Добро пожаловать в кибербезопасность сегодня. Это обзор недели за неделю, закончившуюся в пятницу, 18 августа 2023 года. Я Говард Соломон, корреспондент ITWorldCanada.com и TechNewsday.com по кибербезопасности в США.
Через несколько минут Дэвид Шипли из Нью-Брансуика Босерон Безопасность будет здесь, чтобы обсудить последние новости. Но сначала беглый взгляд на то, что произошло за последние семь дней:
Совет по обзору кибербезопасности США выпустил критический отчет, в котором исследуется, почему банда вымогателей Lapsus$ добилась такого успеха. Одна из причин: ИТ-отделы, которые обязали использовать многофакторную аутентификацию, разрешили использовать текстовые службы SMS для доставки кодов второго фактора вместо использования двухфакторной аутентификации, устойчивой к фишингу. У Дэвида есть критика отчета.
мы тоже посмотрим в атака программы-вымогателя на канадскую некоммерческую организацию, открытие Ford об уязвимости Wi-Fi в информационно-развлекательных системах некоторых автомобилейи будь то правительства должны установить минимальные стандарты кибербезопасности для потребительских устройств, подключенных к Интернету.
Также в новостях, появляются новые жертвы эксплуатируемой уязвимости в приложении для передачи файлов MOVEit. На этой неделе они включали Первый национальный банк Омахи, в котором говорится, что данные чуть менее 3000 человек, хранящиеся в информации о пенсионных пособиях, были скопированы, когда PBI был взломан в мае. PBI оказывает льготные аудиторские и адресные услуги для банка и многих других организаций. Некоторые из них уведомляют своих клиентов, сотрудников или бывших сотрудников, что их данные были скомпрометированы, когда сервер PBI MOVEit был взломан. Компании за последние семь дней, которые сообщили, что они также пострадали от подобных сторонних взломов MOVE-it, включают Ледник БанКорп из Монтаныстраховая компания New York Life и Banco Popular de Puerto Rico.
Более 14 000 клиентов юридической фирмы Милфорд, Коннектикут уведомляются об январской утечке данных. Их уведомляют сейчас, потому что расследование инцидента в фирме Carter Mario закончилось 20 июля. В уведомлении регулирующих органов, поданном в прокуратуру штата Мэн, говорится, что причиной стал внешний взлом. Других подробностей не было. Украденные данные включали имена, номер водительского удостоверения или номера удостоверения личности.
Производитель чистящих средств Clorox говорит, что ему пришлось отключить некоторые из своих ИТ-систем на этой неделе из-за кибератаки. Компания не сообщила, были ли украдены какие-либо данные.
Банда эксплуатирует неисправленные экземпляры GitHub для установки скриптов криптомайнинга и проксиджекинга на серверах. Это по мнению исследователей из Sysdig. В атаке используется несколько методов уклонения, но суть в том, что ее можно остановить, запустив последнюю версию GitHub или установив патч, выпущенный два года назад.
Окончательно, Google выпустила предложенную схему открытого ключа безопасности который будет сопротивляться взлому квантовым компьютером. В то время как квантовые атаки находятся в отдаленном будущем, организации должны начать готовиться сейчас, прежде чем квантовые компьютеры станут широко доступны.
(Ниже приводится отредактированная стенограмма первой из четырех тем, которые мы обсуждали. Чтобы услышать полный разговор, включите подкаст.)
Говард: Сейчас ко мне из Фредериктона, Нью-Брансуик, присоединяется Дэвид Шипли. Я начну с доклада Наблюдательного совета по кибербезопасности США о том, почему хакерские атаки банды вымогателей Lapsus$ оказались такими успешными. Короче говоря, это был вежливый выпад против ИТ-специалистов и специалистов по безопасности. Совет представляет собой группу экспертов, назначенных Агентством кибербезопасности и безопасности инфраструктуры США, которые расследуют и публично сообщают о значительных кибер-инцидентах. В своем отчете на прошлой неделе говорится, что банда Lapsus$ ясно показала, насколько легко ее членам — некоторые из которых были несовершеннолетними — проникать в хорошо защищенные организации. В частности, «Правление увидело коллективную неспособность организаций учесть риски, связанные с использованием текстовых сообщений и голосовых вызовов для многофакторной аутентификации».
