Fråga:
Hur kan Twitter och GitHub vara säkra på att de inte har hackats?
Kepotx
2018-05-04 13:11:49 UTC
view on stackexchange narkive permalink

Igår meddelade Twitter att de nyligen identifierade ett fel som lagrade lösenord avmaskerade i en intern logg. Nyligen hade Github också ett liknande fel. I båda fallen hävdar de att ingen hade tillgång till dessa filer.

Twitter:

Vi har fixat felet och vår undersökning visar inga tecken på brott eller missbruk av någon.

Återigen, även om vi inte har någon anledning att tro att lösenordsinformation någonsin lämnat Twitters system eller missbrukats av någon, finns det några steg du kan ta för att hjälpa oss att behålla din kontosäkert:

GitHub:

Företaget säger att lösenorden för klartext endast har exponerats för ett litet antal GitHub-anställda med tillgång till dessa loggar. Inga andra GitHub-användare har sett användarnas lösenord i klartext, säger företaget.

GitHub sa att det upptäckte sitt fel under en rutinmässig granskning och gjorde det klart att dess servrar inte var hackade.

Att notera, GitHub har inte hackats eller komprometterats på något sätt.

Hur kan Twitter och GitHub vara säkra att de inte har hackats eller komprometterats på något sätt Skulle någon som komprometterar en server och läser / kopierar en fil alltid lämna spår?

