1 ポイント 投稿者 GN⁺ 2024-10-21 | 1件のコメント | WhatsAppで共有
  • Internet Archiveは、先日のデータ侵害とDDoSの後も露出した認証トークンの問題が残っており、今回はZendeskのメールサポートシステムまで侵害された
  • 攻撃者は、2018年以降にinfo@archive.orgへ送信された80万件以上のサポートチケットにアクセス可能なZendeskトークンを確保したと明かしており、送信メールはDKIM、DMARC、SPFの検査を通過した
  • 初期侵害は、開発サーバーのGitLab設定ファイルに露出していたトークンから始まり、そのトークンは少なくとも2022年12月から露出していたことが確認された
  • 盗まれたソースコードには、データベース管理システムの認証情報と追加トークンが含まれており、ユーザーデータベースやサイト改変権限にまでアクセスされた可能性がある
  • 政治や金銭よりもcyber street credの獲得に近い攻撃とみられ、盗まれたデータが侵害データのコミュニティやハッキングフォーラムに流通するリスクが残っている

Zendeskサポートシステムにまで及んだ侵害

  • Internet Archiveは今回、Zendeskのメールサポートプラットフォームを通じて再び侵害された
  • 過去にInternet Archiveへ削除依頼を送った複数のユーザーが返信を受け取り、そのメッセージでは組織が盗まれた認証トークンを適切に差し替えていないと警告していた
  • 攻撃者のメールには、Internet Archiveが数週間前に侵害を認識した後も、GitLab secretsに露出していた複数のAPIキーをローテーションしていなかったという内容が含まれていた
  • 攻撃者は、Zendeskトークンに2018年以降info@archive.orgへ送られた80万件以上のサポートチケットへのアクセス権があると述べた
  • そのメールヘッダーは、DKIM、DMARC、SPFの認証検査をすべて通過しており、192.161.151.10の認可済みZendeskサーバーから送信されたことが確認された

サポートチケット添付ファイルが露出した可能性

  • 一部のユーザーは、Wayback Machineでページ削除を依頼する際に個人の身分証明書をアップロードする必要があった
  • 攻撃者がZendesk APIアクセス権でサポートチケットをダウンロードしていた場合、これらの添付ファイルにもアクセスした可能性がある
  • Zendeskにはチケット添付ファイルを参照するAPIがあり、実際の露出範囲は攻撃者が持っていたAPI権限と利用状況によって変わる

GitLabトークンの露出と先行する攻撃

  • 10月9日、Internet Archiveは同時期に2種類の攻撃を受けた
    • サイト利用者3,300万人分のデータが盗まれたデータ侵害
    • SN_BlackMetaという親パレスチナ志向を名乗るグループによるDDoS攻撃
  • 2つの攻撃は同じ時期に起きたが、別々の攻撃者によって実行された
  • 複数メディアがSN_BlackMetaをデータ侵害の背後と誤って報じたが、実際のデータ侵害の攻撃者は別途BleepingComputerに連絡し、攻撃手法を説明した
  • 初期侵害は、Internet Archiveの開発サーバーであるservices-hls.dev.archive.orgに露出していたGitLab設定ファイルから始まった
  • そのGitLabトークンは少なくとも2022年12月から露出しており、その後複数回ローテーションされたことが確認された

ソースコードから広がった追加アクセス

  • 攻撃者は、GitLab設定ファイルの認証トークンでInternet Archiveのソースコードをダウンロードできたと述べた
  • 攻撃者は、ソースコード内で追加の認証情報と認証トークンを見つけたと主張した
  • これにはInternet Archiveのデータベース管理システムの認証情報も含まれ、これにより次のアクセスが可能だったという
    • 組織のユーザーデータベースのダウンロード
    • 追加のソースコードのダウンロード
    • サイト改変
  • 攻撃者はInternet Archiveから7TBのデータを盗んだと主張したが、証拠サンプルは共有していない
  • その後、盗まれたデータにはInternet ArchiveのZendeskサポートシステム向けAPIアクセストークンも含まれていたことが判明した

繰り返しの警告にも残る対応の空白

  • BleepingComputerはInternet Archiveに何度も連絡し、侵害の発生方法と動機を共有すると申し出ていた
  • 最も最近の連絡は金曜日だったが、返答は得られなかった
  • 今回のZendesk侵害は、GitLab認証トークン露出後に関連トークンを十分に交換しなかったという攻撃者の主張と結びついている

