Παραβίαση του πηγαίου κώδικα του LastPass – κυκλοφόρησε αναφορά απόκρισης περιστατικού

Αν η μεγάλη ιστορία αυτού του μήνα φαίνεται να είναι Παραβίαση δεδομένων της Uber, όπου ένας χάκερ φέρεται να μπόρεσε να περιπλανηθεί ευρέως στο δίκτυο της εταιρείας κοινής χρήσης...

..η μεγάλη ιστορία από τον περασμένο μήνα ήταν η Παραβίαση του LastPass, στο οποίο ένας εισβολέας προφανώς είχε πρόσβαση σε ένα μόνο τμήμα του δικτύου LastPass, αλλά μπόρεσε να απομακρυνθεί με τον αποκλειστικό πηγαίο κώδικα της εταιρείας.

Ευτυχώς για την Uber, ο επιτιθέμενος φαινόταν αποφασισμένος να κάνει μια μεγάλη, γρήγορη PR πάταγο παίρνοντας στιγμιότυπα οθόνης, διαδίδοντάς τα γενναιόδωρα στο διαδίκτυο και κοροϊδεύοντας την εταιρεία με φωνητικά μηνύματα όπως π.χ. Η UBER ΕΧΕΙ ΧΑΚΑΡΕΙ, ακριβώς στα δικά του φόρουμ Slack και bug bounty:

Ο εισβολέας ή οι εισβολείς στο LastPass, ωστόσο, φαίνεται ότι λειτουργούσαν πιο κρυφά, προφανώς ξεγελώντας έναν προγραμματιστή του LastPass να εγκαταστήσει κακόβουλο λογισμικό που οι εγκληματίες του κυβερνοχώρου χρησιμοποίησαν στη συνέχεια για να μπουν στο αποθετήριο πηγαίου κώδικα της εταιρείας:

Το LastPass δημοσίευσε τώρα ένα επίσημη έκθεση παρακολούθησης σχετικά με το περιστατικό, με βάση τα όσα κατάφερε να καταλάβει σχετικά με την επίθεση και τους επιτιθέμενους μετά την εισβολή.

Πιστεύουμε ότι το άρθρο του LastPass αξίζει να διαβαστεί ακόμα κι αν δεν είστε χρήστης του LastPass, γιατί πιστεύουμε ότι είναι μια υπενθύμιση ότι μια καλή αναφορά απόκρισης περιστατικού είναι εξίσου χρήσιμη για αυτό που παραδέχεται ότι δεν μπορούσατε να καταλάβετε όσο και για το τι ήσασταν.

Αυτό που ξέρουμε τώρα

Οι προτάσεις με έντονους χαρακτήρες παρακάτω παρέχουν μια περίληψη του τι λέει το LastPass:

