Утечка данных в Equifax: какие уроки стоит извлечь?

В США, стране с примерно 320-миллионным населением, сразу 143 миллиона жителей имеют кредитную историю, а это значит, что все они так или иначе пострадали в результате массивной утечки данных в Equifax – национального бюро потребительских кредитных историй. В результате хакеры украли все: имена, номера социального страхования, даты рождения, домашние адреса и т.д.

Кто виноват в случившемся? В СМИ циркулировала версия, неподтвержденная, но от того вполне заслуживающая доверия (впрочем, со ссылками на исследовательскую компанию Baird) – дескать, в случившемся виноват серверный open-source фреймворк Apache Struts. Это популярный open-source MVC-фреймворк для разработки ПО на Java. Вопреки некоторым сообщениям в СМИ, он не принадлежит кому-то из вендоров.

В принципе, доказательств того, что именно Struts стал той уязвимостью, через которую хакеры проникли в систему, нет. На самом деле, все сообщения об этом основывались на цитате анонимного аналитика без технического бэкграунда из штата Equifax.

Как бы то ни было, отсутствие единой версии о том, что именно произошло от самого Equifax, демонстрирует некомпетентность агентства касательно собственных средств информационной безопасности. Ситуация сообщает миру как минимум одно твердое умозаключение – собственная система распознавания угроз и утечек компании бесполезна и доверять ей не следует.

Словно подтверждая этот вывод, очень подозрительно выглядит и сайт поддержки агентства, расположенный по адресу equifaxsecurity2017.com. Само название уж очень напоминает стилистику фишинговые порталы, тем более, что для начала работы на сайте необходимо ввести в нем свое имя и номер социального страхования – то есть те данные, которые и запросят у вас преступники в первую очередь.

В компании признали, что хакеры взломали систему в период с середины мая по июль 2017 года, а недавние сообщения о проблемах компании со Struts датировались 5 сентября. Возможно, хакеры обнаружили уязвимость самостоятельно и с нуля, однако эксплойты «нулевого дня» – относительно редкое явление. Признанные эксперты в области сетевой безопасности из SwiftOnSecurity отмечают, что 99,99% инцидентов с компьютерной безопасностью – следствие упущений по, казалось бы, разрешенным проблемам работы систем безопасности.

Впрочем, сообщения о том, что компания обнаружила и залатала уязвимость в Struts, появлялись еще в марте 2017 года. Если проблема все-таки во фреймворке, то кто конкретно виноват – разработчики Struts, разработчики со стороны Equifax, сисадмины, руководство компании в области сетевой безопасности? Кто?

Сообщество разработчиков Apache Struts Project Management Committee в официальном заявлении отметило, что хоть и выражает сожаление в связи с произошедшей утечкой данных в Equifax, однако брать на себя всю ответственность за крупнейшее фиаско в области информационной безопасности оно не готово. Также, в тексте заявления отмечается, что хакеры «либо использовали ранее обнародованную уязвимость, неисправленную на одном из серверов Equifax, либо сумели воспользоваться уязвимостью, неизвестной на момент совершения взлома – так называемой уязвимостью «нулевого дня»».

При этом отмечается, что сентябрьский эксплойт CVE-2017-9805 на тот момент (май-июль), как раз и представлял собой такой вид уязвимости. Чем дольше Equifax уклоняется от подробного комментария по теме, тем больше гипотез множится касательно того, что же произошло на самом деле.

Со своей стороны, разработчики Struts уверяют, что команда отрабатывает каждое сообщение о проблемах с уровнем защиты фреймворка в соответствии с принятой политикой сообщества в этой области своей деятельности. Но, поскольку выявление уязвимостей с последующей их эксплуатацией является давно сформировавшимся бизнесом для групп злоумышленников, подобного рода атаки будут происходить даже в том случае, если сообщество будет своевременно оповещать пользователей о возможных векторах потенциальных угроз. В заключение, в заявлении по инциденту говорится, что сценарий «нулевого дня» не исключен, но более вероятным выглядит версия некомпетентности штата ответственных за этот участок работ специалистов Equifax.

Если сотрудники использовали код с установленным потенциалом полной компрометации целостности защитного периметра системы, то виновный, конечно, очевиден.

Также, не стоит упускать из вида и тот момент, что в Equifax использовали бесплатную версию контроллера от Apachе. Это довольно распространенная практика – сегодня многие сайты используют бесплатные версии продуктов Apache или NGINX, полагая, что получают таким образом полный контроль за происходящим, и искренне не понимая, зачем платить за поддержку. Многие крупные компании в России используют бесплатное ПО, а это, как мы увидели из кейса Equifax – небезопасно. 

Все, что «требуется» для масштабной информационной утечки – немного некомпетентности специалистов по безопасности и немного ловкости от хакеров: и пусть масштабы и репутация компании-пользователя фреймворка вас не смущает.

Информационная безопасность сегодня представляет собой настолько сложный комплекс взаимосвязанных элементов, что даже незначительная оплошность на не самом, казалось бы, критичном участке, таит риски катастрофического провала в самой близкой временной перспективе.

И как всегда – профилактика: вот лучшее решение проблем в этом направлении, и начинать ее следует, в том числе, с задействования полного функционала используемых в рамках корпоративной системы безопасности компонентов. Любые «бесплатные версии» самых зарекомендовавших себя продуктов – это почти всегда недопустимая по нынешним временам полумера.

В частности, в том, что касается уже упоминавшегося вендора NGINX и его HTTP-сервера, ориентированного на Unix-системы, следует обратить внимание на версию NGINX Plus, которая имеет ряд существенных преимуществ по сравнению с бесплатной, включая и проработанную функциональность по обеспечению безопасности.

В мировом топе веб-серверов NGINX занимает третью позицию, в российском — высшую, но использование его базовой и бесплатной версии никаких гарантий защищенности от злоумышленников, увы, не предоставляет, и опыт Equifax здесь должен стать уроком для множества компаний, работающих с open source компонентами.