据相关报道,2021年3月9日,美国安防摄像头公司Verkada遭到了大规模的******,就此重大事件已联系了美国联邦调查局(FBI)进行调查。
调查发现,***起初通过获得摄像头的访问权限和客户名单,进而攻破了十几万个安保摄像头和视频源,并公开了医院、诊所和卫生机构,银行、学校、警局和*,多个特斯拉(Tesla)工厂(包括中国上海工厂),以及Cloudflare等公司或机构的内部运作,而且全都是4K超高清分辨率。
公司如果受到了***监视,怎么办?
Verkada事件证明了***监视和***的范围有多广,也暴露了公司在保护平台免遭监视和跟踪方面的疏忽,在我们深入探讨之前,先简单了解一下Verkada被黑事件是如何发生的?
***者在Twitter上大肆宣扬此次***是为了“正义”,甚至还调侃到,只要他们愿意,他们就能够获得超级管理员的帐户凭据,轻轻松松在线获取Verkada所有客户的摄像头访问权限和视频档案。显然,他们已经了解到Verkada的超级管理员权限不仅提供了对视频供稿的访问权限,还提供了客户公司内或厂房内安装的摄像头的root shell访问权。
零信任原则
一些管理员在给用户分配权限时,其实并未考虑用户所需的最小权限是什么,导致某些用户甚至公司内多数用户的权限过于“*”。
如这次在Verkada遭到***之后,公司才发现Verkada内几乎每个团队成员都具有Super Admin特权,几乎Verkada所有员工直接拥有窥视用户的特权。
这就是文章开头讲到的此次***事件发生的根本原因所在!
监视用户的服务器访问活动
据Verkada描述,他们把用户凭据写在了Jenkins所用插件的Python脚本里,***者通过获得了支持团队使用的Jenkins服务器的访问权限,***者只需点击一下鼠标就可以访问任何一个客户的摄像头,甚至可以在摄像头上执行自己的恶意代码。
试想,如果Verkada对Jenkins服务器进行了监视,实时检测到有来自未知主机的未经授权的访问,则此次***事件可能就不会发生了。
“监视连接到公司网络的所有服务器、用户和终端”,默认每个用户的访问活动都是存在威胁的,这是零信任安全遵守的另一原则。
监控Windows系统本地工具
***者声称,他们能够获得客户的摄像头的root权限,并且可以使用摄像头执行自己的代码,获得这种访问级别权限并不需要他们额外耗力,只需利用好摄像头的内置功能便可得逞。这也是目前普遍流行的一种网络***模式,即将恶意行为与真正授权的进程混合在一起,然后进行***。
另外,监视操作系统的注册表信息更改、命令行活动和GPO更改也非常重要,因为这些更改活动通常只能由具有特权的高级管理员修改。
总之,Verkada这次遭受的***,根本原因是管理员忽视了安全身份和访问管理(IAM)的三个重要原则:
l Authentication:超级管理员账户凭据公开存储,无法确保身份认证系统安全。
l Authorization:普通用户对关键资源的访问和权限不受限制,人人都有特权,人人都是管理员,***者很容易获得特权。
l Accountability:无法追溯Jenkins服务器上的恶意用户活动,无法跟踪用户获得root权限后的访问活动和执行的命令,无法检测到***者对摄像头和存档视频的***尝试。
另外,Verkada没有针对其网络上端到端的安全事件监视的解决方案,缺乏告警机制和响应策略。