Question:
Comment Twitter et GitHub peuvent-ils être sûrs qu'ils n'ont pas été piratés?
Kepotx
2018-05-04 13:11:49 UTC
view on stackexchange narkive permalink

Hier, Twitter a annoncé avoir récemment identifié un bogue qui stockait des mots de passe non masqués dans un journal interne. Récemment, Github a également eu un bug similaire. Dans les deux cas, ils affirment que personne n'a eu accès à ces fichiers.

Twitter:

Nous avons corrigé le bogue, et notre enquête ne montre aucune indication de violation ou d'utilisation abusive par

Encore une fois, même si nous n'avons aucune raison de croire que les informations de mot de passe ont déjà quitté les systèmes de Twitter ou ont été mal utilisées par quiconque, vous pouvez prendre quelques mesures pour nous aider à conserver votre sécurité du compte:

GitHub:

La société affirme que les mots de passe en clair n'ont été exposés qu'à un petit nombre d'employés de GitHub ayant accès à ces journaux. Aucun autre utilisateur de GitHub n'a vu les mots de passe en clair des utilisateurs, a déclaré la société.

GitHub a déclaré qu'il avait découvert son erreur lors d'un audit de routine et avait clairement indiqué que ses serveurs n'étaient pas piratés.

À noter que GitHub n'a pas été piraté ou compromis de quelque manière que ce soit.

Comment Twitter et GitHub peuvent-ils être sûrs qu'ils n'ont été ni piratés ni compromis d'aucune façon?

