Webové portály - Aktuálne zraniteľnosti a hrozby podľa #F5 Networks

Poďme sa pozrieť, ako k problematike ochrany webových portálov proti aktuálnym zraniteľnostiam pristupuje spoločnosť F5 Networks.

Botnety vládnu Internetu

Viete, že po publikovaní aplikácie do internetu (môže ísť o spustenie nových webových stránok, zákazníckeho portálu, portálu pre občanov, extranetu, atď.) trvá priemerne 6 minút, kým ju „naskenujú" hackeri a menej ako 2 hodiny, pokým je aplikácia prelomená v prípade, že nie je chránená proti zraniteľnostiam? Práve aplikácie sú totiž bránou k citlivým údajom o zákazníkoch, zamestnancoch, pacientoch alebo občanoch. Útočníci chcú získať citlivé údaje, ktoré sú speňažiteľné na čiernom trhu. Následné zneužitie dát závisí od ich povahy, ale v prvom rade má vplyv na organizácie, ktoré takémuto útoku neboli schopné zamedziť. Negatívne publicita ovplyvňuje budúcu (ne)úspešnosť organizácie, nehľadiac na pokuty vyplývajúce z regulácií, ako je GDPR. Druhotný je dopad na samotných užívateľov, ktorých citlivé osobné údaje sa dostanú do nesprávnych rúk, prípadne sú dostupné širokej internetovej verejnosti.

 Kto za to v poslednej dobe môže? Na vine sú najmä generátory robotickej komunikácie na Internete, tzv. botnety. Sú to softvérové programy, ktoré spúšťajú automatizované úlohy (skripty). Odhaduje sa, že roboty všetkých druhov predstavujú viac ako 50% dnešnej internetovej prevádzky. Karel Čapek dal meno robotovi, ale ťažko mohol čakať, ako sa môže význam tohto slova zmeniť vplyvom Internetu.

Keď sú Boti dobrí

„Dobrí" roboti sú určení na pomoc podnikom a spotrebiteľom. Už od začiatku deväťdesiatych rokov minulého storočia boli vyvinuté prvé roboty pre vyhľadávače, aby prechádzali Internet a hľadali ( „indexovali") informácie. Bez nich by neexistovali spoločnosti Google, Yahoo a Bing. Ďalšie príklady dobrých botov - väčšinou zameraných na spotrebiteľa - zahŕňajú chatboty (napr. Apple Siri) alebo shopboty (napr. Aukro).

Keď sú Boti zlí

História nás učí, že všetko, čo je určené pre dobro, bude nakoniec zneužité na zlé účely a to rozhodne platí pre internetové roboty. Pre útočníkov spočíva skutočná sila botov v botnetoch - miliónoch zariadení infikovaných malwarom (tzv. zombie), ktoré riadi útočník z kontrolného centra (C&C- Command and Control Center). Botnety poskytujú kolektívnu procesnú silu, ktorá je nevyhnutná na spustenie rozsiahlych útokov. Špeciálnou kategóriou sú Thingboty, tvorené zariadeniami internetu vecí (Internet of Things). Väčšinou ide o IP kamery, domáce routery, herné konzoly, atď., ktoré pri výrobe dostali jednoduché užívateľské meno a heslo typu admin/admin. Útočník pomocou svojho existujúceho botnetu novo spustené zariadenie na internete „naskenuje" a prevezme pod svoju kontrolu, bez toho aby sme o tom vedeli.

 Zlé botnety sú s nami už celé jedno desaťročie, ale skutočný rozmach nastal v posledných 2 rokoch, keď boli objavené skoro tri štvrtiny všetkých známych botnetov (Obrázok 1).

Obrázok 1 - Rozmach botnetov v posledných 10 rokoch a typ „unesených

Kto je ohrozený?

Prakticky všetky počítačové zariadenia, ktoré boli „unesené" zlými robotmi, sa používajú na škodlivé činnosti ako napr:

