Finansta (Diğer) Risk
Birkaç yıl önce, Washington merkezli bir gayrimenkul müteahhidi, gayrimenkul sektöründe faaliyet gösteren bir finansal hizmetler şirketi olan First American’dan üzerinde çalıştığı bir anlaşmayla ilgili bir belge bağlantısı aldı. Belgeyle ilgili her şey gayet iyi ve normaldi.
Garip kısım, o söylenmiş Bir muhabir, URL’deki tek bir basamağı değiştirdiğinde aniden başka birinin belgesini görebiliyordu. Tekrar değiştirin, farklı bir belge. Hiçbir teknik araç veya uzmanlık olmaksızın geliştirici, 2003 – 885 yılına kadar uzanan FirstAm kayıtlarını alabilir. milyon Toplamda çoğu banka bilgileri, sosyal güvenlik numaraları ve tabii ki adlar ve adresler gibi emlak anlaşmalarında ifşa edilen türden hassas verileri içerir.
Neredeyse bir milyar kaydın bu kadar basit bir web güvenlik açığından sızabilmesi şok edici görünüyordu. Yine de finansal hizmet şirketlerinin başına her hafta daha ciddi sonuçlar geliyor. Verizon, en son sürümünde Veri İhlal İncelemeleri Raporu, temel web uygulaması saldırıları söz konusu olduğunda finansın dünya çapında en çok hedeflenen tek sektör olduğunu ortaya çıkardı. ve göre Devletçi, başarılı ihlaller bu şirketlere ortalama altı milyon dolara mal oldu. IMF’nin sahip olduğu tahmini siber saldırılardan kaynaklanan sektör çapındaki kayıpların “yılda birkaç yüz milyar dolara ulaşarak banka karlarını aşındırması ve potansiyel olarak finansal istikrarı tehdit etmesi”.
Buna yanıt olarak, yöneticiler XDR, SOC’ler, AI araçları ve daha fazlası gibi gelişmiş savunma sistemlerine her yıl milyonları daha tahsis ediyor. Ancak şirketler APT’lere ve gelişmiş siber suç operasyonlarına karşı güçlenirken, güvenlik açıkları ilkel FirstAm’ler sektörde yaygın olmaya devam ederken.
Özellikle toplantı odası tartışmalarında nadiren ortaya çıkan bir güvenlik açığı kategorisi vardır. Yine de aramaya başladığınızda, onu neredeyse her yerde bulacaksınız. Bilgisayar korsanlarının bu tür hataları keşfetmesi ve üzerine saldırması sıfır günden, derin sahtekarlıklardan veya mızraklı kimlik avından çok daha fazlasıdır.
Herkesin Gözden Kaçırdığı Bir Güvenlik Açığı
 |
| Midjourney ile oluşturulan görüntü |
2019’da North Carolina Eyalet Üniversitesi’nden üç araştırmacı test edildi siber güvenlikte yaygın olarak anlaşılan ancak sıklıkla tartışılmayan bir hipotez.
Hikayeye göre Github ve diğer kaynak kodu havuzları, yazılım endüstrisinde bir patlamaya neden oldu. Yetenekli geliştiricilerin, her zamankinden daha hızlı oluşturulmuş daha yeni, daha iyi bir yazılımda kod bağışlayarak, alarak ve birleştirerek dünyanın her yerinde işbirliği yapmasına olanak tanırlar. Farklı kodların birlikte çalışmasını sağlamak için, kimlik bilgilerini (gizli anahtarlar, belirteçler vb.) kullanırlar. Bu bağlantı eklemleri, herhangi bir yazılımın kapısını diğerine açmasına izin verir. Saldırganların aynı yoldan geçmesini önlemek için bir güvenlik perdesinin arkasında korunurlar.
Yoksa onlar mı?
31 Ekim 2017 ile 20 Nisan 2018 arasında NCSU araştırmacıları, sitedeki her şeyin yaklaşık yüzde 13’ünü temsil eden dört milyondan fazla Github deposundan iki milyardan fazla dosyayı analiz etti. Bu örneklerde yaklaşık 600.000 API ve kriptografik anahtar vardı – herkesin görmesi için doğrudan kaynak koduna gömülü sırlar. Bu anahtarların 200.000’den fazlası benzersizdi ve toplamda 100.000’den fazla depoya yayılmışlardı.
Çalışma altı ay boyunca veri toplamasına rağmen, birkaç gün – hatta birkaç saat – bu noktayı belirtmek için yeterli olabilirdi. Araştırmacılar, çalışmalarının her günü boyunca binlerce yeni sırrın nasıl sızdığının altını çizdiler.
