2 poin oleh GN⁺ 2024-10-22 | 1 komentar | Bagikan ke WhatsApp
  • Sebagian pelanggan cloud Microsoft mengalami kekosongan log keamanan selama lebih dari 2 minggu, sehingga mungkin kehilangan data yang dibutuhkan untuk deteksi intrusi dan analisis pascainsiden
  • Dari 2 September hingga 19 September, bug pada agen pemantauan internal menghambat pengunggahan sebagian log, sehingga data tidak tersisa di platform logging internal
  • Microsoft menjelaskan bahwa penyebabnya adalah bug operasional, bukan insiden keamanan, dan cakupan dampaknya terbatas pada “pengumpulan event log”
  • Produk yang terdampak mencakup Microsoft Entra, Sentinel, Defender for Cloud, Purview, dan mungkin terjadi kekosongan dalam analisis data, deteksi ancaman, serta pembuatan peringatan keamanan pelanggan
  • Karena setelah insiden intrusi terkait Tiongkok pada 2023 Microsoft telah menyatakan akan memperluas penyediaan log juga ke paket berbiaya rendah, aksesibilitas dan keandalan retensi log keamanan cloud kembali menjadi isu

Hilangnya Log Keamanan Cloud Microsoft

  • Microsoft memberi tahu sebagian pelanggan produk cloud bahwa log keamanan selama lebih dari 2 minggu hilang
    • Periode yang hilang adalah dari 2 September hingga 19 September
    • Dalam pemberitahuan kepada pelanggan disebutkan bahwa sebagian agen pemantauan internal Microsoft mengalami malfungsi saat mengunggah data log ke platform logging internal
  • Gangguan logging tersebut bukan disebabkan oleh insiden keamanan, dan Microsoft menjelaskan dampaknya hanya terjadi pada “pengumpulan event log”
  • Logging adalah fungsi untuk melacak event di dalam produk, dan dapat mencakup data seperti informasi login pengguna dan percobaan yang gagal
    • Tanpa log, pelanggan bisa lebih sulit mengidentifikasi akses tidak sah ke jaringan mereka selama periode tersebut
  • Business Insider pertama kali melaporkan hilangnya data log pada awal Oktober
  • Peneliti keamanan Kevin Beaumont menilai bahwa pemberitahuan yang dikirim Microsoft kepada perusahaan terdampak kemungkinan besar hanya terlihat oleh sejumlah kecil pengguna dengan hak administrator tenant

Produk yang Terdampak dan Dampaknya bagi Pelanggan

  • Produk yang terdampak mencakup Microsoft Entra, Sentinel, Defender for Cloud, Purview
  • Pemberitahuan kepada pelanggan menjelaskan bahwa mungkin ada kekosongan pada log atau event terkait keamanan
    • Kekosongan ini mungkin memengaruhi kemampuan analisis data, deteksi ancaman, dan pembuatan peringatan keamanan
  • Microsoft tidak menjawab pertanyaan spesifik mengenai gangguan logging tersebut, tetapi corporate vice president John Sheehan mengonfirmasi penyebabnya sebagai “bug operasional pada agen pemantauan internal”
    • Microsoft memitigasi masalah tersebut dengan melakukan rollback perubahan layanan
    • Microsoft menyatakan telah memberi tahu semua pelanggan terdampak dan akan memberikan dukungan yang diperlukan

Masalah Log Kembali Mencuat Setelah Intrusi Terkait Tiongkok pada 2023

  • Gangguan ini terjadi satu tahun setelah Microsoft dikritik oleh penyelidik federal AS pada 2023 karena tidak menyediakan log keamanan kepada sebagian departemen pemerintah federal AS
    • Saat itu, para penyelidik menilai bahwa jika log tersebut dapat diakses, intrusi terkait Tiongkok bisa diidentifikasi jauh lebih cepat
  • Penyusup terkait Tiongkok Storm-0558 membobol jaringan Microsoft dan mencuri “skeleton key” digital
    • Dengan kunci ini, mereka dapat mengakses email pemerintah AS yang tersimpan di cloud Microsoft tanpa batasan
  • Menurut analisis pascaserangan siber pemerintah, State Department mengidentifikasi intrusi tersebut karena telah membeli lisensi Microsoft tingkat lebih tinggi sehingga dapat mengakses log keamanan produk cloud
    • Banyak lembaga pemerintah AS lain yang menjadi korban peretasan tidak memiliki hak akses log yang sama
  • Setelah peretasan terkait Tiongkok tersebut, Microsoft menyatakan akan menyediakan log juga untuk akun cloud dengan paket berbiaya rendah mulai September 2023

