Finansta (Diğer) Risk
Birkaç yıl önce, Washington merkezli bir gayrimenkul müteahhidi, gayrimenkul sektöründe faaliyet gösteren bir finansal hizmetler şirketi olan First American’dan üzerinde çalıştığı bir anlaşmayla ilgili bir belge bağlantısı aldı. Belgeyle ilgili her şey gayet iyi ve normaldi.
Bir muhabire, tuhaf olanın, URL’deki tek bir basamağı değiştirdiğinde aniden başka birinin belgesini görebilmesi olduğunu söyledi. Tekrar değiştirin, farklı bir belge. Hiçbir teknik araç veya uzmanlık olmaksızın geliştirici, 2003 – 885 yılına kadar uzanan FirstAm kayıtlarını alabilir. milyon Toplamda çoğu banka bilgileri, sosyal güvenlik numaraları ve tabii ki adlar ve adresler gibi emlak anlaşmalarında ifşa edilen türden hassas verileri içerir.
Neredeyse bir milyar kaydın bu kadar basit bir web güvenlik açığından sızabilmesi şok edici görünüyordu. Yine de finansal hizmet şirketlerinin başına her hafta daha ciddi sonuçlar geliyor. Verizon, en son Veri İhlali Soruşturmaları Raporunda, temel web uygulaması saldırıları söz konusu olduğunda finansın dünya çapında en çok hedef alınan sektör olduğunu ortaya koydu. Ve Statista’ya göre, başarılı ihlaller bu şirketlere ortalama altı milyon dolara mal oluyor. IMF, siber saldırılardan kaynaklanan sektör çapındaki kayıpların “yılda birkaç yüz milyar dolara ulaşabileceğini, banka karlarını aşındırabileceğini ve potansiyel olarak finansal istikrarı tehdit edebileceğini” tahmin ediyor.
Buna yanıt olarak, yöneticiler XDR, SOC’ler, AI araçları ve daha fazlası gibi gelişmiş savunma sistemlerine her yıl milyonları daha tahsis ediyor. Ancak şirketler APT’lere ve gelişmiş siber suç operasyonlarına karşı güçlenirken, güvenlik açıkları ilkel FirstAm’ler sektörde yaygın olduğu için.
Özellikle toplantı odası tartışmalarında nadiren ortaya çıkan bir güvenlik açığı kategorisi vardır. Yine de aramaya başladığınızda, onu neredeyse her yerde bulacaksınız. Bilgisayar korsanlarının bu tür hataları keşfetmesi ve üzerine saldırması sıfır günden, derin sahtekarlıklardan veya mızraklı kimlik avından çok daha fazlasıdır.
Herkesin Gözden Kaçırdığı Bir Güvenlik Açığı
Midjourney ile oluşturulan görüntü |
2019’da North Carolina Eyalet Üniversitesi’nden üç araştırmacı, siber güvenlik alanında yaygın olarak anlaşılan ancak pek tartışılmayan bir hipotezi test etti.
Hikayeye göre Github ve diğer kaynak kodu havuzları, yazılım endüstrisinde bir patlamaya neden oldu. Yetenekli geliştiricilerin, her zamankinden daha hızlı oluşturulmuş daha yeni, daha iyi bir yazılımda kod bağışlayarak, alarak ve birleştirerek dünyanın her yerinde işbirliği yapmasına olanak tanırlar. Farklı kodların birlikte çalışmasını sağlamak için, kimlik bilgilerini (gizli anahtarlar, belirteçler vb.) kullanırlar. Bu bağlantı eklemleri, herhangi bir yazılımın kapısını diğerine açmasına izin verir. Saldırganların aynı yoldan geçmesini önlemek için bir güvenlik perdesinin arkasında korunurlar.
Yoksa onlar mı?
31 Ekim 2017 ile 20 Nisan 2018 arasında NCSU araştırmacıları, sitedeki her şeyin yaklaşık yüzde 13’ünü temsil eden dört milyondan fazla Github deposundan iki milyardan fazla dosyayı analiz etti. Bu örneklerde yaklaşık 600.000 API ve kriptografik anahtar vardı – herkesin görmesi için doğrudan kaynak koduna gömülü sırlar. Bu anahtarların 200.000’den fazlası benzersizdi ve toplamda 100.000’den fazla depoya yayılmışlardı.
Çalışma altı ay boyunca veri toplamasına rağmen, birkaç gün – hatta birkaç saat – bu noktayı belirtmek için yeterli olabilirdi. Araştırmacılar, çalışmalarının her günü boyunca binlerce yeni sırrın nasıl sızdığının altını çizdiler.
