Ecco come di solito funziona: qualcuno big viene violato o un grave rischio viene divulgato poi tutta una serie di articoli di pop-up con journos citare gente come me su tutte le stesse domande che inevitabilmente vengono rivolte. Ho fatto un po 'di oggi sulla scia dell'attacco eBay così ho pensato che piuttosto che avere questi uno su un conversazioni che poi vengono dispersi in tutto il luogo, mi piacerebbe catturare un mucchio di risposte da discussioni che 'ho avuto qui.
Solo una cosa - è molto primi giorni nella vita di questo incidente, anzi è meno di 24 ore da quando eBay ha chiesto a tutti di cambiare le loro password . Con questo in mente, ecco cosa la gente si chiede e quello che ho potuto contribuire alla discussione:
Che cosa è successo?
Sembra che le credenziali di un numero di dipendenti sono stati compromessi che poi ha consentito l'attaccante (s) per accedere alla rete di eBay e esfiltrare dati dei clienti tra cui nome, "criptato" password, e-mail e indirizzi fisici, telefono e data di nascita. Questo sembra essere accaduto alcuni mesi fa, a febbraio e marzo, ma sembra che è appena stato scoperto adesso.
Come è potuto accadere?
Gli attacchi di phishing rimangono uno dei mezzi di maggior successo di estrazione di credenziali da parte di persone in modo che sarebbe un candidato probabile, come sarebbe il semplice fatto che le persone riutilizzano le credenziali ad un ritmo allarmante e un compromesso in una risorsa spesso porta ad uno in un altro (anche se io non hanno idea dei requisiti di rotazione la password interne di eBay). Non è ancora chiaro se tali credenziali fossero sufficienti per l'attaccante di accedere ai sistemi interni direttamente senza un secondo fattore di autenticazione o no (cioè avevano bisogno di VPN e di una RSA token di prima).
Che cosa ha fatto eBay fare il male?
La risposta più ovvia è che ha impiegato molto tempo per rilevare l'intrusione - due o tre mesi, da l'aspetto di essa. Naturalmente era più di un semplice intrusione, però, non solo non gli attaccanti guadagnano l'accesso alla rete di eBay con le credenziali dei dipendenti, sono anche riuscito a trapelare i dati senza rilevamento tempestivo. Questo è un argomento che viene spesso in quartieri INFOSEC - come ben attrezzata è un'organizzazione di identificare quando i dati vengono rubacchiato? Forse non molto ...
Come mai info sulle carte di credito non è stato ottenuto?
Con ogni probabilità, eBay applicata molto diversi controlli di sicurezza per le loro informazioni di pagamento per quello che hanno fatto i loro dati personali. Si tratta di due diverse classi di dati e in effetti vengono sotto controlli separati, vale a dire le informazioni delle carte di pagamento sia soggetto a PCI DSS. I dati sono stati abbastanza probabile sandbox in un angolo diverso di infrastrutture della società ed è stato oggetto di diversi controlli di accesso. Non è come i dati delle carte sarebbero stati appena seduto lì in colonne di database accanto agli altri dati violato.
Per lo stesso motivo, cerchiamo di ri-leggere il loro messaggio in questa:
non abbiamo alcuna prova che le informazioni finanziarie o carta di credito del cliente è stato coinvolto
Quello che viene implicito è che l'assenza di prove è prova di assenza e che non è sempre il caso. Ci sono stati molti esempi precedenti in cui si sono verificati gli attacchi e le aziende emesso dichiarazioni sulla portata della violazione soltanto a rivedere verso l'alto di lì a poco, a volte più volte.
Potrebbe altri dati all'interno di eBay hanno avuto accesso?
Una pratica comune tra gli attaccanti è quello di "pivot" tra i vari servizi all'interno di un ambiente compromesso. Ad esempio, le credenziali possono aver concesso l'accesso all'applicazione web che ha permesso il recupero dei dati utente, potrebbe che le informazioni sono poi stati utilizzati per spostarsi lateralmente tra gli altri servizi e tirare altre classi di dati? Molto probabilmente e inevitabilmente la capacità di fare questo è abbastanza comune, soprattutto nelle organizzazioni più grandi con una vasta gamma di servizi.
La domanda più pertinente nel caso di eBay è che se questa attività era ancora rilevabile. Soprattutto se si stava avvenendo sotto le identità dei dipendenti legittimi, quale grado di fiducia hanno che le richieste orchestrati dalla aggressore sono stati effettivamente catturati e possono essere identificati? In teoria, sì, altri dati avrebbero potuto essere letta, ma senza conferma (o smentita enfatica) da eBay, possiamo solo speculare.
Sono state le password "criptate" o "hash"?
E 'sempre difficile dire perché i termini sono usati in modo intercambiabile, quando in realtà sono due molto diversi, i processi crittografici molto discreti. eBay ha detto (sottolineatura mia):
Come risultato, un database contenente crittografato password e altri dati non finanziarie è stata compromessa.
Si potrebbe sperare che ciò che realmente voleva dire era fortemente password "hash", ma abbiamo bisogno di capire che fraseggio in questo stato non risuona altrettanto bene con il pubblico prevalentemente consumer che stanno parlando al loro annuncio. Sì, stanno chiedendo alla gente di cambiare le loro password, e che può leggere come se non hanno sufficiente fiducia nel loro attuazione crittografia (chiave di esposizione o di algoritmo di hashing debole), ma ovviamente questo è anche un esercizio di culo che copre il loro nome.
Non dovrebbero solo hanno reimpostare la password di tutti per loro?