La déclaration de Twitter est en fait "ne montre aucune indication de violation", ce qui pourrait signifier que si quelqu'un était là, il n'y en avait aucun signe (cela pourrait être conclu à partir d'un tas de sources de journal différentes qui examinent les connexions vers et depuis ladite machine, que les utilisateurseu accès à la machine en cause, etc.).
Ils n'ont pas déclaré qu'ils étaient sûrs de ne pas avoir été piratés.Ils ont déclaré qu'ils n'avaient aucune preuve de piratage, mais l'absence de preuve n'est pas une preuve de ne pas avoir été piraté - ce qu'ils n'ont très judicieusement pas prétendu.
Un article récent sur ce problème: ["Il est impossible de prouver que votre ordinateur portable n'a pas été piraté."] (Https://theintercept.com/2018/04/28/computer-malware-tampering/)
«Hacked» n'est même pas la principale catégorie de risque ici.Certains employés de Twitter disposant d'un accès légitime pourraient les voler sans aucune pénétration non autorisée.En fait, c'est presque certainement ainsi que cela a été découvert en premier lieu.
Pourriez-vous indiquer quelles parties de ces messages vous indiquent qu'ils sont «** sûr **» que les mots de passe n'ont pas été compromis?
@Bakuriu comme Anders l'a dit dans sa bonne réponse, GitHub a des mots assez catégoriques, mais Twitter est beaucoup moins sûr.peut-être que je n'aurais pas dû insister autant sur le "** sûr **"
le contenu du fichier journal peut voyager de manière inattendue.Une fois, j'ai observé des extraits de fichier journal échangés entre deux supporters dans le système de billetterie dans un ticket que j'ai ouvert (utilisateur externe).Les extraits étaient à peu près au moment de mon problème, mais contenaient de nombreuses entrées de journal concernant d'autres utilisateurs, y compris l'identification personnelle, les mots de passe en texte clair, les questions et réponses de sécurité en texte clair, ainsi que les relations entre les utilisateurs (est l'assistant de).Avec les informations, j'aurais pu composer un numéro de téléphone, demander un nom spécifique et leur dire quel était le film préféré de leur patron ... Tant pis pour seulement exposé à quelques-uns
Réponse de Skeptics.SE: ce sont tous des BS syntaxiques dénués de sens.
* "Comment Twitter et GitHub peuvent-ils être sûrs qu'ils n'ont pas été piratés?" * Je trouve toujours ces questions fascinantes.@Kepotx, comment pouvez-vous être sûr que vous n'êtes pas dans un rêve en ce moment?
@AndréParamés Chaque problème qu'ils ont mentionné ici peut être atténué avec une utilisation appropriée d'un TPM (par exemple, comme le fait Anti-Evil Maid de Qubes).
Votre question vient d'une fausse prémisse.Même s'ils étaient sûrs d'avoir * été * piratés, ils ne l'admettraient pas ouvertement.
Comme ils ne dévoileront pas leur intérieur, nous ne pouvons que deviner.Mais pour un scénario hypothétique: supposons que vous fuyiez des données de mot de passe dans un fichier journal sur un système qui est capable d'intercepter les mots de passe de toute façon.Tout attaquant du système aurait déjà piraté le système sans la fuite, donc la fuite est laide mais n'y ajoute pas beaucoup de danger tant qu'il n'y a pas d'attaquant et s'il y en a un, ils ont de toute façon trop d'accès.
@MaskedMan - Je ne suis pas du tout d'accord avec votre affirmation.Alors que certaines autres organisations peuvent essayer de cacher un piratage connu (* toux * Uber * toux *), Twitter et Github sont bien conscients de l'importance d'une divulgation responsable.Vous pouvez être à peu près sûr qu'ils ont été honnêtes ici: Oui, ils ont tous deux trouvé un problème;non, ils ne croient pas que des données aient fui;acheter non, ils ne peuvent pas en être sûrs, vous devriez donc changer vos mots de passe.La non-divulgation revient presque toujours à vous mordre à la fin (et avec l'entrée en vigueur du RGPD, cela mordra très fort, en fait, toute personne surprise à dissimuler un piratage).
@Spudley Il semble que vous soyez * d'accord * avec mon affirmation ici, même si vous dites le contraire.Vous semblez suggérer que la non-divulgation ne les mordra que s'ils se font prendre, et si la probabilité que cela se produise est minuscule ou si cela prendra des années avant qu'ils ne soient attrapés, alors ne pas divulguer qu'ils ont été piratés rend réellement bonsens des affaires.Tout est question de risque par rapport à récompense.
@MaskedMan Non, je ne suis vraiment pas d'accord avec vous.L'argument risque / récompense échoue car le risque est énorme (les amendes possibles dans le cadre du RGPD sont énormes), et continu (en dissimulant un piratage, vous vous donnez un problème permanent qui pourrait être découvert à tout moment).Vous êtes également ouvert au chantage de quiconque sait, ce qui signifie que les méchants qui vous ont piraté ont maintenant une voie d'attaque supplémentaire.Quiconque y réfléchit correctement comprendra que la seule vraie option après avoir été piraté est la divulgation complète.Cela peut être douloureux et embarrassant, mais les alternatives sont bien pires
@Spudley Vous confondez risque et récompense.L'énorme amende dont vous parlez est la «récompense» (même si elle est négative dans ce cas).Même si la «récompense» est une amende de 100 milliards de dollars (ou un montant aussi énorme), vous ne devez la payer que si vous vous faites prendre.Si la probabilité de se faire prendre est de 0,0000000000001 («risque»), cela n'a aucun sens d'admettre que vous avez été piraté.(Cela met de côté le fait que le RGPD ne s'applique pas aux États-Unis).
Le soi-disant chantage n'est pas non plus à craindre.Si les pirates vous appellent en disant "si vous ne payez pas, nous divulguerons le piratage au public", vous pouvez simplement leur demander de mettre à exécution leur menace.Ensuite, s'ils sont assez stupides pour le faire, vous pouvez facilement jouer la victime et revendiquer le haut niveau moral.En d'autres termes, vous pouvez utiliser le "cacher le hack" pour * améliorer * votre réputation.
@MaskedMan GDPR * s'applique * aux États-Unis, si votre système contient les coordonnées de citoyens européens.Elle est peut-être moins exécutoire, mais elle s'applique toujours.Vous ne comprenez pas non plus à quelle vitesse ces choses peuvent devenir incontrôlables et avec quelle facilité.Dans tous les cas, d'après le son, nous allons devoir simplement accepter de ne pas être d'accord;Je n'ai pas le temps de continuer à argumenter.
@Spudley GPDR n'est pas vraiment pertinent par rapport à ce que je voulais dire.Quoi qu'il en soit, disons que je suis un hacker qui dit maintenant que j'ai piraté Facebook en 2015. Où pensez-vous que la sympathie du grand public se trouvera?De plus, une autre astuce efficace est que si vous avez été piraté de manière A, vous admettez simplement avoir été piraté de manière B. Cela vous rapporte des points brownie et personne ne prendra la peine d'enquêter si quelque chose d'autre se passe également.C'est proche de ce que je soupçonne que Twitter et Github ont fait ici.
Vous rendez également ce hack plus dramatique que nécessaire.La durée d'attention du public se raccourcit de jour en jour et dans quelques mois (voire semaines), personne ne se souciera de ce piratage et échappera en toute sécurité au radar.Une énorme chanson et une danse ont été faites lorsque l'exploit Heartbleed a été découvert il y a quelques années.Si quelqu'un propose des détails supplémentaires aujourd'hui, combien de personnes s'en soucieront?Il est parfaitement logique sur le plan commercial de ne rien révéler de plus que nécessaire.Ruiner votre entreprise aujourd'hui par peur d'un problème futur, qui est incertain et improbable, n'est que de la folie.
Huit réponses:
Anders
2018-05-04 13:18:18 UTC
view on stackexchange narkive permalink

