A legkeményebb valuta

A kiberbiztonság legkeményebb valutája a bizalom - legyen az akár a legszűkebb családi kör, vagy egy multinacionális cég, a családtagjaink, a partnereink, a vásárlóink és a beszállítóink akkor bíznak meg bennünk, ha nem látják jeleit annak, hogy visszaélünk ezzel a bizalommal.

Sajnos úgy tűnik, bizonyos cégek ezt nem így gondolják és azt hiszik, sunnyogással megúszható a bizalomvesztés. Rossz hír: azzal pont nem, mi több, az ilyen cégekkel kapcsolatban állók hamarabb át fogják gondolni, hogyan tovább, mintha nem menne a sumákolás.

Lastpass

2022 augusztusában jelentette be a cég, hogy támadók hatoltak be a fejlesztői környezetükbe, forráskódokat és technikai információkat zsákmányoltak. Novemberben ezt megfejelték azzal, hogy néhány ügyfél adataihoz is hozzáfértek a támadók, ámbátor kijelentették, hogy a tárolt jelszavak biztonságban vannak, mert a titkosítás feloldása a felhasználók eszközein történik. Decemberben végül közhírré tették, hogy támadók (nem tudni, hogy azonosak-e a korábbiakkal, noha botorság lenne azt hinni, hogy nem) elérték az ügyfelek adatairól készült biztonsági másolatokat és az ügyfelek jelszó-adatbázisait.

A következő megnyilvánulás nagyon sneaky: december 22-én kiadtak egy PR közleményt, amit megéri szétcincálni.
Önmagában az időzítés már kapásból ordítja, hogy sumákolás van - dotkom cégként nagyon is tisztában vannak azzal, hogy az évnek ebben az időszakában sokkal kevesebben követik figyelemmel a híreket, gyakorlatilag a karácsony okozta "zajba" szerették volna elrejteni a közleményt.
"In keeping with our commitment to transparency..." - ez így nagyon szépen hangzik, csak a valóságtartalma kevés. Először is: vannak torvények az Egyesült Államokban, amelyek kötelezik a szervezeteket az adatszivárgások nyilvánosságra hozatalára - de ha nem így lenne, az EU GDPR-ja akkor is megtenné. Ennek tehát semmi köze az ő elkötelezettségükhöz, mi több, kevés olyan cyber security cég van, aki nem tussolná el a rendszereikbe behatolást - pont a bizalomvesztés miatt. (Nyilván ennek következménye az anyagi veszteség is, de a reputációban keletkezett kár hosszabb távú és sokkal nehezebb helyrehozni.)

"While no customer data was accessed during the August 2022 incident..." - nagyon szép példája a mismásolásnak. Az idézett félmondat azt sugallja, hogy az augusztusi eseménynek semmi köze a decemberihez, pláne, ha megnézzük a folytatást: "...some source code and technical information were stolen from our developoment environment and used to target another employee...". Ha az eredetileg becsapott alkalmazottól a támadók eljutnak egy másikig, majd őt is becsapják, azt úgy hívják: privilege escalation. Nos, ilyesmiről szó sincs a közleményben. Van azonban még valami ugyanebben a mondatban: "...obtaining credentials and keys which were used to access and decrypt some storage volumes within the cloud-based storage service." - impersonation, account takeover, lateral movement, remélem nem hagytam ki semmit. A cloud-based storage említése, pláne azzal együtt, hogy "...physically separate from our production environment..." próbálja elkenni a felelősséget, annak egy részét magukról eltolva a CSP felé. Sajnálatos módon a cloud security-ben jártasak tudják, hogy az ott tárolt adatokért a customer a felelős, nem a szolgáltató.

A Lastpass azt is közli, hogy a támadók nem csak titkosított információkhoz fértek hozzá, hanem titkosítatlanokhoz is, mint például website URL-ek. Hogy mi a magyarázata ennek, azt csak ők tudhatják, de ezek között lehetnek jelszó reset, valid linkek is... Az elmúlt évek során a céget többször is figyelmeztették, hogy ez nem jó megoldás.

A java azonban még hátravan: "Because of the hashing and enrcyption methods we use to protect our customers, it would be extremely difficult to attempt to brute force guess master passwords for thos customers who follow our password best practices.". Fordítás: tudjuk, hogy vannak olyan felhasználóink, akik nem követik az általunk leírtakat, áldozatul fognak esni, rettenetesen sajnáljuk, de az ő hibájuk.

2018 óta a minimum követelmény a 12 karakteres jelszó a LastPassnál - az új felhasználóknak. A régieket viszont semmi nem figyelmezteti, hogy a korábban megadott jelszavuk már nem tekinthető biztonságosnak. Ezen túlmenően, a LastPass büszkén hirdeti, hogy a PBKDF2 implementációjuk erősebb a tipikus implementációjuknál. Eleve nem egészen világos, honnan van információjuk arról, mások hány iterációt implementáltak, mindenesetre az OWASP ajánlása 310000 implementációt említ...

Legvégül: a LastPass informálta az üzleti felhasználóik 3%-át, hogy tegyenek lépéseket a biztonságuk erősítése érdekében.

A bizalom ára

Azt hiszem, több sem kell ahhoz, hogy egy, a kiberbiztonság területén tevékenykedő cég elveszítse az üzlete nagy részét és a potenciális ügyfelekkel is ugyanez a helyzet. Már megjelentek panaszok az ügyfelek részéről, miszerint a 16 karakteres LastPass mesterjelszavukat feltörték. Azt gondolom, inkább megkerülték, a titkosítatlanul tárolt URL-ek egy része biztosan okolható ezért, pláne, ha van olyan jelszócserés link, ami még valid (igen, van ilyen...). Ha ilyen hosszú jelszavakat tudnának törni a támadók, akkor ahhoz egy bányászfarm kellene. Ezen túlmenően, az API-ban és a böngésző beépülőkben lévő biztonsági hibák és bugok is nagy valószínűséggel szerepet játszanak abban, hogy a LastPass ügyfelek elveszítik a felhasználói fiókjaikat.

A kiberbiztonsági szereplők tisztában vannak azzal (legalábbis a nagy részük), hogy az egész iparág a bizalmon alapul (kezdve a root CA-któl). Ez a bizalom kevésbé inog meg, ha egy adott cég, vagy a szolgáltatásai incidenst szenvednek el, de akár kritikus mértékben is erodálódhat, ha csak a gyanúja felmerül a sumákolásnak. Márpedig most ez nem gyanú, hanem egészen konkrét eset.

2022.12.29.
CoreSec