Toinen päivä, toinen pääsytunnukseen perustuva tietokantamurto.
Tällä kertaa uhri (ja jollain tapaa tietysti myös syyllinen) on Microsoftin GitHub liiketoimintaa.
GitHub väittää, että se huomasi murron nopeasti tapahtuman jälkeisenä päivänä, mutta siihen mennessä vahinko oli jo tapahtunut:
6. joulukuuta 2022 arkistot meiltä
atom
,desktop
, ja muut vanhentuneet GitHubin omistamat organisaatiot kloonattiin konetiliin liittyvällä vaarantuneella Personal Access Tokenilla (PAT). Kun se havaittiin 7, tiimimme peruutti vaarantuneet kirjautumistiedot välittömästi ja alkoi tutkia mahdollisia vaikutuksia asiakkaisiin ja sisäisiin järjestelmiin.
Yksinkertaisesti sanottuna: joku käytti etukäteen luotua pääsykoodia, joka oli hankittu kuka tietää, mistä GitHubille itselleen kuuluneiden eri lähdekoodivarastojen sisällön.
Oletamme, että GitHub pitää omaa koodiaan GitHubissa (jos se ei olisi epäluottamuslausetta!), mutta taustalla olevaa GitHub-verkkoa tai tallennusinfrastruktuuria ei rikottu, vaan vain joitain GitHubin omia projekteja, jotka oli tallennettu sinne.
Rantapäät ja sivuttaisliikkeet
Ajattele tätä rikkomusta kuin roistoa, joka hankkisi Outlook-sähköpostiarkiston salasanasi ja lataa viime kuukauden viestisi.
Kun huomasit, oma sähköpostisi oli jo poissa, mutta se ei olisi vaikuttanut suoraan Outlookiin tai muiden käyttäjien tileihin.
Huomaa kuitenkin, että käytämme varovaisesti sanaa "suoraan" edellisessä lauseessa, koska yhden tilin vaarantuminen järjestelmässä voi johtaa sivuvaikutuksiin muihin käyttäjiin tai jopa koko järjestelmään.
Esimerkiksi yrityksesi sähköpostitili sisältää lähes varmasti kirjeenvaihtoa työtovereillesi, IT-osastollesi ja muille yrityksille.
Näissä sähköpostiviesteissä olet saattanut paljastaa luottamuksellisia tietoja tilien nimistä, järjestelmätiedoista, liiketoimintasuunnitelmista, kirjautumistiedoista ja muista.
Hyökkäystiedon käyttäminen järjestelmän yhdestä osasta vääntääkseen saman tai muiden järjestelmien muihin osiin tunnetaan ammattikielessä nimellä sivuttaisliike, jossa kyberrikolliset luovat ensin niin sanotun "kompromissin rantapään" ja yrittävät sitten laajentaa pääsyään sieltä.
Mitä sinun arkistoissasi muuten on?
Varastettujen lähdekooditietokantojen tapauksessa, olipa ne tallennettu GitHubiin tai muualle, on aina olemassa riski, että yksityinen tietovarasto saattaa sisältää käyttöoikeustietoja muihin järjestelmiin tai antaa kyberrikollisten päästä käsiksi koodin allekirjoitusvarmenteisiin, joita käytetään itse rakentaessaan ohjelmisto julkiseen julkaisuun.
Itse asiassa tällainen tietovuoto voi jopa olla ongelma julkisille tietovarastoille, mukaan lukien avoimen lähdekoodin projekteja, jotka eivät ole salaisia ja joiden oletetaan olevan kenen tahansa ladattavissa.
Avoimen lähdekoodin datavuoto voi tapahtua, kun kehittäjät niputtavat vahingossa yksityisiä tiedostoja kehitysverkostostaan julkiseen koodipakettiin, jonka he lopulta lataavat kaikkien käytettäväksi.
Tällainen virhe voi johtaa hyvin julkiseen (ja hyvin julkisesti haettavissa olevaan) yksityisten asetustiedostojen, yksityisen palvelimen vuotamiseen pääsyavaimet, henkilökohtainen pääsymerkit ja salasanat ja jopa koko hakemistopuut jotka olivat yksinkertaisesti väärässä paikassa väärään aikaan.
Hyvässä tai huonossa tapauksessa GitHubilta kesti melkein kaksi kuukautta selvittää, kuinka paljon tavaraa hyökkääjät ovat saaneet käsiinsä tässä tapauksessa, mutta vastaukset ovat nyt julkaistu, ja näyttää siltä:
- Roistot saivat haltuunsa GitHub Desktop- ja Atom-tuotteiden koodin allekirjoitussertifikaatit. Tämä tarkoittaa teoriassa, että he voisivat julkaista rogu-ohjelmistoja virallisella Githubin hyväksynnällä. Huomaa, että sinun ei tarvitse olla jo kummankaan tuotteen käyttäjä joutuaksesi huijatuksi – rikolliset voivat antaa GitHubin imprimaturin melkein mille tahansa ohjelmistolle.
- Varastetut allekirjoitusvarmenteet salattiin, eivätkä huijarit ilmeisesti saaneet salasanoja. Käytännössä tämä tarkoittaa sitä, että vaikka roistoilla on varmenteet, he eivät voi käyttää niitä, elleivät he murta niitä salasanoja.
Lieventävät tekijät
Tämä kuulostaa melko hyvältä uutiselta huonon alun jälkeen, ja mikä tekee uutisista vielä parempia:
- Vain kolme varmenteista ei ollut vielä vanhentunut sinä päivänä, jolloin ne varastettiin. Et voi käyttää vanhentunutta varmennetta uuden koodin allekirjoittamiseen, vaikka sinulla olisi salasana varmenteen salauksen purkamiseen.
- Yksi varastettu varmenne vanheni tällä välin, 2023-01-04. Tämä varmenne oli tarkoitettu Windows-ohjelmien allekirjoittamiseen.
- Toinen varastettu todistus vanhenee huomenna, 2023-02-01. Se on myös allekirjoitusvarmenne Windows-ohjelmistolle.
- Viimeinen sertifikaatti vanhenee vasta vuonna 2027. Tämä on tarkoitettu Apple-sovellusten allekirjoittamiseen, joten GitHub sanoo sen olevan "työskentely Applen kanssa [...] uusien allekirjoitettujen sovellusten tarkkailemiseksi." Huomaa, että roistot joutuvat silti murtamaan varmenteen salasanan ensin.
- Kaikki asiaan liittyvät varmenteet peruutetaan 2023-02-02. Peruutetut varmenteet lisätään erityiseen tarkistuslistaan, jota käyttöjärjestelmät (sekä sovellukset, kuten selaimet) voivat käyttää estämään varmenteiden takaamaa sisältöä, johon ei enää pitäisi luottaa.
- GitHubin mukaan luvattomia muutoksia ei tehty mihinkään levitettyyn arkistoon. Näyttää siltä, että tämä oli "vain luku" -kompromissi, jossa hyökkääjät saattoivat katsoa, mutta eivät koskea.
Mitä tehdä?
Hyvä uutinen on, että jos et ole GitHub Desktop- tai Atom-käyttäjä, sinun ei tarvitse tehdä mitään välittömästi.
Jos olet GitHub-työpöytä, sinun on päivitettävä ennen huomista varmistaaksesi, että olet korvannut kaikki sovelluksen esiintymät, jotka on allekirjoitettu varmenteella, joka on pian merkitty huonoksi.
Jos käytät edelleen Atomi (joka lopetettiin kesäkuussa 2022 ja päättyi virallisena GitHub-ohjelmistoprojektina 2022), sinun on uteliaana downgrade hieman vanhempaan versioon, jota ei allekirjoitettu nyt varastetulla varmenteella.
Koska Atom on jo saavuttanut virallisen käyttöikänsä lopun, eikä se saa enää tietoturvapäivityksiä, sinun pitäisi luultavasti vaihtaa se joka tapauksessa. (Huippusuosittu Visual Studio Code, joka myös kuuluu Microsoftille, näyttää olevan ensisijainen syy, miksi Atom lopetettiin alun perin.)
Jos olet itse kehittäjä tai ohjelmistopäällikkö…
…miksi et käyttäisi tätä kannustimena mennä tarkistamaan:
- Kenellä on pääsy mihinkin kehitysverkostomme osiin? Onko olemassa vanhoja käyttäjiä, joilla on vielä jäljellä olevia käyttöoikeuksia, joita he eivät enää tarvitse?
- Kuinka huolellisesti pääsy koodivarastoon lukitaan? Onko kenelläkään käyttäjillä salasanoja tai käyttötunnuksia, jotka voitaisiin helposti varastaa tai käyttää väärin, jos heidän omat tietokoneet vaarantuisivat?
- Onko kukaan ladannut tiedostoja, joita ei pitäisi olla siellä? Windows voi johtaa kokeneitakin käyttäjiä harhaan estämällä tiedostonimien lopun laajennukset, joten et aina ole varma, mikä tiedosto on mikä. Linux- ja Unix-järjestelmät, mukaan lukien macOS, piilottavat automaattisesti näkyvistä (mutta eivät käytöstä!) kaikki tiedostot ja hakemistot, jotka alkavat pisteellä (pisteellä).
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- Platoblockchain. Web3 Metaverse Intelligence. Tietoa laajennettu. Pääsy tästä.
