Οι hacker που εισέβαλαν πρόσφατα στο δίκτυο της Microsoft και
παρακολουθούσαν τα email κορυφαίων στελεχών για δύο μήνες το
έκαναν αποκτώντας πρόσβαση σε έναν παλιό λογαριασμό δοκιμών που είχε όμως
δικαιώματα διαχειριστή, μια μεγάλη γκάφα από την πλευρά της εταιρείας, σύμφωνα με ένα ερευνητή
ασφαλείας.
Όπως είχαμε αναφέρει, το δίκτυο της Microsoft
παραβιάστηκε μέσω password-spraying από hackers της Ρωσίας
Η νέα λεπτομέρεια δόθηκε κάπως αόριστα διατυπωμένη σε μια δημοσίευση
της Microsoft την Πέμπτη, που επεκτάθηκε σε μια αποκάλυψη που δημοσίευσε η
Microsoft αργά την περασμένη Παρασκευή. Οι Ρώσοι hackers,
σύμφωνα με την Microsoft, χρησιμοποίησαν μια τεχνική γνωστή σαν password-spraying
για να εκμεταλλευτούν ένα αδύναμο διαπιστευτήριο σε
έναν “παλαιό λογαριασμό δοκιμών μη παραγωγής” που δεν
προστατευόταν από έλεγχο ταυτότητας πολλαπλών παραγόντων.
Από εκεί, οι hackers κατά κάποιο τρόπο απέκτησαν τη δυνατότητα πρόσβασης σε λογαριασμούς email
που ανήκαν σε ανώτερα στελέχη και υπαλλήλους που εργάζονταν σε ομάδες
ασφαλείας.
Στην δημοσίευση της Πέμπτης για την ενημέρωση των πελατών σχετικά με
τα ευρήματα από την εν εξελίξει έρευνά της, η Microsoft έδωσε περισσότερες
λεπτομέρειες για τον τρόπο που χρησιμοποίησαν οι hackers για να αποκτήσουν
πρόσβαση.
Μια ομάδα που παρακολουθεί η Microsoft ως Midnight Blizzard, απέκτησε
πρόσβαση σε προνομιούχους λογαριασμούς email κάνοντας κατάχρηση του πρωτοκόλλου
εξουσιοδότησης O Auth, το οποίο χρησιμοποιείται για να επιτρέπει σε μια σειρά
εφαρμογών να έχουν πρόσβαση σε ένα δίκτυο. Αφού παραβίασε τον δοκιμαστικό
λογαριασμό, η Midnight Blizzard τον χρησιμοποίησε για να δημιουργήσει μια
κακόβουλη εφαρμογή και να της δώσει δικαιώματα πρόσβασης σε κάθε διεύθυνση email στην υπηρεσία
email της Microsoft Office 365.
Στην ενημέρωση της Πέμπτης, οι αξιωματούχοι της Microsoft είπαν πολλά,
αλλά με τρόπο που απέκρυπτε σε μεγάλο βαθμό την έκταση της μεγάλης γκάφας:
Παράγοντες απειλών όπως η Midnight Blizzard παραβιάζουν λογαριασμούς
χρηστών για να δημιουργήσουν, να τροποποιήσουν και να εκχωρήσουν υψηλά
δικαιώματα σε εφαρμογές OAuth που μπορούν να χρησιμοποιήσουν καταχρηστικά για
να αποκρύψουν κακόβουλες δραστηριότητες. Η κακή χρήση του OAuth επιτρέπει
επίσης στους hackers να διατηρήσουν την πρόσβαση σε εφαρμογές, ακόμη και αν
χάσουν την πρόσβαση στον αρχικά παραβιασμένο λογαριασμό. Η Midnight Blizzard
χρησιμοποίησε την αρχική τους πρόσβαση για να εντοπίσει και να αποκτήσει
πρόσβαση σε μια δοκιμαστική εφαρμογή παλαιού τύπου OAuth
που είχε αυξημένη πρόσβαση στο εταιρικό περιβάλλον της Microsoft. Οι
hackers δημιούργησαν πρόσθετες κακόβουλες εφαρμογές OAuth. Δημιούργησαν ένα νέο
λογαριασμό χρήστη για τη χορήγηση συναίνεσης στο εταιρικό περιβάλλον της
Microsoft σε κακόβουλες εφαρμογές OAuth που ελέγχονταν από τους ίδιους. Στη
συνέχεια, χρησιμοποίησαν την δοκιμαστική εφαρμογή παλαιού τύπου OAuth για να εκχωρήσουν full_access_as_app στο Office 365 Exchange Online, που επιτρέπει την
πρόσβαση σε inbox.
