Juni 2021 Sikkerhet Roundup

Sommer er her! For mange mennesker har det betydd varme temperaturer, svømming og en mye bedre sommer enn i fjor. For oss på SSL.com betyr det at det er på tide å se tilbake på juni og se hva som skjedde i digital sikkerhet. Les videre for hva vi har funnet, og la kunnskapen veilede deg mot trygge onlineopplevelser fremover.

RockYou2021: Milliarder passord lekker online

Vel, det skjedde. Verdens største samling av passord har lekket, og alle 8.4 milliarder av dem ble lagt ut på et forum brukt av hackere. Som Anthony Spadafora rapporter for techradar pro, passordene var "sannsynligvis kombinert fra tidligere datalekkasjer og brudd." På vanlig måte som foruminnlegg hevdet hackeren at lekkasjen var ti ganger så mye - 82 milliarder - men 8,459,060,239 XNUMX XNUMX XNUMX unike passord er dårlig nok. Artikkelen forklarer en uventet forbindelse fra sosiale medier til MySpace-tiden som ga lekkasjen tittelen:

Forumbrukeren som la ut samlingen av passord har kalt samlingen 'RockYou2021', som sannsynligvis er en referanse til RockYou-databruddet som skjedde i 2009. På den tiden hacket nettkriminelle seg inn på serverne til selskapet som laget widgets for brukere 'MySpace-sider og klarte å skaffe mer enn 32 meter passord lagret i ren tekst.

Lekkasjen er mer enn det dobbelte av det forrige største databruddet: “Sammensetningen av mange brudd. ” Som artikkelen bemerker, kan dette delvis tilskrives det faktum at RockYou2021 inkluderer alle passordene fra samlingen av mange brudd. I tillegg er det verdt å huske at antall passord overstiger antall personer på nettet, som bare er 4.7 milliarder.

SSL.coms takeaway: Hvis du trengte en påminnelse, er det her: Bytt passord ofte og ikke bruk dem på nytt (bruk av passordbehandling kan gjøre dette enklere). Bruk tofaktorautentisering når det er mulig. I tillegg er det alltid en god ide å vurdere gjensidig TLS med klientsertifikater som et alternativ eller tillegg til passordgodkjenning.

Kjøttprodusent betaler $ 11 millioner til Ransomware Attackers

Ransomware angrep har skapt overskrifter i det siste, og det er lett å se hvorfor. I enda en hendelse som forstyrret internasjonal virksomhet, avslørte JBS Foods - verdens største kjøttleverandør - at de hadde betalt 11 millioner dollar for å fikse en hendelse som truet dets internasjonale virksomhet. En uttalelse fra selskapet, rapportert av Simon Sharwood fra Registeret, forklarer at de tok avgjørelsen om å betale opp “(i) n konsultasjon med interne IT-fagpersoner og tredjeparts cybersikkerhetseksperter ... for å redusere uforutsette problemer knyttet til angrepet og sikre at ingen data ble exfiltrert. Artikkelen fortsetter:

“En etterforskning av hendelsen pågår. JBS skrev at det ikke er i stand til å gi "endelige avgjørelser" om hendelsen og beskrev FBIs oppfatning om at gjerningsmennene er "en av de mest spesialiserte og sofistikerte nettkriminelle gruppene i verden".

Faktisk har FBI løslatt en uttalelse som tilskriver angrepet til en gruppe som har vært knyttet til Colonial Pipeline-angrepet.

SSL.coms takeaway: Ransomware koster selskaper over hele verden milliarder av dollar hvert år, og det blir stadig mer motløs å betale disse kriminelle. Vennligst les Forebygge løsepenger med digitale sertifikater for mye mer om slike angrep og hva du kan gjøre for å forhindre dem.

New York State Internal Code Repository eksponert

Å gutt. Tech Crunch's Zach Whittaker rapporterer at en intern kodebank som ble brukt av New York State IT-kontor ble kastet åpen for verden å se. Det er dårlige nyheter, ettersom depotet inneholdt "hemmelige nøkler og passord tilknyttet statlige regjeringssystemer." SpiderSilk, et cybersikkerhetsselskap i Dubai, oppdaget GitLab-serveren, som var "tilgjengelig fra internett og konfigurert slik at alle utenfor organisasjonen kunne opprette en brukerkonto og logge på uhindret" ifølge SpiderSilks sjefs sikkerhetsansvarlige Mossab Hussein TechCrunch.

