erişim yönetimi
Honeypot, Güçlü Parolalara ve Çok Faktörlü Kimlik Doğrulamaya Olan İhtiyacı Güçlendiriyor
Mathew J. Schwartz (euroinfosec) •
11 Eylül 2023
İnternete açık uzak hizmetlerinizden herhangi birinin varsayılan kullanıcı adı root, admin, user veya test mi? Wisconsin Madison College’ın CISO’su ve aynı zamanda SANS Enstitüsü İnternet Fırtınası Merkezi yöneticisi Jesse La Grew, eğer öyleyse, halihazırda yaygın olarak görülen otomatik, uzaktan saldırı saldırılarının yarısından fazlası tarafından hedef alınıyor demektir.
Ayrıca bakınız: Tedarik Zinciri Riskinin Değerlendirilmesi ve Azaltılması
La Grew’un bulguları, son 16 ay içinde DShield bal küpünü hedef alan saldırılar yoluyla toplanan 3,7 milyon kullanıcı adından geliyor. Tüm kullanıcı adı gönderimleri arasında açıkça en popüler olanı “root” oldu ve tüm giriş denemelerinin %48’ini oluşturdu. Yaygınlığının şaşırtıcı olmadığını söyledi, çünkü “root”, Linux’ta uzaktan erişim güvenli kabuk – SSH – ağ protokolü için varsayılan kullanıcı adıdır ve bal küpleri tarafından kataloglanan “SSH ortak bir saldırı protokolüdür”.
Kullanıcı adlarıyla ilgili sorun, çoğunun yerleşik varsayılanlar olması ve daha fazlasının kolayca tahmin edilebilmesidir. Bu şu soruyu akla getiriyor: Yaygın olarak kullanılan kullanıcı adları güvenlik riski oluşturuyor mu?
Uzmanlar kısa cevabın şu olduğunu söylüyor: yalnızca bilinen veya tahmin edilebilir bir kullanıcı adının zayıf bir şifreyle eşleştirilmesi durumunda. Dolayısıyla La Grew’un bal küpü verilerinden çıkarılacak sonuç, güvenlik yöneticilerinin, özellikle uzak hizmetlerde zayıf parolaların kullanımını acımasızca ortadan kaldırmak ve engellemek için tasarlanmış politika ve prosedürlere sahip olmasının her zamankinden daha önemli olduğudur.
Bunu yapmamak, iyi bilinen riskleri doğurur. La Grew, “Varsayılan kullanıcı hesabı bilgisi kaba kuvvet saldırılarına yardımcı olabilir” dedi. “Kullanıcı adı zaten biliniyorsa, yalnızca şifrenin tahmin edilmesi gerekir” – hesap çok faktörlü kimlik doğrulamayla da korunmadığı sürece. Bu da kusursuz değildir ancak yenilmesi çok daha zordur.
Güçlü Kimlik Doğrulama, Şifreleme Anahtarları Kullanın
SANS araştırma dekanı ve İnternet Fırtınası Merkezi’nin kurucusu Johannes Ullrich, bal küpü bulgularının, hesapları korumak için “MFA gibi güçlü kimlik doğrulamanın en iyi ve tek gerçek koruma olduğunu” hatırlattığını söyledi. Uzaktan erişimi güvence altına almak için, SSH gibi şifreli bir hizmetle ortak anahtar kimlik doğrulamasını kullanmanın en iyisi olduğunu ve “hangi kimlik doğrulama yöntemi etkinleştirilirse etkinleştirilsin telnet veya FTP gibi diğer şifrelenmemiş kanalların kullanılmaması gerektiğini” ekledi.
FTP geçmişten gelen bir patlama gibi görünse de, güvenlik firması Rapid7 2018’de 21 milyon FTP sunucusunun hala internete bağlı olduğunu söyledi. Birçoğunun kaybolmamış olması ve hiçbir zaman tamamen kaybolmaması da muhtemeldir.
Görünüşe göre saldırganlar da aynı şekilde düşünüyor: “ftpuser”, La Grew’in bal küpünü hedef alan saldırganların denediği en yaygın onuncu kullanıcı adıydı.
Ullrich bana, “‘Ftpuser’ gibi şeyleri görmek üzücü çünkü FTP artık kullanılmamalı. Ancak FTP devre dışı bırakılsa bile, kullanıcı adı hala mevcut olabilir ve SSH veya telnet oturum açma işlemleri için çalışabilir” dedi.
İskoçya merkezli siber güvenlik uzmanı David Stubley, olay yönetimi deneyimine dayanarak, çok fazla kuruluşun hâlâ varsayılan kimlik bilgileriyle eşleştirilmiş varsayılan kullanıcı adlarını kullandığını söyledi. “‘Yönetici: yönetici’yi düşünün. Ve evet, üretim ortamlarında bu tür hesaplara hâlâ rastlıyoruz” dedi.
