image

"Laat één exploit niet je dag verpesten"

donderdag 28 januari 2010, 12:32 door Redactie, 3 reacties

Het grootste probleem met de hack van Google was dat de aanvallers slechts één exploit nodig hadden om toegang tot het netwerk te krijgen. "Eén exploit zou nooit je dag moeten verpesten", zegt beveiligingsexpert Dino Dai Zovi. Volgens hem is het dreigingslandschap helemaal niet veranderd, maar alleen de perceptie ervan. "Als je bij belangrijke incidenten betrokken zou zijn geweest, had je geweten dat deze 'advanced persistent threats' (APT) al jaren gaande zijn." Ook het gebruik van een exploit in combinatie met social engineering is niet nieuw. Het enige nieuwe aan de Aurora-aanval, is dat verschillende grote bedrijven dit vrijwillig publiek hebben gemaakt. De belangrijkste les is dan ook dat bedrijven beseffen dat gerichte aanvallen bestaan en plaatsvinden.

Bijna alle beveiligingsproducten die vandaag op de markt te koop zijn, beschermen alleen tegen opportunistische aanvallers en grootschalige internetaanvallen. "Deze producten zijn waardeloos in het beschermen tegen een Aurora-achtige aanval." Een patch voor het lek is niet beschikbaar en de virusscanner en/of IDS herkent de exploit of malware niet. Dai Zovi waarschuwt bedrijven dan ook: 'Laat niet dezelfde leveranciers die de slachtoffers van Aurora niet konden beschermen, je dezelfde producten als een oplossing voor de APT-dreiging verkopen."

Patchen
Volgens de onderzoeker, die zelf 10.000 dollar met een lek in Mac OS X verdiende, valt Microsoft niets te verwijten, ook al wist de softwaregigant al sinds september van het lek. Als Microsoft het lek had gepatcht omdat iemand het op Full-Disclosure had geplaatst, dan hadden de aanvallers wel een andere kwetsbaarheid gebruikt, zo merkt Dai Zovi op.

"De aanvallen laten zien dat de discussie over het melden van lekken ons afleidt van het echt verbeteren van de beveiliging." Het zijn dan ook niet lekken die mensen ownen, maar exploits. Lekken moeten wel gepatcht worden, maar het is onmogelijk om ze allemaal te vinden en te verhelpen. De obsessie om dit wel te doen, voorkomt de implementatie van veiligere applicatie en netwerkontwerpen.

Exploit
Wat betreft de enkele exploit is Dai Zovi duidelijk: "Hebben we daarom geen DMZ in het netwek gebouwd, met firewalls er voor en er achter? Zodat het meer dan één server-side exploit vereist om de organisatie binnen te dringen." Dankzij 'rich Internet client applications' volstaat vandaag de dag een enkele client-side exploit. "Idealiter vereist het drie of vier exploits." Volgens de onderzoeker gaat het dan om een serie exploits voor het uitvoeren van willekeurige code, het uitbreken uit de sandbox of het verhogen van rechten.

Systeembeheerders krijgen het advies om met DEP en ASLR te spelen en beter de inkomende en uitgaande data te monitoren. "Geef ontwikkelaars remote desktop toegang tot Virtual Machines in een apart netwerk voor het ontwikkelen van je producten. Geef iedereen toegang tot een extern WiFi-netwerk voor gebruik met hun persoonlijk internet-apparaten. Begin met het segmenteren van het interne netwerk. Een goede crisis is zonde om te verspillen."

Echte probleem
Beveiligingsexpert Richard Bejtlich is het niet met Dai Zovi eens. "Het grote probleem is niet dat er één exploit nodig was om deze bedrijven te hacken." Een mindset die Bejtlich regelmatig bij partijen tegenkomt die geen ervaring met het bescherming van grote bedrijven hebben. Partijen die de exploit als een losstaand incident zien, in plaatst van een georganiseerde campagne. "Het grote probleem is dat de exploit slechts onderdeel van een campagne is, waar de aanvaller nooit opgeeft."

Het werkelijke probleem volgens Bejtlich is dan ook het verwijderen van de dreiging. "Je kunt bij een campagne machines niet desinfecteren of herstellen." Beveiligers kunnen een machine naar een 'semi-betrouwbare" staat herstellen, maar voor de APT geldt alleen het op lange termijn toegang tot de omgeving hebben. "Als het alleen ging om het beschermen tegen een gehackte computer, dan zouden we het niet meer over dit probleem hebben. Het probleem is dan ook dat het buitengewoon moeilijk is, bijna onmogelijk, om dit soort dreigingen te verwijderen."

Reacties (3)
28-01-2010, 12:56 door Skizmo
Laat één exploit niet je dag verpesten
... maar 10 in 1 keer is niet meer leuk.
28-01-2010, 15:45 door Anoniem
>> Microsoft valt niets te verwijten, ook al wist de softwaregigant al sinds september van het lek.
>> Als Microsoft het lek had gepatcht omdat iemand het op Full-Disclosure had geplaatst,
>> dan hadden de aanvallers wel een andere kwetsbaarheid gebruikt.

Met deze redenering kun je over alle lekken zeggen dat Microsoft niets te verwijten valt.
Hoe onafhankelijk is deze meneer Dino Dai Zovi ???
28-01-2010, 16:13 door Anoniem
Misschien ligt het aan mij, maar ik vind dit maar een vage omschrijving van beide heren in het artikel.

Neem nou deze bewoordingen: "Bijna alle beveiligingsproducten die vandaag op de markt te koop zijn, beschermen alleen tegen opportunistische aanvallers en grootschalige internetaanvallen. "Deze producten zijn waardeloos in het beschermen tegen een Aurora-achtige aanval."

Wat zou je dan wel moeten doen? Of is dit een oproep voor het ontwikkelen van een nieuwe veiligheidsmodel voor inernet en pc's in het algemeen?
Dat Microsoft niets te verwijten valt ben ik het niet mee eens. 3-4 maanden wachten om een lek te dichten is echt te lang. Als ze het binnen 1-2 maanden hadden gepatcht was niet veel aan de hand geweest, het was al die tijd wel degelijk bekend.

[admin] Zin aangepast [/admin]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.