1 komentar

 
GN⁺ 2024-10-22
Opini Hacker News
  • Jika memakai Azure di lingkungan produksi yang realistis, menurut saya tanggung jawabnya ada pada diri sendiri
    Bahkan jika diberi kredit gratis senilai 100 ribu dolar, itu pun tidak akan cukup meyakinkan saya untuk memakainya lebih dari sebulan
    Mahal, antarmukanya sangat tidak ramah, dan yang paling penting, kejadian seperti ini membuat produknya tidak terlihat cukup andal untuk dipercaya menangani beban produksi

    • Kalau pindah ke Azure setelah memakai penyedia cloud lain, jumlah lampu peringatan oranye tua terasa terlalu banyak
      Semuanya terasa tidak konsisten dan seperti tempelan sana-sini, jadi sulit percaya ada orang yang benar-benar bisa melakukan audit keamanan dengan layak
      Bagian yang paling menyebalkan adalah login; redirect dan error-nya sangat banyak dan rasanya sulit percaya itu bekerja sesuai maksud
      Misalnya saya mencoba mengunduh BAA, lalu terjebak dalam login loop di situs tepercaya, tetapi di browser yang sama konsol Azure masih bisa dibuka dengan normal
      Saya lalu logout dari akun Azure untuk melihat apakah login baru membantu, tetapi pada login berikutnya autentikasi dua faktor tidak muncul
      Kalau saya sudah logout secara eksplisit dari jendela browser, itu berarti kepercayaan terhadap perangkat tersebut seharusnya dicabut, jadi tidak terpicunya autentikasi dua faktor adalah tanda bahaya besar
      Akhirnya saya tetap tidak bisa mendapatkan BAA maupun membuka tiket, tetapi anehnya rekan saya bisa mengunduhnya dengan normal
    • Baru-baru ini saya tertawa melihat suatu tempat yang ingin memasang software MS di semua mesin Linux agar terintegrasi ke Azure
      Pada titik itu seharusnya berhenti sejenak dan berpikir
      Bukankah sejak awal memilih Linux karena ingin sistem yang bisa dipercaya?
    • Saya tidak bermaksud terdengar seperti troll saat mengatakan “mereka bisa lebih baik”, tetapi menurut saya mereka memang tidak bisa
      Produk “bagus” terakhir yang mereka buat adalah SQL Server/Exchange/Windows 2000, dan itu sudah sangat lama sekali
    • Di internal pun sama: “Bahkan LinkedIn tidak terlalu antusias dengan cloud Microsoft: migrasi ke Azure dibatalkan”
      https://www.theregister.com/2023/12/14/linkedin_abandons_mig...
    • Sayangnya keputusan seperti ini dibuat oleh lapisan atas, dan mereka cuma mengikuti tren
  • Hampir semua tim punya bug nyata pada aplikasi yang berjalan di VM, dan aplikasinya dirancang untuk mendorong log aplikasi ke storage
    Tim kami juga harus me-restart proses agar aliran log kembali berjalan
    Ini adalah insiden sev 0, dan merupakan kesalahan yang tidak mudah diperbaiki karena begitu banyak tim harus me-restart secara manual agen yang biasanya diam-diam berjalan di background

    • Rasanya kejadian seperti ini tidak akan terus terjadi kalau Microsoft melakukan pengujian otomatis dengan kedalaman yang masuk akal
      Gangguan global ClownStrike baru-baru ini menunjukkan kurangnya pengujian sebelum rilis, dan masalah Microsoft kali ini menunjukkan hal yang sama juga terjadi di sisi akar Windows
      Ini bukan pemandangan yang bagus
    • Saya penasaran apakah ini cerita dari internal Microsoft, atau pengalaman dari sudut pandang pelanggan
  • Bagian yang menyebut produk yang terdampak mencakup Microsoft Entra, Sentinel, Defender for Cloud, dan Purview terasa menyakitkan
    Entra, yang dulu bernama Azure Active Directory, ikut terdampak itu cukup serius
    Tapi ya, siapa sih yang butuh log SSO?

