Başka bir gün, başka bir erişim belirtecine dayalı veritabanı ihlali.
Bu sefer, kurban (ve bazı yönlerden elbette suçlu da) Microsoft'un GitHub iş.
GitHub iddia ediyor ki ihlali tespit etti hızlı bir şekilde, olayın ertesi günü, ancak o zamana kadar hasar verilmişti:
6 Aralık 2022'de depolarımız
atom
,desktop
ve kullanımdan kaldırılan GitHub'a ait diğer kuruluşlar, bir makine hesabıyla ilişkilendirilmiş güvenliği ihlal edilmiş bir Kişisel Erişim Simgesi (PAT) tarafından klonlandı. 7 Aralık 2022'de tespit edildikten sonra ekibimiz, güvenliği ihlal edilmiş kimlik bilgilerini derhal iptal etti ve müşteriler ile dahili sistemler üzerindeki olası etkileri araştırmaya başladı.
Basitçe söylemek gerekirse: birisi, GitHub'ın kendisine ait olan çeşitli kaynak kod havuzlarının içeriğini sızdırmak için kim bilir nereden alınmış önceden oluşturulmuş bir erişim kodu kullandı.
GitHub'ın kendi kodunu GitHub'da tuttuğunu tahmin ediyoruz (eğer böyle olmasaydı, kendine güvensizlik oyu olurdu!), ancak ihlal edilen temel GitHub ağı veya depolama altyapısı değildi, sadece GitHub'ın orada saklanan kendi projelerinden bazıları.
Sahil başları ve yanal hareket
Bu ihlali, bir dolandırıcının Outlook e-posta arşivi parolanızı ele geçirmesi ve son ayınızın değerindeki iletileri indirmesi gibi düşünün.
Fark ettiğinizde, kendi e-postanız çoktan gitmiştir, ancak ne Outlook'un kendisi ne de diğer kullanıcıların hesapları doğrudan etkilenmemiştir.
Bununla birlikte, bir önceki cümlede "doğrudan" kelimesini dikkatli kullandığımıza dikkat edin, çünkü bir sistemdeki bir hesabın güvenliğinin aşılması, diğer kullanıcılara ve hatta bir bütün olarak sisteme karşı zincirleme etkilere yol açabilir.
Örneğin, kurumsal e-posta hesabınız neredeyse kesinlikle meslektaşlarınız, BT departmanınız ve diğer şirketlerle yapılan yazışmaları içerir.
Bu e-postalarda hesap adları, sistem ayrıntıları, iş planları, oturum açma kimlik bilgileri ve daha fazlası hakkında gizli bilgileri ifşa etmiş olabilirsiniz.
Aynı veya diğer sistemlerin diğer bölümlerine sıyrılmak için bir sistemin bir bölümünden gelen saldırı zekasını kullanmak, jargonda şu şekilde bilinir: yanal hareket, burada siber suçlular önce sizin "uzlaşmanın kıyı noktası" diyebileceğiniz şeyi oluşturur ve ardından erişimlerini oradan genişletmeye çalışır.
Depolarınızda neler var?
GitHub'da veya başka bir yerde depolanmış olsunlar, çalınan kaynak kodu veritabanları söz konusu olduğunda, özel bir havuzun diğer sistemlere erişim kimlik bilgilerini içermesi veya siber suçluların veri tabanını oluştururken kullanılan kod imzalama sertifikalarını ele geçirmesine izin vermesi riski her zaman vardır. kamu sürümü için yazılım.
Aslında, bu tür bir veri sızıntısı, gizli olmayan ve herkes tarafından indirilebileceği varsayılan açık kaynak kodlu projeler de dahil olmak üzere halka açık depolar için bile bir sorun olabilir.
Açık kaynak veri sızıntısı, geliştiriciler istemeden kendi geliştirme ağlarındaki özel dosyaları herkesin erişmesi için en sonunda yükledikleri genel kod paketine paketlediklerinde meydana gelebilir.
Bu tür bir hata, özel yapılandırma dosyalarının, özel sunucunun çok genel (ve herkes tarafından aranabilir) sızıntısına yol açabilir. erişim tuşları, kişisel erişim belirteçleri ve şifreler ve hatta tamamı dizin ağaçları bu sadece yanlış zamanda yanlış yerdeydi.
İyi ya da kötü, GitHub'ın bu vakada saldırganlarının ne kadar çok şeyi ele geçirdiğini anlaması yaklaşık iki ay sürdü, ancak yanıtlar artık yok ve görünüşe göre:
- Dolandırıcılar, GitHub Desktop ve Atom ürünleri için kod imzalama sertifikalarını ele geçirdi. Bu, teorik olarak, üzerinde resmi bir Github onay mührü olan hileli yazılım yayınlayabilecekleri anlamına gelir. Kandırılmak için bu belirli ürünlerden herhangi birinin mevcut kullanıcısı olmanıza gerek olmadığını unutmayın; suçlular istedikleri hemen hemen her yazılım için GitHub'ın yetkisini verebilirler.
