Infosecurity Moscow

[arkenoi]

Прогулялся с codera по выставке "Infosecurity Moscow".
Ну, что в наше время можно сказать о любой выставке? Это -- повод пообщаться, а узнать там что-то новое в рамках программы было бы странно (при наличии интернета). То есть, конечно, можно и не ходить, но интереснее сходить, потому что где еще, порой, встретишь этих людей? А на железные коробочки -- что смотреть.. они все выглядят одинаково, а узнать об их содержимом что-то неочевидное за столь ограниченное время редко удается. Ну, поговорил с представителем фирмы Checkpoint, у которого единственный аргумент за их продукцию был - "клиенты довольны". Странный аргумент, когда речь идет о продуктах для обеспечения безопасности? Ну да пес с ними. Об этом тоже ниже. Расскажу о другом.

Зашли мы на стенд Digital Security. Здесь я впервые лично познакомился с директором компании Ильей Медведовским, ранее мы не встречались. Сначала - о хорошем: посмотрели на прототип нового продукта (который заменит "Кондор" и "Гриф") для анализа рисков, соответствия сертификационным требованиям по различным стандартам и т.д. - выглядит очень разумно, позволяя свести в наглядный интерфейс все имеющиеся ресурсы, продуктивно работать с чеклистами, вот к сожалению, на текущий момент было еще не готово самое интересное - моделирование информационных потоков, но общий вид системы (кстати, теперь это web-приложение) весьма хорош и вселяет некоторую веру в то, что полная версия будет вполне достойной (хотя цена даже персональной лицензии весьма кусается). Это вот была бочка меда. А теперь будет ложка дегтя.

Нас с codera, конечно, интересовал вопрос об одном из основных сервисов комании - аудите безопасности. И мы, конечно, стали сразу, как подошли к стенду, стали приставать к одному из сотрудников по поводу методологии.

-- Ну, сначала наши специалисты делают тест на проникновение снаружи..

Гхм, сказали мы и переглянулись.

-- А потом?
-- А потом - подключаются к сети изнутри без каких-либо привилегий с ноутбука и..
-- И все?
-- Ну да..
-- А цена?
-- Небольшие контракты нас не очень интересуют, фактически интересно, начиная от $20,000, для крупных предприятий это будет очень дорого, значительно больше..

Тут мы переглянулись просто молча, потому что слов не уже было.

Понимаете, это очень больная тема. Самое неприятное (sic!) в данной ситуции это то, что в профессионализме Ильи я не сомневаюсь ни на минуту. То есть это человек, который отлично знает, как это делается - на самом деле. И что в безопасности, пожалуй, в большей мере, чем в других отраслях IT, стоит острейшая проблема - как объяснить клиенту, который думает, что знает, как решается его задача, что он на самом деле этого не знает? Что голливудские фильмы - не лучший метод получить представление о том, чем занимаются специалисты по безопасности? Что нормальный аудит безопасности не имеет практически ничего общего с тестами на проникновение? То есть вот именно так: ни-че-го. Что ценность полученной подобным способом информации практически нулевая. И что ведущие специалисты отрасли долбят этим фактом всем по мозгам не один десяток (sic!) лет. Но люди, принимающие решения, не читают специализированные статьи - они смотрят голливудские фильмы.

Здесь очень остро стоит проблема социальной ответственности. Можно сделать, как надо. А можно сделать, как хочет клиент. Вот второго я решительно не умею - я ставлю вопрос ребром: меня позвали делать эту работу потому, что я лучше ее делаю, чем тот, кто меня нанимает. А не потому, что ему некогда, а то бы он и сам разобрался. Поэтому ни-ко-гда! не надо пытаться навязать мне свое представление о том, как она делается. Если заказчик доверяет мне, как специалисту, он должен доверять до конца, если нет - не должен иметь со мной дело. Я бы просто себя не уважал, если бы поступал иначе.

Я вообще считаю золотым веком IT не нынешний "расцвет", а давно ушедшие времена, когда потребности заказчика определяли компетентные люди из IBM (ну или еще кого из тогдашних "монстров"), не сегодняшнее фрик-шоу, когда дурачат административное руководство, по нелепому организационному недомыслию принимающее волюнтаристские технические решения, с помощью глянцевых проспектов. При всей их жажде наживы интересы заказчика - настоящие интересы, а не "хотелки" - соблюдались лучше.

