Περίληψη του άρθρου:

Ο ανεξάρτητος ερευνητής ασφαλείας Bill Demirkapi έχει ανακαλύψει σημαντικά τρωτά σημεία και εκτεθειμένα μυστικά στο Διαδίκτυο, συμπεριλαμβανομένων πάνω από 15.000 σκληρά κωδικοποιημένα μυστικά προγραμματιστών, όπως κωδικούς πρόσβασης και κλειδιά API. Τα ευρήματά του, που παρουσιάστηκαν στο συνέδριο ασφαλείας DEFCON, αποκάλυψαν ευαίσθητες πληροφορίες που συνδέονται με οργανισμούς όπως το Ανώτατο Δικαστήριο της Νεμπράσκα και το Πανεπιστήμιο του Στάνφορντ. Ο Demirkapi δίνει έμφαση στις καινοτόμες προσεγγίσεις για την ανάλυση δεδομένων για τον εντοπισμό ζητημάτων ασφάλειας, υποστηρίζοντας καλύτερα εργαλεία και μεθόδους για την προστασία των ψηφιακών υποδομών από μη εξουσιοδοτημένες πρόσβαση και πιθανές παραβιάσεις.

Κύρια σημεία του άρθρου:

• Ο ανεξάρτητος ερευνητής ασφαλείας Bill Demirkapi ανακάλυψε σημαντικά τρωτά σημεία και εκτεθειμένα μυστικά στο διαδίκτυο.
• Αποκαλύφθηκαν πάνω από 15.000 διαπιστευτήρια προγραμματιστών σκληρών κωδικοποιημένων προγραμματιστών, συμπεριλαμβανομένων των κωδικών πρόσβασης και των κλειδιών API, αποκαλύφθηκαν.
• Ευρήματά του παρουσιάστηκαν στο συνέδριο ασφαλείας DEFCON.
• Οι ευαίσθητες πληροφορίες που σχετίζονται με οργανισμούς όπως το Ανώτατο Δικαστήριο της Νεμπράσκα και το Πανεπιστήμιο του Στάνφορντ εκτέθηκαν.
• Ο Demirkapi δίνει έμφαση στις καινοτόμες προσεγγίσεις για την ανάλυση δεδομένων για τον εντοπισμό ζητημάτων ασφάλειας.
• Υποστηρίζει καλύτερα εργαλεία και μεθόδους για την προστασία της ψηφιακής υποδομής από μη εξουσιοδοτημένη πρόσβαση και παραβιάσεις.

Αναλυτικά το άρθρο:

Αν ξέρετε πού να ψάξετε, μπορείτε να βρείτε πολλά μυστικά στο διαδίκτυο. Από το φθινόπωρο του 2021, ο ανεξάρτητος ερευνητής ασφάλειας Bill Demirkapi έχει δημιουργήσει τρόπους για να αξιοποιήσει τεράστιες πηγές δεδομένων, οι οποίες συχνά παραβλέπονται από τους ερευνητές, για να βρει μαζικά προβλήματα ασφάλειας. Αυτό περιλαμβάνει την αυτόματη εύρεση μυστικών προγραμματιστών -όπως κωδικούς πρόσβασης, κλειδιά API και σημεία ελέγχου ταυτότητας- που θα μπορούσαν να δώσουν στους εγκληματίες του κυβερνοχώρου πρόσβαση στα συστήματα της εταιρείας και τη δυνατότητα να κλέψουν δεδομένα.

Σήμερα, στο συνέδριο ασφαλείας Defcon στο Λας Βέγκας, η Demirkapi αποκαλύπτει τα αποτελέσματα αυτής της εργασίας, περιγράφοντας λεπτομερώς έναν τεράστιο θησαυρό από μυστικά που διέρρευσαν αλλά και ευρύτερα τρωτά σημεία σε ιστότοπους. Ανάμεσα σε τουλάχιστον 15.000 μυστικά προγραμματιστών που είναι σκληρά κωδικοποιημένα σε λογισμικό, βρήκε εκατοντάδες λεπτομέρειες για το όνομα χρήστη και τον κωδικό πρόσβασης που συνδέονται με το Ανώτατο Δικαστήριο της Νεμπράσκα και τα συστήματα πληροφορικής του- τα στοιχεία που απαιτούνται για την πρόσβαση στα κανάλια Slack του Πανεπιστημίου του Στάνφορντ- και περισσότερα από χίλια κλειδιά API που ανήκουν σε πελάτες της OpenAI.

Ένας μεγάλος κατασκευαστής smartphones, πελάτες μιας εταιρείας fintech και μια εταιρεία κυβερνοασφάλειας πολλών δισεκατομμυρίων δολαρίων συγκαταλέγονται στους χιλιάδες οργανισμούς που εξέθεσαν κατά λάθος μυστικά. Στο πλαίσιο των προσπαθειών του να ανακόψει το κύμα, ο Demirkapi δημιούργησε έναν τρόπο για να ανακληθούν αυτόματα τα στοιχεία, καθιστώντας τα άχρηστα για οποιονδήποτε χάκερ.

