Sprawozdanie z konferencji „Atak i Obrona 2013. DDoS / APT”

mini-_B4F9084xFundacja Bezpieczna Cyberprzestrzeń była współorganizatorem pierwszej w Polsce konferencji dedykowanej w całości problemowi APT (ang. Advanced Persistent Threat – zaawansowany rodzaj ataku ukierunkowego) oraz DDoS (ang. Distributed Denial of Service – rozproszona odmowa usługi).Wydarzenie miało miejsce 26 listopada 2013r. w warszawskim klubie Loft44. Patronat honorowy nad konferencją Atak i Obrona objęły: Rządowe Centrum Bezpieczeństwa, Ministerstwo Administracji i Cyfryzacji, Biuro Bezpieczeństwa Narodowego i Generalny Inspektor Ochrony Danych Osobowych. Partnerem Generalnym została firma Trend Micro, a Partnerami Strategicznymi TeamCymru i Sourcefire. O wysoką jakość wystąpień zadbali także Partnerzy Merytoryczni: Orange, Integrated Solutions, ComCERT, Deloitte i PwC oraz organizacje sprawujące Patronat Merytoryczny nad konferencją: Stowarzyszenie ISSA Polska (Główny Patron Merytoryczny), OWASP, Instytut Kościuszki, ISACA Warsaw Chapter, (ISC)2 Chapter Poland.

 

W roku 2014 Fundacja Bezpieczna Cyberprzestrzeń przygotowywała nową konferencję 26-27 listopada. Strona konferencji:  https://www.securitycasestudy.pl/pl/

 

W konferencji wzięło udział ponad 130 osób, które zawodowo zajmują się bezpieczeństwem IT. Swoją wiedzą podzieliło się z nimi aż 18 uznanych ekspertów w dziedzienie cyberbezpieczeństwa, znanych w Polsce i na świecie. Formuła spotkania zainteresowała praktycznie wszystkie branże co pokazuje jak dużym problemem, niezależnie od sektora i stopnia wielkości danej organizacji są ataki typu DDoS oraz APT.

Program konferencji został podzielony na dwa bloki tematyczne. W sesji przedpołudniowej skupiono się na DDoS, a po południu na APT. Każda sesja rozpoczynała się od wstępu, następnie dyskutowano nad konkretnymi przypadkami, a na jej zakończenie odbywało się podsumowanie i przedstawiana była lista kontrolna.

Panel DDoS

Pierwsza prelekcja „Keep your ear to the Internet Underground – Internet Threat Status Update“ ukazała nie tylko historię DDoS (pierwszego ataku dokonał nijaki „MafiaBoy“ w 2000r.), działanie botnetu, ale także sposób myślenia intruzów i konsekwencje ich ataków. David Monnier (TeamCymru) pokazał jak szybko znikały z sieci wielkie serwisy oraz jak obecnie wyglądają analizowane przez TeamCymru botnety. Ciekawym okazało się spostrzeżenie, że w obszarach o dużej populacji jak np. Afryka , Australia, Brazylia, Indie nie odnotowuje się globalnych DDoS. Zupełnie inaczej sytuacja ta wygląda w USA, Rosji, Niemczech, Wietnamie, Chorwacji czy na Ukrainie. David Monnier podkreślił, że są różne motywacje do przeprowadzania ataków DDoS. O ile w pobudkach ciężko jest uchwycić jakieś stałe tendencje o tyle w samych źródłach ruchu ataków, TeamCymru dostrzega pewną prawidłowość. Narzędziem są coraz częściej nie użytkownicy prywatnych urządzeń, a wręcz serwerownie. To pokazuje, że DDoSy będą coraz groźniejsze. Od 13 lat nie wymyślono skutecznej szczepionki na tę formę ataków, a jedyną formą ochrony jest uświadomienie sobie, że atak ten nastąpi prędzej czy później. Świadomość jest kluczem do wdrożenia odpowiednich procedur reagowania i właściwego monitorowania ruchu. Wdrożenia te są niezbędne do prawidłowej obrony w przypadku wystąpienia ataku. Tylko szybka detekcja decyduje o skuteczności w walce z intruzami.

