suffert
16/01/2010, 20:10
Senhores do ISTF, há algum tempo tenho lido via RSS feeds alguns posts do fórum e aproveito para começar a contribuir com alguns assuntos também.
Observação: O post completo, com links no texto está presente em em:
SSegurança - blog.suffert.com: China vs Google e CIA - Lições a aprender (http://sseguranca.blogspot.com/2010/01/china-vs-google-e-cia-ou-nao-ha-como.html)
China vs Google e CIA - Lições a aprender
Diante do anúncio recente de que mais de 30 empresas americanas foram atacadas supostamente pelo governo Chinês, irei comentar o assunto sob a luz de alguns conceitos apresentados em posts anteriores:
# Risco, Vulnerabilidade, Ameaça e Impacto (reloaded) #
É fundamental conhecer as reais ameaças a que uma empresa (ou país) está exposto. E certamente este episódio - pela sua magnitude de divulgação - servirá a este propósito em nível nacional (US).Explodindo os componentes do termo "Ameaça", encontramos três fundamentais conceitos que por si só demonstram a seriedade e complexidade do caso em pauta:
Intenção: tende a ser dependente de indústria e situação. Abafar iniciativas de livre-divulgação e críticas ao governo Chinês, e Roubo de propriedade intelectual de empresas americanas, por exemplo. É importante notar que a intenção do atacante não pode ser influenciada por nenhuma ação de Segurança.
Oportunidade: timing apropriado e conhecimento do alvo. Neste caso, o ataque que se iniciou com phishing direcionado (ou spear phishing) utilizou uma vulnerabilidade 0-day do Internet Explorer (que inclusive já está disponível no MSF) - que certamente era utilizado pelas empresas alvo, vários níveis de criptografia - para "bypassar" ferramentas DLP e similares, trojans especialmente desenvolvidos com técnicas stealth - para vencer anti-vírus e HIPS.
Capacidade: é a habilidade financeira, humana e técnica de alcançar o objetivo de ataque e aproveitar a oportunidade. Certamente com o apoio e investimento do governo e ter os melhores hackers do mundo ajuda a China a obter seus objetivos de silenciar vozes que se levantam contra o regime - mesmo fora do país e a roubar informações privilegiadas de empresas pelo mundo.
# 7 (ou mais) Conceitos em Seguranca alem da CIA #
O conceito de APT -"Advanced Persistent Threat" - se de ataques contínuos utilizando amplos recursos (muito tempo e dinheiro investidos com firme propósito/intenção), em ataques que são altamente sofisticados e claramente direcionados. Neste tipo de situação, as defesas tradicionais e genéricas são inúteis.
Um Anti-Vírus e um IDS/IPS - por melhor que sejam - são tecnologias moribundas, baseadas em assinatura e dependentes de já conhecerem o atauqe - e por isto mesmo não detectarão códigos maliciosos customizados, ainda mais com vários níveis de evasão e criptografia como foi o caso do ataque ao Google, Yahoo, Adobe, ...
Por melhor que seja um programa de gerenciamento de patches, um ataque utilizando uma vulnerabilidade 0-day como a que foi explorada nestes ataques direcionados funcionará em 100% das máquinas atacadas.
E quando o atacante usa uma combinação de engenharia social (email/IM) e técnicas de "Drive-By Download", nem mesmo um anexo (doc, exe, ou pdf) precisa ser utilizado. Basta que um funcionário da empresa acesse um site utilizando - no caso - um Internet Explorer (6,7,8) para que o ataque tenha sucesso.
Talvez você esteja pensando - então não há como escapar! E - adivinhe - você está certo.
A melhor forma de iniciar um contra-ataque efetivo às Ameaças Persitentes e Avançadas é expor o inimigo adequadamente e assim avançar no campo de batalha - em outras esferas de contra-ataque - enquanto tentar minimizar o prejuízo em casa.
No caso de uma empresa atacada pelo crime organizado, isto pode ser feito envolvendo a polícia e a justiça para prender os responsáveis. No caso de várias empresas de um país sendo atacadas por um outro - como é o caso da China - envolvendo o próprio governo americano na resposta ao incidente.
Em ambos os casos, uma resposta responsável envolve a divulgação - minimamente para as partes afetadas e idealmente para a opinião pública - do ocorrido. O próximo passo é analisar e categorizar os atacantes, ferramentas, vulnerabilidades, processos e erros cometidos e obviamente modificar suas defesas baseado no que você vai encontrar durante a sua resposta a incidentes / forense do ocorrido.
A mensagem para todas as empresas e países é: não adianta se retrair e tentar abafar o ocorrido, é necessário concentrar esforços na reação adequada a este tipo avançado de incidente e revisar a postura de segurança do ponto de vista de ameaças e atacantes reais e não tentar se esconder confortavelmente atrás de checklists de itens de compliance ou de qualquer sigla de norma da área de segurança.
O governo alemão já deu o primeiro passo - proibiu terminantemente o uso de Internet Explorer. Já é um começo.. =) O Google anunciou que vai parar de censurar resultados na China (o que é curioso, no mínimo). E o governo americano já começou a se movimentar lentamente...
(... continua)
Post completo em SSegurança - blog.suffert.com: China vs Google e CIA - Lições a aprender (http://sseguranca.blogspot.com/2010/01/china-vs-google-e-cia-ou-nao-ha-como.html)
um abraço a todos,
Sandro Süffert
Observação: O post completo, com links no texto está presente em em:
SSegurança - blog.suffert.com: China vs Google e CIA - Lições a aprender (http://sseguranca.blogspot.com/2010/01/china-vs-google-e-cia-ou-nao-ha-como.html)
China vs Google e CIA - Lições a aprender
Diante do anúncio recente de que mais de 30 empresas americanas foram atacadas supostamente pelo governo Chinês, irei comentar o assunto sob a luz de alguns conceitos apresentados em posts anteriores:
# Risco, Vulnerabilidade, Ameaça e Impacto (reloaded) #
É fundamental conhecer as reais ameaças a que uma empresa (ou país) está exposto. E certamente este episódio - pela sua magnitude de divulgação - servirá a este propósito em nível nacional (US).Explodindo os componentes do termo "Ameaça", encontramos três fundamentais conceitos que por si só demonstram a seriedade e complexidade do caso em pauta:
Intenção: tende a ser dependente de indústria e situação. Abafar iniciativas de livre-divulgação e críticas ao governo Chinês, e Roubo de propriedade intelectual de empresas americanas, por exemplo. É importante notar que a intenção do atacante não pode ser influenciada por nenhuma ação de Segurança.
Oportunidade: timing apropriado e conhecimento do alvo. Neste caso, o ataque que se iniciou com phishing direcionado (ou spear phishing) utilizou uma vulnerabilidade 0-day do Internet Explorer (que inclusive já está disponível no MSF) - que certamente era utilizado pelas empresas alvo, vários níveis de criptografia - para "bypassar" ferramentas DLP e similares, trojans especialmente desenvolvidos com técnicas stealth - para vencer anti-vírus e HIPS.
Capacidade: é a habilidade financeira, humana e técnica de alcançar o objetivo de ataque e aproveitar a oportunidade. Certamente com o apoio e investimento do governo e ter os melhores hackers do mundo ajuda a China a obter seus objetivos de silenciar vozes que se levantam contra o regime - mesmo fora do país e a roubar informações privilegiadas de empresas pelo mundo.
# 7 (ou mais) Conceitos em Seguranca alem da CIA #
O conceito de APT -"Advanced Persistent Threat" - se de ataques contínuos utilizando amplos recursos (muito tempo e dinheiro investidos com firme propósito/intenção), em ataques que são altamente sofisticados e claramente direcionados. Neste tipo de situação, as defesas tradicionais e genéricas são inúteis.
Um Anti-Vírus e um IDS/IPS - por melhor que sejam - são tecnologias moribundas, baseadas em assinatura e dependentes de já conhecerem o atauqe - e por isto mesmo não detectarão códigos maliciosos customizados, ainda mais com vários níveis de evasão e criptografia como foi o caso do ataque ao Google, Yahoo, Adobe, ...
Por melhor que seja um programa de gerenciamento de patches, um ataque utilizando uma vulnerabilidade 0-day como a que foi explorada nestes ataques direcionados funcionará em 100% das máquinas atacadas.
E quando o atacante usa uma combinação de engenharia social (email/IM) e técnicas de "Drive-By Download", nem mesmo um anexo (doc, exe, ou pdf) precisa ser utilizado. Basta que um funcionário da empresa acesse um site utilizando - no caso - um Internet Explorer (6,7,8) para que o ataque tenha sucesso.
Talvez você esteja pensando - então não há como escapar! E - adivinhe - você está certo.
A melhor forma de iniciar um contra-ataque efetivo às Ameaças Persitentes e Avançadas é expor o inimigo adequadamente e assim avançar no campo de batalha - em outras esferas de contra-ataque - enquanto tentar minimizar o prejuízo em casa.
No caso de uma empresa atacada pelo crime organizado, isto pode ser feito envolvendo a polícia e a justiça para prender os responsáveis. No caso de várias empresas de um país sendo atacadas por um outro - como é o caso da China - envolvendo o próprio governo americano na resposta ao incidente.
Em ambos os casos, uma resposta responsável envolve a divulgação - minimamente para as partes afetadas e idealmente para a opinião pública - do ocorrido. O próximo passo é analisar e categorizar os atacantes, ferramentas, vulnerabilidades, processos e erros cometidos e obviamente modificar suas defesas baseado no que você vai encontrar durante a sua resposta a incidentes / forense do ocorrido.
A mensagem para todas as empresas e países é: não adianta se retrair e tentar abafar o ocorrido, é necessário concentrar esforços na reação adequada a este tipo avançado de incidente e revisar a postura de segurança do ponto de vista de ameaças e atacantes reais e não tentar se esconder confortavelmente atrás de checklists de itens de compliance ou de qualquer sigla de norma da área de segurança.
O governo alemão já deu o primeiro passo - proibiu terminantemente o uso de Internet Explorer. Já é um começo.. =) O Google anunciou que vai parar de censurar resultados na China (o que é curioso, no mínimo). E o governo americano já começou a se movimentar lentamente...
(... continua)
Post completo em SSegurança - blog.suffert.com: China vs Google e CIA - Lições a aprender (http://sseguranca.blogspot.com/2010/01/china-vs-google-e-cia-ou-nao-ha-como.html)
um abraço a todos,
Sandro Süffert