Stubley, tekrarlanan bir başka zorluğun da “sabit kodlanmış ve belgelenmemiş kullanıcı adları/parolalar” olduğunu ve genellikle nesnelerin interneti cihazları ve cihaz donanım yazılımında kaldığını söyledi. “Bu hesaplar üretici tarafından oluşturuluyor; bazen bu hesapları son kullanıcıya gösteren herhangi bir belge olmadan ve çoğu zaman ortamlarda uzun yıllar boyunca mevcut.”
Bilgisayar korsanları basit şifreleri denemeye devam ediyor
La Grew’un bal küpü, “root” kullanıcı adıyla SSH’ye erişim sağlamaya yönelik kötü niyetli girişimlerde, saldırganlar tarafından en sık test edilen şifrenin “345gs5662d34” olduğunu ve ardından boş bir şifre alanı olan “root”, “123456”, “1234,” olduğunu kaydetti. ” “şifre” ve “12345.”
“345gs5662d34” ifadesinin ne anlama geldiği net değil ve La Grew’in bal küpü bunun yalnızca hem kullanıcı adı hem de şifre olarak kullanıldığını gördü. Önerilerden biri, bunun İngilizce olmayan bir klavyeye girilen “şifrem” gibi bir ifadenin yabancı eşdeğeri olabileceği yönünde.
Ne olursa olsun, bal küpü verileri, zayıf veya önceden kullanılmış şifrelerin kullanılmasından kaçınmaya yönelik uzun süredir devam eden güvenlik tavsiyelerini güçlendiriyor.
Kaba kuvvet saldırılarını daha da karmaşık hale getirmek için aynı mantık kullanıcı adlarına da uygulanabilir mi? Ullrich, kullanıcı adı güvenliğinin gizlilik yoluyla denenmesini önermez. “‘Standart olmayan’ kullanıcı adlarını zorunlu kılmanın hayranı değilim” dedi. “Hesabın güvenliği kullanıcı adına değil, kullanılan kimlik bilgilerine bağlı olmalı; mümkünse şifreler değil, kriptografik anahtarlar olmalıdır.”
Varsayılan Hesapları Kaldırma veya Kısıtlama
Uzmanların önerdiği stratejilerden biri, işlevselliği veya karşılıklı bağımlılığı bozmadığı sürece varsayılan hesapları ortadan kaldırmaktır. Dublin merkezli BH Consulting’in CEO’su Brian Honan, “Mümkün olduğunda kuruluşlar, özellikle idari erişimi olan hesaplar için varsayılan kullanıcı adlarını ortadan kaldırmaya çalışmalıdır” dedi.
Bu her zaman mümkün olmayacaktır. “Bazı sistemler varsayılan hesapların devre dışı bırakılmasına veya yeniden adlandırılmasına izin vermiyor, bu nedenle kuruluşların bu hesapların güçlü parolalar ve çok faktörlü kimlik doğrulamayla korunmasını sağlaması ve bu hesapların kullanımını yalnızca güvenilir cihazlarla sınırlaması gerekiyor” dedi.
La Grew, kuruluşların “root” gibi varsayılan hesaplar için uzaktan erişimi de devre dışı bırakabileceğini ve bunun yerine “kullanıcıların kendi hesaplarını kullanmasını ve gerektiğinde ayrıcalıklar (sudo) talep etmesini” sağlayabileceğini söyledi. Linux komutu sudo – “süper kullanıcı do” veya “yedek kullanıcı do” kelimelerinin kısaltması – sistem yöneticisinin seçilen kök düzeyindeki hakları geçici olarak bir hesaba veya gruba devretmesine olanak tanır.
Yetkilendirme, özellikle yöneticiler için gerekli ayrıntı düzeyini kolaylaştırabilir. Bana, “Genel veya varsayılan kullanıcı hesaplarının kullanımında gördüğüm en büyük risklerden biri, kimin ne yaptığını denetleyememektir” dedi.
Bu tür bir denetim, özellikle olağandışı etkinlikleri tespit etmek için daha iyi kayıt tutmayı ve izlemeyi kolaylaştırır. Bir ihlal meydana geldiğinde, bir kullanıcı adına sahip olan birinin (ister içeriden kötü niyetli bir kişi, ister kimlik bilgilerini ele geçiren dışarıdan bir saldırgan) ağda nasıl gezindiğini ve potansiyel olarak hangi bilgileri görüntülediğini, değiştirdiğini veya çaldığını izlemek için günlükler önemlidir.
Her şey yolunda gittiğinde, uygun şekilde kullanılan kullanıcı adları bilgisayar korsanlarının içeri girmesini engeller. İşler ters gittiğinde, iyi kullanıcı adı uygulamaları, araştırmacıların ne olduğunu anlamasına da yardımcı olabilir.