• Ο επιτιθέμενος "απέκτησε πρόσβαση στο [d] περιβάλλον ανάπτυξης χρησιμοποιώντας το παραβιασμένο τελικό σημείο ενός προγραμματιστή." Υποθέτουμε ότι αυτό οφείλεται στο ότι ο εισβολέας εμφύτευσε κακόβουλο λογισμικό που κατασκοπεύει το σύστημα στον υπολογιστή ενός προγραμματιστή.
• Το τέχνασμα που χρησιμοποιήθηκε για την εμφύτευση του κακόβουλου λογισμικού δεν ήταν δυνατό να προσδιοριστεί. Αυτό είναι απογοητευτικό, επειδή γνωρίζοντας πώς πραγματοποιήθηκε η τελευταία σας επίθεση, είναι πιο εύκολο να καθησυχάσετε τους πελάτες ότι οι αναθεωρημένες διαδικασίες πρόληψης, εντοπισμού και απόκρισης είναι πιθανό να την εμποδίσουν την επόμενη φορά. Πολλοί δυνητικοί φορείς επίθεσης έρχονται στο μυαλό, όπως: μη επιδιορθωμένο τοπικό λογισμικό, "σκιώδης πληροφορική" που οδηγεί σε ανασφαλή τοπική διαμόρφωση, σφάλμα ηλεκτρονικού "ψαρέματος" (phishing), μη ασφαλείς συνήθειες λήψης, προδοσία στην αλυσίδα εφοδιασμού του πηγαίου κώδικα στην οποία βασίζεται ο ενδιαφερόμενος κωδικοποιητής. ή ένα συνημμένο email που έχει παγιδευτεί με έκρηξη άνοιξε κατά λάθος. Καπέλο στο LastPass για την παραδοχή αυτού που ισοδυναμεί με «γνωστό άγνωστο».
• Ο επιτιθέμενος "χρησιμοποιούσαν τη μόνιμη πρόσβασή τους για να πλαστοπροσωπήσουν τον προγραμματιστή όταν ο προγραμματιστής είχε επιτυχώς έλεγχο ταυτότητας χρησιμοποιώντας έλεγχο ταυτότητας πολλαπλών παραγόντων." Υποθέτουμε ότι αυτό σημαίνει ότι ο χάκερ δεν χρειάστηκε ποτέ να αποκτήσει τον κωδικό πρόσβασης του θύματος ή τον κωδικό 2FA, αλλά απλώς χρησιμοποίησε ένα επίθεση κλοπής μπισκότων, ή εξήγαγε το διακριτικό ελέγχου ταυτότητας του προγραμματιστή από γνήσια κίνηση δικτύου (ή από τη μνήμη RAM του υπολογιστή του θύματος) για να επαναφέρει τη συνήθη πρόσβαση του προγραμματιστή:

• Το LastPass δεν αντιλήφθηκε αμέσως την εισβολή, αλλά εντόπισε και απέβαλε τον εισβολέα μέσα σε τέσσερις ημέρες. Όπως σημειώσαμε σε πρόσφατο άρθρο σχετικά με τους κινδύνους του ασάφεια χρονικής σφραγίδας στα αρχεία καταγραφής του συστήματος, η δυνατότητα προσδιορισμού της ακριβούς σειράς με την οποία συνέβησαν τα γεγονότα κατά τη διάρκεια μιας επίθεσης είναι ζωτικής σημασίας μέρος της απόκρισης περιστατικού:

