Geekly articles weekly

在AWS上入侵Capital One银行的技术细节



2019年7月19日,第一资本银行收到一条消息,每个现代公司都担心-发生了数据泄漏。 它影响了超过1.06亿人。 140,000个美国社会安全号码,一百万个加拿大社会安全号码。 80,000个银行帐户。 不愉快,同意吗?

不幸的是,黑客入侵在7月19日根本没有发生。 事实证明,又名Erratic的 Paige Thompson在2019年3月22日至3月23日之间进行了表演。 差不多四个月前 。 实际上,只有在外部顾问的帮助下,Capital One才知道发生了什么事。

前亚马逊雇员被捕,她面临25万美元的罚款和5年的监禁……但其中有很多负面因素。 怎么了 因为在网络犯罪日益严重的情况下,许多遭到黑客攻击的公司都试图放弃加强其基础架构和应用程序的责任。

无论如何,您都可以轻松地搜索该故事。 我们不会讲戏剧,而是谈论事物的技术方面。

首先,发生了什么事?


在Capital One,Paige Thompson复制并放气了大约700个S3铲斗。

其次,这是否是S3存储桶策略配置错误的另一种情况?


不,这次不行。 在这里,她可以访问具有错误配置的防火墙的服务器,然后从那里进行整个操作。

等等,这怎么可能?


好吧,尽管我们很少有细节,但让我们从登录服务器开始。 我们仅被告知这是通过“配置错误的防火墙”发生的。 因此,就像错误的安全组设置或Web应用程序防火墙(Imperva)或网络防火墙(iptables,ufw,shorewall等)的配置一样简单。 Capital One只认罪并说它填补了漏洞。

斯通表示,Capital One最初并未注意到防火墙的漏洞,但在发现防火墙后立即做出了迅速反应。 斯通说,当然,这得益于据称黑客留下了公开提供的关键识别信息的事实。

如果您对我们为什么不深入研究这一部分感兴趣,请理解由于信息有限,我们只能推测。 鉴于黑客行为取决于Capital One留下的漏洞,因此这毫无意义。 如果他们不告诉我们更多信息,我们将仅列出Capital One使其服务器保持打开状态的所有可能方式,以及某人可以使用这些各种选项之一的所有可能方式。 这些差距和方法可能从疯狂的疏忽到难以置信的复杂模式。 考虑到可能性的范围,这将变成一个漫长的传奇,而没有真正的结论。 因此,我们将着重分析我们掌握事实的部分。

因此,第一个结论是:了解防火墙的允许范围


建立政策或流程,以确保只有开放的内容是开放的。 如果您使用诸如安全组或网络ACL之类的AWS资源,显然验证清单会很长...但是随着自动创建许多资源(即CloudFormation),您也可以自动对其进行审核。 无论是扫描临时对象中是否存在缺陷的临时脚本,还是CI / CD流程中的安全审核之类的东西,都有很多简单的选择可以避免。

故事的“有趣”部分是,如果Capital One从一开始就关闭了漏洞……那什么也不会发生。 因此,坦率地说,看到一件简单的事情真正成为黑客公司的唯一原因总是令人震惊。 特别是和第一资本一样大。

那么,内部的黑客-接下来发生了什么?


好吧,闯入EC2实例后,可能会出错。 如果允许某人走得那么远,您几乎会沿着刀刃行走。 但是她是如何进入S3存储桶的呢? 为了理解这一点,让我们讨论一下IAM的角色(IAM角色)。

因此,访问AWS服务的一种方法是成为用户。 好的,这很明显。 但是,如果您想为其他AWS服务(例如,应用程序服务器)提供对S3存储桶的访问权限,该怎么办? 为此,有IAM角色。 它们由两个部分组成:

  1. 信任政策-哪些服务或哪些人可以使用此角色?
  2. 权限政策-此角色允许什么?

例如,您想要创建一个允许EC2实例访问S3存储桶的IAM角色:首先,它为EC2(整个服务)或特定实例可以“接管”该角色的角色设置信任策略。 假定角色意味着他们可以使用角色权限来执行操作。 其次,权限策略允许“担当角色”的服务/人员/资源在S3上执行某项操作,例如访问一个特定的存储桶...或访问700个以上的存储桶(例如Capital One的情况)。

进入具有IAM角色的EC2实例后,您可以通过以下几种方式获取凭据:

  1. 您可以在http://169.254.169.254/latest/meta-data请求实例元数据

    除其他外,您可以在此地址找到具有任何访问密钥的IAM角色。 当然,仅当您处于实例中时。
  2. 使用AWS CLI ...

    如果安装了AWS命令行界面,则会使用IAM角色(如果有)中的凭据加载该界面。 它仅保留通过实例工作。 当然,如果他们的信任政策是开放的,Page可以直接这样做。

因此,IAM角色的本质是它们允许一种资源在您的其他资源上以您的名义进行操作。

现在您已经了解了IAM的角色,我们可以讨论Page Thompson所做的事情:


  1. 她通过防火墙上的漏洞访问了服务器(EC2实例)

    如官方记录中所述,无论是安全组/ ACL还是自己的Web应用程序防火墙,此漏洞都可能很容易关闭。
  2. 进入服务器后,她就可以“好像”充当服务器一样
  3. 由于IAM服务器角色允许S3访问这700多个存储桶,因此她能够访问它们

从现在开始,她只能运行List Buckets命令,然后再从AWS CLI运行Sync命令...


第一资本银行估计黑客行为造成的损失在100到1.5亿美元之间 。 防止此类损害的原因是公司在保护云基础架构,DevOps和安全专家方面投入大量资金的原因。 过渡到云的价值和成本效益如何? 如此之多,以至于即使面对越来越多的网络安全问题, 整个公共云市场在2019年第一季度也增长了42%

这个故事的寓意:检查您的安全; 进行定期审核; 遵守安全策略的最小特权原则。

(您可以在此处查看完整的法律报告)。

Source: https://habr.com/ru/post/zh-CN463317/

More articles:


All Articles