ClickCease Cybersecurity in der Luft

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Cybersecurity in der Luft

von Joao Correia

January 25, 2023 - Technical Evangelist

In einer fiktiven Fernsehsendung, die seit letztem Jahr ausgestrahlt wird, ist ein Spion in Ungnade gefallen, weil er in einem öffentlichen Zug geheime Geheimdienstunterlagen vergessen hat. Diese Papiere enthielten eine Liste von Spionen, die im Ausland verdeckt arbeiten, und waren äußerst wichtig.

In einem "Realität imitiert Fernsehen"-Moment wurde letzte Woche auf einem nicht ordnungsgemäß gesicherten Server der US-Fluggesellschaft CommuteAir ein Dokument mit der "No Fly List" für motivierte Hacker zugänglich.

Die No-Fly-Liste

Manchmal sind die Geschichten einfach unglaublich. Die Flugverbotsliste ist eine Liste von Personen, denen das Fliegen mit kommerziellen Flügen in den USA untersagt wurde, und sie hat ernsthafte Auswirkungen auf die nationale Sicherheit. Ich werde nicht im Detail auf die in den Daten enthaltenen Felder eingehen oder gar darüber diskutieren, ob eine solche Liste gerechtfertigt ist oder nicht, oder ob sie überhaupt nützlich ist. Wenn solche Aspekte dieser Geschichte für Sie von Interesse sind, finden Sie in der Originalmeldung des Daily Dot eine ausführliche und sehr interessante Lektüre.

Es ist zumindest peinlich, zuzugeben, dass eine Liste mit über 1,5 Millionen Einträgen an einem zugänglichen Ort (und, wie ich annehme, unbeabsichtigt) hinterlassen worden ist.

Cybersicherheit, aber nur ein kleines bisschen

Dem ursprünglichen Bericht des Daily Dot zufolge gab die Fluggesellschaft an, dass es sich bei dem Server, auf dem die Datei offengelegt wurde, um einen Entwicklungsserver handelte, der zu Testzwecken verwendet wurde" (Zitat aus dem Daily Dot). Aus dieser Bemerkung geht hervor, dass dieser Server im Vergleich zu anderen Systemen als sehr viel unwichtiger angesehen wurde.

Das Unternehmen bestätigte auch, dass die Daten echt sind, wenn auch von einer 2019er Version der Flugverbotsliste.

In Übereinstimmung mit den bestehenden Vorschriften und angesichts der Schwere des Vorfalls und der potenziellen Auswirkungen auf die Sicherheit wurden Behörden auf Bundesebene wie die TSA, das FBI und die CISA eingeschaltet.

Wenn man sich ansieht, wie die Entdeckung zustande kam, nämlich durch einen Hacker, stellt man fest, dass er bei einer Shodan-Suche nach Jenkins-Servern identifiziert wurde - ein Softwarepaket, das Build- und Testprozesse in der Softwareentwicklung automatisiert und leider ein bekannter Name in den üblichen Geschichten über Cybersecurity-Vorfälle ist. Für diejenigen, die mit dem Namen weniger vertraut sind: Shodan ist ein öffentlicher Dienst, der eine Google-ähnliche Suche nach Internetdiensten anbietet. Man kann ihn zum Beispiel bitten, alle im Internet erreichbaren E-Mail-Server oder alle ungeschützten Remote-Desktop-Systeme mit einer öffentlichen IP-Adresse zu finden. Für Bedrohungsakteure und Skript-Kiddies gleichermaßen ist das Erlernen der Verwendung von Shodan "Hacking 101"-Material.

Bei einigen Diensten in der IT ist es schwierig, eine klare Unterscheidung zwischen "öffentlichem" und "privatem" Zugang zu treffen, d. h. zwischen Diensten, die von außerhalb des Unternehmens zugänglich sein müssen, z. B. über das Internet, und Diensten, die nur von innerhalb des Netzwerks erreichbar sein sollten und keinen direkten Kontakt nach außen haben.

Jenkins ist jedoch einer der Dienste, für die es kein Argument gibt. Es handelt sich eindeutig und ausschließlich um einen reinen Infrastrukturdienst, der nur für Entwickler nützlich ist und als solcher niemals durch eine Shodan-Abfrage erreichbar sein sollte. Obwohl Shodan sehr vollständig ist, ist es nicht magisch - es kann einen Server nicht finden, wenn dieser nicht offengelegt ist.