Во многих случаях банда обходила многофакторную аутентификацию, отправляемую по тексту SMS, несколькими способами, включая оплату учетных данных и токенов в даркнете; платить сотрудникам за доступ к учетным данным и убеждать сотрудников службы поддержки операторов беспроводной связи переключать смартфоны целевых сотрудников на телефоны, контролируемые бандой, чтобы они могли получить коды MFA.
Как я писал в своей истории, похоже, правление заявило, что организации-жертвы должны винить только себя. Что вы подумали, когда прочитали отчет?
Дэвид Шипли: Я думаю, что есть некоторые довольно грубые упрощения проблем управления идентификацией и доступом, с которыми сталкиваются организации всех размеров. Меня немного расстраивают люди, размахивающие быстрой идентификацией в Интернете — или Fido — беспарольными решениями в качестве серебряной пули. Потому что на самом деле они больше похожи на серебряный обоюдоострый меч. Они могут вызвать серьезные проблемы для организаций в масштабе с потерянными или украденными токенами. Мне гораздо больше понравились рекомендации по возможности отказаться от текстовых сообщений или голосовых атак. Я большой поклонник приложений для проверки подлинности, таких как Microsoft Authenticator, которые могут делать такие вещи, как схемы сопоставления чисел, чтобы еще больше снизить риск так называемой бомбардировки запросов MFA. Это было фактором в некоторых атаках Lapsus$, когда многофакторная аутентификация на основе push-уведомлений просто захлопнулась с таким количеством запросов, что кто-то, если он разочарован, просто одобрит запрос. [Editor: These are attacks where a victim gets so many repeated texts on their smartphone to approve an unasked authentication requests that they give up and press, ‘OK’. They don’t realize an attacker will intercept the approval.] Я также обнаружил, что в этом отчете приукрашивается сложность так называемых простых тактик, таких как социальная инженерия. Социальная инженерия, при этом не требующая технических навыков разработки нулевого дня [vulnerability], требует другого уровня навыков, и я думаю, что этот отчет делает это несправедливо. На самом деле, меня все больше беспокоит, что причина, по которой фишинг и социальная инженерия все еще появляются в верхней части ежегодных отчетов об утечках данных Verizon, заключается в том, что организации до сих пор не понимают, как они работают на эмоциональном или когнитивном уровне, и не понимают, как это работает на эмоциональном или когнитивном уровне. достаточно инвестировать в правильные виды образования, которые могут помочь сделать их сотрудников более устойчивыми к этим атакам.
Говард: Для тех, кто не знает, банда Lapsis$ несет ответственность за ряд масштабных атак, включая кражу 200 гигабайт корпоративных данных из хирургического и реабилитационного центра в Канзасе, кражу 37 ГБ исходного кода Microsoft, кражу и публикацию исходного кода код для двух флагманских игр от игровой компании, а также кража и удаление 50 терабайт данных, включая базу данных Covid-19, из государственного учреждения страны, название которой не указано. Несмотря на всю свою молодость, эта банда точно знала, что делает и как эксплуатировать людей.
Дэйвид: В том-то и дело: эти дети были не самой технически сложной группой на рынке. Им не требовались возможности национальных государств для создания действительно крутых эксплойтов и прочего. Но они действительно научились понимать, как использовать человеческий компонент кибербезопасности. Они были настолько успешными, потому что мы до сих пор не имеем дело с этим [cybersecurity] значительным образом.
Говард: Что для вас стало наихудшим обвинением в этом отчете?
Дэйвид: На самом деле я обнаружил в отчете интересную строчку: «В частности, некоторые члены Lapsus$ использовали мошеннические запросы о раскрытии информации в чрезвычайных ситуациях, или EDR, [to wireless carriers by impersonating a police department] для получения конфиденциальной информации о целях, которая может быть использована для разработки вымогательских атак против целевых лиц, например, путем захвата их онлайн-аккаунтов для доступа к личным фотографиям». Использование этих мошеннических EDR правоохранительных органов является известной тактикой. Правлению стало известно, что исследователи безопасности отслеживают как минимум 112 доменов, в том числе принадлежащих международным правоохранительным органам, которые злоумышленники использовали для распространения мошеннических EDR. Я думаю, это очень мило, что правление обвиняет фирмы частного сектора в том, что они стали жертвами. Но если телекоммуникационные провайдеры получают то, что они считают законными запросами полиции, потому что некоторые международные правоохранительные органы размещают вредоносный контент, который позволяет это мошенничество, что ж, как мы говорили в армии, «Горшок: это чайник».