攻撃の動機とデータ流通リスク

  • Internet Archive侵害の背後には、イスラエル、米国政府、著作権紛争中の企業がいるという陰謀論が広がった
  • 今回の侵害は、政治的理由や金銭的理由よりも、攻撃者に実行可能だったために起きたものに近いとみられる
  • 盗難データ取引コミュニティには次のような動機がある
    • 被害者を脅して金を受け取ること
    • 他の攻撃者にデータを販売すること
    • 侵害データを収集すること
    • 公開流出によってcyber street credを得ること
  • Internet Archiveはよく知られた非常に人気の高いWebサイトであり、攻撃者の評判を高めるのに役立つ
  • 誰も今回の侵害を公に主張していないが、攻撃者は他の人々とグループチャットをしながら侵害を実行し、複数人が盗まれたデータの一部を受け取ったとされる
  • そのデータベースは侵害データのコミュニティで取引されている可能性があり、今後Breachedのようなハッキングフォーラムに無料で流出する可能性がある

1件のコメント

 
GN⁺ 2024-10-21
Hacker News の意見
  • Internet Archive のような利他的なサービスを攻撃する脅威アクターを見るのは本当に悲しい。こうした退行的な行為は士気をくじく

    • 攻撃者を擁護するつもりはなく、IAは公共財だと思う。ただ、今回の事例のメッセージの一つは、IAが見落としていた問題を知らせようとしたようにも読める
      「一般的な質問をしようとしていたにせよ、Wayback Machineからサイトの削除を依頼しようとしていたにせよ、あなたのデータは今やどこかの任意の人物の手にある。私でなければ、別の誰かだっただろう。」
      だから、これほど重要な仕事を一つの組織だけに任せるべきではないという話には一理あるのではないかと考えさせられる
    • 想像上の財産権という教義に深く浸かっていて、それで生計がかかっている人も多いのだから、さほど驚くことでもない
    • 別の見方をすれば、IAを侵害してもそれを公に知らせ、システムを修正するよう求めるタイプだったことに感謝すべきかもしれない。別の攻撃者なら、ただ吹き飛ばしたり、コンテンツをひそかに改変したり、想像し得るさらに悪いことをしていた可能性がある
      多くの個人識別情報を扱う巨大組織がセキュリティをまったく気にしていないという事実を明らかにする点では、公益的な役割を果たしているとも言える
    • トラフィックの多い場所は何であれ標的になる。その組織が何をしているかよりも、潜在的なリーチのほうが重要だ
      犯罪行為は単に犯罪行為だ。多くの訪問者を集める場所は、利用者が被害者にならないよう、きちんとセキュリティを整えるべきだ
    • 攻撃者はストリートでの評判だけを狙っているように見え、2回目の侵害は、IAが1回目の侵害後もきちんと修正していなかったというリマインダーのように見える
      もっと悪い事態にもなり得た
  • 情報セキュリティの知識がしっかりある人にとっては、よい目的のために無償で専門性を提供する良い機会だ

    • 今はそうした申し出があまりにも多く来ていて、埋もれていそうだ
    • ここまで来ると、最初から書き直しを検討すべきだ。1992年ごろの技術スタックを動かしていそうだ
  • Library of Congress がインターネットを保存すべきで、そのための予算も持つべきだ
    「Library of Congress」という使命にも合っている。特定の時点でインターネット上に何があったかの正確な記録を持つことは、インターネット関連の立法や規制を議論する際に役立つ

  • 分散ストレージベースのアーカイブが必要だ。Internet Archiveの取り組みは好きだし支持しているが、歴史を保存する仕事は、単一の組織、つまり単一障害点だけに任せるには重要すぎる

    • こういう投稿が上がるたびに、コメントで少なくとも一度はこの話が出る
      IAもストレージを分散しようと試みたが、言うほど実際に自分のストレージ容量を差し出した人は十分ではなかった
    • 「コピーが多ければ資料は安全」というアプローチがある
      https://www.lockss.org/
      ランダム化された合意プロトコルに依存する素晴らしいシステムだ。情報セキュリティの論文テーマにしたかったが、セキュリティモデルがあまりにうまく設計されていて、自分が付け加えられることがなかった
    • ウェブを分散アーカイブに適したものにするには、あるサーバーが一貫して提供するとほのめかしながら、実際にはさまざまな理由で時点ごとに異なるデータを見せるパスではなく、ハッシュで対象を参照すべきだと思う
      異なるデータが常に異なる参照を受け取るなら、バックアップが十分かどうか分かりやすい。同じ名前が異なる条件で撮られたスナップショットの山を指すなら、その名前について私たちがバックアップしたい対象が何なのか確信しにくい
    • LibGenとSci-Hubはこの点で模範的だ。目的に合った技術をうまく使っている。Torrent + IPFS + 単純なHTTPミラーを各所に置いている
      データは大きいがArchive.orgほどではない: https://libgen.is/repository_torrent/. それでも、こうした分散ノードに回す資金は必要で、主な目的はレジリエンスのように見える
    • 「自分のディスクの空き容量2TBをInternet Archiveに寄付する」と言えば、IAが2TBのデータを流し込むシステムを設計した。このシステムには、IAや他の提供者が消えても再構成できる性質もある
      しかしIAを含むいくつかのアーカイブチームに利用する意思があるか尋ねたところ、返事がないか否定的な回答しか得られなかった
  • 誰が、なぜ Internet Archive を狙っているのか知っている人はいる? 単なる愉快犯的な破壊者と見るには、攻撃があまりに巧妙だという印象を受ける