• Το LastPass διατηρεί χωριστά τα δίκτυα ανάπτυξης και παραγωγής του. Αυτή είναι μια καλή πρακτική κυβερνοασφάλειας επειδή αποτρέπει μια επίθεση στο δίκτυο ανάπτυξης (όπου τα πράγματα βρίσκονται αναπόφευκτα σε συνεχή κατάσταση αλλαγής και πειραματισμού) από το να μετατραπεί σε άμεσο συμβιβασμό του επίσημου λογισμικού που είναι άμεσα διαθέσιμο στους πελάτες και την υπόλοιπη επιχείρηση .
• Το LastPass δεν διατηρεί δεδομένα πελατών στο περιβάλλον ανάπτυξής του. Και πάλι, αυτή είναι καλή πρακτική δεδομένου ότι οι προγραμματιστές, όπως υποδηλώνει το όνομα της εργασίας, εργάζονται γενικά σε λογισμικό που δεν έχει ακόμη υποβληθεί σε πλήρη έλεγχο ασφαλείας και διαδικασία διασφάλισης ποιότητας. Αυτός ο διαχωρισμός καθιστά επίσης πιστευτό για το LastPass να ισχυρίζεται ότι δεν θα μπορούσαν να είχαν εκτεθεί δεδομένα φύλαξης κωδικών πρόσβασης (τα οποία θα είχαν κρυπτογραφηθεί με τα ιδιωτικά κλειδιά των χρηστών), κάτι που είναι ισχυρότερος ισχυρισμός από το να λέμε απλώς «δεν μπορέσαμε να βρούμε καμία απόδειξη ότι εκτέθηκε». Η διατήρηση των δεδομένων πραγματικού κόσμου εκτός του δικτύου ανάπτυξης σας αποτρέπει επίσης τους καλοπροαίρετους κωδικοποιητές από το να συλλάβουν ακούσια δεδομένα που προορίζονται να τεθούν υπό κανονιστική προστασία και να τα χρησιμοποιήσουν για ανεπίσημους σκοπούς δοκιμής.
• Αν και ο πηγαίος κώδικας κλάπηκε, δεν άφησε καμία μη εξουσιοδοτημένη αλλαγή κώδικα από τον εισβολέα. Φυσικά, έχουμε μόνο τον ισχυρισμό του ίδιου του LastPass να συνεχίσουμε, αλλά δεδομένου του ύφους και του τόνου της υπόλοιπης αναφοράς περιστατικών, δεν μπορούμε να δούμε κανένα λόγο να μην δεχθούμε την εταιρεία στα λόγια της.
• Ο πηγαίος κώδικας μετακινείται από το δίκτυο ανάπτυξης στην παραγωγή "μπορεί να συμβεί μόνο μετά την ολοκλήρωση αυστηρών διαδικασιών ελέγχου, δοκιμών και επικύρωσης κώδικα". Αυτό καθιστά πιστευτό για το LastPass να ισχυρίζεται ότι κανένας τροποποιημένος ή δηλητηριασμένος πηγαίος κώδικας δεν θα είχε φτάσει σε πελάτες ή στην υπόλοιπη επιχείρηση, ακόμα κι αν ο εισβολέας είχε καταφέρει να εμφυτεύσει αδίστακτο κώδικα στο σύστημα ελέγχου έκδοσης..
• Το LastPass ποτέ δεν αποθηκεύει ούτε καν γνωρίζει τα ιδιωτικά κλειδιά αποκρυπτογράφησης των χρηστών του. Με άλλα λόγια, ακόμα κι αν ο εισβολέας είχε ξεφύγει με δεδομένα κωδικού πρόσβασης, θα είχε καταλήξει σαν τόσο ψιλοκομμένο ψηφιακό λάχανο. (Το LastPass παρέχει επίσης α δημόσια εξήγηση για το πώς προστατεύει τα δεδομένα του θησαυροφυλακίου κωδικού πρόσβασης από σπάσιμο εκτός σύνδεσης, συμπεριλαμβανομένης της χρήσης PBKDF2-HMAC-SHA256 από την πλευρά του πελάτη για αλάτισμα-κατακερματισμό-και επέκταση του κωδικού πρόσβασης εκτός σύνδεσης με 100,100 επαναλήψεις, κάνοντας έτσι απόπειρες διάρρηξης κωδικού πρόσβασης πολύ πιο δύσκολο, ακόμα κι αν οι εισβολείς ξεφύγουν με τα τοπικά αποθηκευμένα αντίγραφα του θησαυροφυλάκιου κωδικού πρόσβασης.)

Τι να κάνω;

Πιστεύουμε ότι είναι λογικό να πούμε ότι το δικό μας οι πρώτες υποθέσεις ήταν σωστές, και ότι αν και αυτό είναι ένα ενοχλητικό περιστατικό για το LastPass, και μπορεί να αποκαλύψει εμπορικά μυστικά που η εταιρεία θεωρούσε μέρος της μετοχικής της αξίας…

…αυτό το hack μπορεί να θεωρηθεί ως το πρόβλημα του ίδιου του LastPass που πρέπει να αντιμετωπιστεί, επειδή δεν επιτεύχθηκε κανένας κωδικός πρόσβασης πελατών, πόσο μάλλον σπασμένος, σε αυτήν την επίθεση:

Αυτή η επίθεση, και η αναφορά περιστατικών του ίδιου του LastPass, είναι επίσης μια καλή υπενθύμιση ότι το «διαίρει και βασίλευε», γνωστό και με τον όρο της ορολογίας Μηδενική εμπιστοσύνη, είναι ένα σημαντικό μέρος της σύγχρονης κυβερνοάμυνας.

Όπως εξηγεί ο ειδικός του Sophos Chester Wisniewski στην ανάλυσή του για το πρόσφατο hack της Uber, διακυβεύονται πολλά περισσότερα εάν οι απατεώνες έχουν πρόσβαση μερικοί του δικτύου σας μπορούν να περιφέρονται οπουδήποτε θέλουν με την ελπίδα να αποκτήσουν πρόσβαση όλοι από αυτό: