Hacker News 의견
- 고대 Roblox 해킹 사례를 회상하며, 비생산 스테이징 사이트에서 사용자가 가입할 수 있었고, "여기의 모든 것은 영구적이지 않다"는 배너가 있었음. 생산 계정에 새 관리자 계정이 추가되었을 때, 누군가가 스테이징 사이트에서 같은 사용자 이름으로 등록하여 쿠키와 토큰을 사용해 생산 계정을 탈취하고 사이트를 위험에 빠트렸음. 이러한 문제가 드물지 않다고 상상하기 어려움: 사용자 이름이나 사용자 ID를 기반으로 암호화 토큰을 생성할 때, 생산/스테이징에 대한 다른 비밀이 없다면, 스테이징 사이트가 생산 권한을 혼동하는 외부 서비스와 통신하는 경우 등.
- 대기업의 개발/생산 경계는 사람들이 생각하는 것보다 훨씬 더 투과성이 있음. 일반적인 하루를 고려해보면, PC에 로그인하고, 이메일을 확인한 다음, 같은 자격 증명을 사용하여 Azure 포털에 로그인함(모두 같은 테넌트에 의해 지원됨). 계정은 GitHub과 클라우드 계정에 연결됨.
- 팀즈나 원드라이브에서 작업할 수 있도록, 이해하기 어려운 권한을 가진 그룹과 팀이 곳곳에 생성되며, 이들은 회사 디렉토리에 거의 구별할 수 없는 보안 그룹으로 남아있음.
- 때때로 필요한 것을 여전히 사용하고 있는지 묻는 자동 이메일을 받지만, 메시지는 불투명하고, 정말 큰 회사에서는 물어볼 사람이 없음(도움말 데스크는 답변하는 데 이틀이 걸리고, Twitter에서 John Savill에게 연락할 수도 없으므로, 그냥 확인을 누르고 계속 진행함).
- 결국, 구조가 찢어지고 공격자가 약한 지점에서 운이 좋아져 테넌트를 가로질러 원하는 것을 얻을 수 있음.
- 현명한 CISO가 한 번 말했듯이, 해커들은 침입하지 않고 로그인함.
- 사이버보안 업계에서 이를 "whoopsie"라고 흔히 알려짐.
- 연구원이자 보안 전문가인 Kevin Beaumont은 Mastodon에서 OAuth 앱에 'full_access_as_app' 역할을 할당할 수 있는 계정은 관리자 권한을 가져야 한다고 지적함. "누군가" 생산 환경에서 상당히 큰 설정 오류를 범했다고 말함.
- 시스템의 세부 사항을 알지 못하지만, 그것이 문제가 아닐 것 같고, 전문가가 그것이 문제라고 말하는 것에 놀람. 그러한 오류를 범할 수 있는 방법이 없어야 함. 설계자와 관리자가 그것을 불가능하게 만들어야 하며, 그들이 책임져야 함.
- 멋진 보안 인증이 있음에도 불구하고, Amazon에서 $36짜리 책의 잘 생각된 최선의 관행이 완전히 무시되는 것처럼 보임.
- 이 게시물에서 빠진 것: 저자들이 "생산"을 어떻게 정의하는지, "비생산" 계정이 생산 도메인에 대한 관리 권한을 가질 수 있는 경우.
- 이 패턴은 MS 생태계 전반에 걸쳐 예외가 아닌 규칙이지만, Microsoft 자체가 이를 수행하는 것은 특히 난처함.
- 한 회사에서 모든 생산 서버와 데이터베이스의 비밀번호를 코드 저장소의 텍스트 파일에 저장했는데, 이는 최고 아키텍트가 비밀번호를 기억하고 싶지 않았기 때문임. CTO에게 이것이 얼마나 어리석은지 지적했을 때, "우리는 우리 직원들을 신뢰한다"는 답변과 "우리는 보안 감사를 통과했다"는 답변을 받음.
- 새로운 직장에 갈 때 누군가가 "더 쉽기 때문에" 많은 권한을 할당하는 것을 싫어함. 그렇게 하지 말아야 함. 회사에 노출되는 것뿐만 아니라 원하지 않는 책임을 지게 됨. 실수로 중요한 것을 망칠 수도 있고, 해킹당하면 권한이 있기 때문에 내가 한 것으로 의심받을 수도 있음.
- 이것이 "실수"로 간주되는 이유는 무엇인가? Microsoft에서 관리자로 일하는 스파이의 행동일 수도 있음.