Twitters uttalande är faktiskt "visar ingen indikation på överträdelse" vilket kan betyda att om någon var där fanns det inga tecken på det (detta kan dras från en massa olika loggkällor som tittar på anslutningar till och från nämnda maskin, vilka användarehade tillgång till maskinen i orsak, etc).
De uppgav inte att de är säkra på att de inte har hackats.De uppgav att de inte har några bevis för att ha hackats, men frånvaron av bevis är inte ett bevis på att de inte har hackats - vilket de mycket klokt inte hävdade att det var.
En ny artikel om denna fråga: ["Det är omöjligt att bevisa att din bärbara dator inte har hackats."] (Https://theintercept.com/2018/04/28/computer-malware-tampering/)
"Hackad" är inte ens den största kategorin av risker här.Vissa Twitter-anställda med legitim åtkomst kan stjäla dessa utan någon obehörig penetration alls.Det är faktiskt nästan säkert hur detta upptäcktes i första hand.
Kan du påpeka vilka delar av dessa meddelanden för dig att de är "** säkra **" att lösenorden inte komprometteras?
@Bakuriu som Anders sa i sitt goda svar, GitHub har ganska kategoriska ord, men Twitter är mycket mindre säker.kanske skulle jag inte ha betonat det så mycket på "** säker **"
loggfilinnehållet kan resa oväntat.Jag såg en gång loggfilutdrag som utbyttes mellan två supportrar i biljettsystemet i en biljett som jag (extern användare) öppnade.Utdraget fanns runt tiden för mitt problem, men innehöll många loggposter som rör andra användare, inklusive personlig identifiering, lösenord för klartext, säkerhetsfrågor i klartext + svar samt relationer mellan användare (är assistent för).Med informationen kunde jag ha ringt ett telefonnummer, be om ett specifikt namn och berätta för dem vad deras chefs favoritfilm var ... Så mycket för att bara utsättas för några få
Skeptics.SE svar: allt detta är meningslöst syntaktisk BS.
* "Hur kan Twitter och GitHub vara säkra på att de inte har hackats?" * Jag tycker alltid dessa frågor är fascinerande.@Kepotx, hur kan du vara säker på att du inte är i en dröm just nu?
@AndréParamés Varje fråga som de nämnde där kan mildras med korrekt användning av en TPM (t.ex. som Qubes 'Anti-Evil Maid gör).
Din fråga kommer från en falsk premiss.Även om de var säkra på att de * har * hackats, skulle de inte öppet erkänna det.
Eftersom de inte kommer att avslöja sin internationella kan vi bara gissa.Men för ett hypotetiskt scenario: Anta att du läcker lösenordsdata till en loggfil i ett system som ändå kan fånga lösenorden.Varje angripare på systemet skulle redan ha hackat systemet utan läckan, så läckan är ful men tillför inte mycket fara där så länge det inte finns någon angripare och om det finns en har de för mycket åtkomst ändå.
@MaskedMan - Jag håller inte med om ditt påstående.Medan vissa andra organisationer kan försöka dölja ett känt hack (* host * Uber * host *), är både Twitter och Github väl medvetna om vikten av ansvarsfullt avslöjande.Du kan vara ganska säker på att de har varit ärliga här: Ja, de har båda hittat ett problem;nej, de tror inte att någon data har läckt ut;köp nej, de kan inte vara säkra på det så du bör byta lösenord.Icke-avslöjande kommer nästan alltid tillbaka för att bita dig i slutändan (och när GDPR träder i kraft kommer det att bita mycket hårt, faktiskt någon som fångas för att täcka över ett hack).
@Spudley Det låter som om du * håller med om mitt påstående här, även om du säger något annat.Du verkar föreslå att icke-avslöjande kommer att bita dem bara om de fastnar, och om antingen sannolikheten för att det händer är liten eller om det kommer att ta åldrar innan de fångas, blir det inte bra att avslöja att de har hackatsaffärssinne.Det handlar om risk kontra belöning.
@MaskedMan Nej, jag håller verkligen inte med dig.Risk / belöningsargumentet misslyckas eftersom risken är enorm (böterna som är möjliga enligt GDPR är ögonvattnande) och pågår (genom att täcka över ett hack, ger du dig själv ett permanent problem att det kan upptäckas när som helst).Du är också vidöppen för utpressning från alla som vet, vilket betyder att de dåliga killarna som hackade dig nu har en ytterligare attack.Den som tänker igenom ordentligt kommer att förstå att det enda verkliga alternativet efter att ha hackats är fullständig avslöjande.Det kan vara smärtsamt och pinsamt men alternativen är mycket värre
@Spudley Du förväxlar risk med belöning.Den enorma böten du pratar om är "belöningen" (om än den är negativ i detta fall).Även om "belöningen" är en böter på 100 miljarder dollar (eller något så stort antal), behöver du bara betala den om du blir fast.Om sannolikheten att fastna är 0.00000000001 ("risk"), är det ingen mening att erkänna att du har blivit hackad.(Det utesluter det faktum att GDPR inte gäller i USA).
Den så kallade utpressningen är inte heller något att oroa sig för.Om hackarna ringer dig och säger "om du inte betalar upp kommer vi att avslöja hacket för allmänheten", kan du bara be dem att utföra sitt hot.Om de sedan är dumma nog att göra det, kan du enkelt spela offret och göra anspråk på den moraliska höga grunden.Med andra ord kan du använda "dölja hacket" för att * förbättra * ditt rykte.
@MaskedMan GDPR * gäller * i USA om ditt system innehåller information om alla europeiska medborgare.Det kan vara mindre verkställbart, men det gäller fortfarande.Du misslyckas också med att förstå hur snabbt dessa saker kan gå ur kontroll och hur lätt.Hur som helst, från och med ljudet av det, måste vi bara komma överens om att vara oense.Jag har inte tid att fortsätta diskutera detta.
@Spudley GPDR är inte riktigt relevant för den punkt jag gjorde.Hur som helst, låt oss säga att jag är en hackare som nu säger att jag hackade Facebook 2015. Var tror du att allmänhetens sympati kommer att ligga?Ett annat effektivt trick är också att om du har hackats i uppförande A, du bara äger upp till att bli hackad i uppförande B. Det ger dig några browniepoäng och ingen kommer att bry sig om att något annat också händer.Det är nära vad jag misstänker att Twitter och Github har gjort här.
Du gör också detta hackljud mer dramatiskt än nödvändigt.Allmänhetens uppmärksamhet förkortas för varje dag, och om ett par månader (eller till och med veckor) bryr sig ingen om detta hack och de kommer säkert att fly radaren.En enorm sång och dans skapades när Heartbleed-exploateringen upptäcktes för några år sedan.Om någon kommer med några ytterligare detaljer idag, hur många kommer att bry sig?Det är perfekt affärsinne att inte avslöja något mer än nödvändigt.Att förstöra ditt företag idag av rädsla för ett framtida problem, som är osäkert och osannolikt, är bara dårskap.
åtta svar:
Anders
2018-05-04 13:18:18 UTC
view on stackexchange narkive permalink

De kan inte vara säkra. I själva verket kan du aldrig vara säker på att du inte har blivit hackad. Men en grundlig undersökning kan få dig att dra slutsatsen att det är mer eller mindre troligt.

Twitter-uttalandena säger bara att det inte finns någon indikation på ett hack. Det utesluter inte möjligheten att de hackades, och när de uppmanar sina användare att ändra sina lösenord medger de implicit det.

När det gäller GitHub är formuleringen lite mer kategorisk. Men jag tror att det att tvinga en lösenordsåterställning visar att de förstår riskerna.

"du kan aldrig vara säker på att du inte har hackats" - jag kan inte hålla med mindre.
@PedroLobito Vill du utveckla?
du kan bygga ditt eget system på en luftgappad maskin, men de flesta människor bryr sig inte.
Enbart luftgapade garanterar inte några hackar alls.Om han inte menar det för bokstavligen varje komponent, till exempel en oberoende strömkälla istället för elnätet.Kanske till och med ett luftspalt skulle inte vara tillräckligt, kanske ett vakuum .... Men det finns alltid användarfel, t.ex.Jag är till exempel medveten om system med luftgap som i sig avvisas med USB-enheter sådd på parkeringen.Det övervägs också att en luftgappad maskin inte skulle vara användbar eftersom systemanvändare behöver verifiera sig till och faktiskt använda ....
Du kan vara övertygad om att du inte har hackats, och så småningom kommer du att ha fel.
Vem som helst kan bygga ett system * de * kan inte hacka.En följd av detta är: vem som helst kan bygga ett system där de inte kan upptäcka att ett hack har inträffat.De gör så gott de kan för att undersöka sina egna miljöer för bevis på hacking.Att de inte hittade sådana bevis bevisar bara att: * de * inte kunde hitta några bevis.Det är upp till dig att avgöra om deras uttalande uppfyller dina egna krav på säkerhet.
@dandavis Airgapping ett system räcker inte, eftersom ttbek nämnde kraftkällor kan vara en informationsläcka, men jag tar ett steg längre: EM-skärmning är ett absolut minimikrav för luftgapping.Om du använder oskärmade (eller dåligt skärmade) kablar för din bildskärm läcker de EM-strålning som kan plockas upp och rekonstrueras (förutsatt att ett kopieringsskyddsprotokoll inte används) från över 20 meter bort med ganska rudimentär SDR-utrustning.Jag talar inte en cyberpunk-fantasi;Jag har gjort det själv.Det finns människor som har lagt stor vikt vid detta: http://cm.bell-labs.com/who/ken/trust.html
De iranska centrifugerna har fått luftgap.Stuxnet dödade dem fortfarande.
Tja, till exempel, jag byggde en sms-enhet som använder ~ 100ma@5v, från en powerbank eller vägg-usb-adapter, en nodeMCU, en 1,8 "LCD driven över SPI med ungefär en 1" kabel, med ett PS2-tangentbord för ingång, en HWRNG tillgenerera nycklar och en snäppkoppling som gör att identiska enheter kan dela nycklar.Jag skrev firmware (~ 1500 LOC), och det finns inget operativsystem.Den vet bara hur man gör vad den behöver och tillåter inte fjärruppdateringar, så jag ser inte hur den kan hackas eller _kan_ till och med läcka, med tanke på den lilla EMI / RFI av en sådan enhet och den fysiska besittning som krävs för att ändra funktionalitet.inte för alla, men kul för mig.
Mat till eftertanke: om det inte finns något sätt att upptäcka att du har blivit hackad, har du verkligen blivit hackad ??
@ttbek [Mind the Gap: Denna forskare stjäl data med buller, ljus och magneter] (https://www.wired.com/story/air-gap-researcher-mordechai-guri/).Människor har exfiltrerat data med hjälp av rumstemperatur och värmer upp rummet med CPU.
@drheart din länk fungerar inte
Nzall
2018-05-04 14:46:39 UTC
view on stackexchange narkive permalink

En sak till att notera är att läckaget i båda fallen var i ett rent internt loggningssystem. Det finns ingen indikation på att tredjepartsanvändare någonsin haft tillgång till detta system. Interna loggningssystem exponeras sällan externt och konsulteras endast internt när ett system behöver felsöka. Det är förmodligen också anledningen till att detta fel gick obemärkt förbi i flera månader: singulära loggposter någonstans i vad som förmodligen är en gigantisk mängd andra uttalanden blir vanligtvis inte uppmärksamma om de råkar vara bredvid eller mitt i uttalanden som behövs felsöka andra poster.

Twitter fick också nyligen veta om själva felet, vilket innebär att det är osannolikt att människor utanför företaget var medvetna om denna bugg innan Twitter var, än mindre räknat ut och utfört en attack för att hämta dem.

'Sällan utsatt externt' - ja, så länge du kommer ihåg att säkra din S3-lagring ...
Det handlar inte ens om tredje part.Den första partens anställda kan missbruka den här typen av saker lika lätt.
Verkligen, dock, @djsmiley2k, hur många stora kreditupplysningsföretag * lagrar faktiskt * hundratals miljoner kreditfiler på osäkra S3-hinkar?
@chrylis Tydligen är de flesta av dem.
Tom K.
2018-05-04 16:51:29 UTC
view on stackexchange narkive permalink

Det är svårt att bevisa ett negativt.

Så hur bevisar du att du är positiv? I detta fall: hur bevisar du en attack utifrån? Vanligtvis finns det flera system på plats för att övervaka olika former av attacker, intrång eller åtkomst. Dessa kan vara brandväggar, system för upptäckt av intrång, SIEMs och en mängd övervaknings- och loggningssystem. I dagens nätverk har varje komponent antingen någon form av övervakning eller tillåter övervakning via verktyg från tredje part som Check_MK.

Så varje steg på vägen - från gränsen till företagsnätverket till den maskin som innehöll värdefull information - övervakas i någon form eller form. Dessa loggar analyseras, beroende på nätverks- och företagspolicyer, regelbundet. Analyssystemen kan skilja mellan förväntad och oväntad trafik eller beteende. Un / Expected behavior är till exempel filåtkomst.

Interna loggfiler betraktas vanligtvis som konfidentiella data, så filåtkomst övervakas förmodligen också. Om någon som inte ingår i en viss användargrupp försöker kopiera / komma åt en intern loggfil, skulle det antagligen loggas som oväntat eller till och med förbjudet beteende. Om en möjlig motståndare kunde imitera någon med rättigheterna att få åtkomst till den här filen hade den också loggats, men som förväntat beteende.

I teorin är det möjligt att en angripare kan övervinna alla säkerhetskontroller, utnyttja 0-dagars sårbarheter, lämna inga spår i varje logg på varje komponent, IDS, SIEM och så vidare, kopiera den interna loggfilen och smuggla den ut, men det är mycket osannolikt.