- Çalınan imza sertifikaları şifrelenmişti ve görünüşe göre dolandırıcılar şifreleri alamamışlardı. Bu, pratikte, dolandırıcıların sertifikalara sahip olmalarına rağmen, bu parolaları kırmadıkları sürece bunları kullanamayacakları anlamına gelir.
hafifletici faktörler
Bu, kötü bir başlangıçtan oldukça iyi bir haber gibi geliyor ve bu haberi daha da iyi yapan şey şu:
- Sertifikalardan yalnızca üçünün çalındıkları gün geçerlilik süreleri henüz dolmamıştı. Sertifikanın şifresini çözmek için parolanız olsa bile, süresi dolmuş bir sertifikayı yeni kodu imzalamak için kullanamazsınız.
- Bu arada, çalınan bir sertifikanın süresi 2023-01-04 tarihinde dolmuştur. Bu sertifika, Windows programlarını imzalamak içindi.
- Çalınan ikinci bir sertifikanın süresi yarın 2023-02-01 doluyor. Bu aynı zamanda Windows yazılımı için bir imza sertifikasıdır.
- Son sertifikanın süresi yalnızca 2027'de doluyor. Bu, Apple uygulamalarını imzalamak içindir, bu yüzden GitHub öyle olduğunu söylüyor "İmzalanan tüm […] yeni uygulamaları izlemek için Apple ile birlikte çalışıyoruz." Dolandırıcıların yine de önce sertifika parolasını kırması gerektiğini unutmayın.
- Etkilenen tüm sertifikalar 2023-02-02 tarihinde iptal edilecektir. İptal edilen sertifikalar, işletim sistemlerinin (tarayıcılar gibi uygulamalarla birlikte) artık güvenilmemesi gereken sertifikaların garanti ettiği içeriği engellemek için kullanabileceği özel bir kontrol listesine eklenir.
- GitHub'a göre, sülüklenen depoların hiçbirinde yetkisiz değişiklik yapılmadı. Görünüşe göre bu, saldırganların bakabildikleri ancak dokunamadıkları "salt okunur" bir uzlaşmaydı.
Ne yapalım?
İyi haber şu ki, GitHub Masaüstü veya Atom kullanıcısı değilseniz hemen yapmanız gereken hiçbir şey yok.
Eğer varsa GitHub Masaüstü, uygulamanın kötü olarak işaretlenmek üzere olan bir sertifikayla imzalanan tüm örneklerini değiştirdiğinizden emin olmak için yarından önce yeni sürüme geçmeniz gerekiyor.
hala kullanıyorsanız Atom (Haziran 2022'de durdurulan ve resmi bir GitHub yazılım projesi olarak 2022-12-15 tarihinde sona eren), biraz merakla ihtiyacınız olacak Bozmak şimdi çalınmış bir sertifikayla imzalanmamış biraz daha eski bir sürüme.
Atom'un resmi ömrünün sonuna geldiği ve artık güvenlik güncellemesi almayacağı göz önüne alındığında, muhtemelen onu yine de değiştirmelisiniz. (Microsoft'a ait olan ultra popüler Visual Studio Code, ilk etapta Atom'un durdurulmasının birincil nedeni gibi görünüyor.)
Kendiniz bir geliştirici veya yazılım yöneticisiyseniz…
…neden bunu gidip kontrol etmek için bir teşvik olarak kullanmıyorsunuz:
- Geliştirme ağımızın hangi bölümlerine kimin erişimi var? Özellikle eski veya kullanım ömrü sona ermiş projeler için, artık erişime sahip olup artık ihtiyaç duymadıkları eski kullanıcılar var mı?
- Kod havuzumuza erişim ne kadar dikkatli bir şekilde kilitlendi? Herhangi bir kullanıcının, kendi bilgisayarlarının güvenliği ihlal edildiğinde kolayca çalınabilecek veya kötüye kullanılabilecek parolaları veya erişim belirteçleri var mı?
- Orada olmaması gereken dosyaları yükleyen oldu mu? Windows, dosya adlarının sonundaki uzantıları gizleyerek deneyimli kullanıcıları bile yanıltabilir, bu nedenle hangi dosyanın hangisi olduğundan her zaman emin olamazsınız. macOS dahil Linux ve Unix sistemleri, nokta (nokta) karakteriyle başlayan dosyaları ve dizinleri otomatik olarak görünümden gizler (ama kullanımdan değil!).
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- Plato blok zinciri. Web3 Metaverse Zekası. Bilgi Güçlendirildi. Buradan Erişin.
