Okta/1Password biztonsági incidens

Titkosítás, biztonság, privát szféra

Az Okta ügyfeles ticketrendszere kompromittálódott, a támadók hozzáférhettek egyes ügyfelek által beküldött adatokhoz, mellékletekhez. Elvileg magához a szolgáltatáshoz nem fértek hozzá, sem az Auth0/CIC support rendszerhez. Az 1Password, mint Okta ügyfél szintén érintett (de nem jeleztek biztonsági incidenst ezzel összefüggésben).

 

Ahogy én látom IGA/IAM/AM,.. megoldásoknál a google enterprise könyezetben nem dominás, az MS csak azért van ott mert az AzureAD-t Access management-nek (meg mindennek is) titulálja és "van" sok usere az Azure haználat miatt, de ezek nem feltétlen "választották" ezt a megoldást, max alapjáraton használják, mert benne van.

Ha valaki továbblépne és univerzális, nem kizárólag MS környezetben is jól működő megoldást keres ilyen méretben az kb az Oktánál köt ki előbb-utóbb, de mindeképpen rákerül a shortlist-jére.

A 2022-es Gartner MQ-ban (access managemnet) is kb ez tükrözödik. https://www.okta.com/resources/gartner-magic-quadrant-access-management/

Sok "komoly" cég (vmware is pl.) az új termékeiben, ha IdP-s integrációt kínál az Okta ott lesz alapból a listában. (az MS AAD nem feltétlenül)

Én a következő gyártók termékeivel találkoztam eddig ezen a piacon: Okta, Cyberark, Ping identity, IBM.

Google: Nem ismerek IxM (IAM, IDM) megoldást tőlük.
Microsoft: Ahogy előttem is írták, MS szereti mindennek felcímkézni a termékeit. Az, hogy rá lehet drótozni egy szolgáltatást / terméket, attól én még nem hívnám IxM megoldásnak az AAD-t.

( Nyosigomboc v | 2023. 11. 01., sze – 16:57 )

Eddig meg nem ertettem meg, miert jo valakinek online tarolni a jelszavait, raadasul egy olyan helyen, amit masik parezer/millio felhasznalo is erre hasznal. Majd talan egyszer megertem. (a keepass rendben van, az offline, en is hasznalom)

A strange game. The only winning move is not to play. How about a nice game of chess?

( tornai | 2023. 11. 01., sze – 18:19 )

Csudijók ezek az enterprájz megoldások.

Jó volna, ha néhány utolsó vonalas júzert is megkérdeznének arról, hogy mennyire boldogok vele, meg milyen hasfájásaik vannak, de valahogy az az érzésem, hogy a brossúra a lényeg, mert úgyis olyanok döntenek a bevezetéséről és *kötelező* használatáról, akik amúgy nem fogják használni. Az, meg aki naponta 50 különböző helyre kell hogy belépjen napjában 200x, az meg nem számít, hogy mit tapasztal.

Há' evvan.

Disputalnek ezzel.

Ha a juzernek tulzoan kenyelmetlen, akkor bizony tesz majd olyan dolgokat, ami keresztbetesz a biztonsagnak...

 

Arrol ne is beszeljunk, hogy a szekus fonoket meg zavarni fogja ha allando szenvedes megy a szeku miatt, es nem megy a delivery, mert minden 10%kal tovabb tart. Ez sem szamit ugye? Csak legyen enterpajz grade szeku... istenem.

Akkor ezt azt is jelenheti, hogy az a jó, hogyha nem is kell "jelszó"/auth, mert az admin úgyis kiírja a monitor szélére, ha nem képes megjegyezni/nem ért egyet a használatával?

Valóban ilyen szinten, amit egy egyszerű user lát, nem számít, hogy ő hogy gondolja és az esetek 9x%-ban csak hiszti az egész a részükről, szó nincs "túlzó" kényelmetlenségről. Egy ideig megy a sipákolás, aztán megnyugszanak. + ha incidens van jön rá, hogy ha azt és úgy csinálta amit kértek, akkor az ő segge le van fedve.

De egy jó vezető ezen gyorsan továbblép, ha meg valaki nagyon nem veszi az adást, arra is lesz módszere hogy irányba állítsa, így vagy úgy. + csinál rendszeres auditot és ha kiderül hogy a kedves user "trükközik", akkor kap egy kartondobozt. Nem fog ebből gondot csinálni.

Ezt kell tudni elfogadni, hogy mindenki azzal foglalkozzon amiért ott van, amiért felelősségel tartozik és a fizetésést kapja. A véleményét meg csak akkor mondja el ha kérdezik, és tanulja meg elfogadni, ha esetleg az ő meggyőződésével elletétes dönés is születik olyan témában, amihez úgy gondolja qrvára ért, de mégsem ő a döntéshozó/felelős érte. 