Min gissning är att efter att loggfilen upptäcktes analyserades alla dessa loggar noggrant för att försöka bevisa om det fanns en attack utifrån. Analytikerna hittade inga misstänkta data och drog därför slutsatsen att med nästan absolut säkerhet det inte fanns någon attack utifrån. Och detta faktiskt vad du ser i Twitters pressmeddelande (se Florin Coadas kommentar). Återigen, min gissning: GitHubs pressmeddelande hade ett striktare språk för att stoppa spekulationer om det fanns ett hack. (Gick inte riktigt.;)

Naturligtvis är det också möjligt att Twitter och GitHub inte har några sådana säkerhetskontroller på plats, men jag hoppas verkligen inte.

kevin
2018-05-04 15:24:15 UTC
view on stackexchange narkive permalink

Jag antar att de har åtkomstloggar för nästan vad som helst som händer på deras servrar, de kan kontrollera om någon har tillgång till filen, när det var, vilket alias de loggade in med, deras källans IP-adress, etc. Om de kan bevisa att själva att all tillgång var av legitima anställda kan de med säkerhet säga att de inte har hackats. Observera att detta faktiskt inte garanterar att de inte hackas, bara att alla bevis pekar i den riktningen.

MahNas92
2018-05-08 16:28:19 UTC
view on stackexchange narkive permalink

Svaret är väldigt enkelt. De anger inte att de är säkra. De säger faktiskt implicit att det faktiskt kunde ha varit ett brott på två sätt:

  1. De säger att det är "ingen anledning att tro att det fanns" eller "inga bevis för" ett brott. Brist på bevis kan helt enkelt innebära att inkräktaren (s) täckte deras spår.
  2. De bönfaller dig att ändra ditt lösenord, bara för att vara på den säkra sidan. Detta innebär att de inte kan garantera att inget intrång har inträffat.
johannes
2018-05-04 19:39:01 UTC
view on stackexchange narkive permalink

Min tolkning av, särskilt av det mer djärva GitHub-uttalandet, är att de vill säga att det faktum att lösenorden placerades i loggfilen inte är resultatet av en hackingattack, utan resultatet av att en utvecklare introducerar felsökningskod av misstag till produktion. Detta är relevant eftersom en angripare kanske har infört denna funktion för att samla in lösenord för att fånga dem senare.

Det finns ingen garanti för att de aldrig har hackats och aldrig kommer att bli det, men denna händelse är oberoende från hackningsförsök.

user177420
2018-05-05 15:23:29 UTC
view on stackexchange narkive permalink

Stora företag som detta borde ha massor av servrar och därför dirigeras all extern åtkomst via en bastionsvärd (extern betydelse inte från själva serverburet / rummet). Bastionen kan ha sagt loggning på ett sätt eftersom den vidarebefordrar alla kommandon från det externa nätverket till de operativa servrarna. Kommandona om de är inloggade kan lätt användas för att berätta om någon till exempel öppnade en fil med vim och det skulle lösa frågan om en användare hade hackats. SSH-åtkomst loggas också så att en känd "bra" IP / s kan filtreras bort för en användare och eventuella misstänkta eller udda poster kan undersökas av IT och om en post inte har kunnat förklaras skulle det utgöra ett brott. Annars skulle servern vara "säker" och det skulle inte vara så stort behov av att oroa sig för denna fråga.

Sentinel
2018-05-05 22:52:56 UTC
view on stackexchange narkive permalink

Vad de faktiskt säger är att de är 100% säkra på att det verkligen var ett säkerhetsbrott. Av misstag. Förmodligen. Och av sig själva. Resten är glansig.

De kan se individen annorlunda, som en anställd, men det gör jag inte. En bra hacker fungerar inifrån och får förtroende. NSA? FSB?

De borde aldrig ha tillgång till ren text till våra lösenord. Det är inte så lösenordsåtkomst fungerar. Konsekvenserna är att det nu är upp till dig att byta lösenord överallt där du någonsin använder det. Anta att lösenordet nu är känt av alla.

Om ett lösenord äventyras betyder det att du måste byta det på många ställen, det är ditt eget fel.Du borde inte göra det i första hand.
@barbecue Också korrekt.Detta råd är för det vanliga.Överallt kan betyda 0 till många ställen.


Denna fråga och svar översattes automatiskt från det engelska språket.Det ursprungliga innehållet finns tillgängligt på stackexchange, vilket vi tackar för cc by-sa 4.0-licensen som det distribueras under.
Loading...