Еще на выставке видел русский перевод книги Митника "The Art of Intrusion" за 250р. Чак, я твою давно прочитал, хочу отдать! Книга хорошая - набор хакерских баек (с моралью и анализом для широкого круга читателей ;-). Не про самого Митника, а что ему присылали.

Comments

[duke-igthorn.livejournal.com]

Перфекционизм тебя погубит. Если все довольны - почему ты не доволен?;)

ЗЫ Хе, а я ведь Илью знаю, учились в Политехе на одном курсе одного факультета. В колхозе на первом курсе в одной комнате барака жили...

[ignik.livejournal.com]

Всё правильно. 95% успеха - социальный инжиниринг. Вот тебе сценарий кины:

Тест на проникновение. Договорились с бухгалтерией "вот доверенность по счетам накладные пропечатать", вошли. Ищем локальный адрес из wifi фирмы. Если wifi в лавке нет - осчастливить ethernet дырку wifi бриджом. Подарить бухгалтерам бесплатными флешками с автозапуском всего на слив. Узнать e-mail Маши Табуреткиной. А Вася Пупкин в отпуске. Послать на e-mail Маши от Васи "маш, пришли мне годовой отчёт по реальным транзакциям, я в отпуске поработать решил" не забыв проставить Cc: хацкер@mail.ru

$20K за сценарий как с куста :-)

[pascendi.livejournal.com]

Хе-хе, а нужно нормальный аудит сделать? Полную проверку на соответствие 17799 с использованием методологии университета Карнеги-Меллона?
Могу устроить.

[arkanoid.livejournal.com]

Лучше приведи кого-нибудь кому нужно ;-)

[zloiuser.livejournal.com]

>>нормальный аудит безопасности не имеет практически ничего общего с тестами на проникновение
я не в "теме" разьясните в паре строк если не сложно что такое Нормальный аудит безопасности?
хотя бы тезисы, для обшего развития (возможно впоследствии пригодится)....

[arkanoid.livejournal.com]

Эээ, ну в двух словах - нормальный аудит идет от анализа рисков на основе моделей информационных потоков, общей архитектуры и вероятных угроз. Где-то там очень-очень сбоку есть собственно оценка текущего состояния конкретных программных систем. Очень-очень сбоку, потому что сегодня дырка есть, завтра ее нет (а это вопрос организации patch & configuration management, который и должен быть предмтом аудита, а не сиюминутного состояния), а послезавтра есть другая дырка, причем аудитор Вася Пупкин на нее нактнется, а Петя Хренкин - нет, потому что процесс вероятностный. Общая идея ясна?

[pascendi.livejournal.com]

Э-э, ну в двух словах -- нормальный аудит -- это в принципе не о программных системах, а о:
- информационных активах;
- информационных потоках;
- угрозах и рисках;
- организационных мерах;
- регламентах;

... и только потом -- о технологических решениях...

[arkanoid.livejournal.com]

ну это настолько очевидно, что я даже не стал разжевывать. я собственно хотел показать, как это соотносится с технологическим аспектом.

[zloiuser.livejournal.com]

То есть аудит это комплекс мероприятий (анализа рисков, информационных потоков & ohter...), это понятно. Что касается корпоративной проверки ИБ (целостной структуры) по-другому её проводить просто нельзя, это тоже понятно. И отчёт будет включать только присутствие проблемы и рекомендации указывающие на их устранение? Или как таковой, к примеру, patch тоже входит? Допустим нет у компании квалифицированного персонала по решению поставленных проблем (отсутствие политик ИБ - сейчас сплошная проблема). Полагаю, что за те деньги, что стоит эта работа, должен быть и такой сервис.
А вот если необходимо произвести удалённый аудит ИБ, допустим, сервера? (не какой-то конкретной компании целиком) Прим.: под аудитом понимают всякую выполняемую независимым экспертом проверку какого-либо явления или деятельности (с)wikipedia. В некотором абстрактном случаи проверить бесперебойную работа web узла (+ безопасность баз данных пользователей хранящихся там). Тут ведь по другому как "тесты" на проникновение не назовешь =). Или я что-то упустил и это уже не аудит ИБ (исходя из поста ниже о технологических и организационных, назовём их так, решениях)

[arkanoid.livejournal.com]

Проблема, грубо говоря, не в том, что не поставлен патч. Проблема с одной стороны в том, что не регламентирована или не выполняется та процедура, в рамках которой он должен быть установлен - с одной стороны. И с другой - что архитектурные просчеты при проектировании, например, не позволили свести риск от злоупотребления этой уязвимости к минимуму. Вот как-то так. И те и другие проблемы можно и нужно устранять. Можно и патч-менеджмент аутсорсить, если клиенту так уж удобнее.