Kolejne wystąpienie „Keynote DDoS“ przybliżyło uczestnikom konferencji kim jest atakujący, co słychać w świecie DDoS i jak w 2012r. reagował na niego sektor bankowy. Carl Froggett (Citi) zaprezentował klasyfikację 4 grup podmiotów, które dokonują ataków DDoS (wywiad państwowy, cyberterroryści, cyberprzestępcy, haktywiści) oraz ich motywacje (wsparcie działań wojskowych, korzyści finansowe, szantaż, zwrócenie na siebie uwagi). Interesujące było przedstawienie trendów związanych z atakmi typu DDoS. Zaliczyć można do nich wyraźną zmianę ataków wolumetrycznych na tzw. „low and slow“ oraz wtapianie się intruzów w ruch klientów. Podobnie jak poprzedni prelegent, Carl Froggett stwierdził, że przestępcy nie są zainteresowani wyłącznie infekowaniem urządzeń użytkowników domowych, ale kompromitowaniem hostowanych stron, które zapewniają większą przepustowość do ataku. Ciekawostką było przedstawienie kulisów operacji Ababil, która miała miejsce w 2012r. oraz wskazanie, że największy DDoS w historii sektora bankowego osiągnął rozmiar 124 Gb/s (odnotowany w 2009r.).

Spore zainteresowanie w pierwszej sesji bez wątpienia wywołało wystąpienie „DDoS – atak i obrona. Doświadczenia Allegro“. Jakub Masłowski (Allegro.pl) opowiedział ze szczegółami o kampanii kwietniowej (ataku mającym miejsce w 2013r. na serwis allegro.pl). Nie zabrakło zestawienia metod działania atakującego z reakcją działu bezpieczeństwa oraz problemach w komunikacji z dostawcami Internetu. Prelegent przyznał, że gdy doszło do ataku zapanował jeden wielki chaos. Był on spowodowany w dużej mierze tym, że producent serwerów zapewniał inną wydajność urządzeń w teorii, a inną w praktyce. Drugą niespodzianką był brak złożonych procedur. Samo wdrożenie access list na routerach okazało się niewystarczające. Na owy chaos złożył się także sposób przeprowadzania ataków. Był on zaskoczeniem. Przestępca przeprowadzał nie tylko ataki wolumetryczne, ale także atakował DNA czy serwisy w 7-ej warstawie. Łącznie zostało zaatakowanych aż 14 różnych technologii (w tym języków php, java, perl). Dynamika zmian, brak narzędzi, wiedzy i problemy w komunikacji z dostawcami Internetu spowodowały, że SLA serwisu mocno ucierpiało. Atak jednak udało się powstrzymać, a przestępcę ująć. Obecnie toczy się przeciwko niemu postępowanie karne. Zwrócono jednak uwagę na problem niewłaściwego wyszkolenia pracowników wymiaru sprawiedliwości już na etapie zabezpieczania dowodów i formułowania zarzutów co kontynuowano dalej w dyskusji. Podsumowując wystąpienie Jakuba Masłowskiego warto dodać, że ataku DDoS nie udało się wcześniej wykryć i tym samym mu zapobiec. Analiza wsteczna wykazała, że przed atakiem były przeprowadzane próby, ale zostały one zignorowane z uwagi na wielkość generowanego ruchu. Incydent pozwolił jednak na  wyciągnięcie wielu wniosków. W trakcie wystąpienia dużo powiedziano o tym jak wygląda i jak jest realizowany obecnie projekt Anty DDoS. Prelegent na zakończenie zachęcił wszystkie osoby zainteresowane wymianą informacji do kontaktu.

Prezentacja Allegro pokazała, że w Polsce tematyka DDoS nie jest do końca rozpoznana. Niezależnie kogo dotknie problem, czy firma jest duża czy mała, czy dysponuje ogromnym doświadczeniem, budżetem itp., jest to temat trudny dla każdego. Bardzo ważnym elementem jest wypracowanie odpowiednich procedur, szybka i skuteczna wymiana informacji i ustalenie wspólnych działań. Duże uznanie dla Allegro za konstruktywne podejście do problemu jaki ich spotkał.

