Często zdarza się, że na testy bezpieczeństwa nie ma czasu lub budżetu. Testy te często są wykonywane na sam koniec, gdy nie ma możliwości na dłuższą analizę. Przez takie myślenie, padają firmy lub zwykli obywatele tracą dostęp do swoich danych czy po prostu te dane wyciekają. Przeanalizujemy kilka ostatnich ataków, zastanowimy się jak można było temu zapobiec.
4. Parę słów o mnie
Służbowo
● QA od ponad 8 lat
● Entuzjastka zagadnień
z cybersecurity
● Członkini społeczności
OWASP
● Top 2% na Try Hack Me
Prywatnie
● Mama uroczych bliźniaczek
● Żona najlepszego mistrza gry
● Aktywnie spędza czas
na świeżym powietrzu
i gra w planszówki
● Uczy się gry na wiolonczeli
● Uprawia kickboxing
6. E-commerce - najszybciej rozwijający się
segment handlu.
Rozwój aplikacji = znajdowanie
nowych podatności
i tworzenie nowych wektorów ataków
Platforma e-commerce
7. Platforma handlowa Hondy - luka w API - wykryta przez badacza Eatona Zveare
Atak na platformę e-commerce Hondy
Poprzez zresetowanie hasła do kont wyższego poziomu, uzyskał nieograniczony
dostęp do danych na poziomie administratora w sieci firmy.
8. Prawie 24 000 zamówień klientów we wszystkich salonach Hondy (sierpień 2016 r.
- marzec 2023 r.) - imię i nazwisko klienta, adres i numer telefonu.
1 091 aktywnych stron internetowych dealerów z możliwością ich modyfikacji.
3 588 użytkowników/kont dealerów - w tym dane osobowe.
11 034 wiadomości e-mail klientów - w tym imiona i nazwiska.
1 090 e-maili dealerów.
Wewnętrzne raporty finansowe Hondy.
Do czego miał dostęp:
10. Subdomeny platformy e-commerce są przypisane do zarejestrowanych dealerów.
Możliwość zresetowania hasła bez konieczności podania poprzedniego.
Aby zresetować hasło, Eaton znalazł e-mail na kanale YouTube
(film z instrukcją i niezabezpieczonym kontem testowym).
Użył znanego błędu IDOR, zmieniając parametry id użytkowników. W ten sposób
dostał się do panelu administratora.
Jak znaleziono lukę w zabezpieczeniach?
11. 16 marca 2023r. Eaton Zveare zgłosił
nieprawidłowości w działaniu aplikacji.
3 kwietnia 2023r. Honda poinformowała,
że błędy zostały naprawione.
Eaton nie otrzymał wypłaty, gdyż firma
nie prowadzi programu bug bounty.
Czy Eaton dostał nagrodę?
21. ● Wdrażając SSDLC.
● Modyfikując obecny proces wytwórczy o elementy bezpieczeństwa
(metryki, testy, modelowanie zagrożeń).
● Poszerzając wiedzę poprzez onboardingi, webinary, szkolenia, prasówki itp.
22. Penetration testing as a Service -
- Testy penetracyjne jako usługa,
pozwalają na częstsze
i bardziej szczegółowe testy
w czasie rzeczywistym,
bez zatrudniania osobnego zespołu.
Czy warto wdrożyć
PTaaS?
23. 💠 Cyberataki zdarzają się niezależnie od wielkości i rozpoznawalności firmy.
💠 Platformy największych firm także mogą zawierać krytyczne luki.
💠 Testy bezpieczeństwa są wymagane do oceny powierzchni ataku.
💠 Testowanie bezpieczeństwa należy zacząć jak najwcześniej.
Wnioski
25. Repojacking (skrót od repository hijacking)- atakujący jest w stanie ominąć mechanizm
bezpieczeństwa i przejąć kontrolę nad repozytorium.
Luka w GitHubie - repojacking
32. Ofiara jest właścicielem przestrzeni nazw "victim_user/repo".
Ofiara zmienia nazwę "victim_user" na "renamed_user".
