Twitter 和 GitHub 如何确保自己没有被黑客入侵?

信息安全 密码 系统妥协
2021-08-14 07:13:20

昨天,Twitter宣布他们最近发现了一个错误,该错误将未屏蔽的密码存储在内部日志中。最近,Github 也出现了类似的 bug在这两种情况下,他们都声称没有人可以访问这些文件。

推特:

我们已经修复了这个错误,我们的调查显示没有任何人违反或滥用的迹象。

同样,尽管我们没有理由相信密码信息曾经离开 Twitter 的系统或被任何人滥用,但您可以采取一些步骤来帮助我们确保您的帐户安全:

GitHub:

该公司表示,明文密码只向少数有权访问这些日志的 GitHub 员工公开。该公司表示,没有其他 GitHub 用户看到用户的明文密码。

GitHub 表示,它在例行审计中发现了错误,并明确表示其服务器没有被黑客入侵。

需要注意的是,GitHub 没有受到任何方式的黑客攻击或损害。

Twitter 和 GitHub 如何确保它们没有被黑客入侵或以任何方式受到损害?破坏服务器并读取/复制文件的人总是会留下痕迹吗?

4个回答

他们不能确定。事实上,您永远无法确定自己没有被黑客入侵。但是彻底的检查可以让你得出结论,它或多或少是有可能的。

Twitter 声明仅表示没有迹象表明存在黑客攻击。这并不排除他们被黑客入侵的可能性,并且在敦促他们的用户更改密码时,他们含蓄地承认了这一点。

至于 GitHub,措辞更加明确。但我认为强制重置密码表明他们了解所涉及的风险。

还有一点需要注意的是,在这两种情况下,泄漏都发生在纯粹的内部日志系统中。没有迹象表明第 3 方用户曾访问过该系统。内部日志系统很少对外公开,​​只有在系统需要故障排除时才会在内部进行咨询。这也可能是这个错误几个月没有被注意到的原因:在可能是大量其他语句的某个地方的单个日志条目通常不会被注意到,除非它们恰好位于需要的语句旁边或中间调试其他条目。

Twitter 自己也是最近才发现这个漏洞的,这意味着公司外部的人不太可能在 Twitter 之前就知道这个漏洞,更不用说找出并执行攻击来检索它们了。

很难证明是否定的。

那么如何证明是积极的呢?在这种情况下:如何证明来自外部的攻击?通常有几个系统来监控不同形式的攻击、破坏或访问。这些可以是防火墙、入侵检测系统、SIEM以及各种监控和日志记录系统。在当今的网络中,每个组件要么具有某种形式的监控,要么允许通过 Check_MK 等第三方工具进行监控。

因此,从公司网络的边界到保存有价值信息的机器的每一步都以某种形式或形式受到监控。这些日志会根据网络和公司策略定期进行分析。分析系统可以区分预期的和意外的流量或行为。非/预期行为是例如文件访问。

内部日志文件通常被视为机密数据,因此文件访问也可能受到监控。如果不属于某个用户组的人试图复制/访问内部日志文件,那可能会被记录为意外甚至被禁止的行为。如果可能的对手能够冒充有权访问此文件的人,它也会被记录下来,但这是预期的行为。

理论上,攻击者有可能克服所有安全控制,利用 0day 漏洞,在每个组件、IDS、SIEM 等的每个日志中不留痕迹,复制内部日志文件并将其走私到外面,但是这是非常不可能的。

我的猜测是,在发现日志文件后,对所有这些日志进行了彻底的分析,以试图证明是否存在来自外部的攻击。分析人员没有发现任何可疑数据,因此得出的结论是,几乎可以肯定的是,没有来自外部的攻击。这实际上是您在 Twitter 的新闻稿中看到的(参见 Florin Coada 的评论)。同样,我的猜测是:GitHub 的新闻稿有更严格的语言来阻止猜测是否存在黑客攻击。(并没有真正解决。;)

当然 Twitter 和 GitHub 也有可能没有这样的安全控制,但我真的希望没有。

我假设他们对服务器上发生的任何事情都有访问日志,他们可以检查是否有人访问了该文件,何时访问,他们登录的别名,他们的源 IP 地址等。如果他们可以向自己证明所有访问是由合法员工进行的,他们可以自信地说他们没有被黑客入侵。请注意,这实际上并不能保证它们不会被黑客入侵,只是所有证据都指向那个方向。