Domanda:
Come possono Twitter e GitHub essere sicuri di non essere stati violati?
Kepotx
2018-05-04 13:11:49 UTC
view on stackexchange narkive permalink

Ieri Twitter ha annunciato di aver recentemente identificato un bug che memorizzava le password smascherate in un registro interno. Recentemente, Github aveva anche un bug simile. In entrambi i casi, affermano che nessuno aveva accesso a questi file.

Twitter:

Abbiamo corretto il bug e la nostra indagine non mostra alcuna indicazione di violazione o uso improprio da parte di chiunque.

Anche in questo caso, sebbene non abbiamo motivo di credere che le informazioni sulla password abbiano mai lasciato i sistemi di Twitter o siano state utilizzate in modo improprio da qualcuno, ci sono alcuni passaggi che puoi fare per aiutarci account sicuro:

GitHub:

L'azienda afferma che le password in chiaro sono state esposte solo a un piccolo numero di dipendenti GitHub con accesso a quei log. Nessun altro utente di GitHub ha visto le password in chiaro degli utenti, ha detto la società.

GitHub ha detto di aver scoperto il suo errore durante un controllo di routine e ha chiarito che i suoi server non erano stati violati.

Da notare, GitHub non è stato violato o compromesso in alcun modo.

Come possono Twitter e GitHub essere sicuri che non sono stati hackerati o compromessi in alcun modo? Qualcuno che sta compromettendo un server e legge / copia un file lascerebbe sempre tracce?

La dichiarazione di Twitter in realtà "non mostra alcuna indicazione di violazione", il che potrebbe significare che se qualcuno era presente, non ce n'era segno (questo potrebbe essere concluso da un gruppo di diverse fonti di log che esaminano le connessioni da e verso la suddetta macchina, quali utentiha avuto accesso alla macchina per causa, ecc.).
Non hanno dichiarato di essere sicuri di non essere stati violati.Hanno affermato di non avere prove di essere stati violati, ma l'assenza di prove non è una prova di non essere stati violati, cosa che molto saggiamente non hanno affermato che fosse.
Un recente articolo su questo problema: ["È impossibile dimostrare che il tuo laptop non è stato violato"] (https://theintercept.com/2018/04/28/computer-malware-tampering/)
"Hacked" non è nemmeno la principale categoria di rischio qui.Alcuni dipendenti di Twitter con accesso legittimo potrebbero rubarli senza alcuna penetrazione non autorizzata.In effetti, è quasi certamente così che è stato scoperto in primo luogo.
Potresti indicare quali parti di questi messaggi ti indicano che sono "** sicuri **" che le password non sono state compromesse?
@Bakuriu come ha detto Anders nella sua buona risposta, GitHub ha parole abbastanza categoriche, ma Twitter è molto meno sicuro.forse non avrei dovuto enfatizzarlo così tanto sul "** sicuro **"
il contenuto del file di registro potrebbe viaggiare in modo imprevisto.Una volta ho osservato frammenti di file di registro scambiati tra due sostenitori nel sistema di ticket in un ticket aperto da me (utente esterno).Gli snippet erano all'incirca nel periodo del mio problema, ma contenevano molte voci di registro riguardanti altri utenti, tra cui identificazione personale, password in chiaro, domande di sicurezza in chiaro + risposte, nonché relazioni tra gli utenti (è assistente di).Con le informazioni, avrei potuto comporre un numero di telefono, chiedere un nome specifico e dire loro qual era il film preferito del loro capo ... Tanto per essere esposto solo a pochi
Skeptics.SE risposta: questo è tutto BS sintattico senza senso.
* "Come possono Twitter e GitHub essere sicuri di non essere stati hackerati?" * Trovo sempre queste domande affascinanti.@Kepotx, come puoi essere sicuro di non essere in un sogno in questo momento?
@AndréParamés Ogni problema menzionato qui può essere mitigato con un uso corretto di un TPM (ad esempio, come fa Anti-Evil Maid di Qubes).
La tua domanda nasce da una falsa premessa.Anche se fossero sicuri di * essere * stati hackerati, non lo ammetterebbero apertamente.
Poiché non riveleranno la loro interna, possiamo solo immaginare.Ma per uno scenario ipotetico: supponiamo di far trapelare i dati della password in un file di registro su un sistema che è comunque in grado di intercettare le password.Qualsiasi utente malintenzionato sul sistema avrebbe già violato il sistema senza la perdita, quindi la perdita è brutta ma non aggiunge molto pericolo lì finché non c'è attaccante e se ce n'è uno hanno comunque troppo accesso.
@MaskedMan - Sarei fortemente in disaccordo con la tua affermazione.Mentre alcune altre organizzazioni potrebbero tentare di nascondere un hack noto (* cough * Uber * cough *), sia Twitter che Github sono ben consapevoli dell'importanza della divulgazione responsabile.Puoi essere abbastanza sicuro che sono stati onesti qui: Sì, entrambi hanno trovato un problema;no, non credono che siano trapelati dati;no, non possono esserne certi, quindi dovresti cambiare le tue password.La non divulgazione alla fine torna quasi sempre a morderti (e con l'entrata in vigore del GDPR, morderà molto duramente chiunque venga sorpreso a nascondere un hack).
@Spudley Sembra che tu sia * d'accordo * con la mia affermazione qui, anche se dici il contrario.Sembra che tu stia suggerendo che la non divulgazione li morderà solo se vengono scoperti, e se la probabilità che ciò accada è minuscola o se ci vorranno anni prima che vengano catturati, allora non rivelare che sono stati hackerati fa benesenso degli affari.Si tratta di rischio contro ricompensa.
@MaskedMan No, davvero non sono d'accordo con te.L'argomento rischio / ricompensa fallisce perché il rischio è enorme (le multe possibili ai sensi del GDPR fanno venire l'acquolina in bocca) e in corso (coprendo un hack, ti dai un problema permanente che potrebbe essere scoperto in qualsiasi momento).Sei anche aperto al ricatto da chiunque lo sappia, il che significa che i cattivi che ti hanno hackerato ora hanno un'ulteriore possibilità di attacco.Chiunque ci pensi bene capirà che l'unica vera opzione dopo essere stato violato è la piena divulgazione.Può essere doloroso e imbarazzante, ma le alternative sono molto peggiori
@Spudley Stai confondendo il rischio con la ricompensa.La multa enorme di cui parli è la "ricompensa" (anche se in questo caso è negativa).Anche se la "ricompensa" è una multa di 100 miliardi di dollari (o un numero così enorme), devi pagarla solo se vieni scoperto.Se la probabilità di essere scoperti è 0,00000000001 ("rischio"), non ha senso ammettere di essere stato violato.(Ciò accantona il fatto che il GDPR non si applica negli USA).
Anche il cosiddetto ricatto non è nulla di cui preoccuparsi.Se gli hacker ti chiamano dicendo "se non paghi, riveleremo l'hack al pubblico", puoi semplicemente chiedere loro di mettere in atto la loro minaccia.Quindi, se sono abbastanza sciocchi da farlo davvero, puoi facilmente fare la vittima e rivendicare il livello morale.In altre parole, puoi usare "nascondere l'hack" per * migliorare * la tua reputazione.
@MaskedMan GDPR * si applica * negli Stati Uniti, se il tuo sistema contiene i dettagli di qualsiasi cittadino europeo.Potrebbe essere meno applicabile, ma si applica comunque.Non riesci nemmeno a capire quanto velocemente queste cose possano sfuggire al controllo e con quanta facilità.In ogni caso, a quanto pare, dovremo solo accettare di non essere d'accordo;Non ho tempo per continuare a discuterne.
@Spudley GPDR non è realmente rilevante per il punto che stavo facendo.Ad ogni modo, diciamo che sono un hacker che ora dice che ho hackerato Facebook nel 2015. Dove pensi che sarà la simpatia del pubblico in generale?Inoltre, un altro trucco efficace è che se sei stato hackerato in Manner A, devi solo ammettere di essere stato hackerato in Manner B. Questo ti fa guadagnare alcuni punti brownie e nessuno si preoccuperà di indagare se sta succedendo anche qualcos'altro.Questo è vicino a quello che sospetto abbiano fatto Twitter e Github qui.
Stai anche facendo suonare questo hack più drammatico del necessario.L'attenzione del pubblico si accorcia di giorno in giorno e in un paio di mesi (o addirittura settimane) a nessuno interesserà questo hack e sfuggiranno al radar in sicurezza.Quando l'exploit Heartbleed è stato scoperto alcuni anni fa, è stata fatta una grande canzone e danza.Se qualcuno presenta alcuni dettagli aggiuntivi oggi, a quante persone importerà?Ha perfettamente senso per gli affari non rivelare nulla di più del necessario.Rovinare la tua attività oggi per paura di guai futuri, che sono incerti e improbabili, è solo una sciocchezza.
Otto risposte:
Anders
2018-05-04 13:18:18 UTC
view on stackexchange narkive permalink

Non possono esserne sicuri. In effetti, non puoi mai essere sicuro di non essere stato violato. Ma un esame approfondito può farti concludere che è più o meno probabile.

Le dichiarazioni di Twitter dicono solo che non c'è alcuna indicazione di un hack. Ciò non esclude la possibilità che siano stati hackerati e, esortando i propri utenti a modificare le password, lo ammettono implicitamente.

Per quanto riguarda GitHub, la formulazione è un po 'più categorica. Ma penso che forzare la reimpostazione della password dimostri che comprendono i rischi coinvolti.

"non puoi mai essere sicuro di non essere stato violato" - non posso essere meno d'accordo.
@PedroLobito Ti interessa sviluppare?
puoi costruire il tuo sistema su una macchina con air gap, ma la maggior parte delle persone non si preoccupa.
Il semplice fatto di restare a bocca aperta non garantirà alcun hack.A meno che non intenda che letteralmente per ogni componente, ad esempio una fonte di alimentazione indipendente invece della rete.Forse anche un traferro non sarebbe sufficiente, forse un vuoto ... Ma c'è sempre un errore dell'utente, ad es.Sono a conoscenza, ad esempio, di sistemi con air gap che vengono sottoposti a phishing di per sé con unità USB seminate nel parcheggio.C'è anche la considerazione che una macchina con air gap non sarebbe utile come un sistema che gli utenti devono autenticare e utilizzare effettivamente ...
Puoi essere convinto di non essere stato violato, e alla fine ti sbaglierai.
Chiunque è in grado di costruire un sistema * che * non può hackerare.Un corollario a ciò è: chiunque può costruire un sistema in cui non può rilevare che si è verificato un hack.Stanno facendo del loro meglio per esaminare i propri ambienti alla ricerca di prove di pirateria informatica.Il fatto che non abbiano trovato alcuna prova del genere prova solo che: * non * sono riusciti a trovare alcuna prova.Sta a te determinare se la loro dichiarazione soddisfa o meno i tuoi requisiti di sicurezza.
@dandavis Airgapping un sistema non è sufficiente, poiché ttbek ha menzionato le fonti di alimentazione possono essere una perdita di informazioni, ma farò un ulteriore passo avanti: la schermatura EM è un requisito minimo per l'air-gapping.Se si utilizzano cavi non schermati (o scarsamente schermati) per il monitor, perdono radiazioni EM che possono essere rilevate e ricostruite (supponendo che non venga utilizzato un protocollo di protezione dalla copia) da oltre 20 piedi di distanza con apparecchiature SDR piuttosto rudimentali.Non sto parlando di una fantasia cyberpunk;L'ho fatto io.Ci sono persone che ci hanno pensato molto: http://cm.bell-labs.com/who/ken/trust.html
Le centrifughe iraniane sono state protette.Stuxnet li uccideva ancora.
Bene, ad esempio, ho costruito un dispositivo di messaggistica che utilizza ~ 100ma@5v, da una banca di alimentazione o un adattatore USB a muro, un nodeMCU, un LCD da 1,8 "pilotato su SPI con un cavo da 1" circa, con una tastiera PS2 per l'input, un HWRNG pergenerare chiavi e un connettore a scatto che consente a unità identiche di condividere le chiavi.Ho scritto il firmware (~ 1500 LOC) e non esiste un sistema operativo.Sa solo come fare ciò di cui ha bisogno e non consente aggiornamenti remoti, quindi non vedo come sia hackerabile o _può_ persino perdite, data la piccola EMI / RFI di un tale dispositivo e il possesso fisico richiesto per alterarne la funzionalità.non per tutti, ma divertente per me.
Spunti di riflessione: se non c'è modo di rilevare che sei stato hackerato, sei stato davvero hackerato?
@ttbek [Mind the Gap: This Researcher Steals Data With Noise, Light, and Magnets] (https://www.wired.com/story/air-gap-researcher-mordechai-guri/).Le persone hanno anche esfiltrato i dati utilizzando la temperatura ambiente, riscaldando la stanza utilizzando la CPU.
@drheart il tuo collegamento non funziona
Nzall
2018-05-04 14:46:39 UTC
view on stackexchange narkive permalink

Un'altra cosa da notare è che in entrambi i casi la perdita era in un sistema di registrazione puramente interno. Non vi è alcuna indicazione che utenti di terze parti abbiano mai avuto accesso a questo sistema. I sistemi di registrazione interni sono raramente esposti esternamente e vengono consultati internamente solo quando un sistema necessita di risoluzione dei problemi. Questo è probabilmente anche il motivo per cui questo bug è passato inosservato per mesi: singole voci di registro da qualche parte in quella che probabilmente è una quantità gigantesca di altre istruzioni di solito non vengono notate a meno che non si trovino proprio accanto o nel mezzo di istruzioni che sono necessarie per eseguire il debug di altre voci.

Anche Twitter solo di recente ha scoperto il bug stesso, il che significa che è improbabile che persone esterne all'azienda fossero a conoscenza di questo bug prima che Twitter fosse, figuriamoci se lo scoprisse ed eseguisse un attacco a recuperarli.

'Raramente esposto esternamente' - sì, purché ti ricordi di proteggere il tuo spazio di archiviazione S3 ...
Non si tratta nemmeno di terze parti.I dipendenti della prima parte possono abusare di questo genere di cose altrettanto prontamente.
Davvero, però, @djsmiley2k, quante principali agenzie di segnalazione del credito * effettivamente * archiviano centinaia di milioni di file di credito su bucket S3 non protetti?
@chrylis Apparentemente, la maggior parte di loro.
Tom K.
2018-05-04 16:51:29 UTC
view on stackexchange narkive permalink

È difficile dimostrare un valore negativo.

Quindi come si dimostra positivo? In questo caso: come si dimostra un attacco dall'esterno? In genere esistono diversi sistemi per monitorare diverse forme di attacchi, violazioni o accessi. Questi possono essere firewall, sistemi di rilevamento delle intrusioni, SIEM e una varietà di sistemi di monitoraggio e registrazione. Nelle reti odierne ogni componente ha una qualche forma di monitoraggio o consente il monitoraggio tramite strumenti di terze parti come Check_MK.

Quindi ogni fase del percorso, dal confine della rete aziendale alla macchina che conteneva le informazioni preziose, è in qualche modo monitorata. Questi registri vengono analizzati regolarmente, a seconda della rete e delle politiche aziendali. I sistemi di analisi possono distinguere tra traffico o comportamento previsto e imprevisto. Il comportamento imprevisto è per l'accesso ai file di istanza.

I file di registro interni sono generalmente considerati dati riservati, quindi è probabile che anche l'accesso ai file venga monitorato. Se qualcuno che non fa parte di un determinato gruppo di utenti tenta di copiare / accedere a un file di registro interno, probabilmente sarebbe stato registrato come comportamento imprevisto o addirittura proibito. Se un possibile avversario fosse stato in grado di impersonare qualcuno con i diritti di accesso a questo file, anche questo sarebbe stato registrato, ma come previsto.

In teoria è possibile che un attaccante sia in grado di superare tutti i controlli di sicurezza, sfruttano le vulnerabilità di 0day, non lasciano traccia in ogni registro su ogni componente, IDS, SIEM e così via, copia il file di registro interno e contrabbandalo all'esterno, ma è molto improbabile.