Ils ne peuvent pas être sûrs. En fait, vous ne pouvez jamais être sûr de ne pas avoir été piraté. Mais un examen approfondi peut vous faire conclure que c'est plus ou moins probable.

Les déclarations Twitter indiquent seulement qu'il n'y a aucune indication de piratage. Cela n'exclut pas la possibilité qu'ils aient été piratés, et en exhortant leurs utilisateurs à changer leurs mots de passe, ils l'admettent implicitement.

Quant à GitHub, le libellé est un peu plus catégorique. Mais je pense que forcer une réinitialisation de mot de passe montre qu'ils comprennent les risques encourus.

"vous ne pouvez jamais être sûr que vous n'avez pas été piraté" - je ne peux pas être moins d'accord.
@PedroLobito Envie de développer?
vous pouvez construire votre propre système sur une machine à air, mais la plupart des gens ne s'en soucient pas.
Un simple air gap ne garantira pas du tout de piratage.À moins qu'il ne le dise pour littéralement chaque composant, par exemple une source d'alimentation indépendante au lieu du secteur.Peut-être même un espace d'air ne serait pas suffisant, peut-être un vide ... Mais il y a toujours une erreur de l'utilisateur, par exemple.Je suis au courant, par exemple, que les systèmes à espace aérien sont hameçonnés en soi avec des clés USB placées dans le parking.Il y a aussi la considération qu'une machine à espace aérien ne serait pas utile car les utilisateurs du système doivent s'authentifier et utiliser réellement ...
Vous pouvez être convaincu que vous n'avez pas été piraté et vous finirez par vous tromper.
N'importe qui est capable de construire un système * qu'il * ne peut pas pirater.Un corollaire à cela est: n'importe qui peut construire un système où il ne peut pas détecter qu'un piratage s'est produit.Ils font de leur mieux pour examiner leurs propres environnements à la recherche de preuves de piratage.Le fait qu'ils n'aient trouvé aucune preuve de ce genre prouve seulement que: * ils * n'ont pu trouver aucune preuve.C'est à vous de déterminer si leur déclaration répond ou non à vos propres exigences en matière de sécurité.
@dandavis Airgapping un système ne suffit pas, car ttbek a mentionné que les sources d'alimentation peuvent être une fuite d'informations, mais je vais aller plus loin: le blindage EM est une exigence minimale pour l'espacement d'air.Si vous utilisez des câbles non blindés (ou mal blindés) pour votre moniteur, ils fuient des radiations EM qui peuvent être captées et reconstruites (en supposant qu'un protocole de protection contre la copie n'est pas utilisé) à plus de 6 mètres de distance avec un équipement SDR assez rudimentaire.Je ne parle pas d'un fantasme cyberpunk;Je l'ai fait moi-même.Il y a des gens qui ont beaucoup réfléchi à cela: http://cm.bell-labs.com/who/ken/trust.html
Les centrifugeuses iraniennes ont été bloquées dans l'air.Stuxnet les a toujours tués.
Eh bien, par exemple, j'ai construit un appareil de messagerie texte qui utilise ~ 100ma@5v, d'une banque d'alimentation ou d'un adaptateur USB mural, un nodeMCU, un écran LCD de 1,8 "piloté par SPI avec un câble d'environ 1", avec un clavier PS2 pour l'entrée, un HWRNG àgénérer des clés et un connecteur encliquetable permettant à des unités identiques de partager des clés.J'ai écrit le firmware (~ 1500 LOC), et il n'y a pas de système d'exploitation.Il ne sait que faire ce dont il a besoin et n'autorise pas les mises à jour à distance, donc je ne vois pas comment il est piratable ou peut même fuir, étant donné le minuscule EMI / RFI d'un tel appareil et la possession physique requise pour modifier les fonctionnalités.pas pour tous, mais amusant pour moi.
Matière à réflexion: s'il n'y a aucun moyen de détecter que vous avez été piraté, avez-vous vraiment été piraté ??
@ttbek [Attention à l'écart: ce chercheur vole des données avec du bruit, de la lumière et des aimants] (https://www.wired.com/story/air-gap-researcher-mordechai-guri/).Les gens ont également exfiltré des données en utilisant la température ambiante, chauffant la pièce à l'aide du processeur.
@drheart votre lien ne fonctionne pas
Nzall
2018-05-04 14:46:39 UTC
view on stackexchange narkive permalink

