Rok temu, gdy współtworzyliśmy pierwszą edycję SEConference, naszym celem było stworzenie darmowej, w pełni profesjonalnej konferencji poświęconej bezpieczeństwu komputerowemu. W tym roku, pracując nad SEConference 2k10 myślimy tylko i wyłącznie o jeszcze lepszym przygotowaniu imprezy i odniesieniu sukcesu na miarę poprzedniej edycji.

Liczymy, że 2 dni (9-10 kwietnia) wypełnione ciekawymi prelekcjami, profesjonalnie przygotowane warsztaty, możliwość swobodnej wymiany doświadczeń i magia Krakowa pozwolą na spełnienie oczekiwań pokładanych w SEConference 2k10.

Jeżeli interesujecie się bezpieczeństwem komputerowym, programowaniem lub po prostu chcecie nauczyć się czegoś nowego to zapraszamy na stronę www.seconference.pl gdzie znajdziecie bardziej szczegółowe informacje.

Dziś tj. 14.01.2010 na terenie AGH w Krakowie odbędzie się kolejne spotkanie OWASP Polska. Jednym z dzisiejszych tematów będzie fuzzing z naciskiem na jego rolę w SDLC. Prelekcję poprowadzi Piotr Łaskawiec, wszystkich chętnych zapraszamy.

Agenda:

18.20 – 18.30 ;  ”OWASP News” – Przemysław Skowron

18:30 – 19.15 ;  ”Security in Software Development Life Cycle” – Wojtek Dworakowski

19.15 – 20.20 ; “Fuzzing” – Piotr Łaskawiec

Miejsce:

Kraków, AGH, pawilon D10, Wydział Fizyki i Inf. Stosowanej AGH.

Więcej informacji znajdziecie tutaj

W rozbudowanych infrastrukturach sieciowych utrzymanie wysokiego i akceptowalnego poziomu bezpieczeństwa jest zadaniem bardzo żmudnym i trudnym. Nie wspominając nawet o nakładach finansowych, jakie trzeba posiadać, żeby o taki poziom zadbać. Pomijając jednak te przyziemne sprawy, dziś skupimy się  trochę na działaniu urządzeń umożliwiających detekcję ruchu sieciowego, których dostosowywanie do potrzeb sieci można by wesprzeć np. fuzzingiem sieciowym.

Urządzenia do detekcji ruchu sieciowego (pomijając WAFy i Firewalle sieciowe, skupiając się na IPS i IDS),  możemy podzielić wedle kilku różnych kategorii.

IDS vs IPS

IDS jest urządzeniem, który działa w sposób nieliniowy, tzn. ruch sieciowy nie przepływa bezpośrednio przez niego tylko jest do niego przekazywany. W przypadku wykrycia podejrzanego działania wysyłana jest stosowna informacja np. do sysloga lub też bezpośrednio do administratora.

IPS działają w sposób liniowy, ruch sieciowy jest nie tylko bezpośrednio analizowany przez urządzenie, ale może również w locie odrzucać, resetować połączenie i blokować podejrzany ruch z wykrytego adresu.

Netowork-based vs Host-based

Host-based to sposób implementacji IPS i IDS na urządzeniach końcowych np. serwerach albo stacjach roboczych. W ten sposób analizowany jest ruch skierowany do konkretnego urządzenia.

Network-based czyli rozmieszczenie IPS i IDS w infrastrukturze tak aby analizowały i broniły dostępów do danych segmentów sieci.

Sygnatury vs Anomalia

Podział ten, z racji dalszych fuzzingowych rozważań jest najbardziej interesujący. Detekcja na podstawie sygnatur jest zbliżona działaniem do zwyczajnych programów antywirusowych, które posiadamy na komputerach. Istnieje baza sygnatur, która odpowiada znanym infekcjom (atakom) i każdy plik (w naszym wypadku pakiet)  jest z nią porównywany. Jeżeli takie porównanie zakończone zostanie pomyślnie to wtedy podnosi się alarm (oznaczający wykrycie intruza) i podejmuje się odpowiednią akcję.

