Computerbeveiliging - Hoe je bad guys buiten de deur houdt

SQLi - ook gij, Barracuda?

13-04-2011, 20:51 door Bitwiper, 14 reacties
De SQL injection attacks gaan maar door. Nadat eind maart mysql.com te grazen werd genomen (zie https://secure.security.nl/artikel/36643/1/mysql.com_-_SQL_injection%3F.html), gevolgd door enorme aantallen doch minder prominente websites die vielen voor de "Lizamoon" attack, valt deze week de eer te beurt aan Barracuda, experts op het gebied van (web application) firewalls.

Een verklaring van de club zelf kun je hier lezen: http://www.barracudalabs.com/wordpress/index.php/2011/04/11/learning-the-importance-of-waf-technology-the-hard-way/.

Bron: http://www.net-security.org/secworld.php?id=10884.
Reacties (14)
14-04-2011, 10:18 door [Account Verwijderd]
[Verwijderd]
14-04-2011, 11:04 door Bitwiper
Door Cvrler: Als ik de eerste link aanklik dan krijg ik de waarschuwing dat ik alleen de veilige inhoud te zien krijg.
Geen idee wat daar aan de hand is, heb nu ook geen tijd om dat uit te zoeken.

Zou gerelateerd kunnen zijn aan het feit dat Wordpress zelf gisteravond laat (NL tijd) bekend maakte een root compromise te hebben meegemaakt, zie http://www.security.nl/artikel/36812/1/Aanvallers_stelen_WordPress_broncode.html.

Wellicht dat jouw browser daarom alle wordpress sites als onveilig beschouwt of zo.
14-04-2011, 11:37 door [Account Verwijderd]
[Verwijderd]
14-04-2011, 11:56 door Syzygy
Door Cvrler: Quote: "Aanvallers stelen WordPress broncode
Vandaag,10:57 doorRedactie"

Ben mijn wachtwoord aan het versterken;-))

"Oude wachtwoord" + "#1" ;-)
14-04-2011, 11:59 door [Account Verwijderd]
[Verwijderd]
14-04-2011, 14:52 door Diego de la Vega
Pijnlijk voor een voornamelijk security bedrijf. X-| :-)

Spijtig dat ze geen technische gegevens vrijgeven zoals de geïnjecteerde SQL code e.d. Ze zeggen dat hun eigen WAF toevallig even af stond. Is dat echt zo of willen ze niet toegeven dat hun WAF die SQL Injection niet heeft tegengehouden? ;-)
15-04-2011, 10:07 door Anoniem
Door Cvrler: Quote: "Aanvallers stelen WordPress broncode
Vandaag,10:57 doorRedactie"

Zo, kijk even.....
Dat bedoel ik dus, ook vwb. de rest van mijn verzoek.

Ik ben nu benieuwd wie het mij gaat uitleggen'.......

Ben mijn wachtwoord aan het versterken;-))
Het probleem met security is, dat je niet "veilig" wordt door vanaf een bepaald moment op security richtlijnen te gaan letten. Je kunt goed opletten hoe je ontwikkelt, maar je hoeft maar één aspect te vergeten, en je heb alsnog een veiligheidsprobleem. En er zijn natuurlijk nogal wat plekken waar je op moet letten om die veiligheidsproblemen te voorkómen.

Voor soortgelijke gevallen als SQL injectie heb je voornamelijk de OWASP-richtlijnen, die aangeven wat de belangrijkste veiligheidsproblemen voor web applicaties zijn, op dat moment. Maar dat betekent dus dat je op al je web pagina's deze richtlijnen moet toepassen. Als je daarop bijv. wel let voor je pagina's waarvoor je eerst moet aanloggen, maar niet voor het publieke deel van je website, dan heb je dus een probleem.

M.a.w. het gehele ontwikkelproces van je website moet rekening houden met allerlei security eisen. Alléén reageren op een bericht in de pers over weer nieuwe aanvallen, helpt niet.

Tegenwoordig wordt vaak een deel van de software ontwikkeling uitbesteed aan andere bedrijven. Dus zelfs al heb je je interne ontwikkelproces in orde, dan nog is het lastig om ook die andere partijen aan dezelfde eisen te laten voldoen. Daarmee is niet gezegd dat je nooit moet uitbesteden, maar je moet ook dat proces wel onder controle hebben, als bedrijf.

Kortom, het echte probleem is, dat het véél is, en daardoor complex, en daardoor vergeet je snel iets.

Ik hoop dat dit helpt...
15-04-2011, 18:57 door [Account Verwijderd]
[Verwijderd]
16-04-2011, 03:15 door rodin
Er wordt vaak terecht gezegd dat 100% veilig niet bestaat. Wat ze bedoelen is 'gegeven genoeg tijd, zal een goede hacker altijd binnenkomen'.