Une autre chose à noter est que dans les deux cas, la fuite était dans un système de journalisation purement interne. Rien n'indique que des utilisateurs tiers aient déjà eu accès à ce système. Les systèmes de journalisation internes sont rarement exposés à l'extérieur et ne sont consultés en interne que lorsqu'un système nécessite un dépannage. C'est aussi probablement la raison pour laquelle ce bogue est passé inaperçu pendant des mois: les entrées de journal singulières quelque part dans ce qui est probablement une quantité gigantesque d'autres instructions ne sont généralement pas remarquées à moins qu'elles ne se trouvent juste à côté ou au milieu des instructions nécessaires pour déboguer d'autres entrées.

Twitter n'a également découvert le bogue que récemment, ce qui signifie qu'il est peu probable que des personnes extérieures à l'entreprise aient été au courant de ce bogue avant que Twitter ne soit, encore moins découvert et exécuté une attaque contre récupérez-les.

`` Rarement exposé à l'extérieur '' - oui, tant que vous vous souvenez de sécuriser votre stockage S3 ...
Il ne s'agit même pas de tiers.Les employés de la première partie peuvent abuser de ce genre de choses tout aussi facilement.
Vraiment, cependant, @djsmiley2k, combien de grandes agences d'évaluation du crédit stockent * en fait * des centaines de millions de dossiers de crédit sur des seaux S3 non garantis?
@chrylis Apparemment, la plupart d'entre eux.
Tom K.
2018-05-04 16:51:29 UTC
view on stackexchange narkive permalink

Il est difficile de prouver un négatif.

Alors, comment prouver un positif? Dans ce cas: comment prouver une attaque de l'extérieur? En règle générale, plusieurs systèmes sont en place pour surveiller différentes formes d'attaques, de violations ou d'accès. Il peut s'agir de pare-feu, de systèmes de détection d'intrusion, de SIEM et de divers systèmes de surveillance et de journalisation. Dans les réseaux actuels, chaque composant dispose d'une forme de surveillance ou permet une surveillance via des outils tiers tels que Check_MK.

Ainsi, chaque étape du processus - de la frontière du réseau d'entreprise à la machine qui contenait les informations précieuses elle-même - est sous une forme ou une autre surveillée. Ces journaux sont, en fonction du réseau et des politiques de l'entreprise, régulièrement analysés. Les systèmes d'analyse peuvent faire la distinction entre le trafic ou le comportement attendu et inattendu. Le comportement non / attendu est par exemple l'accès aux fichiers.

Les fichiers journaux internes sont généralement considérés comme des données confidentielles, donc l'accès aux fichiers est probablement également surveillé. Si quelqu'un qui ne fait pas partie d'un certain groupe d'utilisateurs essaie de copier / accéder à un fichier journal interne, cela aurait probablement été consigné comme un comportement inattendu ou même interdit. Si un éventuel adversaire était capable de se faire passer pour quelqu'un avec les droits d'accès à ce fichier, il aurait également été enregistré, mais en tant que comportement attendu.

En théorie, il est possible qu'un attaquant soit capable de surmonter tous les contrôles de sécurité, exploiter les vulnérabilités 0day, ne laisser aucune trace dans chaque journal sur chaque composant, l'IDS, le SIEM et ainsi de suite, copier le fichier journal interne et le faire passer en contrebande à l'extérieur, mais c'est très peu probable.

