« Ainsi, pour beaucoup de mes hacks, cette histoire commence par ma fatigue… » Ainsi commence l’article de blog qui expose l’un des plus grands problèmes auxquels sont confrontés les professionnels de la cybersécurité, celui du Web. les appareils qui restent visibles, souvent avec des mots de passe par défaut ou faciles, leur seule défense contre les acteurs destructeurs. Qui a besoin d’un scanner de vulnérabilité AWS ou d’un outil haut de gamme comparable, alors qu’un pirate « ennuyé » fera le travail beaucoup plus facilement ?
Comme cela prévaut avec de nombreux voyages dans des terriers de lapin sur le Web, celui-ci commence par un moteur de recherche en ligne. Mais pas un moteur de recherche en ligne comme Bing, Google ou DuckDuckGo. Shodanet ZoomEyesont deux moteurs de recherche qui explorent le Web, non pas pour des serveurs de sites Web pleins de contenu à indexer, mais pour d’autres appareils tout aussi joignables : appareils IIoT, stockage concentrateurs, caméras électroniques de sécurité, accès réseau aux points et à toutes sortes d’autres éléments technologiques. S’il est directement lié à Internet (ou souvent, indirectement), il peut être trouvé, catalogué et affiché à toute personne connaissant les terminologies quelque peu inconnues de ces moteurs de recherche.
C’est à travers ces bases de données en ligne que maia arson crimewrecherchait, lorsqu’elle est tombée sur des mots et des expressions qui lui semblaient familiers : « ACARS », souligne de « l’équipe ». Le moteur de recherche ZoomEye (l’équivalent chinois de Shodan) avait en fait découvert de nombreux serveurs Jenkins exposés et mal configurés – c’est généralement le cas – et en parcourant leur contenu, il offrait un accès maia aux référentiels construits, dans ce cas, autour de 70 instances de serveurs. (Jenkins est une application utilisée pour créer et publier des serveurs à grande échelle.)
IOT
Atténuer le danger croissant de piratage des gadgets IoT
Après seulement quelques minutes, maia a mentionné qu’elle « regardait […] un serveur navtech sftp [sic] rempli de messages ACARS entrants et sortants ». Le système d’adressage et de compte rendu des communications d’aéronef (ACARS) est la façon dont l’avion et les stations au sol interagissent les unes avec les autres par radio ou par satellite, en temps réel. Alors que l’horaire de ces détails suffisait à provoquer une certaine inquiétude, d’autres qualifications trouvées codées en dur dans la configuration de Jenkins et les fichiers journaux donnaient un accès beaucoup plus élevé aux systèmes d’une compagnie aérienne spécifique (non nommé ici).
Une demi-heure plus tard , elle avait un accès complet aux référentiels AWS de l’entreprise. Aucune analyse puissante des vulnérabilités AWS n’était nécessaire – toutes les informations requises étaient codées en dur dans les configurations Jenkins. Parmi les innombrables documents, il y avait une copie complète de la tristement célèbre liste d’interdiction de vol de la TFA – la liste des passagers qui, pour une raison quelconque, doivent se voir refuser l’accès à tout avion sur le sol américain. Le contenu de la liste a suscité la controverse plutôt que toute autre préoccupation concernant la cybersécurité. S’adressant à dailydot.com, Hina Shamsi, directrice du National Security Job à l’American Civil Liberties (ACLU) a déclaré, « Au cours des vingt dernières années, les personnes aux États-Unis que nous avons vues ciblées pour la liste de surveillance sont de manière disproportionnée des musulmans et des personnes d’origine arabe ou moyen-orientale et sud-asiatique. Dans certains cas, ce sont des individus qui sont dissidents ou qui ont ce qui est considéré comme indésirable Nous avons également vu des journalistes sur la liste de surveillance.
Parmi le contenu des seaux S3 de la compagnie aérienne (dépôts de stockage hébergés sur AWS), maia a également trouvé des dossiers personnels complets de pilotes et d’autres équipes aériennes membres, y compris leurs adresses personnelles, numéro de téléphone, détails d’identification, numéros de licence de pilote et plus encore. Parmi les fichiers mal sécurisés figuraient également des enregistrements d’images des remboursements effectués, des détails du plan de vol et des détails et horaires d’entretien de l’avion. compagnie aérienne s’était en fait avérée être engloutie à maia. Équipée simplement de « la persévérance » pour parcourir quelques dizaines d’instances Jenkins exposées, maia n’avait pas eu besoin d’être associée à un piratage majeur : l’information était là pour la prise avec des qualifications de connexion codées en dur prêtes à être collées. Je me suis simplement rendu compte à quel point je les avais déjà possédés en seulement une demi-heure ou deux. Les qualifications codées en dur [sic] là-bas me permettraient d’accéder à navblue apis [sic] pour faire le plein, annuler et mettre à jour les vols, échanger les membres de l’équipe, etc. au. » NAVBLUE fournit des logiciels de préparation de vols et d’équipes à l’industrie aérospatiale.
Si le « hack » des systèmes de la compagnie aérienne avait été réalisé par un acteur destructeur, les informations rapidement dénichées auraient pu être, par exemple, proposées au le plus offrant à des fins de troubles, ou peut-être de terrorisme. Le fait que l’industrie du transport aérien peut être si facilement compromisedevrait inciter tout passager à reconsidérer avant d’embarquer dans un avion dont chaque détail pourrait bien être du domaine public.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
