Mengingat kasus peretasan Roblox kuno, di sebuah situs staging nonproduksi pengguna bisa mendaftar, dan ada banner bertuliskan, "Semua yang ada di sini tidak permanen." Ketika akun admin baru ditambahkan ke akun produksi, seseorang mendaftar di situs staging dengan nama pengguna yang sama lalu menggunakan cookie dan token untuk mengambil alih akun produksi dan membahayakan situs. Sulit membayangkan masalah seperti ini jarang terjadi: saat token terenkripsi dibuat berdasarkan nama pengguna atau ID pengguna, jika tidak ada rahasia berbeda untuk produksi/staging, jika situs staging berkomunikasi dengan layanan eksternal yang mengacaukan hak akses produksi, dan sebagainya.
Batas antara pengembangan/produksi di perusahaan besar jauh lebih permeabel daripada yang orang kira. Jika memikirkan hari kerja biasa, Anda login ke PC, mengecek email, lalu login ke portal Azure dengan kredensial yang sama (semuanya didukung oleh tenant yang sama). Akun itu terhubung ke GitHub dan akun cloud.
Agar orang bisa bekerja di Teams atau OneDrive, grup dan tim dengan izin yang sulit dipahami dibuat di mana-mana, dan semuanya tetap ada sebagai grup keamanan di direktori perusahaan yang nyaris tak bisa dibedakan satu sama lain.
Kadang menerima email otomatis yang menanyakan apakah masih menggunakan sesuatu yang diperlukan, tetapi pesannya tidak jelas, dan di perusahaan yang benar-benar besar tidak ada orang untuk ditanya (help desk butuh dua hari untuk menjawab, dan Anda juga tidak bisa menghubungi John Savill di Twitter, jadi Anda cukup menekan konfirmasi lalu lanjut).
Pada akhirnya, strukturnya robek, dan penyerang beruntung di titik lemah lalu mendapatkan apa yang mereka inginkan lintas tenant.
Seperti pernah dikatakan seorang CISO yang bijak, peretas tidak membobol, mereka login.
Di industri keamanan siber, ini umumnya dikenal sebagai "whoopsie".
Peneliti sekaligus pakar keamanan Kevin Beaumont menunjukkan di Mastodon bahwa akun yang dapat menetapkan peran 'full_access_as_app' ke aplikasi OAuth seharusnya harus memiliki hak admin. Ia mengatakan "seseorang" membuat kesalahan konfigurasi yang cukup besar di lingkungan produksi.
Saya tidak tahu detail sistemnya, tetapi rasanya itu bukan inti masalahnya, dan saya terkejut ada pakar yang mengatakan itulah masalahnya. Seharusnya tidak ada cara untuk membuat kesalahan seperti itu. Perancang dan administrator harus membuatnya mustahil, dan mereka harus bertanggung jawab.
Meskipun ada sertifikasi keamanan yang keren, praktik terbaik yang dipikirkan matang-matang dalam buku seharga $36 di Amazon tampaknya diabaikan sepenuhnya.
Yang kurang dari posting ini: bagaimana penulis mendefinisikan "produksi", dan bagaimana akun "nonproduksi" bisa memiliki hak administratif atas domain produksi.
Pola ini bukan pengecualian melainkan aturan di seluruh ekosistem MS, tetapi Microsoft sendiri melakukannya terasa sangat memalukan.
Di sebuah perusahaan, kata sandi semua server produksi dan database disimpan dalam file teks di repositori kode, karena chief architect tidak ingin mengingat kata sandi. Ketika saya menunjukkan kepada CTO betapa bodohnya hal itu, saya mendapat jawaban, "Kami memercayai karyawan kami," dan juga, "Kami lulus audit keamanan."
Saya tidak suka ketika di tempat kerja baru seseorang memberi banyak izin hanya karena "lebih mudah". Itu seharusnya tidak dilakukan. Bukan hanya membuat perusahaan terekspos, tetapi juga membebankan tanggung jawab yang tidak diinginkan pada saya. Saya bisa tanpa sengaja merusak sesuatu yang penting, dan jika saya diretas, orang bisa mencurigai bahwa saya pelakunya karena saya memang punya izin.
Mengapa ini dianggap sebagai "kesalahan"? Bisa saja ini tindakan seorang mata-mata yang bekerja sebagai administrator di Microsoft.
1 komentar
Komentar Hacker News