2015-03-30

SEMAFOR 2015: kontrowersje i żółta kartka

W ostatni czwartek i piątek miał miejsce SEMAFOR 2015 oraz BlackHat Asia.

Nie przypadkiem wspominamy o drugiej imprezie, na obu rozmawiano o bankerach.

Zaczynając od podsumowania konferencji SEMAFOR, podczas naszej prezentacji oraz dyskusji stolikowych podzieliliśmy się z uczestnikami swoim doświadczeniem jakie scenariusze użycia są nadużywane przez przestępców by finalnie wyprowadzić środki finansowe oraz pomysłami jak żyć (czyt. jak skutecznie wykrywać) z przestępcami na urządzeniach klientów systemów transakcyjnych,  tak by nie tracili zgromadzonych środków. Szczególnie owocne były dyskusje stolikowe oraz rozmowy kuluarowe. Próg wejścia w skuteczną detekcję jest stosunkowo niski, tani i szybki, a co najbardziej zaskakiwało dotychczas nieświadomą część słuchaczy, to prostota mechanizmów, które musimy przygotować. WhiteCat od lat przyzwyczajony jest do takich reakcji: "to nie może być takie proste!", "takie błędy popełniają przestępcy?!", itp. Tak, to takie proste, trzeba tylko na to wpaść, wdrożyć i obserwować jak to zagrożenie ewoluje by móc na nie adekwatnie reagować :-) Przyda się też doświadczenie.

Podczas dyskusji stolikowych uzupełnialiśmy to czego nie było na slajdach prezentacji i nie chcemy w szerokim gronie publikować by nie odrabiać lekcji za atakujących, sugerując gdzie powinni szukać obrońców. Tematem dość gorącym była próba podejścia do edukacji użytkowników systemów transakcyjnych, a wnioskiem, że należy zacząć od podstaw i w ramach nauczania, które naturalnie powinno przygotowywać ludzi do dorosłego życia - etapy szkoły podstawowej/gimnazjum/średniej/itd.

W naszej ocenie dyskusje stolikowe to ciekawe narzędzie do szybkiej wymiany doświadczeń osób, które na co dzień nie mają okazji się spotkać i porozmawiać. Cenne i warte naśladowania!

Kontrowersje.

Spotykamy się z opiniami, że metody detekcji można pominąć/ominąć/oślepić/itp. (zbędne skreślić). To prawda generalna, z którą trzeba się zawsze liczyć i w każdym temacie. Ten nie jest wyjątkowy choć wrażliwszy niż większość.

Przykład.

Czy wdrożony Web Application Firewall (WAF) w trybie logowania (czyt. alarmowania), na bazie wbudowanych sygnatur zapewni nam 100% skuteczność detekcji, a dodatkowo nie podlega w/w zasadom obniżania jego skuteczności? - oczywiście, że podlega. Czy to oznacza, że nie warto tego WAF'a stosować? - warto! Zaczynając od kosztów (osobowych, czasu uruchomienia: od posiadania rozwiązania w infrastrukturze do jego wdrożenia w takim trybie) i efektów działania (większość napastników WAF zauważy i to podstawa do tego by móc rozpocząć powstrzymanie go zanim zgotuje firmie/organizacji realną stratę), taki tryb uruchomienia WAFa to wykorzystanie zasady Pareto - 20% realizacji projektu wdrożenia tego rozwiązania da skuteczność w postaci wykrycia ok. 80% napastników. Takie są realia. Do czasu aż "80%" napastników nie podniesie swojego poziomu te 20% realizacji projektu będzie dla nich wystarczające[1] (czyt. tanie, szybkie w realizacji). Temat ataków na aplikacje webowe ma sporo ponad 10 lat, jest dużo narzędzi do ich testowania, zabezpieczania, a także obrony (bez skutecznego i ciągłego monitoringu + aktywnej obrony aplikacji webowych, nie ma mowy świadomości jak bezpieczna jest nasza firma/organizacja oraz czy jesteśmy atakowani).