  • Volumetrické útoky DDoS (Distributed Denial of Service). S doslova miliardami zraniteľných IoT zariadení sú útočníci schopní vybudovať masívne botnety a vykonávať obrovské DDoS útoky, ako boli útoky z Botnetu Mirai v 2016 na DynDNS a OVH, alebo útok so silou 1.3 Gbps na GitHub v roku 2018. Cieľom je vyradiť webové portály alebo infraštruktúru z prevádzky a znemožniť ich dostupnosť.
  • Aplikačné útoky DoS (L7 Denial of Service). Na takýto útok netreba veľký botnet, ale stačí pár strojov, niekedy dokonca jeden počítač. Často sa takýto útok skrýva vo veľkom volumetrickom útoku, ktorý slúži útočníkom ako zastieracia dymová stena. Cieľom útočníkov je získať citlivé údaje o užívateľoch služby. Útoky s cieľom získať údaje sú aplikačné útoky, nie L7 DoS, L7 DoS je tiež s cieľom znefunkčniť službu
  • Použitie odcudzených užívateľských identít s cieľom prevziať účet (Credential stuffing). Útočníci používajú roboty na spúšťanie automatizovaných útokov. Ukradnuté databázy s užívateľskými menami a heslami používajú na portáloch s cieľom získať neoprávnený prístup k účtom s citlivými údajmi. Môže ísť o prístup k relatívne neškodným emailom (aj keď spomeňme si na zverejnenie komunikácie politikov najmä pri volebných kampaniach) alebo napríklad k internetovému bankovníctvu. Užívatelia totiž často používajú rovnaké užívateľské meno a heslo pre viac účtov/služieb, úspešnosť a návratnosť pre útočníkov je teda vysoká. Či je identita súčasťou internetových databáz odcudzených identít, je možné zistiť na stránke https://haveibeenpwned.com
  • A ďalšie, ako je zneužitie platobných kariet, využitie kapacity napadnutých zariadení na ťažbu kryptomien, na distribúciu spamu, nechcené skenovanie obsahu na webových stránkach, a mnoho ďalších.

Využitie botnetov útočníkmi je zobrazené na Obrázku č. 2.

Možnosti botnetov sú de-facto neobmedzené a ich sila sa bude v budúcnosti zväčšovať. Útoky botnetov majú priamy, ale aj nepriamy finančný dopad na vaše organizácie. Vytvárajú totiž ďalšiu prevádzku v sieti, ktorá môže spomaliť stránky a konzumuje kapacitu zariadení na bezpečnostnom perimetri dátového centra. Je to aj prevádzka, s ktorou sa treba vysporiadať, keď platíme za internetovú konektivitu do privátneho cloudu alebo za kapacitu vo verejnom cloude.

Ako na ne?

Neexistuje jedno univerzálne riešenie, ako dostať prevádzku zlých botov z dátového centra. Avšak kombinácia rôznych nástrojov zabezpečí účinnú ochranu. Tu sú príklady takýchto nástrojov, ktorými by mal disponovať Web Aplikačný FW (WAF) na bezpečnostnom perimetri dátového centra:

  • Detekcia založená na jednoznačných identifikátoroch (signatúrach). Boti môžu byť identifikovaní pomocou jedinečných alebo špecifických vzorcov správania, ktoré boli pozorované v minulosti. Hoci je detekcia botov založená na signatúrach spoľahlivá, nemôže detekovať nové neznáme roboty. S cieľom udržať krok s novými robotmi, bude potrebné neustále aktualizovať signatúry a vytvárať nové.
  • Detekcia správania založená na analýze neštandardného správania tzv. behaviorálnej analýze. Zahŕňa identifikácie vysokej alebo nepravidelnej prevádzky, pokusy o spustenie alebo zastavenie procesov v aplikácii, pokusy o stiahnutie spustiteľných súborov alebo prístup k obmedzeným súborom a vzory robotického surfovania.
  • Identifikácia podvodného robotického užívateľa pomocou webového prehliadača. Prehliadač každého jednotlivého užívateľa má svoj vlastný podpis, ktorým sa identifikuje. Podpis sa vytvára pri inštalácií a konfigurácií na konkrétnom zariadení aby sa mohlo rozlišovať či ide o skutočného užívateľa alebo robota.
  • Použitie CAPTCHA na rozlíšenie správania človeka od botov na webových stránkach. CAPTCHA nie je pre užívateľov prívetivé riešenie, preto ho je možné vynútiť len v prípade, že Web Aplikačný FW vyhodnotí správanie užívateľa ako neštandardné s podozrením na robota.
  • Spätné vyhľadávanie útočníkov podľa IP adresy a jej následné blokovanie na Firewalle. Útoky sú síce často spúšťané zo stoviek rôznych IP adries, ale spätné vyhľadávanie môže byť efektívny spôsob, ako identifikovať aj tie dobré roboty, ako je napr. indexovanie stránok vyhľadávačmi. A pri tých, naopak, treba zabezpečiť, aby blokované neboli a dať ich na „whitelist".

