2 puan yazan GN⁺ 2024-10-22 | 1 yorum | WhatsApp'ta paylaş
  • Bazı Microsoft bulut müşterileri 2 haftadan uzun güvenlik günlüğü boşluğu yaşadı; bu nedenle sızma tespiti ve olay sonrası analiz için gerekli verileri kaybetmiş olabilirler
  • 2 Eylül’den 19 Eylül’e kadar dahili izleme ajanındaki bir hata, bazı günlüklerin yüklenmesini engelledi ve dahili günlükleme platformunda veri kalmadı
  • Microsoft, nedenin bir güvenlik olayı değil, operasyonel bir hata olduğunu ve etkinin “günlük olayı toplama” ile sınırlı kaldığını açıkladı
  • Etkilenen ürünler arasında Microsoft Entra, Sentinel, Defender for Cloud, Purview yer alıyor; müşterilerin veri analizi, tehdit tespiti ve güvenlik uyarısı üretme süreçlerinde boşluk oluşmuş olabilir
  • Microsoft’un 2023’te Çin bağlantılı sızma olayının ardından düşük tarifelere de günlük erişimini genişleteceğini söylemiş olması nedeniyle, bulut güvenliği günlüklerinin erişilebilirliği ve saklama güvenilirliği yeniden tartışma konusu oldu

Microsoft bulut güvenliği günlüklerinde eksiklik

  • Microsoft, bazı bulut ürünü müşterilerine 2 haftadan uzun güvenlik günlüğünün eksik olduğunu bildirdi
    • Eksik dönem 2 Eylül’den 19 Eylül’e kadar
    • Müşteri bildiriminde, Microsoft’un dahili izleme ajanlarının bir kısmının günlük verilerini dahili günlükleme platformuna yükleme sürecinde hatalı çalıştığı belirtildi
  • Söz konusu günlükleme kesintisi bir güvenlik olayından kaynaklanmadı; Microsoft etkinin yalnızca “günlük olayı toplama” üzerinde olduğunu açıkladı
  • Günlükleme, ürün içindeki olayları izleyen bir işlevdir ve kullanıcı oturum açma bilgileri ile başarısız denemeler gibi verileri içerebilir
    • Günlükler olmadığında, ilgili dönemde müşteri ağına yönelik yetkisiz erişimi belirlemek daha zor hale gelebilir
  • Business Insider, Ekim başında günlük verisi kaybını ilk haberleştiren kuruluş oldu
  • Güvenlik araştırmacısı Kevin Beaumont, Microsoft’un etkilenen şirketlere gönderdiği bildirimin büyük olasılıkla yalnızca tenant yönetici yetkisine sahip az sayıda kullanıcı tarafından görülebileceğini düşünüyor

Etkilenen ürünler ve müşteri etkisi

  • Etkilenen ürünler arasında Microsoft Entra, Sentinel, Defender for Cloud, Purview bulunuyor
  • Müşteri bildirimi, güvenlikle ilgili günlüklerde veya olaylarda olası boşluklar oluşmuş olabileceğini belirtiyor
    • Bu boşluk, veri analizi, tehdit tespiti ve güvenlik uyarısı üretme becerisini etkilemiş olabilir
  • Microsoft, günlükleme kesintisine ilişkin spesifik soruları yanıtlamadı; ancak corporate vice president John Sheehan nedeni “dahili izleme ajanındaki operasyonel hata” olarak doğruladı
    • Microsoft, sorunu hafifletmek için hizmet değişikliğini geri aldı
    • Etkilenen tüm müşterileri bilgilendirdiğini ve gerekli desteği sağlayacağını söyledi

2023’teki Çin bağlantılı sızmadan sonra günlük sorunu yeniden gündemde

  • Bu kesinti, Microsoft’un 2023’te ABD federal müfettişleri tarafından bazı ABD federal hükümet birimlerine güvenlik günlükleri sağlamadığı için eleştirilmesinden 1 yıl sonra yaşandı
    • O dönem müfettişler, bu günlüklere erişilebilseydi Çin bağlantılı sızmanın çok daha hızlı tespit edilebileceğini değerlendirmişti
  • Çin bağlantılı saldırgan Storm-0558, Microsoft ağına sızarak dijital bir “skeleton key” çaldı
    • Bu anahtarla Microsoft bulutunda saklanan ABD hükümeti e-postalarına sınırsız erişim sağlanabiliyordu
  • Hükümetin siber saldırı sonrası analizine göre State Department, daha yüksek seviyeli bir Microsoft lisansı satın alıp bulut ürünlerinin güvenlik günlüklerine erişebildiği için sızmayı tespit etti
    • Saldırıdan etkilenen diğer birçok ABD hükümet kurumu aynı günlük erişim yetkisine sahip değildi
  • Çin bağlantılı saldırının ardından Microsoft, Eylül 2023’ten itibaren düşük tarifeli bulut hesaplarına da günlük sağlayacağını açıkladı

