British Airways Veri İhlaliyle İlgili Dersler Neden Her Zamankinden Daha Zamanlıdır?

Son kullanıcıların web tarayıcılarında çalışan üçüncü taraf komut dosyalarının kötü niyetli saldırılara maruz kaldığı tarayıcı tedarik zinciri saldırıları, yaygınlıkları artmaya devam etse bile yeterince takdir edilmeyen ve yeterince güvenli olmayan bir tehdit olmaya devam ediyor. British Airways'in veri ihlaline ilişkin uyarıcı hikaye, bu tarayıcı tarafı saldırılarının ne kadar yıkıcı olabileceğini gösteren ilk hikaye oldu. EasyJet ve Air Europa'nın benzer saldırı türlerine maruz kalması nedeniyle havayolları popüler bir hedef olmaya devam ediyor. Ama yalnız değiller. Daha da yakın bir zamanda, sigorta devi Kaiser Permanente, üçüncü taraf tarayıcı komut dosyalarından kaynaklanan ve milyonlarca mevcut ve eski sigorta üyesini etkileyen bir veri ihlalini kamuoyuna duyurdu .

Bu tehdit vektörüne karşı korunmak, mühendisler için her zamankinden daha acil bir hal alıyor ve tarayıcı tedarik zinciri ihlalleri riskini göz ardı eden kuruluşlar bunu tehlikeye atarak yapıyor. İşte British Airways olayının kurumsal siber güvenlik stratejisiyle hâlâ bu kadar alakalı olmasının nedeni ve benzer tehditlere karşı korunmak için neler yapılabileceği.

Saldırganlar güvenlik açıklarından yararlandı

British Airways ihlalinde, resmi British Airways web sitesinde alışveriş yapmak için kredi aracı bilgilerini giren herhangi bir müşterinin, söz konusu hassas veriler kopyalanıp, kötü amaçlı bir tarayıcı tarafı komut dosyası aracılığıyla saldırganın kontrolündeki bir alana gönderilmesi sağlandı. Havayolu, tespit edilmesi zor olan bu tehdidi nihayet fark ettiğinde, 400.000'den fazla müşterinin kişisel verileri açığa çıktı ve bu, Birleşik Krallık Bilgi Komiserliği Ofisi'ndeki (ICO) düzenleyiciler tarafından 183 milyon £'un üzerinde rekor bir para cezasına yol açtı.

Olayın kökeninin, saldırganların kargo hizmetleri sağlayıcısı Swissport'un bir çalışanının çalınan kimlik bilgilerini kullanarak British Airways sistemlerine giriş yaptığı ilk saldırıya kadar izlendi. Bu hesapta çok faktörlü kimlik doğrulama koruması yoktu ve saldırganların Citrix uzaktan erişim ortamına giriş yapmasına ve erişimlerini, uzaktaki kullanıcıları ağın güvenli alanlarıyla sınırlamak anlamına gelen kısıtlamaların ötesine yükseltmelerine olanak tanıyordu.

Saldırganlar daha sonra tüm ağın ek güvenlik açıklarını araştıracak araçları tanıttı; kısa süre sonra, alan yöneticisinin oturum açma bilgilerini içeren şifrelenmemiş bir düz metin dosyası keşfettiler. Bu, saldırganlara etki alanındaki bilgisayarlara ve sunuculara erişme, yapılandırma ayarlarını değiştirme ve ağ kaynaklarını değiştirme için açık bir kapı sağladı. Sunuculara giriş yapmaya başladılar, ertesi gün bir veritabanı yöneticisinin giriş bilgilerini keşfettiler ve boş zamanlarında mevcut verileri sabırla keşfetmeye devam ettiler.

Saldırganlar, tümü düz metin olarak saklanan 108.000 ödeme kartının ayrıntılarını içeren günlük dosyalarını buldu. Yanlışlıkla açık bırakılan bir test özelliğinin sonucu olarak, bu verilerin hiçbir zaman saklanmaması ve kesinlikle tamamen güvensiz bırakılmaması gerekiyordu. Saldırganlar daha sonra British Airways'in sitesinin kodunu içeren ve tarayıcı tedarik zinciri saldırılarına hazırlanmak için ihtiyaç duydukları tüm fırsatları sunan dosyayı keşfettiler.

Tarayıcı tedarik zinciri saldırısının anatomisini anlama

Saldırganlar, stratejilerinin önemli bir odak noktası olarak, şirkete ait resmi bir web adresi olarak kolayca yanlış anlaşılan mevcut bir alan adı olan baways dot com'u satın aldı. Alan adı Litvanyalı bir barındırma sağlayıcısı kullanıyor ve Romanya dışında barındırılıyor olsa da, British Airways güvenlik personelini bir şeylerin ters gittiği konusunda uyarabilecek izleme yeteneğine sahip değildi.

Modern web sitesi geliştirme, kullanıcıların beklediği etkileşimi ve gelişmiş yetenekleri sağlamak için üçüncü taraf kaynaklardan alınan çok sayıda komut dosyasından yararlanır. Üçüncü taraf komut dosyaları tarafından desteklenen özelliklere örnek olarak, sohbet robotlarından pazarlama ve analiz araçlarına ve captcha'lar gibi güvenlik önlemlerine kadar her şey dahildir. Ancak bu komut dosyalarının izlenmesi ve güvenliğinin sağlanması şirketler için özellikle zordur çünkü çoğunlukla bunlar harici olarak barındırılır ve yönetilir. Üçüncü taraf satıcı tarafındaki basit bir güvenlik açığı veya hata, bir güvenlik olayına yol açabilir. Bu tür satıcıların güvenli kod sunma konusunda uzmanlığa sahip olmadığı veya iş ve personel değişikliklerinin bakımsız ve izlenmeyen komut dosyalarına yol açtığı senaryolarda riskler aşırı boyutlara ulaşabilir.