Σε ένα δεύτερο σκέλος της έρευνας, ο Demirkapi σάρωσε επίσης πηγές δεδομένων για να βρει 66.000 ιστότοπους με προβλήματα «dangling subdomain», που τους καθιστούν ευάλωτους σε διάφορες επιθέσεις, συμπεριλαμβανομένης της αεροπειρατείας. Μερικές από τις μεγαλύτερες ιστοσελίδες του κόσμου, συμπεριλαμβανομένου ενός τομέα ανάπτυξης που ανήκε στους New York Times, είχαν τέτοιες αδυναμίες.

Ενώ τα δύο ζητήματα ασφαλείας που εξέτασε είναι γνωστά μεταξύ των ερευνητών, ο Demirkapi λέει ότι η στροφή σε μη συμβατικά σύνολα δεδομένων, τα οποία συνήθως προορίζονται για άλλους σκοπούς, επέτρεψαν τον μαζικό εντοπισμό χιλιάδων ζητημάτων και, αν επεκταθούν, προσφέρεται η δυνατότητα να συμβάλει στην προστασία του ιστού στο σύνολό του. «Ο στόχος ήταν να βρούμε τρόπους να ανακαλύψουμε ασήμαντες κατηγορίες ευπαθειών σε κλίμακα», λέει ο Demirkapi στο WIRED. «Νομίζω ότι υπάρχει ένα κενό για δημιουργικές λύσεις».

Διαρρέοντα μυστικά: Ευάλωτοι ιστότοποι 

Είναι σχετικά τετριμμένο για έναν προγραμματιστή να συμπεριλάβει κατά λάθος τα μυστικά της εταιρείας του σε λογισμικό ή κώδικα. Ο Alon Schindel, αντιπρόεδρος της έρευνας AI και απειλών στην εταιρεία ασφάλειας cloud Wiz, λέει ότι υπάρχει μια τεράστια ποικιλία μυστικών που οι προγραμματιστές μπορούν να κωδικοποιήσουν ακούσια σκληρά ή να εκθέσουν σε όλη τη διάρκεια της διαδικασίας ανάπτυξης λογισμικού. Αυτά μπορεί να περιλαμβάνουν κωδικούς πρόσβασης, κλειδιά κρυπτογράφησης, token πρόσβασης API, μυστικά παρόχων cloud και πιστοποιητικά TLS.

«Ο πιο έντονος κίνδυνος από το να αφήνει κανείς τα μυστικά σκληρά κωδικοποιημένα είναι ότι αν εκτεθούν τα ψηφιακά διαπιστευτήρια πιστοποίησης και τα μυστικά, μπορούν να δώσουν στους αντιπάλους μη εξουσιοδοτημένη πρόσβαση στις βάσεις κώδικα, στις βάσεις δεδομένων και σε άλλες ευαίσθητες ψηφιακές υποδομές μιας εταιρείας», λέει ο Schindel.

Οι κίνδυνοι είναι υψηλοί: Τα εκτεθειμένα μυστικά μπορεί να οδηγήσουν σε παραβιάσεις δεδομένων, παραβιάσεις δικτύων από χάκερ και επιθέσεις στην αλυσίδα εφοδιασμού, προσθέτει ο Schindel. Προηγούμενη έρευνα το 2019 διαπίστωσε ότι χιλιάδες μυστικά διαρρέουν στο GitHub κάθε μέρα. Και ενώ υπάρχουν διάφορα εργαλεία σάρωσης μυστικών, αυτά επικεντρώνονται σε μεγάλο βαθμό σε συγκεκριμένους στόχους και όχι στον ευρύτερο ιστό, λέει ο Demirkapi.

Κατά τη διάρκεια της έρευνάς του, ο Demirkapi, ο οποίος έγινε για πρώτη φορά γνωστός για τα μαθητικά του exploits σε εφηβική ηλικία πριν από πέντε χρόνια, κυνήγησε αυτά τα μυστικά κλειδιά σε κλίμακα - σε αντίθεση με την επιλογή μιας εταιρείας και την αναζήτηση ειδικά των μυστικών της. Για να το κάνει αυτό, στράφηκε στο VirusTotal, τον ιστότοπο που ανήκει στην Google, ο οποίος επιτρέπει στους προγραμματιστές να ανεβάζουν αρχεία -όπως εφαρμογές- και να τα σαρώνουν για πιθανό κακόβουλο λογισμικό.