- Lähde: https://nakedsecurity.sophos.com/2023/01/31/github-code-signing-certificates-stolen-but-will-be-revoked-this-week/
- 1
- 2022
- 7
- a
- pystyy
- Meistä
- absoluuttinen
- pääsy
- Tili
- Tilit
- hankittu
- todella
- lisä-
- Jälkeen
- vastaan
- Kaikki
- jo
- aina
- ja
- Toinen
- vastauksia
- joku
- sovelluksen
- omena
- hyväksyminen
- sovellukset
- Archive
- liittyvä
- atomi
- hyökkäys
- kirjoittaja
- auto
- automaattisesti
- background-image
- Huono
- koska
- ennen
- alkoi
- Paremmin
- Tukkia
- reunus
- pohja
- rikkominen
- selaimet
- Rakentaminen
- Niputtaa
- liiketoiminta
- soittaa
- varovainen
- huolellisesti
- tapaus
- keskus
- varmasti
- todistus
- todistukset
- Muutokset
- merkki
- tarkastaa
- vaatimukset
- koodi
- työtovereiden
- väri
- Yritykset
- kompromissi
- Vaarantunut
- tietokoneet
- luottamus
- Konfigurointi
- sisältää
- pitoisuus
- sisältö
- Yrityksen
- voisi
- kurssi
- kattaa
- crack
- Valtakirja
- rikolliset
- Crooks
- Asiakkaat
- verkkorikollisille
- tiedot
- tietojen vuotaminen
- tietokanta
- tietokannat
- päivä
- joulukuu
- Pura
- osasto
- pöytä-
- yksityiskohdat
- havaittu
- Kehittäjä
- kehittäjille
- Kehitys
- suoraan
- hakemistot
- näyttö
- Dont
- DOT
- alas
- helposti
- vaikutukset
- myöskään
- muualla
- sähköpostit
- salattu
- varmistaa
- Koko
- erityisesti
- perustaa
- Jopa
- jokainen
- esimerkki
- olemassa
- kokenut
- laajentaa
- laajennukset
- Kuva
- filee
- Asiakirjat
- Etunimi
- Merkityt
- alkaen
- saada
- saada
- GitHub
- Antaa
- Go
- hyvä
- tapahtua
- tapahtui
- korkeus
- Piilottaa
- pitää
- liihottaa
- Miten
- Kuitenkin
- HTTPS
- heti
- Vaikutus
- in
- kannustin
- sisältää
- Mukaan lukien
- tiedot
- Infrastruktuuri
- Älykkyys
- sisäinen
- IT
- itse
- ammattikieli
- tunnettu
- Sukunimi
- johtaa
- vuotaa
- Perintö
- elämä
- linux
- lukittu
- kauemmin
- katso
- ulkonäkö
- kone
- MacOS
- tehty
- TEE
- johtaja
- Marginaali
- max-width
- välineet
- viestien
- Microsoft
- ehkä
- virhe
- lieventävä
- monitori
- kk
- lisää
- nimet
- lähes
- Tarve
- Eikä
- verkko
- Uusi
- uutiset
- normaali
- virallinen
- ONE
- avoimen lähdekoodin
- toiminta
- käyttöjärjestelmät
- organisaatioiden
- Muut
- näkymät
- oma
- paketti
- osa
- osat
- Salasana
- salasanat
- Paavali
- aika
- henkilöstö
- Paikka
- suunnitelmat
- Platon
- Platonin tietotieto
- PlatonData
- sijainti
- Viestejä
- mahdollinen
- harjoitusta.
- aika
- edellinen
- ensisijainen
- yksityinen
- todennäköisesti
- Ongelma
- Tuotteemme
- Ohjelmat
- projekti
- hankkeet
- julkinen
- julkisesti
- julkaista
- laittaa
- nopeasti
- saavutettu
- reason
- vapauta
- korvata
- korvataan
- säilytyspaikka
- Revealed
- Riski
- sama
- Toinen
- salaisuus
- turvallisuus
- tietoturvapäivitykset
- näyttää
- tuomita
- shouldnt
- merkki
- allekirjoitettu
- allekirjoittaminen
- yksinkertaisesti
- So
- Tuotteemme
- vankka
- jonkin verran
- Joku
- jotain
- jokseenkin
- lähde
- lähdekoodi
- erityinen
- erityinen
- Alkaa
- Yhä
- varastettu
- Levytila
- tallennettu
- studio
- niin
- tarkoitus
- SVG
- järjestelmä
- järjestelmät
- joukkue-
- -
- heidän
- Siellä.
- tällä viikolla
- kolmella
- aika
- että
- symbolinen
- tokens
- huomenna
- ylin
- kosketa
- siirtyminen
- läpinäkyvä
- luotettu
- Lopulta
- taustalla oleva
- unix
- Päivitykset
- parantaa
- ladattu
- URL
- käyttää
- käyttäjä
- Käyttäjät
- eri
- versio
- Uhri
- Näytä
- Äänestää
- halusi
- tavalla
- viikko
- Mitä
- onko
- joka
- KUKA
- tulee
- ikkunat
- sana
- arvoinen
- olisi
- Väärä
- Sinun
- zephyrnet