Kolejna prelekcja „DDoS – atak i obrona“ miała na celu ukazanie możliwości jakie daje Orange wspólnie z Integrated Solutions w walce z DDoS. Artur Barankiewicz (Orange) stwierdził, że w samym tylko 2013r. odnotowano ponad dwukrotny wzrost liczby alertów DoS. Podkreślił, że ten rodzaj ataku to już pewien trend, który rośnie. Standardem są obecnie ataki na poziomie 41 Gb/s, a średni czas ich trwania wynosi 12 godzin. W praktyce zatem oznacza to niefunkcjonowanie serwisu przez pół dnia. A to oznacza realną stratę. Oprócz ukazania motywacji atakujących (aspekty polityczne, pobudki związane czysto z finansami) interesująca okazała się teza, że ataków będzie coraz więcej z uwagi na sprzyjające warunki (tańsze pasmo, wzrost liczby użytkowników Internet, coraz większa ilość botnetów serwerowych). Artur Barankiewicz do grup najbardziej narażonych na tego typu ataki zaliczył następujące sektory:

  1. Finanse i bankowość
  2. Operatorzy treści i media
  3. Sektor rządowy i ubezpieczenia społeczne
  4. Portale handlowe, e-commerce, e-retail

O ile wcześniejsze ataki DDoS związane były z wandalizmem, o tyle od pewnego czasu obserwuje się, że jest to już rodzaj usługi. Ataki są w pełni skomercjalizowane i to jest spory problem. Andrzej Gab (Integrated Solutions) wskazał jak wygląda wsparcie integratorsko-operatorskie dla biznesu. Opisał także fazy działań operacyjnych. Obaj eksperci podkreślili, że do ataku należy odpowiednio się przygotować. Niezbędnym jest:

  • przeprowadzić audyt infrastruktury i oprogramowania,
  • posiadać wewnętrzny zespół reagowania, procedury operacyjne
    i eskalacyjne, listę kontaktową oraz dyżury,
  • analizować zmiany w infrastrukturze, usługach operatorskich oraz integratorskich,
  • mieć wypracowane procedury komunikacji z operatorami
    i firmami wspierającymi.

Pierwszy panel dyskusyjny zainteresował szczególnie uczestników sektora bankowego. Został on poprowadzony przez Ceazrego Piekarskiego (Deloitte). Panelistami byli Paweł Olszar (ING Bank Śląski) oraz Janusz Nawrat (Raiffeisen Polbank). W dużej mierze rozmowa dotyczyła protektora DDoSowego oraz procesu zarządzania podatnościami. Obaj paneliści byli co do zasady zgodni. Wskazali na idealny model jakim jest charakterstyka ataków uwzględniająca nie tylko ataki wolumetryczne, ale także serwery, aplikacje czy backendowe bazy danych. Podkreślono jak ważna jest wymiana informacji pomiędzy bankami. To ona pozwala na uruchomienie konkretnych programów reagowania. Panowie stwierdzili ponadto, że model ochrony powinien być elastyczny. To system musi stwarzać możliwości by móc go zastosować w najlepszym wariancie dla organizacji. Podkreślono także, że system ten działa na styku organizacji i operatora. Współpraca zatem jest niezbędna dla prawidłowego i szybkiego reagowania.