İhlal anında, British Airways'in web sitesi yaklaşık 20 üçüncü taraf komut dosyası yüklemekteydi (30'u rezervasyon sayfası dahil). Site ziyaretçilerinin tarayıcıları, siteden dış kaynaklardan kod alma ve yürütme yönünde istekler aldı. Bu standart bir uygulamadır ve tarayıcılar, komut dosyalarının veya veri gönderdikleri uç noktaların meşru olup olmadığına karar verecek şekilde tasarlanmamıştır. Saldırganlar, deneyimleri optimize etmek için tarayıcı özelliklerini tespit etmeye yardımcı olan yaygın bir komut dosyası olan Modernizr JavaScript kitaplığına kötü amaçlı kod enjekte etti. British Airways web sunucusu tarafından sunulan, güvenliği ihlal edilmiş bu komut dosyası sürümü, müşteri tarafından gönderilen verilerin bir kopyasını saldırganın sitesine gönderiyordu.

Yaklaşık üç hafta boyunca British Airways web sitesine girilen tüm ödeme kartı bilgileri saldırganlar tarafından bu şekilde ele geçirildi. Müşteriler, hassas bilgilerini kendi tarayıcıları gönderse de, o dönemde bu durumdan tamamen habersizdiler. Saldırganlar normal web deneyimini ve gecikmeyi olduğu gibi koruyarak veri hırsızlığını hem kullanıcılar hem de güvenlik personeli için haftalarca şeffaf hale getirme konusunda akıllı davrandılar.

Haftalar sonra üçüncü bir taraf nihayet ihlali fark edip British Airways'i bilgilendirdiğinde, şirket her şeyi doğru yaptı. Güvenlik ekibi, iki saatten kısa bir süre içinde kötü amaçlı kodu etkisiz hale getirdi ve sahte web sitesini engelledi. Ödemeleri işleyen müşteriler, bankalar ve ICO derhal bildirim aldı. Ama hasar oluştu. Havayolunun itibarı darbe aldı, bunu rekor kıran bir düzenleyici ceza takip etti ve toplu davalar daha sonra mahkeme dışında sonuçlandı. Ceza daha sonra şirketin hızlı hesap verebilirliği ışığında (ve salgının hafifletilmesiyle bağlantılı olarak) azaltılmış olsa da, bu herkesin hevesle kaçınacağı bir olaydı.

Yaklaşan tehditlerin habercisi

Açık olmak gerekirse, bu olayda British Airways'in güvenliğinde hata bulmak zor: üçüncü taraf komut dosyaları aracılığıyla iletilen kötü amaçlı yüklerle tarayıcı tedarik zinciri saldırılarını güvenilir bir şekilde tespit etmek için gereken araçlar o zamanlar mevcut değildi. Aynı zamanda, Magecart saldırısı (17.000 siteyi etkileyen) gibi sonraki olaylar, bilgisayar korsanlarının beğendikleri bir güvenlik açığı bulduğunu gösterdi. Bugün bile çoğu kuruluşun güvenlik duruşu bu saldırılara ilişkin görünürlükten yoksundur. Genel BT güvenliği korumaları artık eşi benzeri görülmemiş bir ilgi uyandırırken, artan tarayıcı tedarik zinciri saldırıları tehdidi büyük ölçüde yetersiz güvenlik altında kalıyor veya yalnızca minimum uyumluluk gereksinimlerine hitap ediyor.

Ancak artık ekiplere bu saldırılara karşı güçlü savunmalar sağlayacak güvenlik yetenekleri mevcut. Etkili tarayıcı tedarik zinciri güvenliğinin temeli, kötü amaçlı komut dosyalarını anında kaldırmak için tasarlanmış stratejilerden yararlanarak üçüncü taraf komut dosyalarının içeriğini izleme ve sürekli olarak inceleme yeteneğidir. Bu saldırıların dinamik doğası göz önüne alındığında, yalnızca komut dosyalarının kaynağını inceleyen tek seferlik inceleme veya izleme kesinlikle yeterli değildir. Bununla birlikte ekipler, bir yandan bu güveni sürekli olarak doğrularken, bir yandan da ellerinden gelen en güvenli üçüncü taraf kaynaklarını seçmelidir. Ekipler ayrıca iyi bir güvenlik hijyeni uygulamalı ve hizmetleri ve komut dosyalarını, özellikle ödeme portalları gibi hassas sayfalarda, ihtiyaç duyulmayan herhangi bir sayfadan aktif olarak kaldırarak ortamlarını güçlendirmelidir.

Acil güvenlik ihtiyacı

Web siteleri, kullanıcıların tarayıcılarına modernleştirilmiş deneyimler sunmak için giderek daha fazla üçüncü taraf komut dosyası kullandıkça, saldırganlar yalnızca daha fazla fırsat keşfedecek. Ekipler, British Airways'in başına gelene benzer saldırılardan ders alabilir ve tarayıcı tedarik zincirlerini tamamen güvence altına almak için şimdi adımlar atabilir veya bunları zor yoldan öğrenebilir.