Detekcja na podstawie anomalii polega na określeniu dla poszczególnego segmentu sieci, lub stacji końcowej (w zależności czy konfigurujemy rozwiązanie typu Network-based czy Host-based) profilu, w którym ustawiamy jaki ruch sieciowy jest charakterystyczny i uznajemy go za ‘normalny’, a wykryta anomalia, która odbiega od normalności jest uznana za ruch podejrzany.

Wady:

- Detekcja na podstawie sygnatur, krótko mówiąc jest ograniczona do sygnatur jakie znajdują się w posiadanej przez nas bazie. Zatem drobne modyfikacje znanych wektorów ataków lub całkowicie nowe wektory ataków powodują, że nasze urządzenia stają się bezbronne.

- Detekcja na podstawie anomalii rozwiązuje wadę detekcji na podstawie sygnatur, gdy złośliwy ruch sieciowy odbiega od przyjętego dla profilu ‘normalnego ruchu’. W tym wypadku dochodzimy do złotego wniosku, że sukces tej metody polega na idealnym wręcz dopasowaniu profilu do panujących realiów sieciowych. Proces ten jest bardzo trudny i czasochłonny.

Rozwiązaniem wad przedstawionych metod detekcji wydaje się być fuzzing, który może poprawić skuteczność działania urządzeń. Z jednej strony budowa fuzzera w oparciu o posiadane sygnatury, umożliwia nam sprawdzenie skuteczności porównywania sygnatur z ruchem sieciowym i ewentualnie powstałych false positive i false negative czyli blokowanie ruchu, który nie powinien zostać uznany za podejrzany i ruchu który był podejrzany a nie został zatrzymany.

Z drugiej strony fuzzer mógłby zostać wykorzystany do podobnej weryfikacji false positive i false negative w przypadku detekcji za pomocą anomalii. W bardzo prosty sposób nie dostosowując jego ustawień można by sprawdzić skuteczność jego działania dla ogólnie generowanych danych, lub zbliżyć jego działanie jak najbardziej do zadanego profilu. Pozostaje tylko pytanie czy nakład pracy i czasu związany z wyuczeniem fuzzera, szczególnie w tym drugim przypadku jest po prostu tego wart?

Obecnie, ludzie dążą do coraz większej miniaturyzacji urządzeń. Hitami sprzedaży stają się coraz nowsze modele telefonów komórkowych i netbooków, w których standardem stają się takie elementy jak GPS, aparat, akcelerometr czy też elektroniczny kompas. Trzeba przyznać, że niektóre rozwiązania związane z tym segmentem rynku są bardzo ciekawe, jak np. najnowszy system operacyjny dedykowany urządzeniom przenośnym, o nazwie Android. Z opinii ekspertów i analityków rynkowych jednoznacznie wynika, że to właśnie smartfony i zaawansowane urządzenia mobilne (takie jak np. przenośne konsole do gier nowej generacji) będą najbardziej chodliwym towarem w najbliższych latach. Oczywiście, wiąże się to z zaostrzeniem konkurencji. Rozpocznie się nie tylko batalia czysto sprzętowa, ale także wojna na froncie oprogramowania. Każdy z poważnych graczy na rynku (Google, Microsoft, Sony, Nokia…) będzie chciał uzyskać jak największe profity, co niesie ze sobą konieczność produkcji coraz lepszego sprzętu.

Pomimo rosnących możliwości urządzeń mobilnych, nadal nie oferują one takiej funkcjonalności jak tradycyjne komputery. Problemem jest tutaj nie tylko mniejsza moc obliczeniowa (chociaż ta sukcesywnie rośnie) czy też ograniczenia konstrukcyjne (mały wyświetlacz), ale także wady obecnie stosowanych technologii telekomunikacyjnych (niski transfer). Z uwagi na wymienione ograniczenia, często programiści decydują się na dostosowanie konkretnego oprogramowania do danej mobilnej platformy. Nie chodzi tu tylko o programy, które ukazały się na innych platformach (np. komputerach stacjonarnych), ale także o aplikacje webowe. Często w Internecie możemy spotkać się ze stronami przystosowanymi do ekranów urządzeń mobilnych. Są to albo zupełnie odrębne serwisy (takie jak np. onet lajt czy też szereg serwisów w domenie .mobi), albo witryny, które w momencie otrzymania request’u potrafią dostosować swój wygląd do ekranów o mniejszych przekątnych (przykładem mogą być tutaj wtyczki do WordPress). W ostatnim czasie postanowiłem przyjrzeć się tym serwisom i sprawdzić czy przy ich projektowaniu kładzie się nacisk na bezpieczeństwo czy też może wychodzi się z założenia, że strony te będą odwiedzane tylko przez użytkowników telefonów komórkowych pragnących sprawdzić najnowsze notowania giełdowe lub pogodę i nie warto inwestować w zabezpieczenia.

W „teście” brało udział kilkanaście serwisów – zarówno polskich jak i zagranicznych. Były to głównie mobilne wersje znanych portali społecznościowych, serwisów informacyjnych i firm. Na podstawie zebranych wyników mogę stwierdzić, że większość serwisów przystosowanych do urządzeń mobilnych jest niezabezpieczona i stwarza ogromne zagrożenie dla użytkowników. Co więcej, niektóre serwisy umożliwiały propagację błędów na swoje „pełnowymiarowe” odpowiedniki.

Zastanawiać może fakt występowania dużej ilości typowych i dobrze udokumentowanych błędów związanych z brakiem walidacji wprowadzanych danych – od Cross Site Scripting po wiele rodzajów błędów typu Injection. Czyżby autorzy mobi-portali wychodzili z założenia, że ich strony będą odwiedzane wyłącznie przy użyciu telefonów komórkowych i nikomu nie będzie chciało się mozolnie wprowadzać długich payloadów na niewygodnej klawiaturze? Dość dziwne podejście, zważywszy na to, że pełnowymiarowe odpowiedniki testowanych witryn, pomimo swojej nieporównywalnie większej złożoności, są raczej dobrze chronione.
Oprócz dość tradycyjnych podatności związanych z aplikacjami webowymi spotkałem się także z szeregiem błędów logicznych i nieodpowiednią obsługą sytuacji wyjątkowych. Istnieje widoczna różnica pomiędzy jakością stron w wersji „lajt-mobi-mobile” a normalnymi wersjami stron. Strony przeznaczone dla małych wyświetlaczy są w większości wypadków wykonane nieudolnie, bez jakiejkolwiek dbałości o bezpieczeństwo. Oczywiście, zdarzają się wyjątki, którym nie można nic zarzucić, ale nie poprawiają one ogólnego wrażenia.

Taki stan rzeczy związany jest zapewne z dość niskimi dochodami generowanymi przez mobilne wersje popularnych stron. Wraz ze wzrostem ilości unikalnych odwiedzin pochodzących od użytkowników telefonów ogólne bezpieczeństwo portali w wersji „mobile” będzie coraz lepsze. Niestety, na chwilę obecną lepiej unikać korzystania z tego typu rozwiązań.

Cloud Computing, czyli scentralizowane udostępnianie usług oraz utrzymywanie danych w odległych lokalizacjach – chmurze. Brak zmartwień związanych z instalacją i utrzymywaniem oprogramowania, licencjami, a jedynie posiadanie urządzenia z przeglądarką internetową umożliwiającym ich obsługę to idea piękna i równie pięknie problematyczna.

Priorytetem projektowania takiej technologii musi być bezpieczeństwo. Problem polega na tym, że o bezpiecznym komputerze możemy z pewną dozą przekonania powiedzieć wtedy gdy jest on odłączony od Internetu, uznając Internet za źródło wszelkiego zła. Zatem pomysł chmury i przeniesienia wszystkich naszych danych i ich obsługa w paszczy lwa może wydawać się pomysłem szalonym. Czy aby na pewno?

Cloud Computing wydaje się być naturalnym rozszerzeniem funkcjonalności Internetu i zapowiadany jest jako rozwiązanie rewolucyjne.  Może nie tak wielkie jak samo stworzenie Internetu, ale na miarę chwalebnego zapisu na kartach historii. Firmy ostro zabrały się do pracy. Wyścig po złoto rozpoczęty, a jak mawia złota zasada Murphy’ego:  “Zasady określa ten, kto ma złoto”.

IBM obiera swą strategię na sprzedaż sprzętu wspierającego chmurę, a dodatkowa inicjatywa pod nazwą Blue Cloud nabiera coraz większego rozpędu. Jak twierdzą analitycy IBM, firma stanie się światowym liderem cloud computingu. Obrana strategia biznesowa na zwiększoną sprzedaż technologi oraz usług “pod chmurę”, ponad 200 badaczy opracowujących najlepsze rozwiązania, ciągła współpraca z dużymi korporacjami, instytucjami finansowymi i bankami ma to zapewnić.

Z drugiej strony, co jest dosyć oczywiste i było dobrze widać (słychać) na niedawno zakończonej konferencji RSA w San FranCISCO John Chambers,  szef światowego potentata w dziedzinie rozwiązań sieciowych,  już zaciera ręce na myśl o chmurze, a przed oczami przelatują mu miliony dolarów, które CISCO ma zarobić na nowej technologii.

W tym momencie istnieje na świecie tylko jedna korporacja, która w opinii niektórych rządzi światem. A głoszący te teorie czekają na ich ujawnienie przynajmniej w takim samym napięciu jak łowcy botów na uderzenie Conficker’a. Na pewno zatem firma zacnej literki g jest świadoma zbliżających się zmian i będzie solidnym konkurentem w dziedzinie chmury.

Warty jednak odnotowania jest fakt, że wszyscy przy tych rozważaniach bardzo głośno mówią o potrzebie bezpieczeństwa chmury. Wspomniany John Chambers zaznacza, że “It[cloud] is a security nightmare and it can’t be handled in traditional ways.”. Wtórujący mu profesor MIT stwierdza  “I think it’s[cloud] really going to be a focal point of a lot of our work in the cyber security area”. Oczywiście wszyscy dobrze wiemy, że to pieniądze dyktują warunki więc warto zastanowić się czy pośpiech i chęć wielkiego zarobku nie przyćmi pięknych planów zabezpieczenia przyszłej technologii?

Nie powinno tak się stać. Dlaczego?  Wielkie firmy, banki, korporacje w myśl cloud computingu udostępniać będą wszystkie swoje poufne dane – w chmurze. Oczywiście, nikt nie może sobie pozwolić na nieuprawniony dostęp, na wyciek danych czy też brak odpowiedniej kontroli. Warto więc uświadomić sobie, że tutaj presja stworzenia w pełni bezpiecznej chmury wywierana przez najważniejsze instytucje na świecie jest zupełnie nieporównywalna do czasów tworzenia Internetu, gdzie nie przykładano zbytniej wagi do bezpieczeństwa. Zatem jestem gotów zaryzykować stwierdzenie, że wyścig wielkich i duża konkurencja wpłynie na plus i zwiększy nakłady na to aby bezpieczeństwo nie było w tym wypadku pojęciem czysto abstracyjnym.

Oczywiście zmiany na tak wielką skalę są nieuniknionym zbiornikiem błędów oraz komunikatów i doniesień o problemach chmury. Nie wiem jak do tego czasu rozwinie się inicjatywa NO MORE FREE BUGS, wiem jednak, że kolejka ludzi czekających i testujących nową technologię będzie spora. Może się wydawać, że kolejny wyścig po złoto specjalistów ds. bezpieczeństwa wszelkiej maści będzie niemal ekscytującym pojedynkiem herosów dzisiejszego świata.

Jednak najważniejszy wyścig po złoto rozegra się zupełnie gdzie indziej. Ceny za nieopublikowane błędy, będą bardzo, bardzo wysokie. Ludzie pozbawieni samozaparcia o flago-zwiewnym podejściu do życia lub po prostu chcący zarobić pieniądze mogą stać się największym zagrożeniem dla chmury.

Jeżeli ktoś już teraz chce odrobić zadanie i  zastanawiał się nad konkretną problematyką cloud computingu to informacje można znaleźć:

- mając bardzo dużo czasu  tutaj

- mając czasu trochę mniej tutaj

- trochę wolnego czasu przy kawce, wykład z Black Hata btw jedna z najlepszych o ile nie najlepsza graficznie prezentacja jaką widziałem plus świetne fotki