Di solito non vediamo questo fatto e, in particolare, nel caso di eBay sarebbe un argomento difficile da fare. In primo luogo, se le password sono state conservate crittografica e c'è un ragionevole grado di certezza che non potevano essere ripristinate in testo normale, un reset potrebbe essere eccessivo. Naturalmente sarà ancora chiedere ai clienti di cambiare se stessi (vedi l'asino-copertura già citato), ma possono avere un impatto reale.
In secondo luogo, si sta parlando di invio di 145m di password e-mail di reset e chiedendo a tutti di venire a ebay.com a circa lo stesso tempo ed eseguire un processo intensivo della CPU tramite un (si spera) algoritmo di hash crittografico laborioso. Questo ha tutta una serie di conseguenze sulla disponibilità di un servizio della scala di eBay e potrebbe portare a loro in modo efficace DDoS'ing stessi. Per inciso, eBay reimpostazione delle password richiedono di verificare la vostra identità via email o SMS prima così almeno l'attaccante non può semplicemente cambiare la password di qualcuno senza prima compromettere altri servizi.
In terzo luogo, se fossero sinceramente preoccupati per gli attaccanti che si collegano con le credenziali rubate poi avrebbero emetteranno un reset piuttosto immediato che ha gravi implicazioni di usabilità per le persone che utilizzano il sistema. Non solo è che dolorosa in termini di user experience, ma sarebbe inevitabilmente causare un picco enorme nel numero di chiamate di assistenza che avevano. Ancora una volta, un sacco di ramificazioni.
Chi avrebbe potuto fare questo?
Cosa c'è di interessante in merito a questa situazione è che i dati non sembra aver emerso all'interno di ogni sorta di breve lasso di tempo di quando è stato ottenuto. Non si è alzato su Pastebin o dei soliti hacktivisti ritrovi e anzi ci si aspetterebbe di eBay per essere in grado di proteggere questo tipo di informazioni da script kiddie con troppo tempo sulle loro mani. E 'improbabile che si trattava di un attacco opportunista come, ad esempio, Campana .
Poi ci sono i criminali di carriera; questi sono i ragazzi che fanno una vita fuori di compromettere i dati e poi venderlo. Ma se così fosse, avremmo probabilmente visto questa superficie questione molto prima come abbiamo fatto con target e in molti altri incidenti in anticipo. Certo, le carte di credito a quanto pare non sono stati esposti, ma anche i dati che è stato accusato di essere stato violato ha valore in metropolitana. E 'possibile che non era criminali o che semplicemente non hanno ottenuto dati di valore sufficiente.
Che lascia l'altra classe di attaccante - lo Stato-nazione. Abbiamo tutti più o meno accettato che i nostri peggiori timori riguardanti l'intrusione del governo sono stati veramente bene e realizzato in passato, così che è certamente una possibilità e anzi avrebbero le risorse per trovare modi in nessuna parte si misero le loro menti. Io non intendo necessariamente la NSA (ricordate quando abbiamo usato per essere preoccupati per la Cina?!), Ma il semplice fatto che si dispone di 145 persone in una delle più grandi piazze del mondo, pone inevitabilmente come una proposta interessante per molti attori statali diverse .
Che altro avrebbero potuto fare?
E 'difficile dire senza conoscere i dettagli così posso speculare solo sulla base di quello che sappiamo. La più evidente omissione nella loro rivolto pubblicamente presenza web è la mancanza di autenticazione a due fattori. A mio parere, ci stiamo rapidamente avvicinando un'era che ricorda di quando SSL è iniziato guadagnando tanto risalto tutti quegli anni fa - se le attività web di valore non stanno attuando 2FA, i clienti sono sempre più insoddisfatti. Anche se non necessariamente aiutare ad evitare questo incidente corrente, 2FA attenua in modo significativo l'impatto, se le password sono stati effettivamente recuperati e screpolate. Per inciso, PayPal ha una implementazione 2FA già così almeno tale opzione è disponibile sul lato soldi della maggior parte delle interazioni eBay.
Edit: A quanto pare la 2FA da PayPal può essere utilizzato anche con eBay. Non c'è nessuna info sulla pagina password di eBay su questo, né sulla pagina su come creare una password.
Chiaramente l'altra questione importante essi saranno pongono è se non avrebbero potuto fare di più per tenere gli attaccanti fuori dalla rete, se hanno effettivamente utilizzano le credenziali di personale e la risposta è semplice in retrospettiva - "sì"! Cosa possono fare diversamente sarà, ovviamente, dipendono dal vettore di attacco usato ma è chiaro che c'è una carenza. Stessa ancora in termini di rilevazione exfiltration dati - se ampie fasce di dati esistevano le premesse, dovrebbero non hanno saputo prima? Probabilmente.
E, infine, se i conti del personale compromessi hanno mai avuto così tanto l'accesso a un così grande volume di dati importanti? Voglio dire dovuto, diciamo, Mary nei conti essere in grado di tirare 145m identità fuori dal sistema? Non è ancora chiaro quanti record sono stati compromessi ma chiaramente era sufficiente a costituire un grave incidente che potrebbe essere stato evitato da più stringente l'applicazione del principio del privilegio minimo .
Almeno è facile cambiare la password di un sicuro, giusto?
No. Appena una settimana dopo aver scritto su Il "Cobra Effect" che è invalidante pasta su campi password , trovo che non posso copiare una password casuale forte dal mio gestore di password preferita ma deve invece digitare manualmente in un sottoinsieme dei caratteri ( la mia solita lunghezza è fattibile inserire manualmente - due volte). Così scrivo tutto e ...
Nessun commento:
Posta un commento