1 puan yazan GN⁺ 2024-10-21 | 1 yorum | WhatsApp'ta paylaş
  • Internet Archive, önceki veri ihlali ve DDoS saldırısının ardından açığa çıkan kimlik doğrulama token’ları sorununu çözemedi ve bu kez Zendesk e-posta destek sistemi de ihlal edildi
  • Saldırgan, 2018’den bu yana info@archive.org adresine gönderilen 800 binden fazla destek kaydına erişebilen bir Zendesk token’ı ele geçirdiğini söyledi; gönderilen e-postalar DKIM, DMARC ve SPF kontrollerini geçti
  • İlk ihlal, geliştirme sunucusundaki GitLab yapılandırma dosyasında açığa çıkan bir token’dan başladı; bu token’ın en az Aralık 2022’den beri görünür olduğu doğrulandı
  • Çalınan kaynak kodda veritabanı yönetim sistemi kimlik bilgileri ve ek token’lar yer aldığı için, kullanıcı veritabanına ve siteyi değiştirme yetkisine kadar erişilmiş olabileceği düşünülüyor
  • Saldırının siyasi ya da maddi kazançtan çok cyber street cred elde etmeye yakın göründüğü, ayrıca çalınan verilerin ihlal verisi toplulukları veya hack forumlarında dolaşıma girme riskinin sürdüğü belirtiliyor

Zendesk destek sistemine kadar uzanan ihlal

  • Internet Archive bu kez Zendesk e-posta destek platformu üzerinden yeniden ihlal edildi
  • Geçmişte Internet Archive’a kaldırma talebi göndermiş birçok kullanıcı bir yanıt aldı ve mesaj, kuruluşun çalınan kimlik doğrulama token’larını düzgün şekilde değiştirmediği uyarısını içeriyordu
  • Saldırganın e-postasında, Internet Archive’ın birkaç hafta önce ihlali fark etmesine rağmen GitLab secrets içinde açığa çıkmış çeşitli API anahtarlarını döndürmediği belirtiliyordu
  • Saldırgan, Zendesk token’ının 2018’den bu yana info@archive.org adresine gönderilen 800 binden fazla destek kaydına erişim verdiğini söyledi
  • İlgili e-posta başlıkları DKIM, DMARC, SPF doğrulama kontrollerinin tamamını geçti ve mesajın 192.161.151.10 adresindeki yetkili bir Zendesk sunucusundan gönderildiği doğrulandı

Destek kaydı eklerinin açığa çıkmış olma ihtimali

  • Bazı kullanıcılar Wayback Machine’de bir sayfanın kaldırılmasını isterken kişisel kimlik belgelerini yüklemek zorunda kalmıştı
  • Saldırgan Zendesk API erişimiyle destek kayıtlarını indirdiyse, bu ek dosyalara da erişmiş olabilir
  • Zendesk’te destek kaydı eklerini görüntülemeye yönelik bir API bulunuyor; gerçek sızıntı kapsamı ise saldırganın sahip olduğu API yetkilerine ve bunları kullanıp kullanmadığına bağlı

GitLab token sızıntısı ve önceki saldırılar

  • 9 Ekim’de Internet Archive aynı dönemde iki farklı saldırıya maruz kaldı
    • Sitedeki 33 milyon kullanıcının verilerinin çalındığı veri ihlali
    • Kendini Filistin yanlısı olarak tanımlayan SN_BlackMeta grubunun DDoS saldırısı
  • Bu iki saldırı aynı dönemde gerçekleşti ancak farklı saldırganlar tarafından yürütüldü
  • Birçok yayın organı SN_BlackMeta’yı veri ihlalinin arkasındaki taraf olarak yanlış aktardı, ancak gerçek veri ihlali saldırganı BleepingComputer ile ayrı olarak iletişime geçip yöntemi anlattı
  • İlk ihlal, Internet Archive’ın geliştirme sunucusu services-hls.dev.archive.org üzerinde açığa çıkan bir GitLab yapılandırma dosyasından başladı
  • Söz konusu GitLab token’ının en az Aralık 2022’den beri açığa çıktığı ve sonrasında birkaç kez döndürüldüğü doğrulandı