Het is belangrijk om te beseffen hoe beveiliging werkt. Om het afstudeerverslag van Frank van Vliet maar eens aan te halen: hoe veiliger je programmeert en hoe meer lagen beveiliging je aanlegt, des te langer het duurt voordat een hacker toegang heeft tot je systemen. Een succesvolle beveiliging heeft twee mogelijke einddoelen:

1. De hacker gaat zich vervelen of wordt gefrustreerd en geeft het op.
2. Je hebt genoeg tijd om de activiteiten van de hacker te kunnen detecteren en hem te blokkeren.

Wanneer de hacker een zeer goed script is ofwel goed betaald wordt voor zijn werk wordt optie 1 steeds moeilijker te bereiken. Daarom is het belangrijk dat ook optie 2 gehaald kan worden. Een automatisch systeem kan snel ingrijpen maar kan omzeild worden. Af en toe zul je toch echt even zelf in je acces log moeten kijken, al is het maar eens per week. Als je dit nooit doet kan een hacker ongestoord zijn gang gaan en zal hij uiteindelijk slagen.

In het geval van Barracuda ging optie 2 mis. Het automatische systeem was uitgezet en ze hadden echt enorme pech (?) dat die dag een serieuze aanval bezig was.

Altijd gaan voor optie 1 is gedoemd tot falen. Je kan niet 100% veilige code schrijven. Ga voor 99.999999% en val soms terug op optie 2.
16-04-2011, 12:30 door Syzygy
Door rodin: Er wordt vaak terecht gezegd dat 100% veilig niet bestaat. Wat ze bedoelen is 'gegeven genoeg tijd, zal een goede hacker altijd binnenkomen'.

~


Prima verhaal.
Sta mij toe het even aan te vullen.

Veiligheid is ook tijdelijk van aard.
Iets is veilig omdat met op dat tijdstip nog geen (technische) mogelijkheid ter beschikking is, om de "beveiliging" te omzeilen. Dit kan echter over 10 seconden, 5 uur, 3 dagen of 7 maanden anders zijn, wie zal het zeggen.

We moeten dus naast de policy (beleid/regels) ook blijven meten (onderzoeken).

Daarnaast is het natuurlijk ook de vraag, hoe belangrijk is de data die je wilt beschermen (hoe ver zal een hacker willen gaan qua techniek en tijd (geld) om bij je gegevens te willen komen).

Met dit gegeven kun je natuurlijk je "defensie systeem" gaan schalen. (moet ik een Firewall van 20000 euro kopen om mijn vakantie foto's te beschermen)
Het kosten/baten plaatje dus.


Moet ik een extern onafhankelijk expertise bedrijf inhuren om mijn verdediging systeem nog eens extra te testen om een vorm van extra "Zwitserlever" gevoel te creëren ?

En vooral mensen blijven trainen !!
De meeste drama's gebeuren door menselijke fouten (vaak stomme fouten) die door een kleine cursus vermeden hadden kunnen worden maar zeg nou eens eens eerlijk, waar wordt dat gedaan ??
16-04-2011, 18:20 door Bitwiper
Door Cvrler: Dag Bitwiper;
[...]
Verder: Ik verwonder me er steeds over als ik dergelijke verhalen lees, dat dit -niet de minste- veiligheidsbedrijven zo maar kan overkomen. Nu weet ik, het blijft allemaal mensenwerk, maar wil je mij -als expert- uitleggen wat het proces is en hoe dit dan zo kan?
Ik vraag me sterk af of er wel security "experts" bestaan. Ik zie mezelf in elk geval niet als expert. Ik ben altijd al iemand geweest die van alle technische zaken in m'n omgeving wil weten hoe en waarom het werkt. Ooit ben ik beroepsmatig met ICT security in aanraking gekomen, en sindsdien is het volgen van security nieuws, en het houden van een overzicht van bedreigingen, een soort uit de hand gelopen hobby geworden.

Hoe het kan dat zoveel sites gekraakt worden? Allemaal een kwestie van geld. Er bestaan geen zware boetes als jouw en mijn gegevens door een bedrijf worden gelekt. Er is dus geen enkele economische reden voor bedrijven om geld uit te geven aan beveiliging van jouw en mijn gegevens.

Hoe komt dat: web sites en web applicaties worden door creatieve geesten bedacht met nul verstand van security. Die worden vervolgens in zo min mogelijk tijd in elkaar gegooid door een programmeur of iemand die daarvoor doorgaat, die -als je geluk hebt- iets van security weet (maar mensen die meer van web frameworks weten dan van security zijn natuurlijk meer welkom, die werken sneller en zeuren minder).

