Pelanggaran kode sumber LastPass – laporan respons insiden dirilis

Jika kisah besar bulan ini tampaknya akan terjadi Pelanggaran data Uber, di mana seorang peretas diduga dapat menjelajah secara luas melalui jaringan perusahaan berbagi tumpangan…

..cerita besar dari bulan lalu adalah Pelanggaran LastPass, di mana penyerang tampaknya hanya mendapatkan akses ke satu bagian dari jaringan LastPass, tetapi berhasil kabur dengan kode sumber milik perusahaan.

Untungnya bagi Uber, penyerang mereka tampaknya bertekad untuk membuat percikan PR yang besar dan cepat dengan mengambil tangkapan layar, menyebarkannya secara online, dan mengejek perusahaan dengan pesan-pesan berteriak seperti UBER TELAH DIHACK, tepat di forum karunia Slack dan bug-nya sendiri:

Penyerang atau penyerang di LastPass, bagaimanapun, tampaknya telah beroperasi lebih diam-diam, tampaknya menipu pengembang LastPass untuk menginstal malware yang kemudian digunakan oleh penjahat dunia maya untuk menumpang ke repositori kode sumber perusahaan:

LastPass kini telah menerbitkan sebuah laporan tindak lanjut resmi pada insiden tersebut, berdasarkan apa yang dapat diketahui tentang serangan dan penyerang setelah penyusupan.

Kami pikir artikel LastPass layak dibaca bahkan jika Anda bukan pengguna LastPass, karena kami pikir ini adalah pengingat bahwa laporan respons insiden yang baik berguna untuk apa yang diakuinya tidak dapat Anda pahami seperti apa Anda sebenarnya.

Apa yang sekarang kita ketahui

Kalimat tebal di bawah ini memberikan garis besar dari apa yang dikatakan LastPass:

• Penyerang “mendapatkan akses ke lingkungan pengembangan menggunakan titik akhir yang disusupi pengembang.” Kami berasumsi ini karena penyerang yang menanamkan malware pengintip sistem di komputer pemrogram.
• Trik yang digunakan untuk menanamkan malware tidak dapat ditentukan. Itu mengecewakan, karena mengetahui bagaimana serangan terakhir Anda benar-benar dilakukan membuat lebih mudah untuk meyakinkan pelanggan bahwa prosedur pencegahan, deteksi, dan respons yang direvisi kemungkinan akan memblokirnya di lain waktu. Banyak vektor serangan potensial muncul dalam pikiran, termasuk: perangkat lunak lokal yang tidak ditambal, “IT bayangan” yang mengarah ke konfigurasi lokal yang tidak aman, kesalahan klik-tayang phishing, kebiasaan mengunduh yang tidak aman, pengkhianatan dalam rantai pasokan kode sumber yang diandalkan oleh pembuat kode yang bersangkutan, atau lampiran email jebakan dibuka karena kesalahan. Angkat topi untuk LastPass karena mengakui apa yang berarti "yang tidak diketahui".
• Penyerang “memanfaatkan akses persisten mereka untuk menyamar sebagai pengembang setelah pengembang berhasil mengautentikasi menggunakan otentikasi multi-faktor.” Kami berasumsi ini berarti bahwa peretas tidak pernah perlu mendapatkan kata sandi korban atau kode 2FA, tetapi hanya menggunakan serangan mencuri kue, atau mengekstrak token autentikasi pengembang dari lalu lintas jaringan asli (atau dari RAM komputer korban) untuk mendukung akses biasa pemrogram:

• LastPass tidak segera menyadari penyusupan tersebut, tetapi mendeteksi dan mengusir penyerang dalam waktu empat hari. Seperti yang kami catat dalam artikel terbaru tentang risiko ambiguitas stempel waktu dalam log sistem, kemampuan untuk menentukan urutan kejadian yang tepat selama serangan adalah bagian penting dari respons insiden:

