.

Αυτό μας οδηγεί στη δεύτερη αποτυχία: η Equifax σάρωσε τα συστήματά της, αλλά δεν εντόπισε τους μη ενημερωμένους διακομιστές. Δεν γνωρίζουμε ακριβώς τι πήγε στραβά σε αυτή την περίπτωση, αλλά είναι σαφές ότι η σάρωση ήταν αναποτελεσματική, αφού εξακολουθούσαν να υπάρχουν μη ενημερωμένοι διακομιστές. Αν θέλουμε να αποφύγουμε την τύχη της Equifax, πρέπει να διασφαλίσουμε ότι σαρώνουμε όλα τα συστήματά μας και ότι τα εργαλεία σάρωσής μας είναι ενημερωμένα με τις τελευταίες ευπάθειες. Αν είναι ξεπερασμένα, αυτό δίνει στους χάκερ ένα «παράθυρο ευκαιρίας» μεταξύ της ανακάλυψης της ευπάθειας και της εφαρμογής της ενημέρωσης.

Ληγμένα πιστοποιητικά (Expired certificates)

Κατά τη διάρκεια της παραβίασης, οι επιτιθέμενοι κατάφεραν να αποφύγουν τον εντοπισμό, επικοινωνώντας με τους συμβιβασμένους διακομιστές και κλέβοντας δεδομένα. Αυτό συνέβη επειδή το εργαλείο επιθεώρησης της διαδικτυακής κίνησης της εταιρείας είχε ένα πιστοποιητικό που είχε λήξει 10 μήνες νωρίτερα. Εξαιτίας αυτού, δεν μπορούσε να επιθεωρήσει την κρυπτογραφημένη κίνηση, επιτρέποντας στους επιτιθέμενους να μετακινούν ευαίσθητα δεδομένα χωρίς να εντοπίζονται.

Το δίδαγμα εδώ είναι να ανανεώνετε πάντα τα πιστοποιητικά σας. Μια μεγάλη εταιρεία όπως η Equifax θα έχει πολλά πιστοποιητικά που είναι δύσκολο να παρακολουθούνται. Οι εταιρείες πρέπει να διατηρούν ένα κεντρικό αρχείο πιστοποιητικών για να τις βοηθούν να παραμένουν ενημερωμένες για τα πιστοποιητικά τους.

Διαχωρισμός δικτύου (Network segmentation)

Συνολικά, οι επιτιθέμενοι κατάφεραν να αποκτήσουν πρόσβαση σε 51 βάσεις δεδομένων της Equifax. Το Γραφείο Λογοδοσίας της Κυβέρνησης των Ηνωμένων Πολιτειών διαπίστωσε ότι τα συστήματα της Equifax δεν ήταν επαρκώς διαχωρισμένα το ένα από το άλλο. Αυτό σήμαινε ότι οι επιτιθέμενοι μπορούσαν να μετακινούνται μεταξύ των βάσεων δεδομένων με σχετική ευκολία. Σήμερα, συνιστάται η υιοθέτηση μιας προσέγγισης μηδενικής εμπιστοσύνης (zero-trust), όπου τα δίκτυα διαιρούνται σε πολλά μικροτμήματα, το καθένα με τους δικούς του ελέγχους ταυτοποίησης στα όριά του. Αυτό μπορεί να αποτρέψει ή να επιβραδύνει σημαντικά τους επιτιθέμενους καθώς επιχειρούν να μετακινηθούν πλευρικά στο δίκτυο.

Ονόματα χρηστών και κωδικοί σε απλό κείμενο (Plaintext usernames and passwords)

Κατά τη διάρκεια της έρευνάς τους στο δίκτυο της Equifax, οι επιτιθέμενοι βρήκαν μια βάση δεδομένων με μη κρυπτογραφημένα ονόματα χρηστών και κωδικούς πρόσβασης. Προφανώς, οι κωδικοί πρόσβασης δεν πρέπει ποτέ να αποθηκεύονται ως απλό κείμενο. Αντίθετα, πρέπει να αποθηκεύονται μόνο τα hash των κωδικών, τα οποία έχουν «αλατιστεί» κατάλληλα. Οι βέλτιστες πρακτικές για την αποθήκευση κωδικών πρόσβασης περιλαμβάνουν τη χρήση αλγορίθμων όπως οι Argon2, bcrypt ή PBKDF2.

Follow:
Γεια σας! Είμαι ειδικός στις τηλεπικοινωνίες και την κυβερνοασφάλεια, με πάθος για την επίλυση σύνθετων "γρίφων" στον ψηφιακό κόσμο. Δραστηριοποιούμαι εκεί που συναντιούνται η καινοτομία, η ασφάλεια και η στρατηγική. Αλλά υπάρχει και κάτι παραπάνω από firewalls και κλειδιά κρυπτογράφησης! Όταν δεν προστατεύω δίκτυα, πετάω στους ουρανούς ως πιστοποιημένος επαγγελματίας χειριστής drone (A1/A3, A2). Οι περιπέτειές μου με ταξιδεύουν σε όλη την Ευρώπη, όπου συνδυάζω τη δουλειά μου με το πάθος μου για τα ταξίδια, αναζητώντας πάντα έμπνευση σε νέους τόπους και πολιτισμούς. Τα τελευταία πέντε χρόνια εξερευνώ επίσης τον συναρπαστικό και απρόβλεπτο κόσμο των κρυπτονομισμάτων ως επενδυτής. Ήταν ένα συναρπαστικό ταξίδι που με δίδαξε πολλά για τον κίνδυνο, τις ευκαιρίες και την διαρκώς εξελισσόμενη ψηφιακή οικονομία. Είτε πρόκειται για τα σύννεφα (εικονικά και κυριολεκτικά!) είτε για την περιήγηση στα τοπία του blockchain, με οδηγεί η περιέργεια και η ασταμάτητη αναζήτηση γνώσης. Ευχαριστώ που σταματήσατε εδώ—μη διστάσετε να επικοινωνήσετε και να συμμετάσχετε σε αυτό το ταξίδι!
Leave a Comment