Az, hogy a -10% meg belefér-e a delivery-be az is a vezetőség dolga eldöntni, a sima user ne aggódjon emiatt. A kozkázatot a cég futja nem a user, ha az kell, hogy a felügyelet/tőzsde/tulajok felé pl. meg legyen ezen kockázat kezelése erterspájz cuccokkal  - vagy csak az "ass covering" -, akkor meg lesz.

Ha meg tényleg kimutatható a "visszaesés" és nincs mód optimalizálni már és ez tényleg gond a cégnek, akkor meg változtatni fognak - a bónuszuk múlik rajta. De lehet azzal, hogy vesz még fel embert, nem a "jelszavazást" kapcsolja ki....

Jelentem, ahol vagyok, ott lózungok kellenek. Amikre lehet mutogatni, hogy itten bezony szekuritivan! Az, hogy a melós aki Azure-ban szeretne dolgozni VM-eken, és az applocker miatt nem tudja futtatni a céges gépén az ehhez szükséges powershell modulokat, ezért a privát otthoni gépéről lép be a corporate Azure környezetbe, na arról meg senki nem akar leginkább tudni sem.

Nagyvállalatoknál pedig általában a CISO sem (több más között) nyugdíjig kitartó poszt. Azaz ezek is rotálnak ugyanúgy mint a middle-management bárhol a világon. Ezért amikor jön az új CISO, annak mindig hoznia kell valami új "szexi product"-ot (brr, informatikában ezt a szót aki kitalalta biztos nem volt dolga nővel soha, csak a nagyfloppi nyilásába dugdoshatta). Aminek az implementálására elmegy 2-3 év. Aztán éppen kész lesz, megvan a nagy átállás, felmarkolja érte a kis bónuszkáját. Mire kiderülne, hogy ez még nagyobb szar, mint amit váltott, emberünk már le is lépett egy másik nagy multihoz.

És kezdődik a körforgás elölről.

Ezzel nem tudok/akarok/lehet vitatkozni, mert nagyon sok helyen így van, inkompetencia a négyzeten, de akkor ez az a szint, amit a cég el szeretne érni - és úgy néz ki sikerült is neki :-)

Ettől függetlenül szerintem nem a "sima  user" dolga ez a problémát megoldani vagy kitalálni, hogy hogy lesz "szekur" a dolog. Javasolni lehet - mert biztonságtudatos vagy, de ha nem akarják nagyon meghallani, akkor el kell egyszerűen engedni.

Ha nem tud belépni az eszközértől, akkor szóljon (1-2-3x) és ne lépjen be máshonnan, amíg nem oldják meg a problémáját. ez a cég által biztosított munkakörnyzet, nem az otthoni gép. Ő max ennyit tud tenni. (De a konrétan nem tud belépni mert túlhúztak egy kontrolt, meg a _szerinte_ túl hosszú a jelszó és gyakran kell cserélni és bojkottálom, azért árnyalatnyi különbség.)

Az hogy saját, nem a cég által felügyelt gépről is be lehet lépni és adminolni gépet, azt inkább nem kommentálom, de biztos hogy van "oka". Az is "ok", hogy ez nem jutott a fényestekintetűek eszébe vagy hozta ki még audit vagy tudják, de szerintük ez nam akkora kockázat, hogy kezelni kellene.... de ezt is ők/Ő dönti el és vállaja a felelősséget érte.

Leírtam mar par hónapja 1 másik szálban: azure-ban fut egy elég kritikus szerver környezet. Azt tutujgatja 5-6 felkent ember, senki másnak nincs hozzáférése. Vagyunk páran a hazai csapatban, mindenkinek legalább 10-15-20 év a területen szerzett szakmai múlt van a háta megett. (Nem a szép szemünkért miatt vettek fel egyikünket sem). Nekünk elsőkörben semmi access-ünk ebből semmihez.

Aztán az egyik kiemelt srác, akit már évekkel korábban idesodort a pech, aztán azóta sem lépett még egy humalánusabb helyre, na ő mondta el zárt ajtók mögött a fentieket. A központi szeku vagy nem tud róla, vagy a 3 szinttel feljebbi vezetőségnek sikerült kibulizni h. hunyjanak konkrétan efölött szemet. Szerintem szimplán csak vagy balfaszok, vagy az azure subscription security auditját pont véletlenül ugyanaz az ember futtatja, aki otthonról a saját laptopjáról menedzseli ezt az infrát, meg futtatja a szekuriti auditot.