Przejdźmy do bankerów. Ich historia jest całkiem inna. Od lat znane są rozwiązania bezpieczeństwa zarówno po stronie użytkowników (rzadko stosowane lub efektywne) jak i po stronie banków ("silne" metody autoryzacji czy systemy Fraud Detection System), choć i jedne i drugie niezbyt przeszkadzają w efektywnej kradzieży środków klientów - przedstawialiśmy krótkie zestawienie podczas SEMAFORa (prezentacja dostępna po kontakcie mailowym z nami - kontakt {@} whitecatsec.com - odpowiemy tylko na maile, gdzie będziemy w stanie określić prawdziwego nadawcę/firmę).

Rozwiązania służące do detekcji zainfekowanego urządzenia klienta, które spełniają choćby zasadę Pareto są dużo młodsze niż np. WAF, mają mnóstwo znanych (nieznanych również) wad, analogicznie jak z wziętym na potrzeby porównania Firewallem Aplikacji Webowych. To co różni obie rodziny technologii mających podnieść poziom bezpieczeństwa to ich dojrzałość i bezpośrednie skutki jeśli zawiodą. Wg. WhiteCat Security niezwykle istotne jest mieć opracowany model zagrożeń dla aktywów, które chronimy, ale także dla stosowanych rozwiązań bezpieczeństwa. Chcemy znać metody obejścia/ograniczenia obrony, którą stosujemy by móc adekwatnie na nie reagować kiedy ktoś zacznie z nich korzystać, a najlepiej trochę wcześniej. Dlaczego "trochę wcześniej" i dlaczego nie od razu odstraszać wroga wielkimi działami? Odpowiedź prosta i oczywista dla wszystkich doświadczonych obrońców: aby uruchomić bardziej niezawodny mechanizm detekcji ataku potrzeba znacznie więcej niż 20% realizacji projektu -> dużo więcej czasu, środków finansowych, a w konsekwencji dużo później zaczniemy aktywnie reagować (czyt. zmniejszać koszty -> skutki wydarzających się incydentów).

Realizacja 20% projektu dający ok. 80% wyników (choć skuteczność detekcji może wynosić już 100%! - brakujące % to właśnie akceptowane i znane metody pominięcia/ominięcia czy oślepienia mechanizmu, ale dzisiaj niestosowane w sposób powszechny przez napastników!) znacząco polepsza sytuację firmy/organizacji/klientów TU i TERAZ - nie za miesiąc/kwartał lub dłuższy okres.

Jaki jest powód by mieć większe, niekontrolowane straty skoro można mieć mniejsze już "teraz"?

Wiedza o metodach omijania/oślepiania/itd. nie jest i nie powinna być tematem tabu czy security by obscurity, choć uważamy, że powinna być dystrybuowana w kanałach komunikacyjnych, które nie są oczywiste dla tych, którzy mogą być zainteresowani omijaniem detekcji - dlaczego odrabiać za nich lekcje? Poważnie zainteresowanych odpowiedzią na to pytanie zapraszamy do kontaktu z nami,  publicznie nie ujawniamy taktyk czy modelów zagrożeń narzędzi stosowanych do detekcji działania bankerów.

Pracownicy jednej z firm zajmujących się testowaniem bezpieczeństwa, równolegle do konferencji SEMAFOR, na BlackHat Asia opublikowali wyniki badań mechanizmów detekcji webinjectów. Panowie, żółta kartka dla Was. Uzasadnieniem kartki jest powyższy wpis oraz to, że otrzymaliście przed prezentacją sugestie i refleksje na jej temat, które zignorowaliście. Jeśli nie pomagacie, nie przeszkadzajcie (czyt. nie ułatwiajcie przestępcom). Praca "w cieniu" swoich sukcesów to też rozwiązanie, a ten temat wymaga stosownej wrażliwości.

[1] - niezwykle istotne jest jak zareagujemy na alarmy z WAF'a, musimy być na to przygotowani (procedura obsług takich alarmów, odpowiednio często przeglądane alarmy, itp.)

Brak komentarzy:

Publikowanie komentarza