Je taktiež užitočné vedieť, ktoré metódy eliminácie zlých botov nie sú účinné. Napríklad geofencing, t.j. zablokovanie každej prevádzky z konkrétnej krajiny, odkiaľ útok pochádza. Dnešní útočníci sú oveľa sofistikovanejší a spúšťajú útoky zo stoviek IP adries naprieč rôznymi geografickými oblasťami. Mnoho organizácií má navyše užívateľov a partnerov v zahraničí, a tak sa zablokuje legitímna prevádzka.

Je užívateľské meno a heslo mŕtva technológia?

Útočníci majú v zásade 2 nástroje, ako odcudziť prístupové údaje.

  • Prvou možnosťou je priamo z webového portálu, pretože webová aplikácia je bránou k citlivým údajom. U portálov, ktoré nie sú chránené proti zraniteľnostiam, vložením správne formulovaného databázového príkazu do prihlasovacích polí portálu je možné získať napr. prístupové údaje užívateľov. V posledných rokoch patrí tento útok - tzv. injection - medzi hackermi k najobľúbenejším na získanie citlivých údajov z aplikácií. Počas útoku webová aplikácia spracuje neočakávaný príkaz alebo umožní prístup k údajom bez riadneho povolenia. Potvrdzuje to aj klasifikácia útokov na webové aplikácie opísaná nezávislým združením OWASP - Open Web Application Security Project.

Obrázok 3 - Klasifikácia desiatich najčastejších útokov na webové aplikácie podľa združenia OWASP

  • Druhý nástroj útočníkov je odcudzenie dát priamo z koncovej stanice, t.j. z PC pomocou malwaru, ktorý sa do počítača dostane neopatrným správaním užívateľa na internete - otvorením zavírenej prílohy v maile, návštevou poškodených webových stránok, použitím infikovanej USB kľúčenky, atď. Pri zadávaní užívateľského mena a hesla malware „načúva" a informácie pošle útočníkovi. Alternatívne útočník pomocou malwaru scudzí obsah súboru cookie v počítači. Cookies ukladá sesion ID, na základe ktorého je možné dohľadať ďalšie citlivé informácie ako napr. čísla kreditných kariet, ktoré sa vďaka cookies predvyplňujú pri nákupoch v e-shopoch. Odcudzenie obsahu cookies je všeobecne veľkým bezpečnostným problémom, pretože útočník sa pomocou jej obsahu môže vydávať za pôvodného užívateľa.

Podľa združenia OWASP je narušenie autentizácie s cieľom vydávať sa počas overovacieho procesu za skutočného užívateľa druhým najčastejším útokom na webové aplikácie. Útočníci kompromitujú heslá, kľúče alebo tokeny alebo hľadajú iné nedostatky v implementácii autentizačných nástrojov s cieľom dočasne alebo trvalo prevziať identitu legitímnych užívateľov.  Spoločným menovateľom týchto útokov sú opäť škodlivé botnety. Pomocou automatizovaných operácií generujú aplikačné útoky typu „injection" alebo dokážu distribuovať malware do koncových staníc, ktoré nie sú proti malwaru chránené.

Ako na to?

V prvom rade je nevyhnutné poučiť užívateľa o správnom správaní sa na Internete. Skúsenosť však hovorí, že to zďaleka nestačí. Je potrebné, aby boli koncové stanice chránené proti vírusom a malwaru. A v neposlednom rade je potrebné chrániť samotnú webovú aplikáciu takými zariadeniami, ktorá si vedia poradiť so všetkými desiatimi najčastejšími OWASP útokmi. A nezabúdajme na ochranu proti škodlivým botnetom, ktorá by dnes mala byť samozrejmosťou.

 Pravidlá pre tvorbu hesla a jeho pravidelná obmena je dnes bežná vec. Čo robiť v prípade, keď je heslo podľa pravidiel, má napríklad aj 12 znakov, ale nakoniec sa ho aj tak zmocní útočník?