1 yorum

 
GN⁺ 2024-10-22
Hacker News yorumları
  • Gerçekçi bir üretim ortamında Azure kullanıyorsanız bence sorumluluk sizde.
    100 bin dolar değerinde ücretsiz kredi verseler bile beni bir aydan fazla kullanmaya ikna edemezlerdi.
    Pahalı, arayüzü son derece kullanıcı düşmanı ve en önemlisi bu tür olaylar yüzünden ürünleri, üretim yükleri için güvenilir görünecek kadar sağlam durmuyor.

    • Başka bulut sağlayıcılarından Azure’a geçince koyu turuncu uyarı ışıkları çok fazla.
      Her şey tutarsız ve yamalı bohça gibi birbirine eklenmiş hissettiriyor; birinin bunu düzgün biçimde güvenlik denetiminden geçirebileceğine inanmak zor.
      En rahatsız edici kısım oturum açma: saçma sapan çok sayıda yönlendirme ve hata var, tasarlandığı gibi çalıştığını söylemek zor.
      Örneğin BAA’yı indirmeye çalıştığımda güvenilir web sitesinde bir oturum açma döngüsüne girdim, ama aynı tarayıcıda Azure konsolunu sorunsuz görebiliyordum.
      Yeni oturum açmanın işe yarayıp yaramayacağını görmek için Azure hesabımdan çıktım; sonraki girişte iki faktörlü kimlik doğrulama çıkmadı.
      Tarayıcı penceresinde açıkça oturumu kapattıysam, o cihaza yönelik güveni geri çekmişim demektir; bu yüzden iki faktörlü kimlik doğrulamanın tetiklenmemesi bence büyük bir uyarı işareti.
      Sonuçta BAA’yı da alamadım, destek kaydı da açamadım; ama tuhaf biçimde bir iş arkadaşım normal şekilde indirebildi.
    • Geçenlerde bir yerde tüm Linux makinelerine MS yazılımı kurup Azure’a entegre etmeye çalıştıklarını görünce güldüm.
      O noktada durup biraz düşünmek gerekir.
      En başta güvenilir bir sistem istediğiniz için Linux’u seçmemiş miydiniz?
    • “Daha iyisini yapabiliriz” sözüne trollük etmek istemem ama gerçekten yapamadıklarını düşünüyorum.
      Yaptıkları son “iyi” ürün SQL Server/Exchange/Windows 2000’di; o da çok uzun zaman önceydi.
    • İçeride de durum böyle: “LinkedIn bile Microsoft bulutuna o kadar hevesli değil: Azure’a geçişten vazgeçti”
      https://www.theregister.com/2023/12/14/linkedin_abandons_mig...
    • Ne yazık ki bu tür seçimleri üst yönetim yapıyor ve onlar sadece modayı takip ediyor.
  • Neredeyse her ekibin VM’lerde çalışan uygulamasında gerçek bir hata vardı; bu uygulama da uygulama günlüklerini depolamaya iten bir yapıdaydı.
    Bizim ekip de günlüklerin tekrar akması için süreci yeniden başlatmak zorunda kaldı.
    Bu bir sev 0 olayıydı ve normalde arka planda sessizce çalışan ajanı çok sayıda ekibin elle yeniden başlatması gerektiği için kolayca düzeltilemeyecek bir hataydı.

    • Microsoft makul derinlikte otomasyon testleri yapmış olsaydı böyle şeylerin sürekli yaşanmayacağını düşünüyorum.
      Yakın zamandaki küresel ClownStrike kesintisi, dağıtımdan önce test eksikliğini gösterdi; bu Microsoft sorunu ise aynı şeyin Windows’un kök tarafında da yaşandığını gösteriyor.
      Hoş bir görüntü değil.
    • Bunun Microsoft içinden bir hikâye mi, yoksa müşteri olarak yaşanan bir şey mi olduğunu merak ediyorum.
  • Etkilenen ürünler arasında Microsoft Entra, Sentinel, Defender for Cloud ve Purview’un yer alması can yakıcı.
    Entra’nın, yani eski Azure Active Directory’nin etkilenmiş olması oldukça ciddi.
    Yine de SSO günlüklerine kimin ihtiyacı var ki?