Przykładowa akcja:
33. Ofiara jest właścicielem przestrzeni nazw "victim_user/repo".
Ofiara zmienia nazwę "victim_user" na "renamed_user".
Repozytorium "victim_user/repo" jest teraz wycofane.
Przykładowa akcja:
34. Ofiara jest właścicielem przestrzeni nazw "victim_user/repo".
Ofiara zmienia nazwę "victim_user" na "renamed_user".
Repozytorium "victim_user/repo" jest teraz wycofane.
Atakujący o nazwie użytkownika "attacker_user" jednocześnie tworzy
repozytorium o nazwie "repo" i zmienia nazwę użytkownika "attacker_user"
na "victim_user".
Przykładowa akcja:
35. Ofiara jest właścicielem przestrzeni nazw "victim_user/repo".
Ofiara zmienia nazwę "victim_user" na "renamed_user".
Repozytorium "victim_user/repo" jest teraz wycofane.
Atakujący o nazwie użytkownika "attacker_user" jednocześnie tworzy
repozytorium o nazwie "repo" i zmienia nazwę użytkownika "attacker_user"
na "victim_user".
Ostatni krok jest wykonywany przy użyciu żądania API do utworzenia
repozytorium i przechwycenia żądania zmiany nazwy użytkownika.
Przykładowa akcja:
36. Unikanie bezpośrednich linków do repozytoriów GitHub.
Ochrona swojego repozytorium.
Vendoring.
Przypinanie wersji.
Przyjęcie najnowocześniejszych narzędzi bezpieczeństwa aplikacji.
Jak się zabezpieczyć
37. 💠 Dotyczy każdego, nie tylko firm.
💠 Dbaj o użytkowników, którzy korzystają z Twojego kodu.
💠 Skala szkód zależy od liczby przejętych kont.
Wnioski
44. 300% - o tyle wzrosła częstotliwość ataków DDoS w I połowie 2023 roku,
co spowodowało 2,5 mld USD strat.
90% ataków opierało się na botnetach.
Wzrost z 200 tys. w 2022 roku na ponad 1 mln urządzeń w 2023 roku.
Moc ataku wzrosła z 300 Gb/s w 2022 roku na 800 Gb/s w 2023 roku.
Skala zagrożeń
45. ● Wzrost liczby ataków DDoS (FinTech).
● Wzrost liczby urządzeń IoT o 18%
do 14,4 mld w 2023 r.
i prognozowany do 27 mld do 2025 r.
● Urządzenia IoT będą miały coraz większy wpływ
na naszą prywatność.
Prognozy na lata 2023-2025
46. Edukacja w zakresie bezpiecznych praktyk IoT - nie tylko siebie,
ale także współlokatorów.
Współpraca i dzielenie się zagrożeniami m.in. z Inicjatywami tj. Cyber Threat
Alliance i Joint Cyber Defense Collaborative.
Regularne aktualizacje urządzeń.
Jak się bronić przed zainfekowaniem?
47. Wdrożenie wielowarstwowych protokołów bezpieczeństwa.
Inwestycja w specjalistyczne rozwiązania do ochrony przed atakami DDoS
np. od Gcore.
Jak się bronić przed atakami DDoS z użyciem botnetów?
48. 💠 Obrona przed atakami DDoS opartymi na IoT to nieustająca walka.
💠 Rozumiejąc obecne rozwiązania, inwestując w specjalistyczne technologie,
oraz wspierając kulturę czujności i współpracy, można znacznie zmniejszyć ryzyko
organizacyjne i pomóc utorować drogę do bezpieczniejszego cyfrowego otoczenia
w obliczu eskalacji zagrożeń.
Wnioski
50. 💠 Dbaj o bezpieczeństwo w sieci - na poziomie prywatnym oraz organizacji.
💠 Pamiętaj o zasadzie Zero Trust.
💠 Regularnie aktualizuj.
💠 Korzystaj z unikalnych haseł (najlepiej passphrase) i menedżerów haseł.
💠 Poszerzaj świadomość o zagrożeniach.
💠 Pobieraj aplikacje z zaufanych źródeł.
💠 Ograniczaj korzystanie z zewnętrznych sieci.
Podsumowanie