Son araştırmalar verilerini desteklemekle kalmadı, onu bir adım daha ileri götürdü. Örneğin, yalnızca 2021 takvim yılında, GitGuardian altı milyonun üzerinde sır tespit etti Github’da yayınlandı – her 1.000 taahhütte yaklaşık üç.
Bu noktada, kaynak kodunda yer alan (“sabit kodlanmış”) gizli kimlik bilgilerinin, eğer bu kadar yaygınsa, gerçekten o kadar kötü olup olmadığı merak edilebilir. Sayılarla güvenlik, değil mi?
Sabit Kodlanmış Kimlik Bilgileri Tehlikesi
Sabit kodlanmış kimlik bilgileri, canlı bir uygulamaya girene kadar teorik bir güvenlik açığı gibi görünür.
Geçen Sonbahar, Symantec tanımlanmış sırları açığa çıkaran yaklaşık 2.000 mobil uygulama. Dörtte üçünden fazlası, dış tarafların özel bulut hizmetlerine erişmesini sağlayan AWS belirteçlerini sızdırdı ve “çok sayıda, genellikle milyonlarca özel dosyaya tam erişim” sağlayan belirteçlerin neredeyse yarısı sızdırıldı.
Açık olmak gerekirse, bunlar bugün dünya çapında kullanılan meşru, halka açık uygulamalardı. Symantec’in bulduğu beş bankacılık uygulaması gibi, hepsinin dijital kimlik doğrulaması için aynı üçüncü taraf SDK’yı kullandığı görüldü. Kimlik verileri, uygulamaların sahip olduğu en hassas bilgilerden bazılarıdır, ancak bu SDK, “SDK’yı kullanan her bankacılık ve finans uygulamasına ait özel kimlik doğrulama verilerini ve anahtarları açığa çıkarabilecek” bulut kimlik bilgilerini sızdırmıştır. “Kullanıcıların kimlik doğrulama için kullanılan biyometrik dijital parmak izleri ve kullanıcıların kişisel verileri (isimler, doğum tarihleri vb.) bulutta ifşa edildiğinden” iş burada bitmedi. Toplamda, beş bankacılık uygulaması, kullanıcılarının 300.000’den fazla biyometrik parmak izini sızdırdı.
Bu bankalar uzlaşmadan kurtulduysa, şanslılar. Benzer sızıntılar daha önce de daha büyük balıkları çıkarmıştı.
Uber gibi. Yalnızca son derece organize ve yetenekli siber düşmanların Uber’in itibarına sahip bir teknoloji şirketine girebileceğini düşünebilirsiniz. Ancak 2022’de 17 yaşındaki biri her şeyi kendi başına yapmayı başardı. Biraz sosyal mühendislik onu şirketin dahili ağına yönlendirdikten sonra, Uber’in ayrıcalıklı erişim yönetimi sistemi için yönetici düzeyinde kimlik bilgilerini içeren bir Powershell komut dosyası buldu. AWS’den Google Drive’a, Slack’e, çalışan kontrol panellerine ve kod depolarına kadar şirket tarafından kullanılan her türlü aşağı yönlü araç ve hizmetten ödün vermek için ihtiyaç duyduğu tek şey buydu.
olmasaydı bu daha dikkat çekici bir hikaye olabilirdi. diğer Uber, 2016’daki bir özel depoda bilgisayar korsanlarına sırlarını kaybettiğinde çiğneme 50 milyondan fazla müşteriye ve yedi milyon sürücüye ait verileri ortaya çıkardı. Ya da diğer Bunu 2014’te halka açık bir depo aracılığıyla yaptıklarında yol boyunca 100.000 sürücünün kişisel bilgilerini ifşa ettiler.
Ne yapalım
Finans, dünya çapında siber saldırganlar için en çok hedeflenen tek sektör. Binlerce güvenlik açığı bulunan uygulamayı veya milyonlarca savunmasız depoyu didikleyen her araştırmacı, saldırganların bu sektördeki herhangi bir modern şirketi yönetmek için gerekli olan koddaki sabit kodlanmış kimlik bilgilerini belirlemesinin ne kadar kolay olacağını gösteriyor.
Ama kötü adamlar ne kadar kolay yapabiliyorsa, iyiler de öyle yapabilirdi. Hem AWS hem de Github, platformlarında sızdıran kimlik bilgilerini ellerinden geldiğince izlemeye çalışıyor. Açıkçası, bu çabalar tek başına yeterli değil, bu noktada bir siber güvenlik satıcısı devreye giriyor.
Gizli diziler için kaynak kodunu izleme hakkında daha fazla bilgi edinin uzmanlarımızdan birinden.
Not – Bu makale GitGuardian’da teknik içerik yazarı olan Thomas Segura tarafından yazılmıştır. Thomas, çeşitli büyük Fransız şirketlerinde hem analist hem de yazılım mühendisi danışmanı olarak çalıştı.