Podsumowaniem sesji przedpołudniowej była prezentacja „DDoS – podsumowanie. Twoja lista kontrolna“. Paweł Chwiećko (Citi) wskazał w jaki sposób przygotować się do obsługi ataku DDoS. Podkreślił jak ważna jest:

–       inwentaryzacja zasobów,

–       analiza ryzyka,

–       Polityka Bezpieczeństwa i Plan Ciągłości Działania,

–       zarządzanie zmianami i konfiguracją,

–       zarządzanie pojemnością,

–       zarządzanie aktualizacjami,

–       standaryzacja rozwiązań,

–       monitorowanie i alarmowanie,

Prelegent dodał także jak ważny jest wybór rozwiązania pozwalającego na skuteczną obronę w walce z DDoS. Nie jest on możliwy bez dokonania analizy potrzeb, przeglądu dostępnych rozwiązań, odpowiedniego wdrożenia i utrzymania wybranych narzędzi. To jest jednak dopiero połowa sukcesu. Brak odpowiedniego zarządzania zasobami ludzkimi przy nawet najlepszych rozwiązaniach technologicznych zadecyduje o przegraniu z atakującym. Dlatego tak ważnym jest zwracanie uwagi na kompetencje, szkolenia oraz obsługę procesów 24 godziny, 365 dni w roku.

Panel APT

Sesję przewodnią na temat APT otworzyło wystąpienie „Smart Persistent Defence?“. Rik Ferguson (Trend Micro) znakomicie uświadomił jakim wyzwaniem jest ten rodzaj ataku. Podkreślił jak dużym problemem jest klikanie w linki. Pokazał jak wygląda przykładowy schemat ataku. Cyberprzestępcy najpierw wybierają konkretne ofiary z danej organizacji. Pomaga im to w doborze odpowiedniej metody, która pozwoli na skompromitowanie systemu. Wybierają takie ofiary, które są podatne na atak. Często wykorzystywana jest inżynieria społeczna i sławetne linki przekierwoujące na zainfekowaną stronę internetową. Ekspert dodał, że w Europie jeszcze mało mówi się o atakach z uwagi na regulacje prawne, tj. brak powszechnego obowiązku zgłaszania takich nadużyć. Wskazał, że błędne jest myślenie o tym, że cyberataki to problem, który dotyczy Stanów Zjednoczonych Ameryki Północnej (W USA jest obowiązek notyfikacyjny w wielu stanach dlatego tyle mówi się o atakach w tym kraju). APT to problem globalny.

Atak ten jest sprecyzowany, ma swoją anatomię. Rick Ferguson pokazał jak za pomocą sieci społecznościowych można wychwycić pracowników danej firmy i pozyskiwać dodatkowe informacje na ich temat (np. nad jakim projektem pracują czy pracowali) albo zdobyć dane osobowe wraz z numerami telefonów i lokalizacją pracowników danej jednostki korzystając wyłącznie z wyszukiwarki. Prelegent opowiedział także jak wygląda ice phishing (przekierowanie na sfałszowaną stronę, która podaje się za wiarygodną), kto chętniej posługuje się malware do infekowania ofiar, a kto prawdziwymi kontami użytkowników. Ta druga metoda jest znacznie groźniejsza bo bardzo trudno jest wykryć atak przeprowadzany w ten sposób. Rick Ferguson na zakończenie podsumował, że nie da się żadnej organizacji ochronić w 100%. Jedyną formą obrony jest odpowiednie przygotowanie się do ataku. Ono natomiast powinno mieć charakter APR (ang. Advanced Persistent Response – zaawansowanej, ciągłej odpowiedzi na atak).

Uczestnicy konferencji z bardzo dużym zaciekawieniem wysłuchali prezentacji „APT – Atak-Obrona“. Poprowadzili ją wspólnie Piotr Linke (SourceFire) oraz Michał Sajdak (sekurak.pl). Formuła wystąpienia była bardzo ciekawa. Podczas gdy Piotr Linke opowiadał o poszczególnych etapach APT, Michał Sajdak pokazywał na ekranie jakie możliwości ma intruz przed atakiem i jak należy się w związku z tym bronić. Obaj eksperci omówili każdą z faz ataku.:

  1. Przed atakiem

–       rekonesans (atakujący zbiera informacje),

–       uzbrajanie (tworzony jest malware),

–       dostarczanie (najczęściej przeprowadzany jest spear phishing)

  1. W trakcie włamania

–       wykorzystanie luki,

–       instalacja (proces zagnieżdżania)

  1. Po włamaniu

–       komunikacja zwrotna C&C (atakujący przejmuje kontrolę),

–       realizacja celów.