Als er al getest wordt, gebeurt dat op de volgende aspecten:
1. Doet de web site/app wat het bedrijf ervan verwacht?
2. Kan de klant de boel belazeren?
3. Nu is het geld op.

Als het geld bij punt 3 niet op is (schaars type bedrijf dat geen last had van de economische crisis en waarvan de baas z'n bonus graag afstaat voor dit soort zaken) gaat er wellicht een penetratietester mee aan de gang en/of wordt er een serieuze security audit gehouden. De programmeur zit dan allang op een andere klus, en bovendien zou je in de praktijk, op basis van de uitkomst van zo'n onderzoek, vanaf scratch opnieuw moeten beginnen, omdat de programmeur overal in de source security-best-practices aan z'n laars gelapt heeft. Daar is natuurlijk geen geld meer voor, maar soms nog wel voor een WAF die er voor gegooid wordt, in de hoop dat deze alle ellende tegenhoudt. Een probleem daarbij is dat de meeste managers nog nooit in een firewall- of web server log gekeken hebben. Ze hebben geen idee van de verhouding tussen het aantal inbraakpogingen op internet en op de voordeur van hun huis.

Vervolgens wordt de boel door een systeembeheerder geinstalleerd en onderhouden. Helaas kan niet van een doorsnee en overwerkte systeembeheerder worden verwacht dat hij structurele problemen oplost of zich realiseert welke componenten en/of frameworks zijn toegepast in de web applicatie. Hij werkt reactief en draait hooguit de patches die gepusht worden bijv. door Microsoft en heeft heus geen tijd en zin om zelf onderzoek te doen - dat wordt ook niet gewaardeerd door z'n baas. Nee, die baas belt hem om te vertellen dat hij de WAF moet uitzetten omdat klanten over false positives hebben geklaagd.

Zo gaat het in de praktijk. Soms worden er mensen ingehuurd die op basis van een fuzzy model zeggen te kunnen bepalen wat de kans is dat er wordt ingebroken en gegevens op straat komen te liggen. Daar heb je dan net zoveel aan als Verhagen die zegt dat de kans op een meltdown in een NL kerncentrale minder dan 1 is in 1 miljoen jaar (zie http://www.volkskrant.nl/vk/nl/2664/Nieuws/article/detail/1860015/2011/03/14/Verhagen-Japan-meenemen-in-besluit-Nederlandse-kerncentrale.dhtml). Oftewel, het kan best morgen gebeuren. En als je pech hebt, volgende week opnieuw. Een bekend gezegde: de statisticus waadde vol zelfvertrouwen door een rivier van gemiddeld 1 meter diep en verdronk.

Wat ik wil weten is hoe groot de kans is dat er, bijv. komend jaar, in de web applicatie wordt ingebroken. Dat kan niemand mij precies vertellen, tenzij een simpele check laat zien dat er bekende lekken in zitten (dan is de kans bijna 1 dat die web app door een Lizamoon-achtige attack wordt geveld). Je kunt dus hooguit het risico inschatten op basis van wat we nu weten, en dat kun je (als je genoeg tijd, geld en terzake kundige mensen hebt) ook allemaal testen, (als je binnen enkele minuten meerdere lekken vind kun je natuurlijk meteen stoppen). Als er na lang zoeken maar een paar lekken worden gevonden (die je laat fixen), is daarop extrapoleren geen wetenschap, maar natte vinger werk.

Vervolgens berekenen we: risico = kans maal impact. Maar wat is die impact? Voor veel bedrijven nagenoeg nul zoals we eerder al hebben vastgesteld. Het risico is dus ook nagenoeg nul. Die bedrijven kunnen al die security soesah gerust achterwege laten. Sterker, hun aandeelhouders zullen het niet waarderen als ze geld "verspillen" aan security. Zolang bedrijven niet zwaar worden beboet voor het onzorgvuldig omgaan met onze gegevens gaat er niets veranderen.

Boetes zijn nog ver weg. Maar we zouden in NL, net als in de USA, eens kunnen beginnen om bedrijven verplicht te stellen dat ze het zelf moeten bekendmaken als er bij ze is ingebroken (RSA en Barracuda hadden dat heus niet gedaan als ze er niet toe verplicht waren).

Ik heb op de site van bijv. Simyo.nl geen melding gezien dat ze door Lizamoon waren gehacked (nog steeds te vinden in Google, zoek naar site:simyo.nl ur.php, of zie m'n bijdrage in http://www.security.nl/artikel/36681/1/Grootschalige_aanval_op_28.000_webpagina%27s.html). Ik heb in de loop van de jaren al heel wat gekraakte NL websites gezien, maar voor zover ik me herinner nooit een excuus en/of waarschuwing.
16-04-2011, 20:12 door [Account Verwijderd]
[Verwijderd]
17-04-2011, 09:46 door Syzygy
Bitwiper -
Ik vraag me sterk af of er wel security "experts" bestaan. Ik zie mezelf in elk geval niet als expert. Ik ben altijd al iemand geweest die van alle technische zaken in m'n omgeving wil weten hoe en waarom het werkt. Ooit ben ik beroepsmatig met ICT security in aanraking gekomen, en sindsdien is het volgen van security nieuws, en het houden van een overzicht van bedreigingen, een soort uit de hand gelopen hobby geworden.