La mia ipotesi è che, dopo che il file di log è stato scoperto, tutti questi log sono stati analizzati a fondo per provare a dimostrare se c'è stato un attacco dall'esterno. Gli analisti non hanno riscontrato dati sospetti e hanno quindi concluso che con certezza quasi assoluta non vi era alcun attacco dall'esterno. E questo in realtà è quello che vedi nel comunicato stampa di Twitter (vedi il commento di Florin Coada). Di nuovo, la mia ipotesi: il comunicato stampa di GitHub aveva un linguaggio più rigoroso per fermare le speculazioni se ci fosse un hack. (Non ha funzionato davvero.;)

Ovviamente è anche possibile che Twitter e GitHub non abbiano tali controlli di sicurezza, ma spero davvero di no.

kevin
2018-05-04 15:24:15 UTC
view on stackexchange narkive permalink

Presumo che abbiano registri di accesso per qualsiasi cosa accada sui loro server, possono verificare se qualcuno ha avuto accesso al file, quando è stato, quale alias ha effettuato l'accesso, il loro indirizzo IP di origine, ecc. stessi che tutti gli accessi sono stati effettuati da dipendenti legittimi che possono tranquillamente affermare di non essere stati violati. Nota che questo in realtà non garantisce che non vengano violati, ma solo che tutte le prove puntano in quella direzione.

MahNas92
2018-05-08 16:28:19 UTC
view on stackexchange narkive permalink

La risposta è molto semplice: non dicono da nessuna parte di essere sicuri, anzi, ti dicono implicitamente che in realtà potrebbe esserci stata una violazione in due modi:

  1. Dicono che lì è "nessun motivo per credere che ci fosse" o "nessuna prova di" una violazione. La mancanza di prove potrebbe semplicemente significare che gli intrusi hanno nascosto le loro tracce.
  2. Ti implorano di cambiare la tua password, solo per essere al sicuro. Ciò implica che non possono garantire che non si sia verificata alcuna violazione.
johannes
2018-05-04 19:39:01 UTC
view on stackexchange narkive permalink

La mia interpretazione, in particolare dell'affermazione più audace di GitHub, è che vogliono dire che il fatto che le password siano state inserite nel file di log non è il risultato di un attacco di hacking, ma il risultato di uno sviluppatore che introduce il codice di debug accidentalmente in produzione. Ciò è rilevante poiché un utente malintenzionato potrebbe aver introdotto questa funzionalità per raccogliere le password per acquisirle in seguito.

Non vi è alcuna garanzia che non siano mai state violate e non lo saranno mai, ma questo incidente è indipendente dai tentativi di hacking.

user177420
2018-05-05 15:23:29 UTC
view on stackexchange narkive permalink

Le grandi aziende come questa dovrebbero avere molti server e quindi tutti gli accessi esterni vengono instradati attraverso un bastion host (al di fuori del significato non dall'interno della gabbia / stanza del server reale). Il bastione potrebbe dire che la registrazione è stata configurata in un modo poiché inoltra tutti i comandi dalla rete esterna ai server operativi. I comandi se loggati potrebbero essere facilmente usati per dire se qualcuno ha aperto un file con vim, per esempio, e questo risolverebbe il problema se un utente fosse stato violato. Anche l'accesso SSH viene registrato in modo che uno o più IP "buoni" noti possano essere filtrati per un utente e qualsiasi voce sospetta o strana potrebbe essere esaminata dall'IT e se una voce non è stata in grado di essere spiegata, ciò costituirebbe una violazione. Altrimenti il ​​server sarebbe "sicuro" e non ci sarebbe tanto bisogno di preoccuparsi per questo problema.

Sentinel
2018-05-05 22:52:56 UTC
view on stackexchange narkive permalink

Quello che stanno effettivamente dicendo è che sono sicuri al 100% che ci sia stata effettivamente una violazione della sicurezza. Accidentalmente. Probabilmente. E da soli. Il resto è lucido.

Possono vedere l'individuo in modo diverso, come un dipendente, ma io no. Un buon hacker lavora dall'interno e guadagna fiducia. NSA? FSB?

Non dovrebbero mai avere accesso in testo semplice alle nostre password. Non è così che funziona l'accesso tramite password. Le implicazioni sono che ora spetta a te cambiare quella password ovunque tu la usi. Supponiamo che la password sia ora conosciuta da tutti.

Se avere una password compromessa significa che devi cambiarla in molti posti, è colpa tua.Non dovresti farlo in primo luogo.
Anche @barbecue è corretto.Questo consiglio è per il mainstream.Ovunque può significare 0 in molti posti.


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 4.0 con cui è distribuito.
Loading...