Удаленный аудит в таких терминах - это вообще говоря оксюморон. Можно, конечно, нанять пионэров с ботнетом, чтобы они устроили показательный DDOS и посмотреть, заткнется или нет и натравить стресс-тест на cgiшки. Но это, вообще говоря, вовсе лишнее. Гораздо удобнее проанализировать все изнутри. Мало того, нужно еще добиться от DC, где он стоит, внятного описания защищенности инфраструктуры, схемы disaster recovery и т д. Не, стресс-тест все-таки пригодится - но опять же больше для очистки совести.

[zloiuser.livejournal.com]

Мне наверное кажется что всё очень накручено. Есть абстрактная кампания, со своим отделом IT ИБ. И есть Вася Пупкин хороший программист, сёрчер и просто талантливый чел, который понятия ничего не имеет о активах, потоках, рисках и пр. Так вот, когда его попросят (дав чего-то взамен) получить доступ к тому серверу (который тестировали специалисты в рамках аудита ИБ) он сам находит багу под софт находящийся на сервере и пишет так называемый 0day. Как меня спасёт аудит проведённый изнутри, к примеру, вчера?

[arkanoid.livejournal.com]

Короткий ответ - никак. Если сценарий такой, как в условии.

Длинный ответ - a) позволит уменьшить вероятность того, что это произойдет b) поможет минимизировать последствия. То есть Вася Пупкин не сможет спереть Все и Сразу, а только Немжножко и (скорее всего, зависит от его квалификации) Недолго. Может задефейсить, если повезет. В лучшем случае - на пару минут, пока HIDS не сработает.

[msh.livejournal.com]

Очень просто. Программист Вася будет просто отфайрволен от production. Потому что он не в той группе, которая имеет понятие о рисках и среди которой будут искать тех, кому дали что-то взамен

[arkanoid.livejournal.com]

а, ну если Вася Пупкин инсайдер, то это само собой разумеется - я думал, вопрос был про внешнего Васю Пупкина и публичный сервер.

[zloiuser.livejournal.com]

вопрос был именно про это.
спасибо.

[arkanoid.livejournal.com]

Но какой смысл для этой абстрактной компании нанимать этого Васю Пупкина? Его успех или неуспех в этом деле никак не влияет на успех или неуспех следующего Пети Хренкина.

[msh.livejournal.com]

Информация о том, что сегодня не нашли в уеб-сервере дыры вовсе не гарантирует что дыру не найдут завтра. Зато информация, что на сервере не хранится достаточно данных о клиенте, чтобы, например, сделать identity theft, гарантирует то, что когда завтра в уеб-сервере найдут дыру, эти данные не сопрут

[zloiuser.livejournal.com]

сори, мой пост ниже - быстро писал - написа с ошибками =)

Я понял суть. В смысле я и раньше догадывался, представилась возможность спросить у спецов

[zloiuser.livejournal.com]

Как раз эта абстрактная компания понятия не имеет о существовании этого Васю Пупкина. Понимаете о чём я? Его успех влияет на успех конкурентов - другой абстрактной компании.

[xfyre.livejournal.com]

для этого нужно чтобы в конторе было как минимум нормально построено процессное управление. ты много таких знаешь среди среднемелких?

объяснить то, о чем ты говоришь, среднестатическому совеццкому топ-менеджеру невозможно.

[arkanoid.livejournal.com]

Угу. А вот "у нас есть хакеры которые попробуют поломать" - это вполне на его уровне. Он в кино видел, да :-(

[zloiuser.livejournal.com]

попробуйте всё же, так как не всё понимают даже не только менеджеры...
или может не правильно объясняете? Некоторые аспекты ИБ, для многих загадка, даже для так называемых "спецов" работающих на публику и стригущих $$ =)

[ex-ivlad.livejournal.com]

вот, блять, не надо только о модели угроз! это вообще профанация

[arkanoid.livejournal.com]

Почему же? Моделирование угроз, в общем случае - нет. "Модель нарушителя", любимая некоторыми - несомненно.

