A seconda di quale versione della storia è corretta, una perdita di dati da 20 GB che interessa Intel presenta un'importante lezione sui pericoli delle credenziali predefinite e di configurazioni errate del server non sicure o sui rischi della condivisione di segreti proprietari con partner commerciali e clienti di terze parti.
L'ingegnere del software Tillie Kottmann, il cui account Twitter sembra essere stato sospeso , la scorsa settimana ha twittato che un hacker anonimo ha condiviso con lui una serie di documenti Intel interni: il primo potrebbe essere una serie di fughe di notizie. Kottmann ha caricato queste risorse riservate – inclusi codice sorgente, guide e manuali dei prodotti, specifiche tecniche, strumenti di sviluppo e debug e altro – online tramite il sito di condivisione file MEGA e ha soprannominato la fuga di notizie "exconfidential Lake".
Diverse agenzie di stampa hanno pubblicato un'apparente conversazione tra Kottmann e il misterioso personaggio di hacker, in cui l'autore ha affermato di essere stato esfiltrato da un server Internet protetto in modo improprio ospitato tramite la rete di distribuzione dei contenuti di Akamai. L'hacker anonimo ha affermato di aver trovato il server violato utilizzando uno strumento di scansione e ha sfruttato uno script Python per scoprire le impostazioni predefinite del nome utente e le istanze non sicure di accesso a file o cartelle. Una volta all'interno di una cartella, era quindi possibile l'accesso come root.
Tuttavia, Intel in una dichiarazione ha negato che ci fosse un hack e sospetta invece che una persona di terze parti canaglia con accesso al portale Web di Resource and Design Center dell'azienda abbia scaricato e divulgato le informazioni in modo dannoso. La società ritiene inoltre che il colpevole possa aver accumulato le informazioni da più fonti web.
"Sulla base della nostra continua indagine e revisione dei documenti, molte delle informazioni sembrano essere state precedentemente disponibili da varie fonti web, mentre alcune sembrano provenire dall'Intel Resource and Design Center, che ospita le informazioni per l'utilizzo da parte dei nostri clienti, partner e altre parti esterne che si sono registrate per l'accesso ", si legge nella dichiarazione. "In questo momento, non siamo a conoscenza di alcun cliente o dati personali inclusi."
Indipendentemente dalle circostanze, ci sono aspetti chiave dell'incidente. Innanzitutto, la divulgazione non autorizzata del codice sorgente e di altre proprietà intellettuali sensibili potrebbe potenzialmente essere un vantaggio per coloro che cercano di rubare segreti aziendali.
"La tecnologia Intel è quasi onnipresente e il design dei dispositivi trapelato e il codice sorgente del firmware possono mettere a rischio aziende e privati", ha affermato Ilia Sotnikov, VP of Product Management di Netwrix. “Gli hacker e il team di ricerca sulla sicurezza di Intel probabilmente stanno ora gareggiando per identificare i difetti nel codice sorgente trapelato che possono essere sfruttati. Le aziende dovrebbero adottare misure per identificare quale tecnologia potrebbe essere interessata e rimanere sintonizzati per gli annunci di consulenza e hotfix da Intel ".
"Anche se spesso pensiamo alle violazioni dei dati nel contesto della perdita dei dati dei clienti e della potenziale perdita di PII, è molto importante considerare anche il valore della proprietà intellettuale, soprattutto per le organizzazioni molto innovative e con una quota di mercato elevata", ha affermato Erich Kron, sostenitore della consapevolezza della sicurezza presso KnowBe4. Questa proprietà intellettuale può essere molto preziosa per potenziali concorrenti e persino per gli stati nazionali, che spesso sperano di trarre vantaggio dalla ricerca e dallo sviluppo svolti da altri ".
Se il resoconto di Intel dell'incidente è accurato, allora un'altra lezione chiave che ci vuole solo una persona inaffidabile in un'organizzazione di terze parti – o qualcuno con accesso a documentazione sensibile che non dovrebbe averla – per potenzialmente minacciare i dati.
Kron ha affermato che l'incidente serve a "sottolineare le preoccupazioni di sicurezza relative alla proprietà intellettuale quando si lavora con partner commerciali sia a monte che a valle della catena di fornitura. C'è sempre un rischio quando si condividono informazioni potenzialmente sensibili con questi partner commerciali; tuttavia, questa è spesso una parte inevitabile del lavoro. "
"Ogni volta che si fornisce l'accesso alla proprietà intellettuale a un'altra organizzazione o individuo, è importante registrare non solo chi ha accesso, ma quando ea quali dati accede", ha continuato Kron. "Ancora meglio, come in questo caso con Intel, assicurarsi di sapere dove sono stati condivisi i documenti contrassegnando potenzialmente il documento stesso, può essere molto prezioso quando si cerca un potenziale uso improprio, come sembra essersi verificato qui".
"Intel sembra aver rintracciato rapidamente la fonte delle informazioni e non ho dubbi, adotterà misure per esaminare gli accessi e i registri mentre cercano di identificare la fonte di questi dati".
Notando che è "insolito che il leaker abbia rilasciato le informazioni pubblicamente senza richieste di riscatto confermate di cui siamo a conoscenza", Chris Clements, VP of solutions architecture presso Cerberus Sentinel, ha affermato che se una terza parte ha pubblicato i dati dopo avervi accesso da Intel Resource and Design Center, "spiegherebbe perché non hanno potuto estorcere Intel per impedire il [suo] rilascio o trovare un altro acquirente per le informazioni interne di Intel".
“È una sfida per tutte le organizzazioni che hanno bisogno di distribuire informazioni non pubbliche a organizzazioni esterne. Per la maggior parte, una volta che i documenti lasciano la tua rete, hai pochissimo controllo su dove vanno a finire. L'affermazione dell'aggressore di aver trovato i dati su un server non protetto su Internet potrebbe essere una svista di sicurezza da parte di Intel, ma potrebbe anche essere stato un partner Intel che ha inavvertitamente esposto i dati attraverso i propri sistemi ".
Se, tuttavia, l'aggressore ha davvero hackerato Intel sfruttando configurazioni errate e impostazioni predefinite, allora si aprirà un'altra scatola di worm. In quel caso, "Apparentemente, c'era una segmentazione o separazione di accesso molto scarsa o nulla", ha detto Sotnikov a Netwrix. “Il fatto che indovinare un singolo [nome utente] abbia consentito agli hacker di accedere alla cartella principale e al codice sorgente di così tanti progetti diversi è sorprendente. Questa è stata un'altra violazione dei dati causata da politiche di accesso ai dati inadeguate. "
Inoltre, ha affermato Sotnikov, "Il fatto che gli hacker siano stati in grado di accedere a un server utilizzando le credenziali predefinite indica che la sicurezza informatica aveva una priorità inferiore rispetto alla facilità d'uso. Le organizzazioni che investono nell'innovazione dovrebbero rivedere immediatamente le loro politiche di sicurezza e verificare che i loro server con IP siano adeguatamente protetti. Dovrebbero assicurarsi che tutti i nomi utente e le password siano univoci e che l'accesso sia concesso solo al numero minimo di dipendenti ".
"La progettazione di politiche di accesso in base ai privilegi minimi ha dimostrato di ridurre l'impatto delle violazioni, ma viene ignorata troppo spesso", ha continuato Sotnikov.
Il post Qualunque sia la causa, il leak di Intel è ancora apparso per primo su SC Media .