Η λειτουργία Retrohunt του VirusTotal επιτρέπει τη σάρωση αρχείων ενός έτους που έχουν μεταφορτωθεί και χρησιμοποιεί κανόνες YARA, οι οποίοι μπορούν να αναζητήσουν συγκεκριμένα μοτίβα στα δεδομένα. «Τι θα γινόταν αν επαναχρησιμοποιούσαμε αυτά τα εργαλεία και τα petabytes δεδομένων του VirusTotal και τώρα αναζητούσαμε μυστικά αντί για αυτά», λέει ο Demirkapi. Χρησιμοποιώντας μια σύνθετη ρύθμιση χωρίς διακομιστή, ο Demirkapi λέει ότι σάρωσε περισσότερα από 1,5 εκατομμύρια δείγματα για μυστικά και επικύρωσε ότι τα μοτίβα που βρήκε ήταν ενεργά μυστικά κλειδιά. Για να διαπιστώσει ότι τα μυστικά και τα κλειδιά δεν είχαν λήξει, πραγματοποίησε κλήσεις API σε αυτά. Συνολικά, ο Demirkapi βρήκε περισσότερα από 15.000 ενεργά μυστικά όλων των ειδών.

Μέσα στον τεράστιο αριθμό των εκτεθειμένων κλειδιών υπήρχαν εκείνα που θα μπορούσαν να δώσουν σε έναν εισβολέα πρόσβαση στα ψηφιακά περιουσιακά στοιχεία εταιρειών και οργανισμών, συμπεριλαμβανομένης της δυνατότητας απόκτησης ευαίσθητων δεδομένων. Για παράδειγμα, ένα μέλος του Ανώτατου Δικαστηρίου της Νεμπράσκα είχε ανεβάσει λεπτομέρειες για ονόματα χρηστών και κωδικούς πρόσβασης που συνδέονται με τα συστήματα πληροφορικής του, ενώ τα κανάλια Slack του Πανεπιστημίου του Στάνφορντ μπορούσαν να προσπελαστούν με τη χρήση κλειδιών API.

Ο διαχειριστής του πολιτειακού δικαστηρίου της Νεμπράσκα Corey R. Steel λέει ότι όλα τα εκτεθειμένα στοιχεία άλλαξαν αμέσως, δεν υπάρχουν αποδείξεις ότι τα στοιχεία χρησιμοποιήθηκαν καταχρηστικά και οι πολιτικές έχουν αλλάξει για να σταματήσουν παρόμοιες μελλοντικές περιπτώσεις. Το Πανεπιστήμιο του Στάνφορντ δεν απάντησε σε αίτημα για σχολιασμό- ωστόσο, η αλληλογραφία που είδε το WIRED δείχνει ότι τα ζητήματα διορθώθηκαν γρήγορα μετά την αναφορά τους.

Η Demirkapi εξέτασε επίσης τα δεδομένα παθητικής αντιγραφής DNS, για να αναζητήσει ιστότοπους με προβλήματα με dangling subdomain. Οι ευάλωτοι ιστότοποι μπορούν να υποδυθούν, να χρησιμοποιηθούν για την ανάπτυξη κακόβουλου λογισμικού ή σελίδων phishing, να κλέψουν cookies και πολλά άλλα. «Τα Dangling domains είναι ευρέως διαδεδομένα και είναι αρκετά εύκολο για τους επιτιθέμενους να βρουν στόχους υψηλής αξίας», λέει ο Daiping Liu, ανώτερος διευθυντής έρευνας στην Palo Alto Networks. Ο Liu λέει ότι δεκάδες χιλιάδες dangling records εκτίθενται κάθε φορά, προσθέτοντας ότι τα μεγαλύτερα domains μπορεί να είναι πιο ευάλωτα στο πρόβλημα, καθώς είναι πιο δύσκολο να διαχειριστούν και υπάρχει μεγαλύτερη πιθανότητα για ανθρώπινο λάθος.

Για παράδειγμα, η Demirkapi δημοσίευσε για λίγο ένα (σχεδόν πειστικό) σατιρικό άρθρο σε ένα domain παραγωγής των New York Times με τίτλο «Οι ΗΠΑ κηρύσσουν πόλεμο κατά της Ρωσίας εν μέσω κλιμακούμενων εντάσεων, προκαλώντας σοκ στη διεθνή κοινότητα». Αυτό αφαιρέθηκε μετά από περίπου μια εβδομάδα, λέει ο Demirkapi. Εκπρόσωπος των New York Times αρνήθηκε να σχολιάσει.