[arkanoid.livejournal.com]

По поводу второго - говорю, как человек, хорошо знакомый с контрпримерами утверждения "если для этого нужно оборудование ценой в сотни тысяч или миллионы долларов, мы в безопасности, потому что у хакеров его нет" ;-)

[arkanoid.livejournal.com]

И нормальная инвентаризация версий и конфигурации ПО тут имеет гораздо большее значение, чем pen test. Проверка производится скорее для очистки совести, чем чего-то еще.

[pascendi.livejournal.com]

Ну да, ну да, эти десять процентов от общего объема работы при аудите информационной безопасности тоже очень важны... :-)

[arkanoid.livejournal.com]

:-)

[egorfine.livejournal.com]

Но люди, принимающие решения, не читают специализированные статьи - они смотрят голливудские фильмы.

Но они платят деньги и хотят получить за эти то, что они хотят. Поэтому для бизнеса жизненно важно продать видимость аудита, а не аудит. Тогда и клиент будет доволен и бизнес будет расти. Продажа настоящего аудита не ценится. Причем это тенденция не совка, а во всем мире. Давеча это на слешдоте обсуждалось, кстати.

[ka6ah.livejournal.com]

ну а пока мы тут это пишем, кто-то просто стрижет бабло =)

[msh.livejournal.com]

В давно ушедшие времена было гораздо меньше клиентов, требующих IT security. Никто и не думал, что, скажем, книжный магазин будет думать о какой-то безопасности, помимо не забывать закрывать двери и закрывать слипы от кредиток в шкаф

[pustota1.livejournal.com]

Если заказчик доверяет мне, как специалисту, он должен доверять до конца, если нет - не должен иметь со мной дело.

Никаких оснований для таких ультиматумов, кстати, нету, специалистам надо доверять, естественно,
обусловленно, а не безусловно. Так специалисту по безопасности, в частности, доверяют в рамках составленной модели рисков и с заданным количеством/качеством информации о специалисте и специалиста обо мне.
Даже странно, что тебя вдруг в такие ультиматумы понесло. Не говоря уж о том, что все вдруг воспылали страстью к ISO стандарту 17799.

penetration tests

[ex-croco667.livejournal.com]

Никоим образом не ставя под сомнение авторитет ведущих специалистов отрасли (в особенности твой и Солара), скажу, тем не менее, что у теста на проникновение есть одна экологическая ниша, про которую я Солару пытался объяснить еще лет десять назад, да так и не объяснил.

Некоторые эксплуатационщики попадаются, которые голливудские фильмы смотрят, но в них не верят. И на основании этого не верят заодно и в хакеров. То есть совсем.

Я знаю, что говорю, потому что сам был таким. Каких-нибудь десять лет назад. Ну, с небольшим. Вот не поверишь, я всерьёз был практически уверен, что "дыры в безопасности" -- это когда от невнимательности админ выставляет не те параметры chmod'ом. Но поскольку в себе я был уверен, что chmod не по делу никогда не сделаю, то заодно был уверен также, что меня сломать невозможно точка никак точка совсем. И вообще был охрененно самоуверенным.

А думать мозгами я начал только после того, как наш общий друг Солар меня таки хакнул, предварительно очень культурно спросив разрешения и раза три переспросив для верности. А потом долго объяснял, как. И объяснил.

Что характерно, если бы он просто объяснил, я бы и не поверил, чего доброго.

Re: penetration tests

[ex-croco667.livejournal.com]

P.S. впрочем, тут нужна оговорка. Тест на проникновение обязан окончиться успешно. Иначе от него никакого толка. Неудача не несет в себе никакой информации для нас, а "получатель" станет только ещё более самоуверенным, т.е. неудачный тест на проникновение скорее вреден, чем полезен.

Это, впрочем, решабельно. Берём клиента, заключаем с ним предварительный договор. Потом тайком щупаем. Если ничего не нащупывается, под каким-нибудь предлогом от договора отказываемся, бабок не берём. Если нащупывается -- берём бабки и устраиваем хакер-шоу с театральными эффектами. Не забывая при этом, что происходящее имеет цель сугубо просветительскую, но клиенту об этом не говоря.

[to-the-future.livejournal.com]

Кино кином, но у нас еще с советских времен даже безопасность атомных станций тестили проникновением. Традиция-с.