Je suppose , qu'après la découverte du fichier journal, tous ces journaux ont été soigneusement analysés pour essayer de prouver s'il y avait eu une attaque de l'extérieur. Les analystes n'ont trouvé aucune donnée suspecte et ont donc conclu que avec une certitude quasi absolue il n'y avait pas eu d'attaque de l'extérieur. Et c'est en fait ce que vous voyez dans le communiqué de presse de Twitter (voir le commentaire de Florin Coada). Encore une fois, je suppose: le communiqué de presse de GitHub avait un langage plus strict pour arrêter les spéculations si il y avait un hack. (Cela n'a pas vraiment fonctionné.;)

Bien sûr, il est également possible que Twitter et GitHub n'aient pas de tels contrôles de sécurité en place, mais j'espère vraiment que non.

kevin
2018-05-04 15:24:15 UTC
view on stackexchange narkive permalink

Je suppose qu'ils ont des journaux d'accès pour à peu près tout ce qui se passe sur leurs serveurs, ils peuvent vérifier si quelqu'un a accédé au fichier, à quel moment, avec quel alias ils se sont connectés, leur adresse IP source, etc. S'ils peuvent le prouver eux-mêmes que tout accès était par des employés légitimes, ils peuvent affirmer en toute confiance qu'ils n'ont pas été piratés. Notez que cela ne garantit pas qu'ils ne seront pas piratés, mais que toutes les preuves pointent dans cette direction.

MahNas92
2018-05-08 16:28:19 UTC
view on stackexchange narkive permalink

La réponse est très simple: nulle part ils ne déclarent être sûrs, en fait, ils vous disent implicitement qu'il pourrait y avoir eu une brèche de deux manières:

  1. Il n'y a «aucune raison de croire qu'il y avait» ou «aucune preuve» d'une violation. Le manque de preuves pourrait simplement signifier que le ou les intrus ont couvert leurs traces.
  2. Ils vous implorent de changer votre mot de passe, juste par prudence. Cela implique qu'ils ne peuvent pas garantir qu'aucune violation ne s'est produite.
johannes
2018-05-04 19:39:01 UTC
view on stackexchange narkive permalink

Mon interprétation de, en particulier de l'instruction GitHub plus audacieuse, est qu'ils veulent dire que le fait que les mots de passe aient été placés dans le fichier journal n'est pas le résultat d'une attaque de piratage, mais le résultat d'un développeur introduisant du code de débogage par accident en production. Ceci est pertinent car un attaquant pourrait avoir introduit cette fonctionnalité afin de collecter des mots de passe pour les récupérer plus tard.

Il n'y a aucune garantie qu'ils n'ont jamais été piratés et ne le seront jamais, mais cet incident est indépendant contre les tentatives de piratage.

user177420
2018-05-05 15:23:29 UTC
view on stackexchange narkive permalink

Les grandes entreprises comme celle-ci devraient avoir beaucoup de serveurs et donc tout accès extérieur est acheminé via un hôte bastion (à l'extérieur, ce qui signifie pas à partir de la cage / salle du serveur). Le bastion aurait peut-être mis en place la journalisation, car il relaie toutes les commandes du réseau extérieur vers les serveurs opérationnels. Les commandes si journalisées pourraient facilement être utilisées pour dire si quelqu'un a ouvert un fichier avec vim par exemple et cela résoudrait la question de savoir si un utilisateur avait été piraté. L'accès SSH est également consigné afin qu'une "bonne" adresse IP connue puisse être filtrée pour un utilisateur et toute entrée suspecte ou étrange pourrait être examinée par le service informatique et si une entrée n'a pas pu être expliquée, cela constituerait une violation. Sinon, le serveur serait "sûr" et il n'y aurait pas autant besoin de s'inquiéter à ce sujet.

Sentinel
2018-05-05 22:52:56 UTC
view on stackexchange narkive permalink

Ce qu'ils disent en fait, c'est qu'ils sont sûrs à 100% qu'il y a effectivement eu une faille de sécurité. Accidentellement. Probablement. Et par eux-mêmes. Le reste est brillant.

Ils peuvent voir l'individu différemment, en tant qu'employé, mais pas moi. Un bon hacker travaille de l'intérieur et gagne en confiance. NSA? FSB?

Ils ne devraient jamais avoir accès en texte brut à nos mots de passe. Ce n'est pas ainsi que fonctionne l'accès par mot de passe. Les implications sont que c'est maintenant à vous de changer ce mot de passe partout où vous l'utilisez. Supposons que le mot de passe soit maintenant connu de tous.

Si avoir un mot de passe compromis signifie que vous devez aller le changer dans de nombreux endroits, c'est de votre faute.Vous ne devriez pas faire cela en premier lieu.
-1


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 4.0 sous laquelle il est distribué.
Loading...