    • ただ塩入れに小便をするような行為に見える。Internet Archive は明らかに、ダクトテープと個人の意志力で持ちこたえている構造だ。もちろん、丈夫で長持ちするダクトテープではあるけれど
      それに主な使命はデータを広めることであって、収益を上げるためにデータを隠すことではない
      塩入れの比喩を知らない人のための古代の知恵の原文:
      https://web.archive.org/web/20060619131835/http://xelios.liv...
      翻訳はどれでも好きなものを選べばいい:
      https://malaya-zemlya.livejournal.com/697779.html
      https://personal-view.com/talks/discussion/25915/humor-hacke...
      https://www.linkedin.com/pulse/hacker-restaurant-alexander-s...
    • なぜそう感じるのか分からない。攻撃者のメッセージを見る限り、すべて愉快犯的な破壊者に見えるし、IA のシステムが Fort Knox のように見えるという兆候も見たことがない
      そもそも自分たちが狙われる理由はほとんどないと考えていて、セキュリティにかなり甘かったとしても驚かない
    • 最初のハッキングを行ったと主張したグループは、ロシア拠点で反米・親パレスチナ傾向だとされ、攻撃理由は IA の著作権侵害だと言っていた
      各自もっと根拠のある結論を出せばいいが、私にはかなり政府機関の匂いがする
    • リーダーシップ交代を求めるコメントが多いのを見ると、陰謀論的にはリーダーシップ交代を引き出そうとする組織的な試みにも見える
    • もしかすると、ホワイトハットハッカーたちが IA にセキュリティ問題を知らせても無視されたため、大きな損害は出ていないように見える形でハッキングし、対応を強制したのかもしれない
  • 資金モデルがどうなっているのかは分からないが、現金があるならセキュリティチームの採用が最優先の投資項目であるべきだと思う

    • 少なくとも現時点での IA の資金モデルは、巨大な法的判決を待ちながら冷や汗をかいているようなものに近いのだろう
  • どんな破壊者が図書館を攻撃するんだ? 責任者を本当に突き止めるべきだ

    • こうしたインターネット攻撃は、Minecraft サーバーを運営する子ども、小規模事業者、アマチュアプログラマーなどに常に起きている。責任者を見つけるのは難しいか不可能な場合が多く、FBI のような機関は通常、より大きな事件、たとえば麻薬密売や恐喝中心のサイバー犯罪にリソースを使う
      悲しい現実は、インターネット上で不当に攻撃されている人が多く、捜査の優先度とリソース不足のために、そのかなりの数が処罰されないということだ
    • この攻撃で誰が利益を得るのか? 誰が IA に本を削除するよう圧力をかけたのか?
  • Wayback Machine のスナップショットが訴訟に役立つたびに、弁護士たちが IA に数ドルずつ送る世界を想像している。そうすればすぐに世界レベルの管理者チームを賄えるはずだ

    • それはひどい解決策だ。Wayback Machine はドメインを管理している人の要請があればスナップショットを取り下げる。それはアーカイブではない
      過去のウェブページの状態が重要なら、相手が要請したからといって消えない記録が必要だ。perma.cc がまさにそういう概念だ
  • ほぼ1年前に履歴書を送ったが、昨日まで何の返事もなかった。今、滞留していた応募書類を掘り返して人手を探しているようだ

  • IA より優れた代替案が必要だと思う人、別の解決策があると信じる人、別の組織が運営すべきだと考える人すべてへ: 競合する代替案が生まれるのを妨げた人は誰もいない
    すでに IA が行い、共有してきた作業のおかげで出発点も先に進んでいるのだから、自分で試してみればいい