Klinkt bekend en met jouw twijfel over je eigen capaciteiten ben je al een goed end op weg want iemand die zijn grenzen kent staat al ruim boven de middelmaat. Ik herken veel in je uitspraak want ik ben ook iemand die al sinds jaar en dag zelf dingen onderzoekt eer dat ik het zo maar klakkeloos aanneem, hetgeen de meesten hier wel van mij gewend zijn.

In de loop der tijd heb ik veel directeuren en eigenaren van Security bedrijven gesproken. Dit zijn vaak Security geïnteresseerde business mensen en sommige hebben goede neuzen voor nieuwe business opportunities binnen dit vakgebied en voldoende kennis om te begrijpen waar de markt naar toe gaat. Voor de diepere techniek er achter hebben ze dan mensen met kennis van zaken nodig. Jij doelt waarschijnlijk op de laatste categorie terwijl die baas ook een specialist is maar dan op business level.

Even naar de technisch specialist. Doordat ik ook op dat gebied regelmatig mensen tegenkom die zich als specialist verkopen neem ik die term natuurlijk ook vaak in twijfel. Als ik met iemand een afspraak heb, dan licht ik eerst even zijn achtergrond door qua scholing en CV om een idee te krijgen wat voor vlees we in de kuip hebben. Als iemand dan 3 jaar in de security zit en ik begin het gesprek met, " Je zit nog niet zo lang in de Security/Automatisering, zag ik in je CV", dan verloopt zo'n gesprek al meteen wat meer "down to earth". Alle pretenties worden dan meteen overboord gegooid.

Maar nu naar de echte specialisten. Ook ik ken mijn grenzen en door mijn contacten kom ik ook wel eens in aanraking met de echte cracks (vaak in het buitenland). Wat ik dan hoor daar krijg ik dan zelfs nog de rillingen van, want dat zijn mensen van een heel ander kaliber. Als ik dan klaar ben met en gesprek dan denk ik, ben ik nou zo dom of zijn zij nou zo slim (terwijl mijn arrogantie me toch zelden in de steek laat hahahaha) .
Ja er zijn mensen die errug goed zijn op bepaalde vlakken.
Maar ... vaak smal en diep .
Ik ga dan niet zooooo diep maar ben wel breder geïnformeerd.
Ben je dan geen expert meer ?? Ik denk het niet.
Maar het maakt me eigenlijk ook niet uit.
Geef me een gesprek van 2 miniuten met iemand en ik ken zijn niveau.

De valkuil:
De Certificeringen.
Ik ontmoet mensen met pakken certificaten op het gebied van Security met totaal geen gevoel voor het vakgebied en ICT ansich. Die mensen sturen ze dan naar toonaangevende bedrijven om daar onderzoek te doen. Kosten veel geld en schrijven mooie rapporten maar vakinhoudelijk stelt het niks voor.
Ze weten alles volgens een schema maar even lekker buiten de lijntjes kleuren is er niet bij. Ga ze niks anders vragen want je komt niks nieuws te weten. 500 vragen uit je hoofd leren en dan examen doen vertelt me meer over je geheugen dan over je kennis over een bepaald vakgebied maar daar wil men niet aan.


Mijn idee van een expert is:
Dat hij iets weet en DAT HIJ EEN ANDER KAN UITLEGGEN WAT HIJ WEET !

Aan de hand van mijn stelling val jij daar dus wel in die categorie want je legt altijd keurig uit hoe je tot bepaalde uitspraken komt en wat de techniek er achter is (er van uitgaande dat je het zelf begrijpt ;-).


de omni re scibili et quibusdam aliis
19-04-2011, 23:50 door Bitwiper
Sorry dat ik deze thread weer even oprakel, maar om aan te geven dat ik niet de enige ben die constateert dat veel web apps lek zijn en sloppy in elkaar gegooid worden, zie http://threatpost.com/en_us/blogs/report-application-security-still-mostly-sucks-041911.

Het (commercieel getinte maar m.i. best interessante) Veracode rapport kun je hier downloaden na het invoeren van je gegevens: http://info.veracode.com/state-of-software-security-report-volume3.html (maar interessant genoeg voor zo'n site kun je de URL naar de PDF op diezelfde site vinden met wat googlen ;)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.