    • Dulu ada masa ketika saya menatap langit dan tidak berpikir asteroid akan jatuh ke Bumi
      Ketidaktahuan itu memang menenangkan
      Tambahan lagi, saat melihat tulisan Entra saya sempat mengira itu Encarta, lalu sesaat bersemangat karena mengira itu masih ada
    • Ya ampun, Microsoft harus memilih satu nama lalu memakainya terus
      Azure Active Directory juga bukan nama yang hebat, tetapi terus-menerus me-rebranding semuanya itu melelahkan sekali
    • Dalam bahasa Spanyol, entra berarti “masuk/masuklah”, jadi gampang dijadikan bahan bercanda
    • Kami membutuhkannya. Kami punya kewajiban kepatuhan
      Syukurlah sistem produksi tidak terintegrasi dengan Entra, hanya hal-hal yang tidak terkait pelanggan yang terhubung ke sana
    • Kalau tidak ada log, berarti tidak ada pelanggaran
  • Saya penasaran operasi intelijen seperti apa yang mungkin terbantu oleh ini

    • Kami menyebutnya APT -1, alias Microsoft
    • Bukan apa-apa. Infrastruktur logging internal Microsoft berasal dari era 90-an
  • Jangan lupakan juga tulisan panjang ini dari sedikit lebih dari sebulan lalu
    Itu merangkum bagaimana Microsoft gagal dalam keamanan siber luar negeri dan terlihat seperti sengaja membiarkannya
    https://www.lawenforcementtoday.com/bombshell-allegations-th...

    • Di satu sisi, laporan ini memang punya isi penting
      Di sisi lain, Schiller juga tidak terlihat seperti saksi yang sepenuhnya bisa dipercaya, dan ada indikasi bahwa pihak yang dimintai pengawasan pemerintah terbatas pada anggota DPR Partai Republik MAGA yang ekstrem
      Meski begitu, saya 100% setuju bahwa 1) dukungan untuk infrastruktur inti pemerintah AS seharusnya tidak bergantung pada tenaga pendukung berkewarganegaraan asing, dan 2) semua perusahaan teknologi besar, termasuk hyperscaler, demi bisa berbisnis di Tiongkok, membuat kesepakatan dengan lingkup pemerintah Tiongkok melalui perantara domestik seperti Tencent dan Alicloud
      Pengawasan terhadap kontrak-kontrak seperti ini, serta syarat yang memungkinkan personel dari pihak Tiongkok mendapat akses langsung ke stack hardware dan software, masih jauh dari memadai
  • Kenapa mereka mengakuinya secara terbuka?

    • Karena ketahuan menyembunyikan laporan itu di dalam alat yang tidak bisa diakses oleh sebagian besar tim keamanan
    • Mungkin karena mereka ingin menyiapkan narasi lebih dulu agar saat nanti harus mengakui ada aktor asing yang menghapus log, itu tidak terlihat seperti berita besar
      Itu cara yang sering dipakai MSFT untuk menangani hal seperti ini
  • Azure itu buruk
    Khususnya Batch Service; penjadwal pekerjaannya sama sekali tidak akurat

  • Bahkan tempat-tempat dengan infrastruktur terburuk dan praktik operasional paling mengerikan yang pernah saya lihat pun punya mekanisme canggih sehingga hal seperti ini pada dasarnya mustahil terjadi
    Karena kalau ini sampai terjadi, dampaknya memang sangat serius
    Bahkan sebelum kejadian ini, saya rasanya tetap tidak akan mau menaruh bisnis saya di atas infrastruktur cloud terkelola Azure
    Sulit membayangkan lewat eksperimen pikiran bagaimana ini bisa terjadi tanpa kegagalan fatal pada keseluruhan sistem

  • Dulu ada komentar di sini yang bilang msft lebih ramah perusahaan dibanding Google
    Alasannya karena mereka tidak kehilangan data, tetapi msft berada di sisi berlawanan dari keandalan

  • Ini tercium seperti upaya penutupan
    “Kerentanan platform kami terlihat di syslog pelanggan!” “Cepat semuanya, hilangkan log-nya dan beli waktu lebih banyak” — kesannya seperti itu