APT/DDoS. Konferencja Atak i Obrona.

Beata Marek Bezpieczeństwo teleinformatyczne, Cyberzagrożenia i cyberprzestępczość, Sprawozdania, raporty, prezentacje, infografiki Leave a Comment

We wtorek miałam przyjemność uczestniczyć w konferencji Atak i Obrona zorganizowanej przez Fundację Bezpieczną Cyberprzestrzeń wspólnie z Evention. Była to wspaniała okazja do spotkania się ze znajomymi oraz oczywiście zdobycia cennej wiedzy.

Chciałabym podzielić się z Tobą kilkoma spostrzeżeniami gdyż problematyka APT (tutaj pisałam więcej o tym zagadnieniu) jak i DDoS (tutaj więcej informacji) szczególnie dotyczy wszelkiego typu e-usług.

Najważniejsza jest świadomość, że atak prędzej czy później dotknie Twoją organizację. Bez względu na to czy będzie to APT czy DDoS bez ludzi o odpowiednich kompetencjach, właściwego czasu reakcji i zastosowaniu odpowiednich narzędzi do obrony poniesiesz duże straty. Złożą się na nie koszty związane z odparciem ataku, utratą wizerunku i grupy klientów, a w przypadku ataków DDoS także SLA (gwarantowanego poziomu świadczenia usług) serwisu. Koszty mogą okazać się tak wysokie, że będą równoznaczne z zamknięciem Twojej działalności.


APT

Nie da się skutecznie zapobiec temu atakowi. Dlaczego? Bo jest on zawsze indywidualnie dobrany pod konkretne ofiary. A są nimi najsłabsze ogniwa w Twojej firmie. Jeśli wszyscy pracownicy nie są odpowiednio przeszkoleni to zawsze znajdzie się ktoś chętny do podłączenia znalezionego na ulicy penddrive czy pobrania przesłanego pliku bez sprawdzenia źródła jego pochodzenia (przykład fałszywego raportu nt. cyberzagrożenia przesyłanego w formacie .pdf możesz znaleźć tutaj). Żadne szkolenie nie uchroni jednak przed ludzką ciekawością. Prędzej czy później ktoś nie wytrzyma i kliknie w link z informacją np. o tym ile zarabia jego przełożony. A ten link odeśle go na zainfekowaną stronę internetową, z której w tle będzie pobierał się na urządzenie ofiary szkodnik (malware).

Pomysłowość ludzka nie zna granic i na tym polega niszczycielska siła APT. Pomyśl ile osób byłoby ciekawych tym czym zajmuje się każdy pracownik w Twojej firmie? Z kim prowadzone są negocjacje? jakie są przedkładane oferty? jak wyglądają fizyczne zabezpieczenia? gdzie trzymane są pieniądze, jakie są hasła dostępowe do e-kont?

Tak naprawdę każdy kto chciałby przejąć Twoich klientów, zniszczyć Twoją firmę albo regularnie Cię okradać.

Pewnie teraz możesz powiedzieć “Mnie ten problem i tak nie dotyczy. To firmy amerykańskie ciągle są atakowane”. Uprzedzam jednak, że jest to błędne myślenie. W Stanach Zjednoczonych Ameryki Północnej jest inne prawo i inaczej wygląda obowiazek notyfikacyjny (informowania o naruszeniach bezpieczeństwa) niż w Europie, w tym w Polsce.

APT to problem globalny. W dobie kryzysu i coraz agresywniejszej walki o klienta niestety może stać się obiektem zainteresowania Twojej konkurencji.

APT pozwala na wprowadzenie szpiega, który jest niewidzialny. W tym celu cyberprzestępcy wykorzystują inżynierię społeczną i słabości Twoich systemów zabezpieczeń. Jeśli używasz tradacyjnego oprogramowania zabezpieczającego bazującego na sygnaturach to zapewniasz sobie ochronę jedynie w 25%. Dokładnie tyle malware bazuje na tych samych sygnaturach. 75% stanowią szkodniki o niepowtarzalnej budowie (zdaniem Piora Linke z SourceFire). Nie ułatwiaj zadania cyberprzestępcom.


DDoS

Pierwszy atak DDoS wykonał student o pseudonimie MafiaBoy (tutaj przeczytasz dużo na ten temat) w 2000r. Od 13 lat nie wymyślono skutecznej walki z tym cyberatakiem. A obawiać się jego mogą w szczególności e-usługodawcy i dostawcy infrastruktury (serwerów).

