SolarWind,已经有了足够的密码
关于SolarWind hack的复杂性和细微差别,这是一个延迟很长时间的讨论。来自Infosec社区的某些部分的简单和错误的消息传递导致对公共领域黑客的严重误解。由于这些不良行为被视为有说服力的分析,因此这已扩展到政策领域。
这是一个普遍公认的真理,即通过间谍手段,目的证明手段是正当的。所有间谍组织,反对派和您自己的组织都是如此。为什么这样有意义?因为任何用来阻碍反对派的标准也将适用于并且阻碍您的反对。
有时,制定有关可接受的间谍行为的全面规则不是问题。几乎总是在这种情况下,某种类型的行动与产生间谍机构的社会格格不入。中国广泛利用其侨民社区从事间谍活动。美国拥有成千上万受过训练的专业人员,并且没有使用他们的散居社区来进行自下而上的有机收集。美国有时会聘用平民(中国有专业人员),但一般来说,散居国外的方法是只有中国才能广泛使用的一种方法。
进一步扩大这一点:如果提出一项间谍法规则,禁止使用专业人员,但允许使用业余平民,中国将能够轻松地适应新的间谍环境。美国将受到严重限制。因此,美国不会签署或遵守此类要求。 (由于间谍活动目标的性质和国家政策,这使情况进一步复杂化,但我们可以在另一天对此进行探讨。)
这使我针对民用公司和供应链攻击。美国使用这些方法的频率比俄国人高,甚至更多。 FLAME是一种针对中东实体的恶意软件,它利用Microsoft签署更新程序的方式利用了一个密码错误。然后,NSA能够将恶意代码注入Microsoft软件的更新中。就像SolarWinds一样,它专门用于确保仅感染和收集合法的间谍目标。
没有任何规则可以禁止美国愿意自己遵守的SolarWinds间谍活动。
事情是这样的:攻击者是俄罗斯的外国情报人员,是旧克格勃的精华,他们将找到一种途径来接近目标。他们是否需要在公司招募开发人员并诱使他们安装恶意软件?他们会那样做。
他们不需要通过构建服务器上的弱密码访问目标。如果那是他们使用的东西,那么那就是他们使用的东西,但这不是操作的成败因素。
这里的部分问题可能是对网络杀伤链的表面理解给人的印象是,如果您只停止链中的“一个关键TTP”,那么您将击败对手。这仅适用于不灵活且仅使用一种技术的对手。该描述不适用于俄罗斯情报部门。
情报机构有目标,他们将找到访问目标的技术。不要以一种技巧开始,而是寻找他们可以访问的目标。
SolarWind后门已被深深地集成到代码中,并在构建过程中注入了代码,而密码弱的服务器绝不是关键因素。好像俄罗斯情报部门只是放弃了一个强密码一样就放弃了!
无论如何,服务器的密码实际上几乎与黑客行为无关。我可以原谅新闻媒体的无知,但是一些信息安全人士正在重复这种垃圾,好像它是SolarWind折衷方案的重要组成部分。
“犯罪通常被低估。当公司被黑客入侵时,他们会做出反应,就好像他们只是做这件事或避免了这一错误一样,一切都会好起来的。对手被当成幸运的样子。” —网络攻击和利用@networkattack
人们认为弱密码示例是相关的,因为它说明了总体上不良的安全做法。如果那是提出的论点,我会同意你的看法。它不是。您必须使用ppl说的话,而不是您希望他们说的话。
‘’安全研究员Vinoth Kumar告诉路透社,去年,他警告该公司,任何人都可以使用密码“ solarwinds123”来访问SolarWinds的更新服务器。“任何攻击者都可以轻易地做到这一点,” Kumar说。’
我绝对同意“这说明了不良的安全做法”,但是……这并不是我所说的。他们从字面上说弱密码意味着攻击者可以是任何人。任何人都可以做到。那是最愚蠢的做法。
我完全愿意相信他们的构建服务器使用的是“ admin:admin”,这就是俄罗斯人获得注入其代码的权限的方法……但是,这是秘密的情报行动。他们之所以不能成功,仅仅是因为SolarWind的密码卫生状况很差。
SVR是由克格勃(KGB)的首任总局(FCD)成立的。克格勃最负盛名的首长级理事会。作为SVR,它们仍然非常强大。
我怀疑主要动机是攻击将启用的访问权限,而不是公司的脆弱性。这就是SVR,即克格勃(第一任首长级)的精华。它们不会受到密码策略的困扰。
那真是让我感到烦恼……无论SolarWind多么容易被黑客入侵,他们都被克格勃第一他妈的首长级官员所入侵。在哈瓦那,很可能用微波炉炸外交官的人。他们是他妈的金属。
对于KGB来说,SolarWind很难让克格勃在启用操作中使用它们吗?是的,可以达到那种安全级别。创建具有快速补救和事件响应功能的强大快速检测功能,将使攻击者很难在任何时间停留,或者在他们获得访问权限后仍然留在系统上。它需要保持警惕和付出一些努力,但是可以做到。当然,SolarWind并没有达到这个水平。