Riešením je implementácia riešenia Identity Managementu. Jeho súčasťou je viacfaktorové overenie užívateľa (Multi-Factor Authentication - MFA) v kombinácii s technológiou jednotného prihlasovania tzv. single sign-on (SSO). S pomocou SSO si už užívateľ nemusí pamätať heslo, pretože prehliadač ho za užívateľa predvyplní - výhoda SSO nie je v browseri, ktorý vyplní password, ale v centrálnej autentifikácii, ktorá zabezpečí overenie klienta do ďalších aplikácií. Znamená to veľkú úľavu pre IT helpdesky organizácií a nakoniec aj samotných IT administrátorov. Nehľadiac na väčšiu bezpečnosť, pretože zmiznú žlté post-it papieriky nalepené vedľa monitora. MFA potom overuje identitu užívateľa s použitím ďalších nástrojov, ktoré pomáhajú zvýšiť dôveru v používateľa. Najčastejšie je využitie dvojfaktorového overovania, ktorá väčšinou spočíva v použití kombinácie užívateľského mena, hesla a jednorazového hesla (OTP) alebo kódu generovaného napr. bezpečnostným tokenom alebo aplikáciou v smartfóne, ktorým disponuje iba užívateľ. Práve tento druhý faktor znemožní útočníkom, aby získali neoprávnený pristúp k službe prostredníctvom odcudzeného užívateľského mena a hesla.

Platí to aj pre prihlasovanie do SaaS ako napr. Office 365. Práve s týmito aplikáciami sa mení vnímanie bezpečnostného perimetra, ktorý je logicky definovaný naprieč jednotlivými aplikáciami nehľadiac na to, kde sú inštalované, či „doma" alebo v Cloude.

 Niektorí výrobcovia ako napr. F5 umožňujú vynútenie MFA (prípadne tiež vynútenie prístupu k aplikácii cez VPN) len pre konkrétne časti aplikácie podľa citlivosti k pristupovaným údajom.

Nechránim, čo nevidím

Väčšina dnešnej internetovej prevádzky je https, teda šifrovaná pomocou protokolu SSL/TLS. Dôvodom je zabezpečenie integrity komunikácie a eliminácia zraniteľnosti užívateľov voči internetovým hrozbám, ako je odcudzenie citlivých údajov či už privátneho, alebo komerčného charakteru.

 Na druhej strane je ale šifrovanie výzvou pre podniky a štátne organizácie, čo sa týka ochrany svojej internej siete. Dešifrovanie kladie nemalé požiadavky na výkon bezpečnostných zariadení na perimetri. Preto sa niektoré organizácie niekedy uchyľujú k vypnutiu dekrypcie SSL na perimetri, ak takéto zariadenie kapacitne nestíha, čo však znamená slepé miesto v ochrane internej siete alebo aplikácie. SSL/TLS je totiž nástrojom pre útočníkov, aby v šifrovanej komunikácii dostali malware do zraniteľnosti (chyby softvéru). Navyše, pokrok je neúprosný a s rastúcimi hrozbami vznikajú šifrovacie algoritmy s novými kľúčmi a featureami, ktorých podporu je potrebné zabezpečiť ako napr. nedávno zverejnené TLS 1.3.

Ako na to?

Pre účinnú ochranu je nevyhnutné, aby všetky zariadenia na perimetri vykonávali dekrypciu a inšpekciu prevádzky proti zraniteľnostiam. Ak výkonovo nestačia, ponúka sa riešenie centralizovanej správy SSL certifikátov v jednom zariadení, ktoré dokážu robiť inteligentné smerovanie prevádzky (service Chaining) na ďalšie bezpečnostné zariadenia podľa typu prevádzky a závažnosti komunikácie - NGFW, DLP, Sandbox, Web proxy, atď. - ktoré už dekrypciu a re-enkrypciu nemusia riešiť. Takéto riešenie je taktiež výhodné z prevádzkového hľadiska a umožňuje škálovateľnosť.

Ako to rieši F5 Networks?

F5 Networks je špecialista na vysokú dostupnosť aplikácií, aplikačnú bezpečnosť, DDoS ochranu, identity management a centralizované riešenie SSL na perimetri. Medzi zákazníkov v Českej republike patria najväčšie české banky, štátne inštitúcie, veľké štátne firmy, operátori a komerčné firmy.

Výhodou F5 je možnosť konsolidácie spomínaných bezpečnostných funkcií do jedného zariadenia v dátovom centre. Alebo do jednej SW inštancie, ktorá môže byť voliteľne inštalovaná v privátnom alebo verejnom Cloude. Výrazne to zjednodušuje správu riešení a v neposlednom rade TCO, teda náklady na držbu v celom horizonte životného cyklu projektu zákazníka.

Viac informácií o problematike hrozieb a ochrane aplikácií je možné nájsť na stránkach F5 LABS https://www.f5.com/labs.

Radi Vás u nás privítame a ponúkame možnosť vykonať PoC (Proof of concept) testovanie novej architektúry.