Kaynak koddan devam eden ek erişim

  • Saldırgan, GitLab yapılandırma dosyasındaki kimlik doğrulama token’ı sayesinde Internet Archive’ın kaynak kodunu indirmesinin mümkün olduğunu söyledi
  • Saldırgan, kaynak kod içinde ek kimlik bilgileri ve kimlik doğrulama token’ları bulduğunu iddia etti
  • Bunlar arasında Internet Archive’ın veritabanı yönetim sistemi kimlik bilgileri de vardı ve bunlarla şu erişimlerin mümkün olduğu öne sürüldü
    • Kuruluşun kullanıcı veritabanını indirme
    • Ek kaynak kod indirme
    • Siteyi değiştirme
  • Saldırgan Internet Archive’dan 7 TB veri çaldığını iddia etti ancak bunu destekleyen örnek bir kanıt paylaşmadı
  • Daha sonra çalınan veriler arasında Internet Archive’ın Zendesk destek sistemi için kullanılan API erişim token’ının da bulunduğu ortaya çıktı

Tekrarlanan uyarılara rağmen kalan müdahale boşlukları

  • BleepingComputer, ihlalin nasıl gerçekleştiğini ve motivasyonunu paylaşmayı teklif ederek Internet Archive ile birçok kez iletişime geçti
  • En son iletişim cuma günü kuruldu ancak yanıt alınamadı
  • Bu son Zendesk ihlali, saldırganın GitLab kimlik doğrulama token sızıntısından sonra ilgili token’ların yeterince değiştirilmediği yönündeki iddiasıyla bağlantılı görünüyor

Saldırı motivasyonu ve veri dolaşımı riski

  • Internet Archive ihlalinin ardından, arkasında İsrail, ABD hükümeti veya telif hakkı anlaşmazlığı yaşayan şirketlerin olduğu yönünde komplo teorileri yayıldı
  • Bu ihlal, siyasi ya da maddi nedenlerden çok saldırganın bunu yapabildiği için gerçekleşmişe daha yakın görünüyor
  • Çalınan veri ticareti topluluklarında şu motivasyonlar bulunuyor
    • Mağduru şantajla para ödemeye zorlamak
    • Verileri başka saldırganlara satmak
    • İhlal verisi toplamak
    • Açık sızıntıyla cyber street cred kazanmak
  • Internet Archive tanınmış ve çok popüler bir web sitesi olduğu için saldırganın itibarını artırmasına yardımcı oluyor
  • Bu ihlali hiç kimse kamuya açık biçimde üstlenmedi, ancak saldırganın başkalarıyla grup sohbeti sırasında ihlali gerçekleştirdiği ve birkaç kişinin çalınan verilerin bir kısmını aldığı bildiriliyor
  • Söz konusu veritabanı ihlal verisi topluluklarında el değiştiriyor olabilir ve gelecekte Breached gibi hack forumlarına ücretsiz olarak sızdırılabilir

1 yorum

 
GN⁺ 2024-10-21
Hacker News yorumları
  • Internet Archive gibi özgeci bir hizmete saldıran tehdit aktörlerini görmek gerçekten üzücü. Bu tür gerici davranışlar moral bozuyor

    • Saldırganı savunmaya çalışmıyorum; IA’yı bir kamu malı olarak görüyorum. Yine de bu vakadaki mesajlardan biri, IA’nın gözden kaçırdığı bir sorunu haber vermeye çalışmış gibi de okunuyor.
      “İster genel bir soru sormaya çalışmış olun, ister Wayback Machine’den bir sitenin silinmesini talep etmiş olun, verileriniz artık rastgele bir kişinin elinde. Ben olmasaydım başka biri olurdu.”
      Bu yüzden bu kadar önemli bir işten tek bir kuruluşun sorumlu olmaması gerektiği fikrinde haklılık payı var mı diye düşündürüyor
    • Hayali mülkiyet hakları doktrinine derinden batmış ve geçimi buna bağlı çok insan olduğu için çok da şaşırtıcı değil
    • Başka açıdan bakınca, IA’yı ihlal edip bunu kamuya duyuran ve sistemi düzeltmelerini isteyen türden biri olduğu için şükretmek bile gerekebilir. Başka bir saldırgan her şeyi uçurabilir, içerikleri gizlice değiştirebilir ya da akla gelebilecek daha kötü şeyler yapabilirdi
      Çok miktarda kişisel tanımlanabilir bilgi işleyen dev bir kuruluşun güvenliği hiç umursamadığını ortaya koyması açısından bir kamu yararı işlevi görüyor sayılır
    • Trafiği yüksek olan her şey hedef olur. Kuruluşun ne yaptığı değil, potansiyel erişim alanı daha önemlidir
      Suç eylemi suç eylemidir. Çok sayıda ziyaretçi çeken yerlerin, müşterilerinin mağdur olmaması için düzgün güvenlik önlemleri alması gerekir
    • Saldırganın yalnızca sokak itibarı peşinde olduğu anlaşılıyor; ikinci ihlal de IA’nın ilk ihlalden sonra bile düzgün şekilde düzeltme yapmadığına dair bir hatırlatma sinyali gibi görünüyor
      Daha kötüsü olabilirdi
  • Bilgi güvenliği bilgisi sağlam olan biri için, iyi bir amaç uğruna ücretsiz uzmanlık sunmak adına iyi bir fırsat