- Kaynak: https://nakedsecurity.sophos.com/2023/01/31/github-code-signing-certificates-stolen-but-will-be-revoked-this-week/
- 1
- 2022
- 7
- a
- Yapabilmek
- Hakkımızda
- kesin
- erişim
- Hesap
- Hesaplar
- edinilen
- aslında
- katma
- Sonra
- karşı
- Türkiye
- zaten
- her zaman
- ve
- Başka
- cevaplar
- kimse
- uygulamayı yükleyeceğiz
- Apple
- onay
- uygulamalar
- Arşiv
- ilişkili
- atom
- saldırı
- yazar
- Oto
- otomatik olarak
- background-image
- Kötü
- Çünkü
- önce
- başladı
- Daha iyi
- Engellemek
- sınır
- Alt
- ihlal
- tarayıcılar
- bina
- demet
- iş
- çağrı
- dikkatli
- dikkatlice
- dava
- Merkez
- kesinlikle
- sertifika
- sertifikalar
- değişiklikler
- karakter
- Kontrol
- iddia
- kod
- arkadaşları
- renk
- Şirketler
- uzlaşma
- Uzlaşılmış
- bilgisayarlar
- güven
- yapılandırma
- içeren
- içerik
- içindekiler
- Kurumsal
- olabilir
- kurs
- kapak
- çatlak
- Tanıtım
- Suçlular
- Crooks
- Müşteriler
- siber suçluların
- veri
- veri sızıntısı
- veritabanı
- veritabanları
- gün
- Aralık
- azalmak
- bölüm
- masaüstü
- ayrıntılar
- algılandı
- Geliştirici
- geliştiriciler
- gelişme
- direkt olarak
- dizinleri
- ekran
- Dont
- DOT
- aşağı
- kolayca
- etkileri
- ya
- başka yerde
- E-posta
- e-postalar
- şifreli
- sağlamak
- Tüm
- özellikle
- kurmak
- Hatta
- herkes
- örnek
- mevcut
- deneyimli
- uzatmak
- uzantıları
- şekil
- fileto
- dosyalar
- Ad
- bayraklı
- itibaren
- almak
- alma
- GitHub
- Vermek
- Go
- Tercih Etmenizin
- olmak
- olmuş
- yükseklik
- gizlemek
- ambar
- duraksamak
- Ne kadar
- Ancak
- HTTPS
- hemen
- darbe
- in
- özendirici
- dahil
- Dahil olmak üzere
- bilgi
- Altyapı
- İstihbarat
- iç
- IT
- kendisi
- jargon
- bilinen
- Soyad
- öncülük etmek
- sızıntı
- miras
- hayat
- linux
- kilitli
- uzun
- Bakın
- GÖRÜNÜYOR
- makine
- macos
- yapılmış
- YAPAR
- müdür
- Kenar
- maksimum genişlik
- anlamına geliyor
- mesajları
- Microsoft
- olabilir
- hata
- hafifletici
- izlemek
- ay
- Daha
- isimleri
- neredeyse
- gerek
- ne
- ağ
- yeni
- haber
- normal
- resmi
- ONE
- açık kaynak
- işletme
- işletim sistemleri
- organizasyonlar
- Diğer
- Görünüm
- kendi
- paket
- Bölüm
- parçalar
- Şifre
- şifreleri
- Paul
- dönem
- kişisel
- yer
- ağladım
- Platon
- Plato Veri Zekası
- PlatoVeri
- pozisyon
- Mesajlar
- potansiyel
- uygulama
- güzel
- önceki
- birincil
- özel
- muhtemelen
- Sorun
- Ürünler
- Programlar
- proje
- Projeler
- halka açık
- alenen
- yayınlamak
- koymak
- hızla
- ulaştı
- neden
- serbest
- değiştirmek
- yerine
- Depo
- Açığa
- Risk
- aynı
- İkinci
- Gizli
- güvenlik
- güvenlik güncelleştirmeleri
- görünüyor
- cümle
- meli
- işaret
- imzalı
- imza
- sadece
- So
- Yazılım
- katı
- biraz
- Birisi
- bir şey
- biraz
- Kaynak
- kaynak kodu
- özel
- özel
- başlama
- Yine
- çalıntı
- hafızası
- saklı
- stüdyo
- böyle
- sözde
- SVG
- sistem
- Sistemler
- takım
- The
- ve bazı Asya
- Orada.
- Bu hafta
- üç
- zaman
- için
- simge
- Jeton
- yarın
- üst
- dokunma
- geçiş
- şeffaf
- Güvenilir
- eninde sonunda
- altında yatan
- unix
- Güncellemeler
- yükseltmek
- Yüklenen
- URL
- kullanım
- kullanıcı
- kullanıcılar
- çeşitli
- versiyon
- Kurban
- Görüntüle
- Oy
- aranan
- yolları
- hafta
- Ne
- olup olmadığını
- hangi
- DSÖ
- irade
- pencereler
- Word
- değer
- olur
- Yanlış
- zefirnet