1 पॉइंट द्वारा GN⁺ 2024-10-21 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • Internet Archive में पिछली data breach और DDoS के बाद भी exposed authentication tokens की समस्या बनी रही, और इस बार Zendesk email support system तक breach हो गया
  • हमलावर ने कहा कि उसके पास ऐसा Zendesk token है जिससे 2018 से info@archive.org पर आए 8 लाख से अधिक support tickets तक पहुंच मिल सकती है, और भेजा गया email DKIM, DMARC, SPF checks पास कर गया
  • शुरुआती breach development server के GitLab configuration file में exposed token से शुरू हुआ था, और पुष्टि हुई कि यह token कम से कम दिसंबर 2022 से exposed था
  • चोरी हुए source code में database management system credentials और अतिरिक्त tokens शामिल थे, जिससे user database और site modification privileges तक access मिला हो सकता है
  • यह हमला राजनीति या पैसे से ज्यादा cyber street cred हासिल करने जैसा दिखता है, और चोरी हुआ data breach-data communities या hacking forums में circulate होने का जोखिम बना हुआ है

Zendesk support system तक पहुंचा breach

  • Internet Archive इस बार Zendesk email support platform के जरिए फिर से breach हुआ
  • पहले Internet Archive को deletion requests भेजने वाले कई users को reply मिला, और message ने चेतावनी दी कि organization ने चोरी हुए authentication tokens को ठीक से replace नहीं किया
  • हमलावर के email में कहा गया कि Internet Archive को कुछ हफ्ते पहले breach का पता चलने के बाद भी उसने GitLab secrets में exposed कई API keys को rotate नहीं किया
  • हमलावर ने बताया कि Zendesk token में 2018 से info@archive.org पर भेजे गए 8 लाख से अधिक support tickets तक access rights हैं
  • उस email header ने DKIM, DMARC, SPF authentication checks सभी पास किए, और पुष्टि हुई कि वह 192.161.151.10 के authorized Zendesk server से भेजा गया था

Support ticket attachments के exposed होने की संभावना

  • कुछ users को Wayback Machine से pages हटाने का अनुरोध करते समय personal ID upload करनी पड़ती थी
  • अगर हमलावर ने Zendesk API access के जरिए support tickets download किए, तो वह उन attachments तक भी पहुंचा हो सकता है
  • Zendesk में ticket attachments देखने के लिए API है, और असल exposure का दायरा हमलावर के API permissions और उसके उपयोग पर निर्भर करता है

GitLab token exposure और पहले का हमला

  • 9 अक्टूबर को Internet Archive ने इसी अवधि में दो तरह के हमले झेले
    • site users के 3.3 करोड़ records चोरी होने वाली data breach
    • खुद को pro-Palestinian बताने वाले SN_BlackMeta group का DDoS attack
  • दोनों हमले एक ही समय-सीमा में हुए, लेकिन उन्हें अलग-अलग attackers ने अंजाम दिया
  • कई media outlets ने data breach के पीछे SN_BlackMeta को गलत तरीके से बताया, लेकिन वास्तविक data breach attacker ने अलग से BleepingComputer से संपर्क कर attack method समझाया
  • शुरुआती breach Internet Archive के development server services-hls.dev.archive.org पर exposed GitLab configuration file से शुरू हुआ
  • पुष्टि हुई कि संबंधित GitLab token कम से कम दिसंबर 2022 से exposed था, और बाद में इसे कई बार rotate किया गया

Source code से मिला अतिरिक्त access

  • हमलावर ने बताया कि GitLab configuration file के authentication token से Internet Archive का source code download करना संभव था
  • हमलावर ने दावा किया कि source code के अंदर उसे अतिरिक्त credentials और authentication tokens मिले
  • इनमें Internet Archive के database management system credentials भी शामिल थे, जिनसे कथित तौर पर ये access संभव थे
    • organization का user database download करना
    • अतिरिक्त source code download करना
    • site में modification करना
  • हमलावर ने दावा किया कि उसने Internet Archive से 7TB data चुराया, लेकिन evidence sample share नहीं किया
  • बाद में सामने आया कि चोरी हुए data में Internet Archive के Zendesk support system के लिए API access token भी शामिल था

बार-बार चेतावनी के बाद भी response gap बचा रहा

  • BleepingComputer ने Internet Archive से कई बार संपर्क कर breach कैसे हुआ और motivation क्या था, यह share करने की पेशकश की
  • सबसे हालिया संपर्क शुक्रवार को हुआ था, लेकिन कोई response नहीं मिला
  • यह Zendesk breach हमलावर के इस दावे से जुड़ा है कि GitLab authentication token exposure के बाद related tokens को पर्याप्त रूप से replace नहीं किया गया

हमले की motivation और data circulation का जोखिम

  • Internet Archive breach के बाद conspiracy theories फैलीं कि इसके पीछे Israel, अमेरिकी सरकार, या copyright disputes में शामिल companies थीं
  • यह breach political या financial कारणों से ज्यादा इसलिए हुआ लगता है क्योंकि attacker इसे अंजाम दे सकता था
  • stolen data trading communities में निम्न motivations मौजूद होती हैं
    • victims को extort कर पैसे लेना
    • data को दूसरे attackers को बेचना
    • breach data collect करना
    • public leak के जरिए cyber street cred हासिल करना
  • Internet Archive एक जाना-माना और बहुत लोकप्रिय website है, इसलिए यह attacker की reputation बढ़ाने में मदद करता है
  • किसी ने भी publicly इस breach का दावा नहीं किया, लेकिन बताया गया है कि attacker ने दूसरों के साथ group chat में breach किया और कई लोगों को चोरी हुए data का कुछ हिस्सा मिला
  • यह database breach-data communities में trade हो रहा हो सकता है, और भविष्य में Breached जैसे hacking forums पर मुफ्त में leak हो सकता है

1 टिप्पणियां

 
GN⁺ 2024-10-21
Hacker News की राय
  • Internet Archive जैसी परोपकारी सेवा पर हमला करने वाले threat actors को देखना सचमुच दुखद है। इस तरह का पीछे ले जाने वाला व्यवहार मनोबल तोड़ता है

    • मैं हमलावरों का बचाव नहीं कर रहा, और IA को मैं public good मानता हूँ। फिर भी इस मामले का एक संदेश ऐसा भी पढ़ा जा सकता है कि वे IA की छूटी हुई समस्या बताने की कोशिश कर रहे थे
      “आप सामान्य सवाल पूछना चाहते थे, या Wayback Machine से कोई साइट हटाने का अनुरोध करना चाहते थे, आपका डेटा अब किसी अनजान व्यक्ति के हाथ में है। अगर मैं नहीं होता, तो कोई और होता।”
      इसलिए यह सोचने पर मजबूर करता है कि इतने महत्वपूर्ण काम की जिम्मेदारी सिर्फ एक संगठन पर नहीं होनी चाहिए—इस बात में दम है
    • बहुत से लोग काल्पनिक संपत्ति अधिकारों के सिद्धांत में गहराई से डूबे हैं और उनकी रोज़ी-रोटी भी उसी पर निर्भर है, इसलिए यह बहुत हैरानी की बात भी नहीं
    • दूसरे नजरिये से देखें तो शायद हमें शुक्रगुज़ार होना चाहिए कि यह वे लोग थे जिन्होंने IA में सेंध लगाकर उसे सार्वजनिक किया और सिस्टम ठीक करने को कहा। कोई दूसरा हमलावर बस सब उड़ा देता, content चुपचाप बदल देता, या कल्पना से भी बदतर कुछ कर सकता था
      यह दिखाने के लिहाज से कि बहुत सारी व्यक्तिगत पहचान योग्य जानकारी संभालने वाला एक बड़ा संगठन सुरक्षा की बिल्कुल परवाह नहीं करता, यह एक तरह से जनहित का काम भी है
    • जहां traffic बहुत होता है, वह सब target बनता है। संगठन क्या करता है, उससे ज्यादा संभावित पहुंच मायने रखती है
      आपराधिक कृत्य बस आपराधिक कृत्य है। बहुत सारे visitors खींचने वाली जगहों को सही security रखनी चाहिए, ताकि उनके customers शिकार न बनें
    • लगता है हमलावर सिर्फ street cred चाहता था, और दूसरी सेंध IA के लिए एक reminder signal जैसी दिखती है कि पहली सेंध के बाद भी उसने ठीक से सुधार नहीं किया
      इससे भी बुरा हो सकता था
  • जिसके पास information security की मजबूत समझ है, उसके लिए अच्छे उद्देश्य के लिए मुफ्त में विशेषज्ञता देने का यह अच्छा मौका है

    • अभी शायद ऐसे इतने प्रस्ताव आ रहे होंगे कि वे उनमें दब गए होंगे
    • इस स्तर पर तो शुरुआत से rewrite पर विचार करना चाहिए। लगता है वे लगभग 1992 वाले tech stack पर चल रहे होंगे
  • Library of Congress को internet को preserve करना चाहिए, और इसके लिए उसका budget भी होना चाहिए
    यह “Library of Congress” के mission से भी मेल खाता है। किसी खास समय पर internet पर क्या था, इसका सटीक record होना internet से जुड़े कानून या regulation पर चर्चा करते समय मददगार है

    • Library of Congress अभी सीमित दायरे की internet collections को preserve कर रही है[0]। संबंधित blog post[1] के अनुसार, 8 dedicated लोगों और part-time team के साथ काम चल रहा है
      Wikipedia[2] के अनुसार यह Heritrix और Wayback पर आधारित है, और दोनों Internet Archive ने विकसित किए हैं। blog post भी “Wayback software” का उल्लेख करता है। मौजूदा preserved material यहां देखा जा सकता है: http://webarchive.loc.gov/
      [0] https://www.loc.gov/programs/web-archiving/about-this-progra...
      [1] https://blogs.loc.gov/thesignal/2023/08/the-web-archiving-te...
      [2] https://en.m.wikipedia.org/wiki/List_of_Web_archiving_initia...
    • वे वास्तव में ऐसा कर रहे हैं। दुनिया भर की कई राष्ट्रीय पुस्तकालय internet को legal deposit के दायरे में मानती हैं और अपने-अपने top-level domains को crawl करती हैं
  • distributed storage आधारित archive की जरूरत है। मैं Internet Archive के काम को पसंद और समर्थन करता हूँ, लेकिन इतिहास को preserve करना इतना महत्वपूर्ण है कि उसे सिर्फ एक संगठन, यानी single point of failure, पर छोड़ना ठीक नहीं

    • इस तरह की post आने पर comments में कम से कम एक बार यह बात जरूर आती है
      IA ने भी storage को distribute करने की कोशिश की थी, लेकिन जितने लोगों ने बातों में कहा था, उतनों ने वास्तव में अपना storage space नहीं दिया
    • “Lots of Copies Keep Stuff Safe” वाला approach है
      https://www.lockss.org/
      यह randomized consensus protocol पर निर्भर एक बेहतरीन system है। मैं इसे information security paper का topic बनाना चाहता था, लेकिन इसका security model इतना अच्छी तरह design किया गया था कि मेरे पास जोड़ने लायक कुछ नहीं था
    • web को distributed archive-friendly बनाने के लिए, मेरा मानना है कि targets को paths से नहीं बल्कि hashes से refer करना चाहिए—क्योंकि server संकेत तो देता है कि वह consistently serve करेगा, लेकिन असल में हर तरह की वजहों से अलग-अलग समय पर अलग data दिखाता है
      जब अलग-अलग data को हमेशा अलग reference मिलें, तो यह जानना आसान होता है कि backup पर्याप्त है या नहीं। अगर एक ही नाम अलग-अलग परिस्थितियों में लिए गए snapshots के ढेर की ओर इशारा करे, तो यह तय करना मुश्किल हो जाता है कि उस नाम के लिए हमें वास्तव में क्या backup करना है
    • LibGen और Sci-Hub इस लिहाज से आदर्श हैं। वे उद्देश्य के अनुरूप technology का अच्छा इस्तेमाल करते हैं। जगह-जगह torrents + IPFS + simple HTTP mirrors रखते हैं
      data बड़ा है, लेकिन Archive.org जितना बड़ा नहीं: https://libgen.is/repository_torrent/. फिर भी ऐसे distributed nodes के लिए funding चाहिए, और मुख्य उद्देश्य resilience लगता है
    • “मैं अपनी disk का 2TB खाली space Internet Archive को donate करूंगा” कहने पर IA उसमें 2TB data push कर दे, ऐसा system मैंने design किया था। इस system की खासियत यह भी है कि IA या कोई दूसरा provider गायब हो जाए तो भी इसे reconstruct किया जा सकता है
      लेकिन जब IA समेत कुछ archive teams से पूछा कि क्या वे इसे इस्तेमाल करना चाहेंगी, तो कोई जवाब नहीं मिला या सिर्फ नकारात्मक जवाब मिले
  • किसी को पता है कि Internet Archive को कौन और क्यों निशाना बना रहा है? यह सिर्फ शरारती तोड़फोड़ करने वालों जैसा मानने के लिए हमला बहुत sophisticated लगता है

    • यह बस नमकदानी में पेशाब करने जैसा लगता है। Internet Archive साफ़ तौर पर duct tape और किसी व्यक्ति की इच्छाशक्ति के भरोसे टिके ढांचे जैसा है। हाँ, duct tape मजबूत और लंबे समय तक चलने वाला जरूर है
      ऊपर से उसका मुख्य मिशन डेटा फैलाना है, मुनाफा कमाने के लिए डेटा छिपाना नहीं
      जिन्हें नमकदानी वाली उपमा नहीं पता, उनके लिए प्राचीन ज्ञान का मूल पाठ:
      https://web.archive.org/web/20060619131835/http://xelios.liv...
      अनुवाद कोई भी चुन लें:
      https://malaya-zemlya.livejournal.com/697779.html
      https://personal-view.com/talks/discussion/25915/humor-hacke...
      https://www.linkedin.com/pulse/hacker-restaurant-alexander-s...
    • पता नहीं आपको ऐसा क्यों लगता है। हमलावरों के संदेश देखें तो सब कुछ शरारती तोड़फोड़ करने वालों जैसा दिखता है, और मुझे कोई संकेत भी नहीं दिखा कि IA के सिस्टम Fort Knox जैसे हैं
      शुरुआत से ही अगर वे मानते रहे हों कि उन्हें निशाना बनाने की कोई खास वजह नहीं है और security को लेकर काफी ढीले रहे हों, तो हैरानी नहीं होगी
    • पहले hack का दावा करने वाले group को Russia-based, anti-American और pro-Palestinian बताया गया था, और उन्होंने हमले की वजह IA का copyright उल्लंघन बताया था
      हर कोई अपने हिसाब से अधिक ठोस निष्कर्ष निकाल सकता है, लेकिन मुझे इसमें सरकारी agency की गंध काफी आती है
    • नेतृत्व बदलने की मांग करने वाले comments की संख्या देखें तो, tin-foil hat theory के हिसाब से यह leadership change करवाने की कोई संगठित कोशिश भी लग सकती है
    • शायद white-hat hackers ने IA को security issues बताए, लेकिन उन्हें ignore किया गया, इसलिए उन्होंने ऐसा hack किया जिससे बहुत बड़ा नुकसान तो नहीं दिखता, पर कार्रवाई मजबूरन करनी पड़े
  • उनका funding model कैसा है, पता नहीं, लेकिन अगर cash है तो मेरी नजर में security team hiring सबसे पहली investment priority होनी चाहिए

    • कम से कम अभी IA का funding model शायद किसी बहुत बड़े legal judgment का पसीना-पसीना होकर इंतज़ार करने जैसा है
  • कौन-सा vandal library पर हमला करता है? जिम्मेदार लोगों को वाकई ढूंढना चाहिए

    • ऐसे internet attacks Minecraft server चलाने वाले बच्चों, small business owners, amateur programmers आदि के साथ हमेशा होते रहते हैं। जिम्मेदार लोगों को ढूंढना अक्सर मुश्किल या नामुमकिन होता है, और FBI जैसी agencies आम तौर पर अपने resources बड़े मामलों—जैसे drug trafficking या extortion-focused cybercrime—पर लगाती हैं
      दुखद वास्तविकता यह है कि internet पर बहुत से लोग गलत तरीके से attack झेलते हैं, और investigation focus तथा resources की कमी की वजह से उनमें से काफी लोग सजा से बच जाते हैं
    • इस हमले से किसे फायदा होता है? किसने IA पर किताबें हटाने का दबाव बनाया था?
  • कल्पना कीजिए ऐसी दुनिया की, जहां जब भी Wayback Machine snapshot किसी मुकदमे में मदद करे, lawyers IA को कुछ dollars भेजें। तब वे जल्द ही world-class admin team afford कर पाएंगे

    • यह भयानक समाधान है। Wayback Machine domain control करने वाले व्यक्ति के अनुरोध पर snapshots हटा देता है। वह archive नहीं है
      अगर अतीत में किसी webpage की स्थिति महत्वपूर्ण है, तो ऐसा record चाहिए जो सामने वाला request करे तो गायब न हो जाए। perma.cc का concept यही है
  • मैंने लगभग 1 साल पहले resume भेजा था, लेकिन कल तक कोई जवाब नहीं आया। लगता है वे अब pending applications खंगालकर मदद ढूंढ रहे हैं

  • उन सभी लोगों से जो सोचते हैं कि IA से बेहतर alternative चाहिए, या कोई दूसरा solution है, या कोई दूसरी organization इसे चलाए: कोई भी competitive alternative बनने से रोक नहीं रहा
    IA ने जो काम पहले से किया और share किया है, उसकी वजह से starting point भी आगे है, तो खुद कोशिश करके देख लें