Das Auffinden des Jenkins-Servers war jedoch nur der erste Schritt. Es musste eine ungeschützte oder nicht authentifizierte Freigabe innerhalb von Jenkins geben, wo sich die Datei befand. Das Jenkins-Projekt bietet eine Anleitung zum Schutz einer Bereitstellung. Es sieht so aus, als ob einige der dort gegebenen Ratschläge nicht einmal befolgt wurden.

Was hätte also anders gemacht werden müssen?

Zunächst einmal sollten Daten aus der realen Welt niemals auf diese Weise verwendet und missbraucht werden. Sie brauchen die tatsächliche Liste in Ihrem Testsystem nicht wirklich, nur um sicherzustellen, dass Ihre Software sie richtig verarbeiten kann. Deshalb gibt es Praktiken wie das "Data Mocking", um "falsche", echt aussehende Daten für genau diesen Zweck zu erzeugen.

Als Nächstes sollten die bewährten Jenkins-Praktiken befolgt werden - keine ungeschützten Zugangspunkte, keine Freigaben, nichts Ungeschütztes.

Dann hätten die Infrastrukturserver von vornherein keinen Zugang nach außen haben dürfen. Sie benötigen ihn nicht für ihre ordnungsgemäße Ausführung, und wenn tatsächlich Verbindungen nach außen erforderlich sind, um irgendeine Art von externer Integration zu testen, dann sind ipsec-Tunnel genau dafür da.

Der eigentliche Knackpunkt ist jedoch, dass IT-Teams "sekundäre" Systeme wie diese immer noch unterschiedlich betrachten, wenn es um die Cybersicherheit geht. Frontline-Systeme, Kernsysteme und kritische Systeme bekommen die ganze Aufmerksamkeit, aber Infrastruktursysteme wie das in dieser Geschichte und andere wie Druckserver, interne Dateifreigabeserver und dergleichen bekommen vielleicht ab und zu einen Blick, wahrscheinlich wenn sich jemand über ein Problem beschwert.

Cybersecurity-Krieger

(Alle Server sind gesichert - außer der Jenkins-Box.

https://knowyourmeme.com/memes/medieval-knight-with-arrow-in-eye-slot)

Diese Art von unterschiedlicher Aufmerksamkeit führt zu Dellen in der sprichwörtlichen Rüstung - und es braucht nur eine kleine Lücke, damit die ganze Burg zusammenbricht.

Alles, überall, IT-Version

Sichern, überwachen und patchen Sie alle Server ständig, als befänden sich auf jedem einzelnen von ihnen wichtige Geschäftsdaten. Dies sollte das Mantra - das einzige Mantra - für ein modernes Sicherheitskonzept sein. Automatisieren Sie so viel wie möglich, ohne jedoch irgendwelche Systeme zu übersehen. Sie sind alle gleich wichtig in Bezug auf die Sicherheit.

Einem Bedrohungsakteur wird es ziemlich egal sein, wenn er nicht direkt in den Datenbankserver eindringen kann. Solange er zuerst in den Virtualisierungshost eindringen kann, ist es nur ein kleiner Schritt zu den wichtigen Daten.

Der eigentliche Weg zum Preis ist bedeutungslos. Nur die Belohnung ist wichtig. Es ist Aufgabe des blauen Teams, dafür zu sorgen, dass alle diese Wege ordnungsgemäß blockiert und geschützt werden.

Quelle für das Bild: https://i.kym-cdn.com/entries/icons/original/000/035/146/knight.jpg

https://knowyourmeme.com/memes/medieval-knight-with-arrow-in-eye-slot

Zusammenfassung
Cybersecurity in der Luft
Artikel Name
Cybersecurity in der Luft
Beschreibung
Cybersecurity: Ein nicht ordnungsgemäß gesicherter Server von CommuteAir machte ein Dokument mit einer Flugverbotsliste für motivierte Hacker zugänglich.
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Werden Sie ein TuxCare-Gastautor

E-Mail

Helfen Sie uns,
die Linux-Landschaft zu verstehen!

Füllen Sie unsere Umfrage zum Stand von Open Source aus und gewinnen Sie einen von mehreren Preisen, wobei der Hauptpreis mit 500 $ dotiert ist!

Ihr Fachwissen ist gefragt, um die Zukunft von Enterprise Linux zu gestalten!