    • Şu anda bu tür tekliflerin o kadar çok geldiğini ve arada kaybolduklarını tahmin ediyorum
    • Bu noktada en baştan yeniden yazmayı düşünmek gerek. Muhtemelen 1992 civarından kalma bir teknoloji yığını çalıştırıyorlardır
  • Library of Congress interneti korumalı ve bu işi yapacak bütçeye de sahip olmalı
    “Library of Congress” misyonuyla da uyumlu. Belirli bir zamanda internette ne olduğuna dair doğru bir kayda sahip olmak, internetle ilgili yasa yapımı veya düzenlemeleri tartışırken yardımcı olur

  • Dağıtık depolama tabanlı bir arşive ihtiyaç var. Internet Archive’ın çalışmalarını seviyor ve destekliyorum ama tarihi koruma işi, tek bir kuruluşa, yani tek bir arıza noktasına bırakılmayacak kadar önemli

    • Bu tür yazılar her geldiğinde yorumlarda en az bir kez bu konu açılıyor
      IA da depolamayı dağıtmayı denedi, ama sözde kaldığı kadar gerçekten kendi depolama alanını açan yeterli sayıda kişi olmadı
    • “Çok sayıda kopya, verileri güvende tutar” yaklaşımı var
      https://www.lockss.org/
      Rastgeleleştirilmiş bir mutabakat protokolüne dayanan harika bir sistem. Bilgi güvenliği makalesi konusu yapmak istemiştim, ama güvenlik modeli o kadar iyi tasarlanmıştı ki benim ekleyebileceğim bir şey yoktu
    • Web’i dağıtık arşivlere uygun hâle getirmek için hedeflere, bir sunucunun tutarlı biçimde sunacağını ima ettiği ama gerçekte türlü nedenlerle her seferinde farklı veri gösteren yollar yerine hash ile referans verilmesi gerektiğini düşünüyorum
      Farklı veriler her zaman farklı referanslar alırsa, yeterli yedeğin olup olmadığını anlamak kolaylaşır. Aynı ad, farklı koşullarda alınmış anlık görüntü yığınlarını gösteriyorsa, o ad için yedeklemek istediğimiz şeyin ne olduğundan emin olmak zorlaşır
    • LibGen ve Sci-Hub bu konuda örnek alınacak durumda. Amaçlarına uygun teknolojiyi iyi kullanıyorlar. Torrent + IPFS + basit HTTP aynaları çeşitli yerlere koyuyorlar
      Veri büyük, ama Archive.org kadar büyük değil: https://libgen.is/repository_torrent/. Yine de bu tür dağıtık düğümlere gidecek finansman gerekiyor ve ana amaç dayanıklılık gibi görünüyor
    • “Diskimdeki boş 2 TB alanı Internet Archive’a bağışlayacağım” dendiğinde IA’nın 2 TB veriyi içine iteceği bir sistem tasarlamıştım. Bu sistem, IA veya başka bir sağlayıcı ortadan kalksa bile yeniden oluşturulabilir nitelikteydi
      Ama IA dâhil birkaç arşiv ekibine kullanmak isteyip istemediklerini sorduğumda ya hiç yanıt alamadım ya da olumsuz yanıt aldım
  • Internet Archive’ı kimin, neden hedef aldığını bilen var mı? Saldırı, basit bir şaka amaçlı vandallık olarak görülemeyecek kadar sofistike izlenimi veriyor