Etter å ha bekreftet at serveren var åpen og aksepterte nye brukerkontoer, TechCrunch kontaktet guvernørens kontor, og serveren gikk offline etter at den tilsynelatende hadde vært oppe siden minst mars. Til slutt tilskrev en talsperson sikkerhetsbruddet til en leverandør og nektet for at det var noen data i fare.

SSL.coms takeaway: Alle organisasjoner må være på vakt mot å avsløre påloggingsinformasjon og annen sensitiv informasjon på nettet. Vi har nevnt dette før i forbindelse med fjorårets SolarWinds angriper, der FTP-legitimasjon med ren tekst ble lekket i en offentlig GitHub-repo.

ALPACA: Ny studie av kryssprotokollangrep på HTTPS

Denne er litt komplisert, men den er viktig, så vær så snill å ta med oss. I hovedsak, a ny studie ser på den potensielle ødeleggelsen en mann-i-midten-angriper kan skape ved å forvirre en nettleser som prøver å koble til et HTTPS-nettsted og "lure" den til å koble til en server som kjører en annen protokoll, for eksempel en FTP eller e-post server. Forskerne har kalt denne typen applikasjonslagsinnhold forvirringsangrep "ALPACA." Som Ars Technica rapporterer i et stykke av Dan Goodin,

Siden nettleseren kommuniserer i HTTPS og e-postadressen eller FTP-serveren bruker SMTP, FTPS eller en annen protokoll, er det mulig at ting kan gå veldig galt - en dekryptert autentiserings-informasjonskapsel kan for eksempel sendes til angriperen, eller til en angriper. kunne utføre ondsinnet kode på den besøkende maskinen ... I en forskning papir publisert onsdag, Brinkmann og syv andre forskere undersøkte muligheten for å bruke det de kaller kryssprotokollangrep for å omgå TLS beskyttelse. Teknikken innebærer at en MitM-angriper omdirigerer HTTP-forespørsler på tvers av opprinnelse til servere som kommuniserer over SMTP, IMAP, POP3 eller FTP, eller en annen kommunikasjonsprotokoll.

MitM-motstanderen kan ikke dekryptere TLS trafikk, men det er fortsatt andre ting motstanderen kan gjøre. Å tvinge målets nettleser til å koble til en e-post eller FTP-server i stedet for den tiltenkte webserveren, for eksempel, kan føre til at nettleseren skriver en godkjenningskake til FTP-serveren. Eller det kan aktivere skriptangrep på tvers av nettsteder som får nettleseren til å laste ned og utføre ondsinnet JavaScript som er vert på FTP eller e-postserveren.

Artikkelen bemerker at generelt sett er et slikt angrep veldig situasjonelt og retter seg mot individuelle brukere, noe som gjør risikoen for allmennheten ikke så høy for øyeblikket. Imidlertid, ettersom flere tjenester er beskyttet med TLS, det kan bli et mer utbredt mønster, så tiden for å dempe trusselen er nå. ALPACA Attack-studieforfatterne anbefaler bruk av Application Layer Protocol Negotiation (ALPN) og Servernavnindikasjon (SNI) TLS utvidelser for å redusere trusselen.

SSL.coms takeaway: Som forfatterne av studien bemerker, "for at ALPACA-angrepet skal lykkes, må mange forutsetninger være oppfylt," så administratorer trenger sannsynligvis ikke å behandle dette som en krisesituasjon midt i natt. Vi anbefaler imidlertid å lese studien for å forstå hvordan et slikt angrep kan utføres og hvem som kan være sårbare.

 

Abonner på SSL.coms nyhetsbrev

Ikke gå glipp av nye artikler og oppdateringer fra SSL.com

Vi vil gjerne ha tilbakemeldinger

Ta vår spørreundersøkelse og fortell oss dine tanker om ditt nylige kjøp.