Ο Kevin Beaumont, ερευνητής και επαγγελματίας ασφαλείας με δεκαετίες
εμπειρίας, ανέφερε στο
Mastodon ότι ο μόνος τρόπος για έναν λογαριασμό να εκχωρήσει τον
πανίσχυρο ρόλο full_access_as_app σε μια εφαρμογή OAuth είναι ο λογαριασμός να
έχει προνόμια διαχειριστή. “Κάποιος”, είπε, “έκανε
ένα αρκετά μεγάλο σφάλμα διαμόρφωσης”.
Εκ του ιστολόγιου: Για δύο μήνες και χωρίς να τους πάρει κανένας χαμπάρι από την Microsoft κάποια
ξένα προς την εταιρία άτομα, είχαν μπει στο ηλεκτρονικό της δίκτυο (σε κάποια
μέρη του δικτύου πιθανόν) και υπέκλεπταν στοιχεία, δεδομένα.
Δεν είναι η πρώτη φορά που συμβαίνει σε εταιρία. Όμως είναι κάτι που
κάνει ανέφικτη την προστασία του Ψηφιακού Χρήματος που θέλουν να επιβάλουν στον
κόσμο. Μπορεί να πει κάποιος πως τα χρήματά μου, μπορεί να μου τα κλέψουν και
στο σπίτι μου. Ναι όμως υπάρχει μία Τεράστια Διαφορά. Αυτό θα γίνει με Δική μου
Ευθύνη!. Στην περίπτωση του Ψηφιακού Χρήματος, γίνεται με ευθύνη της τράπεζας
που φυλάει για εμένα τα χρήματά μου. Δεν είναι λοιπόν το ίδιο.
Χώρια που τα χρήματά μου, λόγω της φυσική μορφής που έχουν
(χαρτονομίσματα, λίρες, δεν ξέρω ο καθένας τι μπορεί να έχει) μπορώ να τα κρύβω
σε διαφορετικά μέρη κάθε φορά. Στην τράπεζα δε μπορώ να κάνω τίποτα. Είναι στην
ευχέρεια της τράπεζας πόσο καλή είναι στην ασφάλειά τους ή στην ευχέρεια αυτών
που θέλουν να παραβιάσουν τα ηλεκτρονικά συστήματα της τράπεζας, πόσο καλοί
είναι.
Όμως υπάρχει ένα μεγάλο ζήτημα στα θέματα ασφαλείας ηλεκτρονικών
δικτύων. Το Ανθρώπινο
Λάθος. Στις περισσότερες περιπτώσεις παραβιάσεων ηλεκτρονικών
δικτύων, συστημάτων (απλά τα γράφω), κάποιος από την εταιρία, ή το δημόσιο
οργανισμό, έκανε κάποιο λάθος, δεν κλείδωσε κάποια ηλεκτρονική πόρτα ή την κλείδωσε
με αδύναμο ηλεκτρονικό κωδικό και οι hackers έκαναν πάρτι.
Ναι όμως κάνουν πάρτι με τα δικά μου Προσωπικά Δεδομένα που θέλουν να έχουν
εταιρίες, ιδιωτικές και δημόσιες.
Και αν δεν έχω τίποτα να κρύψω, όπως επικαλούνται οι παπαγάλοι της Νέας
Εποχής που είναι βαλτοί για να επιβληθεί η Ψηφιακή Δικτατορία, έχω πολλά να
χάσω, όταν γίνονται τέτοιες ενέργειες και τα προσωπικά μου δεδομένα κάνουν «βόλτα»
στο διαδίκτυο και γίνονται γνωστά σε άτομα που κανείς δεν ξέρει ποια είναι και
τι θα κάνουν τα προσωπικά μου δεδομένα.
Καταλάβατε πόσο σαθρά είναι τα επιχειρήματα των δημοσιογράφων που
θέλουν να μας πείσουν, ότι πρέπει να είναι η προσωπική μας ζωή καταγεγραμμένη,
ηλεκτρονικά φακελωμένη;
Δηλαδή στο Ψηφιακό Χρήμα, μας ζητάνε να βγάλουμε τα χρήματα από τη δική
μας τσέπη και να τα βάλουν στη δική τους που μπορεί να είναι τρύπια, λόγω κενών
ασφαλείας στα ηλεκτρονικά τους συστήματα.
Στο θέμα του ψηφιακού χρήματος, θα ήθελα να θίξω και αυτό της Ελεημοσύνης. Πως θα βάζουμε χρήματα στο παγκάρι; Πως
θα δίνουμε χρήματα σε κάποιον που μπορεί να δούμε στο δρόμο να έχει ανάγκη;
Αυτοί οι Προοδευτικοί που σκέπτονται και διαφημίζουν τέτοιες
τεχνολογικές «προόδους» και που υποτίθεται πως είναι Κοινωνικά Ευαίσθητοι, ας μας
απαντήσουν.
Κατά το λογισμό μου πάντα
Α.Η.
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου