Manažér bezpečnosti: Slepí k útokom na weby

Novo nainštalovaný firewall odhalil pokusy o vykrádanie webu našou konkurenciou. Ktovie, ako dlho to prebiehalo...

Prebieha útok na naše weby! Firemný firewall a systém detekcie narušenia (IDS) pritom poskytovali mnohým našim ľuďom falošný pocit bezpečia.
Samozrejme, že si ako CSO nemôžem falošný pocit bezpečia dovoliť, takže som nedávno podnikol určité kroky na zistenie, čo sa deje v rámci prenosov na našich webových serveroch. Ukazuje sa, že mnoho útokov prechádzalo cez naše firewally úplne bez povšimnutia. Nikdy sa zrejme nedozvieme, ako dlho to trvalo.

Nie je vždy jednoduché zistiť, aké účinné sú naše bezpečnostné opatrenia. Vždy odhadujeme potenciálne hrozby a ich zdroj, ale nemôžeme vedieť, aké sú naše odhady presné a čo sme mohli opomenúť.

Webové servery tvoriace rozhranie našej spoločnosti sú cez naše firewally napojené priamo do internetu, a tak sú v našej sieti určite problematickým miestom. Tieto prvky spolu so systémami IDS nám umožňujú sledovať dianie na linke, ale otázne zostáva, či skutočne dokážu rozpoznať aj útoky založené na aktívnom obsahu. Aby som to zistil, nainštaloval som zariadenie označované ako WAF (Web Application Firewall) v demilitarizovanej zóne našej siete, aby nás informovalo o aktívnych útokoch, ktoré by ostatné ochranné prvky pravdepodobne nezistili. Nakonfiguroval som tento produkt do monitorovacieho režimu, aj keď ho bolo možné nastaviť aj na blokovanie útokov – mojím cieľom bolo totiž len zistiť, čo sa deje. Chcel som sa dozvedieť niečo viac o prebiehajúcich pripojeniach k dotknutým webovým serverom.

A čo som zistil? Že naše weby sú vykrádané inými spoločnosťami, teda konkrétne našimi konkurentmi. Niektoré informácie na našich weboch sú, samozrejme, dôležitým duševným vlastníctvom. Našim zákazníkom sa poskytuje on-line, a to obmedzeným spôsobom (heslá a pod.). Takéto obmedzenia však pre webové roboty používané našimi konkurentmi nie je zložité prekonať, pretože správcovia webu toho zvyčajne o zabezpečení veľa nevedia. Symbolicky sa pokúsia o použitie hesiel a obmedzenie pre citlivé súbory, ale často svoju prácu nevykonajú úplne dobre.

Čo robiť? S dôkazmi v ruke som zašiel za riaditeľom IT. Naše právne oddelenie teraz zvažuje ďalšie kroky, či by vzhľadom na súčasné ekonomické ťažkosti nebol príslušný právny spor príliš komplikovaný a drahý. Je však úplne jasné, že naši weboví vývojári budú musieť lepšie pracovať v oblasti blokovania prístupu k citlivým informáciám. Skúmame podstatu problému, aby sme zistili, ako by sme to mohli lepšie vyriešiť. Aby sa problém vyriešil, ťahajú všetci za jeden povraz a to mi dáva pocit skutočného zadosťučinenia.

WAF zistil aj ďalšie problémy. Každý deň dochádza k stovkám pokusov o útok typu SQL injection. Zatiaľ sa ani jeden nepodaril, ale som ohromený ich množstvom. Nedokážem si predstaviť nikoho, kto by mal čas sedieť a pokúšať sa o útoky SQL injection proti náhodne vybraným webovým serverom, takže musím predpokladať, že tieto útoky pochádzajú z automatizovaných skriptov.

Každopádne ide o učebnicové príklady útokov SQL injection, keď každý skúša rôzne kombinácie kódu SQL obsiahnutého v HTML. Vyzerá to však tak, že sme v tomto smere vykonali pomerne dobrú prácu, keď sme naše webové aplikácie proti týmto útokom zabezpečili, ale človeka vždy znepokojí, keď počuje útočníkov búšiť na dvere.

Takisto dochádza k niekoľkým ďalším útokom založeným na obsahu, ale žiadny z nich zrejme neprešiel našimi obrannými líniami. Napriek tomu mi to umožňuje viac si uvedomiť nebezpečenstvo priveľkého spoľahnutia na pravidlá firewallu založeného na portoch (tie totiž nezohľadňujú priamo aplikácie) a na systémy IDS založené na signatúrach, ktoré sú slepé k určitým typom chybných prenosov. Ako teda ukázal môj nedávny cvičný pokus, je ťažké chrániť sa pred problémami, o ktorých neviete.

Zdroj: computerworld.cz