Приветствуем пожелания и замечания. Формат совсем новый, хотя пару попыток уже было (Кувейт, BlackHat, Confidence) и сами не знаем пока, что получится в итоге.
Случилось так, что на майские праздники я поехал отнюдь не отдыхать в Турцию, а работать в Африку 🙂
В двух словах, с 7 по 9 мая в Йоханнесбурге — столице ЮАР — проходила международная выставка-конференция по безопасности ITWEB. В этом году мы решили принять в ней активное участие, выступить с докладом да и пообщаться с клиентами, которых не часто увидишь воочию. Поездка казалась тем более заманчивой, что мои коллеги по причине повышенной криминальной обстановки региона ехать отказались.
Первые впечатления
Первое, что я увидел, заселившись в гостиницу, было ЭТО. Простите за качество фотографии — использовал для съемки то, что было под рукой.
Отлично, новый маклерен. А я слышал, в Африке дети голодают… Потом были мазератти и бентли, но это было уже не так эпично.
Первое впечатление от ЮАР — с виду ничем не отличается от Америки, те же шопинг-молы, такие же здания и дороги, примерно столько же афро-африканцев. Но мне все же предстояло два дня не слоняться по улицам, а защищать на выставке стенд от нашествия зомби-мутантов рассказывать о преимуществах нашего продукта.
ITWEB — довольно крупный ивент. Конечно, это не RSA или BlackHat и даже не Infosecurity, но своих 50 экспонентов на ней наберётся. По этому показателю выставка значительно крупнее средних европейских аналогов. Хотя если учесть, что конференция рассчитана в большей степени на бизнес, понятно, откуда столько стендов. Примерно половина экспонентов — известные международные бренды (RSA, Splunk, IBM, Kaspersky) а другая местные компании — консультанты и реселлеры. Кстати, был приятно удивлен, что компания Sensepost, известная своими техническими рисёрчами, имеет штаб-квартиру в ЮАР и успешно и развивает второй офис в Англии.
К сожалению, по программе ничего внятного сказать не могу, так как ни на одном выступлении, кроме своего собственного, не присутствовал, да и ничего сверхъестественного не ожидалось, ну разве что The Grugq, который, кстати, родом из ЮАР.
День два
На второй день выставки я был приятно удивлён новостью о том, что наша компания и я, в частности, удостоились наград Hot Companies And Best Products Award, которые в это время вручались в Лас-Вегасе.
Мне достался золотой приз в номинации R&D профессионал года, а наш продукт получил бронзу в категориях “Information Security and Risk Management” и “Security Software", — неплохо, особенно учитывая, что конкурентами были Net Optics, Cenzic, RedSeal, Norman, Application Security Inc и даже SAP с платформой Afaria.
Дабы отпраздновать данное событие, я угощал посетителей выставки Белугой. Народ сперва слегка удивился, но потом охотно присоединился к празднику.
В целом выставка особо не впечатлила: как и везде, среди представленных решений преобладали SIEM и различные магические «prevention from cyber attacks and APT». Приятно поэтому было услышать от одного посетителя такой отзыв про нас: «ну вот, хоть что-то интересное, а то везде cyber-что-то-там,- одно и тоже".
Доклад
Настало время рассказать про доклад. В этот раз он был не очень техническим, так как публика была соответствующая. Да и область, которую мы исследуем в последнее время — расследование инцидентов и анализ атак в SAP — в общем-то, совсем не про уязвимости, а как раз наоборот: о том, как обнаруживать следы использования этих уязвимостей, применяя различные файлы логов, трассировки и прочие специфические вещи. Расскажу про доклад в общем.
Так как тема безопасности SAP пока для региона новая, половину выступления пришлось посвятить общим вещам, правда, с учетом южноафриканской специфики. К примеру, были представлены отдельные цифры по результатам сканирования Интернета на наличие открытых SAP-портов в этом году. В ЮАР, как оказалось, довольно много угроз ИБ, связанных с роутерами: порядка 20% этих устройств уязвимо к разглашению информации, а 5% — к обходу аутентификации. Что касается других сервисов, то, в среднем, ситуация выглядит хуже общемировой статистики примерно в 2-3 раза (речь идет о предлагаемых через Интернет небезопасных сервисах).
Собственно, основным тезисом доклада был такой: «от всего не защитишься, однако необходимо анализировать системные события с тем, чтобы оперативно обнаруживать атаки и по возможности быстро реагировать на них».
Почему это важно для SAP-систем? Во-первых, тезис применим к любым системам. Во-вторых, где-то полгода назад прошумела новость о том, как Анонимусы взломали греческое Министерство финансов через 0-day уязвимость в SAP и опубликовали секретную информацию в Интернете. Несмотря на то, что официальных подтверждений факта взлома ни от организации, ни от SAP не получено, могу смело утверждать, что такой сценарий более чем вероятен. И, наконец, в третьих, как много компаний реально могут утверждать, что не подвергались атакам из SAP-системы?