Ο ερευνητής λέει ότι ξεκινώντας με τους πόρους του cloud που κρέμονται αντί να ψάχνει για ζητήματα με ένα συγκεκριμένο domain ή σύνολο domains επιτρέπει την συστηματική ανακάλυψη των ζητημάτων. Συνολικά, βρήκε περισσότερους από 78.000 dangling cloud resources που συνδέονται με 66.000 apex domains. Αναφερόμενος σε ακαδημαϊκή έρευνα που ακολούθησε παρόμοια τεχνική χρησιμοποιώντας παθητικά δεδομένα αντιγραφής DNS, αλλά ξεκινώντας με διευθύνσεις URL, ο Demirkapi λέει ότι η προσέγγισή του ήταν σε θέση να βρει μεγαλύτερα μεγέθη ζητημάτων.

Δεν υπάρχουν εύκολες λύσεις

Η εύρεση χιλιάδων ευάλωτων ιστότοπων και εκτεθειμένων μυστικών είναι ένα πράγμα - η επιδιόρθωσή τους είναι άλλο πράγμα. Αν και ο Demirkapi λέει ότι δεν ήταν δυνατό να ειδοποιήσει όλους τους ιστότοπους με προβλήματα που σχετίζονται με το dangling domain, κατάφερε να βρει τρόπους να καθαρίσει τα 15.000 σκληρά κωδικοποιημένα μυστικά.

Ο Demirkapi αναφέρθηκε απευθείας σε ορισμένες από τις εταιρείες που επηρεάζονται. Αλλά απευθύνθηκε και σε όσους παρέχουν διαπιστευτήρια στους πελάτες τους για να δει αν υπήρχε ένας πιο αποτελεσματικός τρόπος αναφοράς των εκτεθειμένων μυστικών. Τον Φεβρουάριο, ο ερευνητής ανέφερε περισσότερα από 1.000 εκτεθειμένα κλειδιά API του OpenAI. Η εταιρεία του παρείχε ένα δημόσιο κλειδί αυτοεξυπηρέτησης API που επιτρέπει την αυτόματη ανάκληση των εκτεθειμένων στοιχείων. (Ο εκπρόσωπος της εταιρείας OpenAI, Νίκο Φέλιξ, αναφέρει ότι το API «επιτρέπει την αυτόματη απενεργοποίηση κάθε κλειδιού που εντοπίζεται ως εκτεθειμένο» και επιτρέπει στους πελάτες να διατηρούνται ασφαλείς).

Ο Demirkapi στράφηκε στην Amazon Web Services, αλλά η εταιρεία αρνήθηκε να του παράσχει πρόσβαση στα υπάρχοντα ιδιωτικά εργαλεία αναφοράς. «Πιστεύουμε ακράδαντα ότι τα διαπιστευτήρια πελατών, συμπεριλαμβανομένων των κλειδιών ασφαλείας, ανήκουν αποκλειστικά στους πελάτες. Η AWS δεν παρέχει σε εξωτερικούς χρήστες πρόσβαση για τη διαχείριση ή την ανάκληση κλειδιών ασφαλείας, καθώς αυτό θα παραβίαζε τις πολιτικές ασφαλείας και θα υπονόμευε την εμπιστοσύνη των πελατών», αναφέρει η Aisha Johnson, εκπρόσωπος της AWS, προσθέτοντας ότι οι άνθρωποι μπορούν να στείλουν email στην ομάδα ασφαλείας της και ότι θα ενημερώνει τους πελάτες όταν αντιλαμβάνεται εκτεθειμένα κλειδιά.

Για να παρακάμψει τους περιορισμούς, ο Demirkapi στράφηκε σε ένα GitHub και άρχισε να ανεβάζει μυστικά για να ενεργοποιήσει τη σάρωση μυστικών της εταιρείας και να τα αναφέρει. «Βρήκα έναν τρόπο να μην το εκθέσω καθόλου στο κοινό», λέει ο Demirkapi για την αυτοματοποιημένη μέθοδο που χάκαρε για να ανεβάζει μυστικά σε σημειώσεις.

Τελικά, ο Demirkapi λέει ότι διάλεξε low-hanging fruit για την έρευνα. «Η ανίχνευση ενός σκληρά κωδικοποιημένου μυστικού ή η ανίχνευση αν ένας πόρος κρέμεται, αυτές είναι αρκετά τετριμμένες κατηγορίες ευπάθειας», λέει, προσθέτοντας ότι πιο σύνθετες ευπάθειες θα μπορούσαν ενδεχομένως να ανιχνευθούν σε μεγάλες πηγές δεδομένων. Μπορεί να υπάρχουν πολλές ανεκμετάλλευτες βάσεις δεδομένων που μπορούν να βοηθήσουν στην επίλυση ζητημάτων ασφαλείας. «Νομίζω ότι πρέπει να σκεφτούμε περισσότερο την αξιοποίηση αυτών των μεγάλων πηγών δεδομένων για να αντλήσουμε αξία από αυτές με μη συμβατικούς τρόπους», λέει ο Demirkapi.

Πηγή:Thousands of Corporate Secrets Were Left Exposed. This Guy Found Them All