image

'Ninja-hackers geen excuus voor SQL-injectie' (interview)

dinsdag 19 oktober 2010, 11:19 door Redactie, 2 reacties

Bedrijven maken zich zorgen over 'ninja-hackers', maar vergeten basale beveiligingsproblemen zoals SQL-injectie, aldus Matthijs van der Wel van Verizon in een interview met Security.nl. Het beveiligingsbedrijf publiceerde enige tijd geleden het 'Data Breach Report', waaruit blijkt dat insiders toegang tot meer data hebben, maar het hackers zijn die de meeste gegevens stelen. "Per incident gekeken berokkenen insiders grotere schade, omdat die betere toegang tot data hebben dan iemand die van buitenaf komt. In totaal gekeken stelen externe partijen uiteindelijk de meeste gegevens."

Van der Wel merkt op dat externe aanvallers steeds vaker gestolen 'user credentials' gebruiken. "Dat is voor criminelen erg praktisch, omdat het geen argwaan wekt als een reguliere gebruiker inlogt en naar data kijkt waar hij toch al toegang toe heeft." Bedrijven krijgen dan ook het advies om ervoor te zorgen dat hun gebruikers niet 'overprivileged' zijn of dat ze toegang hebben tot zaken waarvan ze vanuit hun functie geen toegang toe hoeven te hebben. "Bijvoorbeeld historische data." Dit helpt ook de schade van een 'insider breach' te beperken.

SQL-injectie
De meeste incidenten waar Verizon tegen aanliep waren door SQL-injectie veroorzaakt. Een probleem dat al tien jaar bestaat, maar nog altijd voor veel schade zorgt. Aanvallers gebruiken SQL-injectie om toegang tot een databaseserver te krijgen die weer verbonden is met een webapplicatie. Bedrijven geven als excuus dat er op hun website geen vertrouwelijke data staat en dat ook de database geen gevoelige gegevens bevat. "Wat ze vergeten is dat een aanvaller als eerste allerlei malware uploadt die wachtwoorden onderschept." Net als Albert 'Soupnazi' Gonzalez deed. Vervolgens komt er een beheerder voorbij die met zijn adminwachtwoord inlogt, wat de malware onderschept. Daarmee kan de aanvaller dan verder op het netwerk komen. "Bij alle grote zaken in de media waarover je leest is dit knullige scenario toegepast."

Volgens Van der Wel is het heel lastig voor bedrijven om het probleem op te lossen, omdat ze de applicaties bij derden inkopen en geen zicht op de code hebben. Ook bij overnames, voornamelijk in de financiële sector, komt het voor dat bedrijven opeens met applicaties worden opgezadeld die ze niet zelf hebben ontwikkeld, geen toegang tot de broncode hebben en niet weten of er veilig is geprogrammeerd.

Bedrijven moeten daarom aandacht besteden aan 'application life cycle development', waarbij security al vanaf het begin wordt betrokken, merkt Van der Wel op. "In plaats van de huidige situatie, waarbij aan het eind naar de beveiliging wordt gekeken, maar er eigenlijk al beslist is dat de applicatie live moet. Het is een lastig probleem om te tackelen."

Malware
Verizon ziet steeds vaker dat aanvallers op maat gemaakte malware inzetten. Ook bij de 'kleine, simpele' zaken. Dan kan het variëren van wat kleine aanpassingen aan algemeen bekende malware of echt uniek ontwikkelde malware die nog niet eerder is gezien. Vaak gebruikt men de malware in combinatie met geldige user credentials. "Het is lastig om je hier tegen te verdedigen, omdat het gedrag van gestolen inloggegevens lastig van legitiem verkeer is te onderscheiden."

Bedrijven krijgen dan ook het advies om nauwlettend naar hun logbestanden te kijken. In 86% van de incidenten konden bedrijven aan de hand van de loggegevens zien dat ze gehackt waren en zo proberen om verdere schade te beperken. Veel organisaties houden vol dat dit een onmogelijke taak is, omdat ze over zoveel loggegevens beschikken. "In plaats van te zoeken naar die naald in de hooiberg dat je gehackt bent, ga eerst op zoek naar de hooiberg." Bij gehackte bedrijven bleken de logbestanden opeens vijf keer zo groot te zijn of in het geval van SQL-injectie zijn de logregels opeens vijf keer zo lang. "Dan hoef je alleen nog maar naar de grootte van je logbestanden en lengte van je logregels te kijken om een idee te krijgen of je wordt aangevallen of dat iemand het al gelukt is."

Wargames
Het gebruik van firewalls, virusscanners en IDS/IPS is geen magische oplossing om aanvallers buiten de deur te houden. Bij sommige zaken blijkt de technologie wel te werken. "Maar dat aantal is in onze optiek nog veel te laag." Van der Wel merkt op dat het ook voor een IDS lastig is om aanvallers die gestolen inloggegevens gebruiken te herkennen. Bij trainingssessies geeft Van der Wel als voorbeeld de film Wargames. De hoofdpersoon wordt tijdens een scene uit het lokaal gestuurd en moet zich melden. In de kamer van de conrector vindt hij in een kastje een papiertje met het wachtwoord voor het systeem. "Die film dateert van 1983, maar anno 2010 vertrouwen we nog steeds op wachtwoorden om onze data en systemen te beschermen. Misschien moeten we nu een keer de conclusie trekken dat de tijd van onefactor authentication voor bepaalde acties en accounts nu echt wel voorbij is."

Bedrijven moeten zich de vraag stellen of ze een 'target by choice' of een 'target by opportunity' zijn, gaat de beveiligingsexpert verder. Wie een target by opportunity is, moet ervoor zorgen dat hij niet het meest eenvoudig aan te vallen doelwit is. Het is te vergelijken met een inbreker die door een buurt loopt. Alle huizen maken kans, maar goed verlichte huizen die goede sloten gebruiken, zullen eerder worden overgeslagen. In het geval van target by choice gaat het bijvoorbeeld om financiële instellingen die over veel vertrouwelijke data beschikken. "Dan moet je zorgen dat je beveiliging op een veel hoger niveau ligt."

Zwarte markt
Op de eerste plek van gestolen gegevens staan nog altijd creditcardgegevens en bankrekeningen. Van der Wel maakt zich zorgen omdat in 2008 gigantisch veel gestolen financiële gegevens op de zwarte markt gedumpt werden, waardoor de prijs van deze gegevens gigantisch onder druk kwam te staan en enorm daalde. Een gestolen creditcard leverde in 2007 nog tien a zestien dollar op, in 2008 was dat nog maar vijftig cent. De zaken waar Gonzalez bij betrokken was zorgden voor zoveel data op de markt, dat de prijs instortte. In 2009 werden er minder zaken waargenomen. Van der Wel vermoedt dat niemand nog de plek van Gonzalez in heeft genomen en op zo'n grote schaal gegevens buitmaakt. Een andere reden kan zijn dat criminelen nog steeds gegevens stelen, maar nog niet verkopen omdat de prijs zo laag is. Of criminelen stelen nu andere gegevens, zoals intellectueel eigendom, die nog wel geld waard zijn. Zolang de gestolen gegevens niet op de markt komen, is het lastig voor beveiligingsbedrijven om fraude te detecteren. "Stel je voor dat iemand de blauwdruk voor een bepaalde machine steelt en drie jaar later verschijnt er in China aan de hand daarvan een zelfde apparaat. Dan kom je er dus pas drie jaar later achter dat je gegevens zijn gestolen."

Van der Wel: "We zien dat er nog creditcardgegevens en intellectueel eigendom gestolen worden, maar het kan best zijn dat er tegenwoordig meer intellectueel eigendom gestolen wordt, maar dat het even duurt voordat dit zichtbaar is." De meeste bedrijven weten niet dat ze gehackt zijn en worden vaak door een derde partij gewaarschuwd.

Hoe langer aanvallers wachten met het verzilveren van de gestolen creditcardgegevens, des te groter de kans dat niet alle data is te verkopen, omdat de kaarten al vervangen zijn. "Je moet het zien als het runnen van je eigen business. De aanvaller moet een beetje gokken wanneer die de gegevens gaat verkopen of dat hij wacht totdat ze meer waard worden, met het risico dat niet alle gegevens meer bruikbaar zijn omdat ze vervangen of door iemand anders gestolen zijn."

Ninja-hackers
De laatste tijd is er veel aandacht voor aanvallen via zero-day exploits, zoals bij Google en Stuxnet gebeurde. "Bedrijven zeggen dat ze tegen deze ninja- of uberhackers toch geen kans maken. Dat als ze binnen wil dringen ze uiteindelijk toch slagen. De meeste zaken in de praktijk zijn echter niet het werk van ninja-hackers of vereisen niet zulke vaardigheden. Het gaat dan om basale zaken als SQL injection." Bij sommige zaken is echter wel sprake van hooggeschoolde hackerkunsten. Vaak zijn deze aanvallen voor een groot gedeelte van de gestolen data verantwoordelijk. "Wat je tegen de hackerwereld zegt is dat als je maar goed genoeg je best doet, de beloning ook hoog genoeg is. Aan de andere kant hoef je voor veel zaken niet eens je best te doen, omdat het eenvoudig is om binnen te komen."

Van der Wel adviseert bedrijven dan ook om hun basale beveiliging in orde te maken en zich iets minder druk over ninja-hackers te maken, tenzij bedrijven een target of choice zijn. Dan kan het wel voor criminelen de moeite waard zijn om meer moeite te doen. De beveiliger werkte aan een zaak bij een financiële instelling die een jaar lang was gehackt. "De aanvallers hadden een betere netwerktekening dan het bedrijf zelf." Door een knullige fout lukte het de aanvallers niet om de gegevens te stelen. "Ze hebben een jaar lang geïnvesteerd, niets stuk gemaakt en de lekken gedicht, zodat andere aanvallers niet konden binnendringen."

Naast hackers, al dan niet met ninja-vaardigheden, vormen ook usb-sticks een probleem. Van der Wel noemt een zaak waarbij een netwerk continu besmet werd. Alle werkstations waren dichtgetimmerd, behalve die van de systeembeheerders en elke keer sloten die een besmette usb-stick aan en werden alle machines weer besmet. De meeste malware wordt echter door de aanvallers zelf geïnstalleerd en stuurt kleine hoeveelheden data, zoals inloggegevens, terug naar de aanvallers. Gaat het om veel data, dan wordt er een backdoor gecreëerd waarbij een aanvaller de data zelf ophaalt. "Criminelen maken uiteindelijk gebruik van het netwerk dat jezelf hebt aangelegd, ook als dat over meerdere landen of continenten strekt. Iets wat zowel onderzoek als vervolging lastig maakt", besluit Van der Wel.

Reacties (2)
19-10-2010, 12:23 door Bitwiper
Helder verhaal dat ik, vanuit m'n beperkte ervaring op dit gebied, kan beamen.

Overigens is een nieuw type "autorun" vanaf USB sticks mogelijk op zowel Windows, Mac als Linux, zelfs als op de USB poort storage devices worden geblokkeerd. Hyunday blijkt (waarschijnlijk zonder zich van de consequenties bewust te zijn) een "leuke" marketing USB-stick te hebben gemaakt; deze emuleert een keyboard en weet, na in een USB poort te zijn gestoken, een webbrowser op te starten met als URL http://www.welcomemyhyundai.com.

Bron en meer info: http://www.informit.com/articles/article.aspx?p=1636214

Die PS/2 keyboards waren zo gek nog niet...
21-10-2010, 00:45 door Anoniem
Ehh... het systeem meldt toch direct iets in de trend van "nieuwe hardware gevonden" of heb ik dit nu helemaal mis? En dan nog iets ... weet een reeds geinstalleerde keylogger hier wel raad mee? (Slechts een hook op de "eerste" kb. buffer...) ;-)
Ik denk dat dit soort hardware-matige trukjes het niet echt gaan worden deze zomer... :-O :-D
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.