Son araştırmalar verilerini desteklemekle kalmadı, onu bir adım daha ileri götürdü. Örneğin, yalnızca 2021 takvim yılında GitGuardian altıdan fazla tanımladı milyon Github’da yayınlanan sırlar – her 1.000 işlemde yaklaşık üç.
Bu noktada, kaynak kodunda yer alan (“sabit kodlanmış”) gizli kimlik bilgilerinin, eğer bu kadar yaygınsa, gerçekten o kadar kötü olup olmadığı merak edilebilir. Sayılarla güvenlik, değil mi?
Sabit Kodlanmış Kimlik Bilgileri Tehlikesi
Sabit kodlanmış kimlik bilgileri, canlı bir uygulamaya girene kadar teorik bir güvenlik açığı gibi görünür.
Geçen sonbaharda Symantec, sırları ifşa eden yaklaşık 2.000 mobil uygulama belirledi. Dörtte üçünden fazlası, dış tarafların özel bulut hizmetlerine erişmesini sağlayan AWS belirteçlerini sızdırdı ve “çok sayıda, genellikle milyonlarca özel dosyaya tam erişim” sağlayan belirteçlerin neredeyse yarısı sızdırıldı.
Açık olmak gerekirse, bunlar bugün dünya çapında kullanılan meşru, halka açık uygulamalardı. Symantec’in bulduğu beş bankacılık uygulaması gibi, hepsinin dijital kimlik doğrulaması için aynı üçüncü taraf SDK’yı kullandığı görüldü. Kimlik verileri, uygulamaların sahip olduğu en hassas bilgilerden bazılarıdır, ancak bu SDK, “SDK’yı kullanan her bankacılık ve finans uygulamasına ait özel kimlik doğrulama verilerini ve anahtarları açığa çıkarabilecek” bulut kimlik bilgilerini sızdırmıştır. “Kullanıcıların kimlik doğrulama için kullanılan biyometrik dijital parmak izleri ve kullanıcıların kişisel verileri (isimler, doğum tarihleri vb.) bulutta ifşa edildiğinden” iş burada bitmedi. Toplamda, beş bankacılık uygulaması, kullanıcılarının 300.000’den fazla biyometrik parmak izini sızdırdı.
Bu bankalar uzlaşmadan kurtulduysa, şanslılar. Benzer sızıntılar daha önce de daha büyük balıkları çıkarmıştı.
Uber gibi. Yalnızca son derece organize ve yetenekli siber düşmanların Uber’in itibarına sahip bir teknoloji şirketine girebileceğini düşünebilirsiniz. Ancak 2022’de 17 yaşındaki biri her şeyi kendi başına yapmayı başardı. Biraz sosyal mühendislik onu şirketin dahili ağına yönlendirdikten sonra, Uber’in ayrıcalıklı erişim yönetimi sistemi için yönetici düzeyinde kimlik bilgilerini içeren bir Powershell komut dosyası buldu. AWS’den Google Drive’a, Slack’e, çalışan kontrol panellerine ve kod depolarına kadar şirket tarafından kullanılan her türlü aşağı yönlü araç ve hizmetten ödün vermek için ihtiyaç duyduğu tek şey buydu.
olmasaydı bu daha dikkat çekici bir hikaye olabilirdi. diğer Uber, 50 milyondan fazla müşteriye ve yedi milyon sürücüye ait verileri açığa çıkaran 2016 özel bir depo ihlalinde bilgisayar korsanlarına karşı sırlarını kaybetti. Ya da diğer Bunu 2014’te halka açık bir depo aracılığıyla yaptıklarında yol boyunca 100.000 sürücünün kişisel bilgilerini ifşa ettiler.
Ne yapalım
Finans, dünya çapında siber saldırganlar için en çok hedeflenen tek sektör. Binlerce güvenlik açığı bulunan uygulamayı veya milyonlarca savunmasız depoyu didikleyen her araştırmacı, saldırganların bu sektördeki herhangi bir modern şirketi yönetmek için gerekli olan koddaki sabit kodlanmış kimlik bilgilerini belirlemesinin ne kadar kolay olacağını gösteriyor.
Ama kötü adamlar ne kadar kolay yapabiliyorsa, iyiler de öyle yapabilirdi. Hem AWS hem de Github, platformlarında sızdıran kimlik bilgilerini ellerinden geldiğince izlemeye çalışıyor. Açıkçası, bu çabalar tek başına yeterli değil, bu noktada bir siber güvenlik satıcısı devreye giriyor.
Uzmanlarımızdan birinden sırlar için kaynak kodu izleme hakkında daha fazla bilgi edinin