• LastPass membuat jaringan pengembangan dan produksinya terpisah secara fisik. Ini adalah praktik keamanan siber yang baik karena mencegah serangan pada jaringan pengembangan (di mana segala sesuatunya pasti dalam keadaan perubahan dan eksperimen yang berkelanjutan) berubah menjadi kompromi langsung dari perangkat lunak resmi yang langsung tersedia untuk pelanggan dan seluruh bisnis .
• LastPass tidak menyimpan data pelanggan apa pun di lingkungan pengembangannya. Sekali lagi, ini adalah praktik yang baik mengingat pengembang, seperti namanya, umumnya bekerja pada perangkat lunak yang belum melalui tinjauan keamanan penuh dan proses jaminan kualitas. Pemisahan ini juga membuat LastPass dapat dipercaya untuk mengklaim bahwa tidak ada data brankas kata sandi (yang akan dienkripsi dengan kunci pribadi pengguna) yang dapat diekspos, yang merupakan klaim yang lebih kuat daripada sekadar mengatakan “kami tidak dapat menemukan bukti bahwa itu terungkap.” Menjaga data dunia nyata keluar dari jaringan pengembangan Anda juga mencegah pembuat kode yang bermaksud baik dari secara tidak sengaja mengambil data yang seharusnya berada di bawah perlindungan peraturan dan menggunakannya untuk tujuan pengujian tidak resmi.
• Meskipun kode sumber dicuri, tidak ada perubahan kode yang tidak sah yang ditinggalkan oleh penyerang. Tentu saja, kami hanya memiliki klaim LastPass sendiri untuk melanjutkan, tetapi mengingat gaya dan nada laporan insiden lainnya, kami tidak melihat alasan untuk tidak mengambil keputusan perusahaan.
• Kode sumber berpindah dari jaringan pengembangan ke produksi “hanya dapat terjadi setelah selesainya proses review, pengujian, dan validasi kode yang ketat”. Hal ini membuat LastPass dapat dipercaya untuk mengklaim bahwa tidak ada kode sumber yang dimodifikasi atau diracuni yang akan menjangkau pelanggan atau bagian bisnis lainnya, bahkan jika penyerang berhasil menanamkan kode jahat dalam sistem kontrol versi..
• LastPass tidak pernah menyimpan atau bahkan mengetahui kunci dekripsi pribadi penggunanya. Dengan kata lain, bahkan jika penyerang telah kabur dengan data kata sandi, itu akan berakhir sebagai kubis digital yang diparut. (LastPass juga menyediakan penjelasan publik tentang cara mengamankan data brankas kata sandi terhadap peretasan offline, termasuk menggunakan PBKDF2-HMAC-SHA256 sisi klien untuk pengasinan-hashing-dan-peregangan kata sandi offline Anda dengan 100,100 iterasi, sehingga membuat upaya cracking kata sandi jauh lebih sulit bahkan jika penyerang kabur dengan salinan brankas kata sandi Anda yang disimpan secara lokal.)

Apa yang harus dilakukan?

Kami pikir masuk akal untuk mengatakan bahwa kami asumsi awal benar, dan bahwa meskipun ini merupakan insiden yang memalukan bagi LastPass, dan mungkin mengungkapkan rahasia dagang yang dianggap perusahaan sebagai bagian dari nilai pemegang sahamnya…

…peretasan ini dapat dianggap sebagai masalah LastPass sendiri yang harus dihadapi, karena tidak ada kata sandi pelanggan yang tercapai, apalagi retak, dalam serangan ini:

Serangan ini, dan laporan insiden LastPass sendiri, juga merupakan pengingat yang baik bahwa "membagi dan menaklukkan", juga dikenal dengan istilah jargon Nol Kepercayaan, adalah bagian penting dari pertahanan siber kontemporer.

Seperti yang dijelaskan oleh pakar Sophos, Chester Wisniewski dalam analisisnya tentang peretasan Uber baru-baru ini, ada lebih banyak yang dipertaruhkan jika penjahat yang mendapatkan akses ke beberapa jaringan Anda dapat berkeliaran di mana pun mereka suka dengan harapan mendapatkan akses ke semua dari itu: