2 पॉइंट द्वारा GN⁺ 2024-10-22 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • कुछ Microsoft cloud customers को 2 हफ्तों से अधिक के security logs में खालीपन झेलना पड़ा, जिससे intrusion detection और बाद की analysis के लिए ज़रूरी data खो गया हो सकता है
  • 2 सितंबर से 19 सितंबर तक internal monitoring agent में एक bug ने कुछ logs के upload को रोक दिया, जिससे internal logging platform में data दर्ज नहीं हुआ
  • Microsoft ने कहा कि कारण security incident नहीं बल्कि operational bug था, और असर की सीमा “log event collection” तक ही रही
  • प्रभावित products में Microsoft Entra, Sentinel, Defender for Cloud, Purview शामिल हैं, और customers के data analysis, threat detection और security alert generation में खालीपन आया हो सकता है
  • 2023 के China-linked intrusion incident के बाद Microsoft ने lower-tier plans में भी logs उपलब्ध कराने का वादा किया था, इसलिए cloud security logs की accessibility और retention reliability फिर से बहस का मुद्दा बन गई है

Microsoft cloud security logs का गायब होना

  • Microsoft ने कुछ cloud product customers को सूचित किया कि 2 हफ्तों से अधिक के security logs गायब हो गए
    • गायब होने की अवधि 2 सितंबर से 19 सितंबर तक थी
    • customer notification में लिखा था कि Microsoft के कुछ internal monitoring agents ने log data को internal logging platform पर upload करते समय malfunction किया
  • यह logging failure security incident की वजह से नहीं था, और Microsoft ने बताया कि असर केवल “log event collection” पर पड़ा
  • logging, product के भीतर events को track करने की सुविधा है, जिसमें user login information और failed attempts जैसे data शामिल हो सकते हैं
    • logs न होने पर उस अवधि में customer network पर unauthorized access की पहचान करना अधिक कठिन हो सकता है
  • Business Insider ने अक्टूबर की शुरुआत में log data loss की खबर पहले दी थी
  • security researcher Kevin Beaumont का मानना है कि Microsoft ने प्रभावित कंपनियों को जो notification भेजी, वह संभवतः केवल tenant admin privileges वाले कुछ ही users को दिखाई देगी

प्रभावित products और customers पर असर

  • प्रभावित products में Microsoft Entra, Sentinel, Defender for Cloud, Purview शामिल हैं
  • customer notification में कहा गया कि security-related logs या events में संभावित खालीपन आया हो सकता है
    • इस खालीपन का असर data analysis, threat detection और security alert generation की क्षमता पर पड़ा हो सकता है
  • Microsoft ने logging failure पर specific सवालों का जवाब नहीं दिया, लेकिन corporate vice president John Sheehan ने कारण को “internal monitoring agent का operational bug” बताया
    • Microsoft ने service change को rollback करके समस्या को कम किया
    • कंपनी ने कहा कि उसने सभी प्रभावित customers को सूचित कर दिया है और ज़रूरी support देगी

2023 के China-linked intrusion के बाद फिर उभरा log issue

  • यह outage उस घटना के एक साल बाद हुआ है जब 2023 में Microsoft को अमेरिकी federal investigators ने इस बात के लिए आलोचना की थी कि उसने कुछ U.S. federal agencies को security logs उपलब्ध नहीं कराए
    • उस समय investigators का मानना था कि अगर उन logs तक access होता, तो China-linked intrusion की पहचान बहुत पहले की जा सकती थी
  • China-linked intruder Storm-0558 ने Microsoft network में घुसपैठ कर एक digital “skeleton key” चुरा ली थी
    • इस key से Microsoft cloud में stored U.S. government emails तक बिना रोक-टोक पहुंच संभव थी
  • सरकार की cyberattack postmortem analysis के अनुसार, State Department ने intrusion की पहचान इसलिए की क्योंकि उसने higher-tier Microsoft license खरीदा हुआ था, जिससे cloud product security logs तक access मिला
    • hacking से प्रभावित कई अन्य U.S. government agencies के पास वही log access permission नहीं थी
  • China-linked hacking के बाद Microsoft ने कहा था कि वह सितंबर 2023 से lower-tier cloud accounts को भी logs उपलब्ध कराएगा

1 टिप्पणियां

 
GN⁺ 2024-10-22
Hacker News की राय
  • अगर आप किसी वास्तविक production environment में Azure इस्तेमाल कर रहे हैं, तो मेरी नज़र में ज़िम्मेदारी आपकी ही है
    अगर वे 100,000 डॉलर के free credits भी देते, तब भी मुझे एक महीने से ज़्यादा इस्तेमाल करने के लिए मना नहीं पाते
    यह महंगा है, interface बेहद user-unfriendly है, और सबसे बढ़कर ऐसी घटनाओं की वजह से इसके products production load के लिए भरोसेमंद नहीं लगते

    • दूसरे cloud providers से Azure पर आने पर गहरे नारंगी warning lights बहुत ज़्यादा दिखते हैं
      पूरा सिस्टम असंगत और जैसे-जैसे जोड़कर बनाया गया लगता है, इसलिए यकीन करना मुश्किल है कि कोई इसका ठीक से security audit कर भी सकता है
      सबसे परेशान करने वाला हिस्सा login है, redirects और errors हास्यास्पद रूप से बहुत हैं और यह कहना मुश्किल है कि यह intended तरीके से काम कर रहा है
      उदाहरण के लिए, मैंने BAA डाउनलोड करने की कोशिश की तो trusted website पर login loop में फंस गया, जबकि उसी browser में Azure console ठीक से दिख रहा था
      यह देखने के लिए कि नया login मदद करता है या नहीं, मैंने Azure account से logout किया, लेकिन अगले login पर two-factor authentication आया ही नहीं
      अगर मैंने browser window से स्पष्ट रूप से logout किया है, तो उस device पर trust revoke हो जाना चाहिए; इसलिए two-factor authentication trigger न होना मेरे लिए बड़ा warning signal है
      आखिरकार BAA भी नहीं मिला और ticket भी नहीं खोल पाया, लेकिन अजीब बात है कि मेरे colleague उसे सामान्य रूप से डाउनलोड कर पाए
    • हाल ही में किसी जगह देखा कि वे सभी Linux machines पर MS software install करके उन्हें Azure में integrate करना चाहते थे, तो हंसी आ गई
      उस मोड़ पर रुककर सोचना चाहिए
      क्या शुरुआत में Linux इसलिए नहीं चुना था कि भरोसेमंद system चाहिए था?
    • “हम बेहतर कर सकते हैं” वाली बात पर troll जैसा नहीं बनना चाहता, लेकिन मुझे सच में लगता है कि वे नहीं कर सकते
      उन्होंने आखिरी “अच्छा” product SQL Server/Exchange/Windows 2000 बनाया था, और वह बहुत पहले की बात है
    • अंदर भी यही हाल है: “LinkedIn भी Microsoft cloud को लेकर उतना उत्साहित नहीं: Azure migration छोड़ा”
      https://www.theregister.com/2023/12/14/linkedin_abandons_mig...
    • अफसोस कि ऐसे फैसले top management करता है, और वे बस trend के पीछे चलते हैं
  • लगभग हर team के VM पर चल रहे application में असली bug था, और वह app application logs को storage में push करता था
    हमारी team को भी logs फिर से flow करवाने के लिए process restart करना पड़ा
    यह sev 0 incident था, और यह ऐसी गलती थी जिसे आसानी से ठीक नहीं किया जा सकता था, क्योंकि सामान्यतः background में चुपचाप चलने वाले agent को बहुत-सी teams को manually restart करना पड़ा

    • लगता है कि अगर Microsoft ने उचित गहराई तक automated testing की होती, तो ऐसी बातें बार-बार नहीं होतीं
      हालिया ClownStrike global outage ने deployment से पहले testing की कमी दिखाई, और Microsoft का यह मामला दिखाता है कि वही बात Windows की जड़ों की तरफ भी हो रही है
      यह अच्छा दृश्य नहीं है
    • जिज्ञासा है कि यह Microsoft के अंदर की बात है, या customer के perspective से अनुभव की गई बात?
  • प्रभावित products में Microsoft Entra, Sentinel, Defender for Cloud, Purview शामिल थे — यह बात चुभती है
    Entra, यानी पुराना Azure Active Directory, प्रभावित हुआ — यह काफी गंभीर है
    वैसे भी SSO logs की जरूरत किसे है?

    • एक समय था जब मैं आसमान देखकर यह नहीं सोचता था कि asteroid पृथ्वी पर गिरने वाला है
      अज्ञानता भी कभी-कभी वरदान है
      साथ ही, Entra लिखा देखकर मुझे लगा Encarta है, और एक पल को खुशी हुई कि वह अभी भी मौजूद है
    • अरे, Microsoft को एक नाम चुनकर उसी पर टिकना चाहिए
      Azure Active Directory भी कोई शानदार नाम नहीं था, लेकिन हर चीज़ को बार-बार rebrand करना बहुत थकाऊ है
    • Spanish में entra का मतलब “अंदर आओ/अंदर जाओ” होता है, इसलिए यह मज़ाक के लिए अच्छा material बन जाता है
    • हमें जरूरत है। हमारे ऊपर compliance obligations हैं
      सौभाग्य से production systems Entra से integrated नहीं हैं, सिर्फ customer से असंबंधित चीजें जुड़ी हैं
    • logs नहीं हैं तो breach भी नहीं है
  • सोच रहा हूं यह किस intelligence agency operation को support कर गया होगा

    • हम उसे APT -1, यानी Microsoft कहते हैं
    • कुछ भी नहीं। Microsoft की internal logging infrastructure 90s की बनी हुई है
  • एक महीने से थोड़ा पहले आया यह लंबा लेख भी नहीं भूलना चाहिए
    यह Microsoft की foreign cybersecurity में नाकामी और जानबूझकर अनदेखी जैसे हालात का सार देता है
    https://www.lawenforcementtoday.com/bombshell-allegations-th...

    • एक तरफ इस report में महत्वपूर्ण substance है
      दूसरी तरफ Schiller पूरी तरह भरोसेमंद witness जैसे नहीं लगते, और यह भी संकेत देता है कि government oversight मांगने के लिए उन्होंने सिर्फ अति MAGA Republican lawmakers को target किया
      फिर भी मैं 100% सहमत हूं कि 1) महत्वपूर्ण US government infrastructure को support करने के लिए foreign-national support staff पर निर्भर नहीं होना चाहिए, और 2) hyperscalers सहित सभी बड़ी technology companies चीन में business करने के लिए Tencent, Alicloud जैसी domestic代理 businesses के जरिए Chinese government jurisdiction के साथ deals करती हैं
      ऐसे contracts और उन शर्तों पर पर्याप्त oversight नहीं है जिनसे Chinese-side personnel को hardware और software stack तक direct access मिल सकता है
  • इन्होंने इसे public तौर पर स्वीकार क्यों किया होगा?

    • क्योंकि उन्होंने reporting को ऐसे tool के अंदर छिपाया था जिस तक ज़्यादातर security teams की पहुंच नहीं होती, और यह बात पकड़ी गई
    • शायद वे पहले से जमीन तैयार कर रहे हों ताकि जब यह मानना पड़े कि किसी foreign actor ने logs delete किए, तो वह बड़ी news जैसा न लगे
      MSFT ऐसे मामलों को संभालते समय अक्सर यही तरीका अपनाता है
  • Azure अच्छा नहीं है
    खासकर Batch Service में job scheduler बिल्कुल accurate नहीं है

  • अब तक मैंने जिन सबसे खराब infrastructure और भयानक operational practices वाली जगहों को देखा है, वहां भी ऐसे sophisticated safeguards लगे थे कि ऐसी घटना practically असंभव हो जाए
    क्योंकि ऐसा होना सच में बहुत गंभीर है
    इस घटना से पहले भी शायद मैं अपना business Azure managed cloud infrastructure पर नहीं रखना चाहता
    यह सोचने की कोशिश भी करूं कि पूरी system की catastrophic failure के बिना यह कैसे possible है, तो भी ठीक से कल्पना नहीं कर पाता

  • यहां कुछ comments थे कि msft Google से ज़्यादा enterprise-friendly है
    वजह बताई गई थी कि वह data नहीं खोता, जबकि msft तो reliability के उलट छोर पर है

  • cover-up जैसी बू आ रही है
    “हमारे platform की vulnerability customer syslog में दिख गई!” “जल्दी, सब लोग, logs खो दो और थोड़ा और समय खरीदो” जैसा लग रहा है