Говард: Одной из важных тем отчета является управление идентификацией и доступом, поэтому правление настоятельно призывает организации быстро отказаться от использования многофакторной аутентификации на основе голоса и SMS и перейти к защищенной от фишинга MFA. Это не новая рекомендация.
Дэйвид: Это абсолютно не так. Но, как и многие другие вещи, это легко сказать, но на самом деле очень трудно сделать, особенно если системы, на которые вы полагаетесь, не предлагают ничего другого. Я смотрю на вас, Канадское налоговое агентство, национальное налоговое агентство Канады. К чести компании, за последние два года компания внедрила SMS и текстовые MFA, но до сих пор не предлагает вариант MFA на основе приложений. [like Google or Microsoft Authenticator]. Итак, если вы хотите МИД [from Canada Revenue], это то, что у вас есть. Кроме того, я думаю, что очень важно, что мы как раз подходим к концу глобальной пандемии и кружим вокруг стока рецессии. Компании ужесточают расходы. И я могу сказать вам, что у службы безопасности нет карт-бланша, которые они получали в первые дни и в разгар пандемии.
Говард: Еще одна важная рекомендация совета заключается в том, что операторы связи должны внедрять более строгие методы аутентификации, чтобы предотвратить подмену SIM-карты. Это еще один способ сказать, что персонал службы поддержки должен перестать так сочувствовать людям, пытающимся поменять SIM-карты по телефону или через Интернет.
Дэйвид: Я полностью согласен. Нравится вам это или нет, в этом десятилетии варианты аутентификации на основе SMS и голоса не исчезнут, поэтому нам нужно, чтобы операторы связи больше инвестировали в безопасность в этой области. Лично я хотел бы видеть в Канаде CRTC [the Canadian Radio-Televison and Telecommunications Commission] или другой регулирующий орган, предписывающий людям иметь возможность заморозить свои [smartphones’] SIM-карты и что обмен может быть инициирован только в том случае, если они отправятся в физический магазин. [of a carrier to get it changed]. Да, они все еще существуют. И они должны показать один или два удостоверения личности государственного образца своему текущему провайдеру, после чего их SIM-карта может быть разблокирована, а их номер перенесен. [to a new smartphone]. Ах, друзья мои, это извечная битва между недвижимым объектом и непреодолимой силой — или, как мы часто говорим, удобством для клиентов и безопасностью. И, честно говоря, операторы находятся в безвыигрышном сценарии и живут в мире, где мобильный телефон является цифровым сейфом для онлайн-идентификации, и никто не планировал и не разрабатывал безопасность для этого сценария.
Говард: Одна из проблем заключается в том, что, учитывая количество краж данных, решительному мошеннику, у которого есть ресурсы и контакты, не так уж сложно создать фальшивый идентификатор, с которым они затем могут подойти в магазин оператора связи и сказать: «Привет. , я Джон Виджет», и предъявить им поддельные водительские права и поддельное свидетельство о рождении или поддельную медицинскую карту.
Дэйвид: Если они собираются дойти до этого предела, то это будет для кого-то, кто является высокопоставленной целью. Я могу думать о том миллиардере, у которого была его криптовалюта. [currency] украл парень из Гамильтона [Ontario] на сумму около 27 миллионов долларов. Супер плохая идея все еще использовать это [for account access verification], если бы особенно были другие варианты сделать это. Но я думаю, что мы поднимаем планку, и многие из этих банд, особенно те, которые действуют транснационально, не собираются физически идти в магазин сотовых телефонов в центре Торонто, чтобы сделать это. Может быть, они попытаются подкупить какого-нибудь осеннего парня или осеннюю девушку [at a carrier] сделать это, но это становится действительно интересной цепочкой, и это дает копам возможность копаться в реальной жизни. Есть много записей с камер наблюдения и есть цепочка, по которой можно проследить. Мы должны повысить стоимость и изощренность таких атак, потому что сейчас они слишком быстрые, слишком яростные и слишком простые.