    • Bana sadece tuzluğa işemek gibi görünüyor. Internet Archive’ın açıkça koli bandı ve bireysel irade gücüyle ayakta duran bir yapısı var. Tabii sağlam ve uzun ömürlü koli bandı olduğu da doğru
      Üstelik ana görevi veriyi yaymak; gelir elde etmek için veriyi saklamak değil
      Tuzluk benzetmesini bilmeyenler için kadim bilgeliğin özgün metni:
      https://web.archive.org/web/20060619131835/http://xelios.liv...
      Çeviri olarak herhangi birini seçebilirsiniz:
      https://malaya-zemlya.livejournal.com/697779.html
      https://personal-view.com/talks/discussion/25915/humor-hacke...
      https://www.linkedin.com/pulse/hacker-restaurant-alexander-s...
    • Neden öyle hissettiğini bilmiyorum. Saldırganın mesajlarına bakınca hepsi şaka amaçlı vandal gibi görünüyor; IA sistemlerinin Fort Knox gibi göründüğüne dair bir işaret de görmedim
      En başta kendilerini hedef almak için pek neden olmadığını düşünüp güvenlik konusunda epey gevşek davranmış olmaları şaşırtıcı olmaz
    • İlk hack’i yaptığını iddia eden grubun Rusya merkezli, ABD karşıtı ve Filistin yanlısı eğilimde olduğu biliniyordu; saldırı gerekçesi olarak da IA’nın telif hakkı ihlallerini göstermişlerdi
      Herkes daha sağlam dayanağı olan kendi sonucuna varabilir ama bana güçlü biçimde devlet kurumu kokusu geliyor
    • Liderlik değişimi isteyen yorumların çokluğuna bakınca, alüminyum folyo şapka teorisi olarak bunun liderlik değişimini zorlamaya yönelik organize bir girişim olduğu da düşünülebilir
    • Belki de beyaz şapkalı hacker’lar IA’ya güvenlik sorunlarını bildirip görmezden gelinince, büyük bir zarar verilmemiş gibi görünen bir şekilde hack’leyerek aksiyon alınmasını zorlamış olabilir
  • Finansman modelinin ne olduğunu bilmiyorum ama nakit varsa güvenlik ekibi işe almak bence en öncelikli yatırım kalemi olmalı

    • En azından şu anda IA’nın finansman modeli, devasa bir hukuki kararın sonucunu soğuk terler içinde beklemek gibi görünüyor olabilir
  • Hangi vandal bir kütüphaneye saldırır? Sorumluları gerçekten bulmak gerekiyor

    • Bu tür internet saldırıları Minecraft sunucusu işleten çocukların, küçük işletme sahiplerinin, amatör programcıların vb. başına her zaman geliyor. Sorumluları bulmak çoğu zaman zor ya da imkânsız; FBI gibi kurumlar da kaynaklarını genelde daha büyük olaylara, örneğin uyuşturucu kaçakçılığına veya haraç almaya odaklı siber suçlara ayırıyor
      Üzücü gerçek şu ki internette haksız yere saldırıya uğrayan çok kişi var ve soruşturma odağı ile kaynak eksikliği nedeniyle bunların önemli bir kısmı cezasız kalıyor
    • Bu saldırıdan kim çıkar sağlıyor? IA’dan kitapları kaldırması için kim baskı yaptı?
  • Wayback Machine anlık görüntüsü bir davaya her yardımcı olduğunda avukatların IA’ya birkaç dolar gönderdiği bir dünya hayal ediyorum. O zaman kısa sürede dünya çapında bir yönetici ekibini karşılayabilirlerdi

    • Bu berbat bir çözüm. Wayback Machine, alan adını kontrol eden kişinin talebiyle anlık görüntüleri kaldırıyor. Bu bir arşiv değil
      Geçmişte bir web sayfasının durumu önemliyse, karşı taraf istedi diye kaybolmayan bir kayda ihtiyaç var. perma.cc tam da bu fikre dayanıyor
  • Neredeyse 1 yıl önce özgeçmişimi göndermiştim, düne kadar hiç yanıt gelmemişti. Şimdi bekleyen başvuruları karıştırıp iş gücü arıyorlar gibi görünüyor

  • IA’dan daha iyi bir alternatife ihtiyaç olduğunu düşünen, başka bir çözüm olduğuna inanan ya da bunu başka bir kuruluşun işletmesi gerektiğini savunan herkese: rekabetçi bir alternatifin ortaya çıkmasını kimse engellemedi
    IA’nın zaten yaptığı ve paylaştığı çalışmalar sayesinde başlangıç noktası açısından da öndesiniz; deneyip görebilirsiniz