Prezentacja została wzbogacona także o pokazanie tego czym dysponują cyberprzestępcy oraz jak wygląda czarny rynek tego typu ataków. Piotr Linke podkreślił, że skuteczność tradycyjnego oprogramowania zabezpieczającego, bazującego na sygnaturach wynosi zaledwie 25%. Tylko taki procent malware bazuje bowiem na powtarzalnych komponentach. Przy APT malware zostaje zawsze dokładnie dobrany i dostarczony na urządzenie ofiary. Największym problemem są „clickersi” (klikający w linki), brak weryfikowania źródła pochodzenia linku czy pliku, „metoda wodopoju“ (infekowanie stron internetowych) oraz podrzucanie zainfekowancyh urządzeń (np. myszka komputerowa, pend drive). To jest duży problem bo każdy ma sobie coś z „clickersa” i lubi gadżety takie jak darmowy pendrive. Michał Sajdak dodał jak ważne jest aktualizowanie oprogramowania routerów. Większość osób tego nie robi i nawet nie wie czy ma malware na routerze. Dlatego tak ważna jest ręczna aktualizacja.

Drugi panel dyskusyjny poprowadził Adam Haertle (ISACA Chapter Poland). Rozmawiał on z Julią Juraszek (T-Mobile), Katarzyną Wencką (PKO Bank Polski) oraz Rafałem Jaczyńskim (PwC). Już od samego początku debaty rozpoczeła się ciekawa wymiana poglądów. Panelistów podzielił sposób postrzegania APT jako nowej formy ataku. Katarzyna Wenecka stwierdziła, że wektory ataku są proste, ale zaawansowanie tego ataku polega na takim jego zaprojektowaniu by się powiódł. Julia Juraszek stwierdziła natomiast, że APT to marketingowy skrót. Zgodził się z nią Rafał Jaczyński podając przykład, że w 2006r. poraz pierwszy użyto terminu APT choć ataki tego typu występowały dużo wcześniej. Drugie pytanie czy APT jest zagrożeniem poważniejszym było równie interesujące. Paneliści dyskutowali o różnych przykładach ataków i konsekwencjach jakie ponosiły dane organizacje. Dyskutowano m.in o RSA i Bit9. Zastanawiano się jak ataki te były odbierane przez klientów, dlaczego wpłynęły na znane wszystkim, dalsze losy tych przedsiębiorstw. Na zakończenie Rafał Jaczyński stwierdził, że firmy nie dzielą się na takie, które zostały zaatakowane i takie, które nie. Dzielą się natomiast na takie, które wiedzą o tym, że zostały zaatakowane i takie, które nie zdają sobie z tego sprawy. Każde zabezpieczenie w pewnym momencie przestaje działać. Bardzo mało firm wdraża odpowiednie procedury wykrycia cyberzagrożeń. Katarzyna Wenecka dodała, że podstawą jest wiedza o tym co mamy i jak to działa. Dopiero na tej podstawie można  wychwycić anomalie. Julia Juraszek podkreśliła, że najważniejsi są ludzie i czas. Zobrazowała to ciekawym porównaniem pracy specjalistów ds. bezpieczeństwa do pracy strażaków. Zgodził się z tym Rafał Jaczyński, którego zdaniem wychwycenie APT polega nie tylko na instalacji niesamowitych narzędzi, ale na myśleniu. Średnio 4 godziny wystarczą od momentu rozpoczęcia działania (ćwiczenia zamawianego przez klienta) do pełnej infiltracji systemu czyli uzyskania wrażliwych danych.