( Raynes v | 2023. 11. 01., sze – 18:54 )

Szerkesztve: 2023. 11. 01., sze – 19:05

Ó, b***ki, nekem van náluk sajnos accountom. Nem 1Pass, hanem az Okta. Pedig ahogy a másik jelszós topikban is írtam, utálom ezeket az online jelszótárolós, hitelesítős szutykokat, de sajnos melóhelyen kényszerítettek rá, mert csak így lehet hozzáférni bizonyos juttatások igényléséhez, meg a payslip-hez, adópapírokhoz. Így be kellett adnom a derekam, sajnos a telóra is fel kellett tenni emiatt ezt az Okta auth szutykos appjukat, hogy dögöljenek meg. Eleve utálom, egy komplett fosch, 90 naponta teljes jelszócsere, állandóan több lépcsős telefonos kínlódás, mire be lehet jelentkezni. A kollégák is utálják, ráng tőle mindenkinek a szeme. Aki teheti, kerülje a ‘cibe az ilyeneket.

Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”

Egyreszt Okta, nem Octa, masreszt van SMS es akkor nem kell feltenni semmilyen szutykos applikaciot (persze ez lehet, hogy korlatozva a felhasznalo altal, de maga az Okta tud SMS-t). A 90 nap is sajat beallitas lehet, az Okta nem koveteli meg. Semmivel nem kenyelmetlenebb mint a netbankba jelszoval meg egy masik "faktorral" bejelentkezni. Nem tudom mit ertesz "teljes jelszocseren", de egy helyen megvaltoztatod, nem kell tenni semmit, es mukodik az osszes helyen.

Szoval lehet, hogy csak nalatok van sz@rul beallitva.

/sza2

Digital? Every idiot can count to one - Bob Widlar

Hagyd, ez csak egy tipikus user frocsoges volt aki szerint a rendszeres jelszocsere meg a 2FA meg minden biztonsagi reteg faszsag, jo az az abcd1234 jelszo minden szerverre es a cegnel emailben meg slack szobakban majd atkuldjuk egymasnak. Aztan meg jon a pofaraeses, de arrol ugye sose az ilyen felhasznalok tehetnek hanem valami varazslattal tortek be a ceghez...

+1, de csak majdnem.

a rendszeres jelszocsere 

^- ez tényleg fasság, mert a generált @$D0y3K5bI#l helyett olyan jelszavaim lesznek, hogy TeletalOktóber10, ráadásul oda is fogom cetlizni a monitorra, ha fontos (munkához kapcsolódó) dolog.

Remélem egyszer eljutunk odáig, hogy a security best practice (a jelszókezelőm által generált 12-64 karakteres jelszavamat ne időalapon kelljen rotálni) eljut a gyakorlatba is:

  1. When must a user change their password?
    • Both NIST and NCSC recommend against forcing regular password expiry, although it may be required by standards such as PCI DSS.

via owasp

A rendszeres jelszocsere tenyleg faszsag, helyette lehet az a megoldas, hogy van "a jelszo", amit ~soha nem kell hasznalni, ezert lehet kelloen bonyolult, utana az egyedi eszkozokon lehet a kornyezetnek megfelelo authentikaciot beallitani.

Konkret pelda, hogy van mondjuk az AAD jelszavad, amit egyszer beirsz, amikor megkapod a ceges gepet, utana beallitasz egy Windows Hello-s PIN-t, ami csak lokalban letezik. Aztan minden eszkozon mehet a neki megfelelo auth method: SSO, client cert, stb.

Szerintem a ceges jelszavamat eddig kevesebb mint otszor irtam mar be valahova.

Igen, észrevettem, hogy rosszul írtam, ezért javítottam is. A lényeg azon van, hogy ilyen a cég, ez az Okta appot használja második faktorra. Nem lehet megúszni, pedig én nem akarok ilyen szutykot használni. Hála istennek, csak ez az egy munkahelyi jelszóm van, ha feltörik a fiókom, nem tudnak semmit csinálni vele, munkahelyi pdf bizonylatokhoz férnek csak hozzá, meg tudnak elvileg juttatást igényelni, de arra nem lesz meg az extra igazolásuk, ami még kell hozzá bemutatásra. Szóval kárt nem tudnak okozni, de nagyon nem tetszik, hogy felnyomták. Valószínű a jelszavam is lejárt, mert szerintem túlléptem a 90 napos belépést.

Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”

Még csak most tudtam elintézni, hogy be tudjak lépni. Jól tippeltem, 90 napos határidő alatt nem módosítottam a jelszavam, lejárt. Így ha hozzá is jutottak a jelszavamhoz a feltörés során, semmire nem mentek vele, nem lehetett belépni, nekem sem. Csak a munkahely tudta a lejárt jelszót lecserélni egy újrageneráltra. Lehet most a lustaságom mentett meg.

Windows 95/98: 32 bit extension and a graphical shell for a 16 bit patch to an 8 bit operating system originally coded for a 4 bit microprocessor, written by a 2 bit company that can't stand 1 bit of competition.”