С одной стороны, даже если событие имело место, вряд ли оно будет предано огласке. С другой, результаты наших аудитов демонстрируют, что очень маленький процент компаний имеет возможность обнаружить факт атаки. Даже такую простую вещь, как ведение логов мало кто включает. Мы провели небольшое исследование, и вот результаты: порядка 70% компаний имеет настроенный HTTP-лог для SAP, и то только потому, что он настроен по умолчанию. Что же касается других журналов, то там все намного печальнее. Процентное соотношение различных логов, соответственно: Security audit log in ABAP — 10%, Table access logging — 4%, Message Server log — 2%, SAP Gateway access log — 2%.
Глядя на эти цифры, понимаешь, что вряд ли все могут получить ясную картину о возможных попытках взлома. Что еще более важно, это то, что даже при наличии настроенного логирования лишь малый процент централизованно собирает информацию в недоступном для модификации месте, а также обрабатывает события и имеет возможность проводить корреляцию.
Атаки на SAP Portal и J2EE приложения
Теперь относительно частных случаев. Мы рассматривали в данном докладе детально только атаки на SAP Portal, поскольку это приложение критично по причине своей доступности из Интернет и имеет соединения с другими системами. По сути, оно является первым звеном в цепочке возможной атаки на внутренние SAP-ресурсы.
В целом, атаки сводятся к двум типам по способу обнаружения. Первый — простые атакаи, которые можно отследить в стандартном логе HTTP-запросов, где хранятся заголовки. Второй — более продвинутые атаки, которые содержатся в POST-запросах и не попадают в стандартный лог.
Для анализа атак второго типа самый простой вариант — настроить расширенное логирование всех запросов. Однако, в таком случае будет писаться огромное количество лишней информации, включая поля Cookie и Jsessionid и пароли, передаваемые в формах. Кроме того, это небезопасно. Естественно, существуют настройки, позволяющие не сохранять данные поля, о чем детальнее можно посмотреть в докладе, но все равно данное решение — не лучший вариант, если нет соответствующих дополнительных средств, позволяющих анализировать весь этот поток POST запросов.
Но если не анализировать POST-запрос, то что же тогда? Было показано несколько альтернативных методов, которые также сложно назвать идеальными. К примеру, можно использовать анализ косвенных событий.
В SAP Portal И WebDynpro-приложениях все данные передаются в огромной «простыне» POST—запросов, достигающей сотни параметров, а в логах любое действие выглядит как обращение к одному и тому же сервису со ссылкой на его URL. То есть в общем случае понять, что происходило, не представляется возможным без анализа POST-запросов.
На ум приходят различные ухищрения, например такое. В интерфейсе портала есть различные иконки, которые часто встречаются рядом с критичными действиями, включая изменение уровня протоколирования событий или отключение логов, или загрузку файлов на сервер. И то, и другое может быть использовано злоумышленником для таких атак, как загрузка HTML-файла со скриптом угона COOKIE в общую директорию или попытка отключения ведения логов. Подобные действия создают запрос на веб-сервер для подгрузки соответствующей иконки, что четко отображается в лог-файлах и даёт возможность косвенно обнаружить факт атаки.
Характерно, что обычные пользователи при выполнении таких действий картинки не подгружают, так как они уже загружены в кэш браузера (за исключением первого раза), благодаря чему мы увидим только нелегитимные обращения, что позволит нам говорить о возможном факте атаки.
Естественно, есть куча нюансов и ложных срабатываний, а также способов обойти такой механизм, но, во-первых, не зная, что он есть, вы вряд ли бы догадались его обойти, а, во-вторых, при грамотном комбинировании с другими деталями, можно настроить вполне неплохую систему, альтернативную полному логированию или комбинировать запись полных логов только при наличии таких событий, чтобы не хранить все данные.
В общем, поскольку тема довольно новая, применительно к SAP вариантов куча, и я изложил только базовые вещи, ну а о других, возможно, расскажут мои коллеги во время презентации на Confidence.
P.S.
После конференции я решил немного отдохнуть, посетив прекрасный пляж J-Bay — один из лучших в мире сёрфинг-спотов, с идеально долгими волнами, где можно посёрфить вместе с дельфинами, пока их не съели альбатросы. Снимать меня было некому, такчто только пустой пляж с небольшими волнами, так как в нормальное время было не до съемок.
На побережье атмосфера очень дружелюбная и расслабленная, а еда очень вкусная и дешёвая, так что я не понимаю, зачем ездить в Египет и подобные места, когда в мире столько прекрасного.
Естественно, в ЮАР есть криминал. К примеру, центр Йоханнесбурга в принципе не рекомендуется к посещению, так как там отсутствует полиция, людей попросту убивают без всяких вопросов. В лучшем случае, останешься без одежды с ножевым ранением и будешь всю жизнь рассказывать, каких добрых грабителей тебе довелось встретить.
Всем спасибо, доклады с конференции можно скачать тут, ждите следующий пост из Австралии.
ссылка на оригинал статьи http://habrahabr.ru/company/dsec/blog/182180/
Добавить комментарий