Sesję na temat APT zakończyła świetna „Prezentacja Podsumowująca APT. Twoja lista kontrolna“. Borys Łącki (Bothunters.pl) podkreślił, że APT to proces mający swoją określoną budowę. Przypomniał o trzech jego etapach (przed, w trakcie, po).  Jako dobre praktyki wskazał m.in .:

  1. aktualizacje, które nie są łatwe, ale są niezbędne,
  2. instalacja Firewall,
  3. hardening,
  4. stosowanie odpowiednich systemów bezpieczeństwa dla urządzeń (antywirusy nie rozwiązują problemów z APT),
  5. stosowanie odpowiednich systemów bezpieczeństwa dla sieci,
  6. zwrócenie uwagi na wersje i wsparcie dla systemów operacyjnych (warto myśleć o migracji na nowsze systémy),
  7. tworzenie regularnych Kopii zapasowych (trzeba je dobrze zabezpieczać),
  8. przeprowadzanie regularnych testów penetracyjnych (wewnętrznych, zewnętrznych),
  9. stosowanie wielostopniowego uwierzytelniania,
  10. posługiwanie się białą listą aplikacji (to nie jest wspaniałe rozwiązanie bo  przykład Bit9 to pokazał),
  11. odpowiednie konfiguracja SIEM,
  12. prawidłowe dbanie o ochronę fizyczną,
  13. zabezpieczanie urządzeń mobilních (szyfrowanie danych),
  14. prowadzenie dokumentacji (gwarantuje ona porządek, aktualizację i
  15. wdrożenie polityki haseł,
  16. wdrożenie planów działania,
  17. odpowiednio wcześniej przygotowywanie szablonów komunikatów prasowych (w czasie ataku tylko podstawienie odpowiednich danych).

Uczestnicy konferencji otrzymali gotową, pełną listę kontrolną do wdrożenia w swoich organizacjach.

Konferencja zakończyła się grą strategiczną. Jej celem było zbudowanie systemu ochrony organizacji poprzez odpowiedni dobór technik i usług obronnych. Każda z tych metod ochrony miała swoją wymierną cenę, a zespoły dysponowały ograniczonym budżetem. Na końcowa ocenę poczynań grup złożyły się punkty za odpowiedni wybór środków ochronnych – każdy z nich miał przypisaną sobie efektywność działania i tym samym odpowiednią liczbę punktów, bonus za osiągnięcie największego potencjału obronnego w odpowiednio krótkim czasie oraz ocenę strategii jaką przyjęły zespoły. Ocenę tą przekazywali eksperci reprezentujący partnerów gry, tj: Julia Juraszek z ISSA Polska, Tomasz Chlebowski z ComCERT SA i Andrzej Gab z Integrated Solutions. W grze wzięły udział trzy trzyosobowe zespoły a pierwsza nagroda przypadła „Drużynie A” (J). Narody ufundowały firmy ComCERT SAIntegrated SolutionsISSA Polska.

Konferencję zakończyliśmy miłym akcentem, losowaniem wśród uczestników konferencji – nagrody głównej – tabletu ufundowanego przez Fundację Bezpieczna Cyberprzestrzeń.

Pierwsza konferencja „Atak i Obrona 2013” za nami. Chcielibyśmy gorąco podziękować wszystkim uczestnikom licznie przybyłym na konferencję. Chcielibyśmy także podziękować nieocenionym partnerom, którzy zaufali i uwierzyli w to, że warto wesprzeć zupełnie nową inicjatywę na rynku konferencyjnym w szczególności: partnerowi generalnemu firmie Trend Micro, partnerom strategicznym – Team Cymru i Source Fire. Ponieważ trudno wypisać wszystkich załączamy link: https://atak-obrona.pl/partnerzy/ gdzie wymienieni są wszyscy partnerzy konferencji i jeszcze raz serdecznie dziękujemy. Poniżej zamieszczamy kilka zdjęć, do obejrzenia obszerniejszej fotorelacji zapraszamy do zakładki – Galeria.

 

 

Bardzo dziękujemy Pani Beacie Marek  – cyberlaw.pl –  współpracującej z naszą fundacją za pomoc w przygotowaniu sprawozdania z konferencji „AiO 2013”.

 

Do zobaczenia za rok!

https://www.securitycasestudy.pl/pl/

 

 

Share Button