Studium przypadku Allegro (tu można przeczytać o ataku), o którym opowiadał Jakub Masłowski było bardzo interesujące.

Tak naprawdę atak pojawił się jak grom z jasnego nieba. Nikt się go nie spodziewał (analiza wsteczna wykazała, że przed atakiem były przeprowadzane próby, ale zostały one zignorowane z uwagi na wielkość generowanego ruchu).

Atak to był jeden, wielki chaos.

Dlaczego?

Złożyło się na to kilka czynników.

  • Po pierwsze producent serwerów zapewniał inną wydajność urządzeń w teorii, a inną w praktyce (zdaje się, że nie przetestowano dobrze urządzeń).
  • Drugą niespodzianką był brak złożonych procedur. Samo wdrożenie access list na routerach okazało się niewystarczające.
  • Sam sposób przeprowadzania ataków był zaskoczeniem. Przestępca przeprowadzał nie tylko ataki wolumetryczne, ale także atakował DNS i serwisy warstwy siódmej. Łącznie zostało zaatakowanych aż 14 różnych technologii (w tym języków php, java, perl).
  • Komunikacja z dostawcami Internetu była bardzo trudna.
  • Atak udało się odeprzeć, a sprawcę ująć. Obecnie prowadzone jest przeciwko niemu postępowanie karne. Warto dodać, że pracownicy wymiaru sprawiedliwości są bardzo słabo przeszkoleni i ich wiedza na temat zabezpieczania dowodów jak i formułowania zarzutów bez dostarczenia stosowanych ekspertyz przez specjalistów ds. bezpieczeństwa jest znikoma. I tu poraz kolejny podkreślę jak ważna jest współpraca na linii prawnik – inżynier. Przy przestępstwach teleinformatycznych każda z osób ma swoje zadanie i kooperacja pomiędzy tymi osobami jest niezbędna by owe zadanie zostało dobrze wykonane.

    Po tej prezentacji wartym uwagi może być narzędzie WanGuard. Jest to oprogramowanie instalowane na serwerach linuxowych, które jest w stanie realizować swoje anty ddosowe założenia. Pierwszy model ochrony to słuchanie ruchu, analiza, generowanie access list, a drugi sposób polega na filtrowaniu ruchu, łatwej skalowalności. Dzięki temu narzędziu można monitorować ruch botnetów. Algorytm pozwala identyfikować kiedy, jakie adresy, co robią. Allegro obserwuje takie botnety. Miło też, że zespół jest otwarty na wymianę informacji i zachęca specjalistów ds. bezpieczeństwa innych serwisów do kontaktu. Warto skorzystać z tego zaproszenia. To bardzo dobre podejście.

    Podsumowanie

    Podsumowując potrzebne jest zatem odpowiednie narzędzie do filtrowania ruchu, ale bez prawidłowego przeszkolenia osób monitorujących i kompetencji zespołu nie da się wychwycić anomalii. Jeśli przed atakiem nie zostaną wdrożone złożone, elastyczne procedury i listy kontaktowe to zapanuje chaos w jego trakcie. Warto też zawczasu przygotować szablony notatek prasowych, które później uzupełniane zostaną odpowiednimi danymi w trakcie ataku. W ten sposób dział techniczny nie będzie musiał koncentrować swojego czasu na ich pisaniu.

    Nowoczesny model ochrony nie polega na biernym budowaniu muru i opancerzania się. APT i DDoS są realnymi zagrożeniami, które pokonają każde zabezpieczenie. Ochrona powinna być dynamiczna i opierać się na analizie i wdrażaniu konkretnych rozwiązań mających atak wykryć jak najwcześniej i go zdusić w zarodku.

    Ataków DDoS będzie coraz więcej. Nie da się przed nimi uciec. Trzeba być na nie przygotowanym. Już teraz standardem są DDoSy na poziomie 41 Gb/s, a średni czas ich trwania wynosi 12 godzin (zdaniem Artura Barankiewicza z Orange). Ataki te będą coraz silniejsze. Pomyśl o tym już teraz, żeby SLA Twojego serwisu nie ucierpiało.

    Ataków APT też będzie coraz więcej. Zobacz jak wygląda działanie cyberprzestępców:


    Autor grafiki promującej wpis: Sant Valentin