    • Gökyüzüne bakıp bir asteroidin Dünya’ya düşeceğini düşünmediğim zamanlar vardı.
      Bilmemek mutluluktur.
      Ayrıca Entra yazısını görünce Encarta sandım ve hâlâ var sanıp bir an heyecanlandım.
    • Aman Tanrım, Microsoft bir isim seçip ona sadık kalmalı.
      Azure Active Directory de harika bir isim değildi ama her şeyi sürekli yeniden markalamak çok yorucu.
    • İspanyolcada entra “içeri gir” anlamına geldiği için şakalara çok açık.
    • Bizim ihtiyacımız var. Uyumluluk yükümlülüklerimiz var.
      Neyse ki üretim sistemleri Entra’ya entegre değil; sadece müşterilerle ilgisi olmayan şeyler bağlı.
    • Günlük yoksa ihlal de yoktur.
  • Bunun hangi istihbarat operasyonunu desteklemiş olabileceğini merak ediyorum.

    • Biz buna APT -1, yani Microsoft diyoruz.
    • Hiçbir şey değil. Microsoft’un dahili günlükleme altyapısı 90’lardan kalma.
  • Bir aydan biraz fazla süre önce çıkan şu uzun yazıyı da unutmamak gerek.
    Microsoft’un denizaşırı siber güvenlikte başarısız olduğunu ve bunu kasıtlı olarak ihmal etmiş gibi görünen durumları özetleyen bir yazı.
    https://www.lawenforcementtoday.com/bombshell-allegations-th...

    • Bir yandan bu raporda önemli bir öz var.
      Öte yandan Schiller tamamen güvenilir bir tanık gibi görünmüyor; devlet denetimi talep ettiği kişilerin de aşırı MAGA Cumhuriyetçi vekillerle sınırlı görünmesi bir şeyler ima ediyor.
      Yine de şu iki noktaya %100 katılıyorum: 1) kritik ABD kamu altyapısının desteği için yabancı uyruklu destek personeline bağımlı olunmamalı; 2) hiper ölçekleyiciler dahil tüm büyük teknoloji şirketleri, Çin’de iş yapabilmek için Tencent, Alicloud gibi yerel aracı işletmeler üzerinden Çin hükümeti alanı ile anlaşmalar yapıyor.
      Bu sözleşmeler ve Çin tarafındaki personelin donanım-yazılım yığınına doğrudan erişebilmesini sağlayan şartlar üzerinde yeterli denetim yok.
  • Bunu neden açıkça kabul ettiler ki?

    • Raporlamayı çoğu güvenlik ekibinin erişemediği bir aracın içine sakladıkları ortaya çıktığı için.
    • Belki de ileride yabancı bir aktörün günlükleri sildiğini kabul etmek zorunda kaldıklarında bunun büyük haber gibi görünmemesi için şimdiden zemin hazırlıyorlardır.
      MSFT’nin böyle işleri ele alırken sık kullandığı yöntem bu.
  • Azure pek iyi değil.
    Özellikle Batch Service’te iş zamanlayıcısı hiç doğru çalışmıyor.

  • Şimdiye kadar gördüğüm en kötü altyapıya ve berbat operasyon pratiklerine sahip yerler bile böyle bir şeyi fiilen imkânsız kılacak gelişmiş önlemler almıştı.
    Çünkü böyle bir şey olursa gerçekten çok ciddi olur.
    Bu olaydan önce bile işimi Azure yönetilen bulut altyapısı üzerine kurmak isteyeceğimi sanmıyorum.
    Böyle bir şeyin tüm sistemde kritik bir hata olmadan nasıl mümkün olabileceğine dair düşünce deneyi yapmaya çalışsam da pek gözümde canlandıramıyorum.

  • Burada msft’nin Google’dan daha kurumsal dostu olduğunu söyleyen yorumlar vardı.
    Gerekçe verileri kaybetmemesiydi; oysa msft güvenilirliğin tam karşı tarafında.

  • Bir örtbas kokusu var.
    “Platformumuzdaki açık müşteri syslog’unda göründü!” “Çabuk herkes, günlükleri kaybedip biraz daha zaman kazanalım” gibi görünüyor.