Strategii de aparare impotriva unor atacuri sustinute

Fac consultanta la un site relativ mare (top 3 pe nisa lui) si de ceva vreme au inceput sa experimenteze probleme de securitate mai precis atacuri sustinute si variate de genul:

  1. Basic flooding - requesturi multe cu deep paging pe pagina de search

  2. Cautare si exploatare vulnerabilitate in API - au cautat si exploatat o vulnerabilitate de cod intr-un API care nu era protejat cum trebuie. Au facut ceva research pentru asta deoarece nu era ceva ce se putea face automatizat.

  3. Phishing sites - au facut o clone a siteului original (copiat html si css) si au trimis notificari la clienti sa-si incarce conturile cu bani

Problemele astea au fost strict in ultimele 2 luni si atacurile au crescut in complexitate in tot acest timp.

Intrebarea mea este cat de comuna e o situatie de genul asta sau daca ai trecut peste o anumita marime ca si business astfel de lucruri sunt “normale” ?
Exista servicii in cadrul pol. romane care pot sa te ajute intr-o astfel de situatie ?
Ce alte optiuni sunt pentru a face fata unor astfel de pericole ?

2 Likes

Cred ca informatiile sunt mult prea vagi pentru a putea da vreun sfat util. Trebuie identificate problemele punctual si rezolvate pe rand. Politia este putin probabil sa poata sa faca ceva, nimenu nu-i atat de tampit incat sa faca infractiuni de acasa, sigur in loguri ai ip-uri din China, America Latina sau cine stie ce alte locuri uitate de lume.

Who you gonna call?? The SysAdmins! :slight_smile: (pentru pct. 1)

as putea sugera CloudFlare, might help like just a lil’bit - daca nu il folosesti deja si daca poti ignora their major recent flop.

Ce naiba sa faca un sysadmin daca aia ii exploateaza o vulnerabilitate in aplicatie :slight_smile:

Problema #1 sa rezolvat cu un serviciu de proxy (nu cloudflare) si problema #2 de asemenea si sa facut un audit pe partea de api-uri.

Postul asta are legatura si cu ce spunea @serghei pe celalalt thread:

Aici e vorba de targetare si testare sistematica pentru vulnerabilitati, nu cred ca intra la categoria asta.

In schimb la problema #3 nu prea mai ai ce face ca e vorba de servicii ce nu sunt sub influenta ta, aici ce optiuni sunt?
Sunt interesat de cat de comuna e o astfel de situatie respectiv cum ati incercat sa o rezolvati.

A incercat cineva sa depuna o plangere concreta?

http://www.efrauda.ro/

Daca e atat de grav cum spui, mi-e greu sa cred ca gasesti raspunsuri pe un forum.

Situațiile de genul celei de la punctul 1 sunt oarecum comune în orice sector unde IT-ul are prezență, de la mass-media la economie și de la organizații de cercetare sociologică la bloguri, dacă frunzărești rapoartele trimestriale pentru atacurile DDoS vei constata că așa și este. Și dacă până acum 3-4-5 ani (estimativ) atacurile DDoS (din care cele mai multe sunt flood-uri, indiferent de vectorul de atac) nu erau așa de comune, în era IoT un DDoS e relativ la îndemâna oricărui script-kiddie. Mulțumim Anna-Senpai pentru Mirai, lol.

Problema e că, în unele cazuri (care depind de organizația atacată), atacurile DDoS susținute sunt doar o tactică de diversiune pentru a pune echipa tehnică la treabă și a-i face să treacă pe lângă alte atacuri care lovesc organizația.

În ceea ce privește căutarea/exploatarea de vulnerabilități din API-uri, asta de multe ori semnifică faptul că atacatorul privește organizația ca pe o țintă de interes. Ceea ce ar cam trebui să pună pe gânduri echipa CERT din organizație (dacă are așa ceva în organigramă, lol) și să-i pună la treabă. Faceți fix ce face atacatorul: research și identificare de vulnerabilități, după care le eliminați.

Despre phishing cred că nu e nimic de spus, orice organizație/companie/whatevertheholyfuck peste un anume nivel se lovește de așa ceva. Bănci, procesatori de plăți, magazine și intermediari de tranzacții financiare, toți au fost, sunt sau vor fi vizați de phishing. Deh, social engineering-ul exploatează cea mai slabă verigă din lanț: omul.

All in all, problemele expuse de tine sunt frecvente pentru organizațiile de o anumită mărime, indiferent că vorbim de mediul privat sau de cel public.

Poliția nu are în organigramă structuri care să te ajute în situații de genul ăsta, au structuri care se ocupă cu InfoSec exclusiv în mediul propriu, nu și în cel privat. Poliția de ajută atunci când depui o plângere împotriva atacatorului, dar pentru asta ai nevoie de 1) dovezi concrete (că tot zicea cineva mai sus de IP-uri din RP Chineză, lol) 2) de preferat, să-l prinzi în flagrant și să înregistrezi acțiunile. Ceea ce e printre cele mai dificile lucruri din domeniu, apropo.

Poți apela pentru sugestii si sfaturi la cei de la CERT, dar situația e în mare parte ca și în cazul Poliției: CERT se ocupă exclusiv de incidente/atacuri asupra infrastructurii IT publice. Pentru mediul privat am impresia (nu știu sigur dar dacă îi poți întreba direct pe ei) că oferă consultanță contra-cost.

Ca opțiuni de mitigare a flood-urilor recomand cloud-hosting, un IDS/IPS și eventual good ol’ techniques like firewalls (bine configurate, evident, și de preferat WAF-uri de la companii care prezintă siguranță), load-balancing și proxy.

Pentru partea cu vulnerabilitățile zic așa: audit, audit, audit. Teste de cod/exploatare înainte de implementarea de API-uri noi respectiv pentru cele deja existente (și white-box și black-box) și review periodic de securitate.

Cât despre phishing, singurul lucru de făcut pentru mitigare e instruirea utilizatorilor să nu se lase păcăliți, da’ ăsta e cam ce mai dificil de realizat în tot ce-nseamnă securitate cibernetică.

/walloftext

3 Likes

Nu sunt implicat in rezolvarea problemei respective asa ca nu am alte informatii dar din cate stiu au fost luate ceva masuri.

Legat de efrauda.ro din ce vad nu e functional (primesc eroare de DNS, nu reuseste sa rezolve domeniul).

This site can’t be reached

efrauda.ro’s server DNS address could not be found.
Search Google for efrauda ro
ERR_NAME_NOT_RESOLVED
1 Like

Mi-a dat si mie, fa refresh

Haha, depunere plangere, politie. Voi sunteti normali la cap ? Nu e vorba de un atac de pe pcul unuia legat la rds. E vorba de sute de mii de botneti care consumă banda si requesturile cu conexiuni de 0.5kb/s dacă e un ddos mai serios. Pentru botneti in special exista solutia de javascript cookie challenge, practic servesti doar un js prima data care generează o cheie criptată și serverul verifică dacă cookie-ul e pus și corect înainte să te lase la conținut dinamic/care consumă bandă.

La 1 dacă ai un buget există mai multe soluții, dacă nu, vezi cloudflare. Se mai poate rezolva cu servere multiple virtuale, round robin și limite în nginx, haproxy. În firewall blochezi UDP (să nu ai dns pe server), activezi agresiv syn-cookies în kernel. (Nu în firewall) și blochezi ipurile din țările care nu te interesează.
O tehnică și mai avansată e să te iei după sesiunile utilizatorilor, cine e logat intră direct, cine nu, trece prin challenge-uri sau chiar captcha mai nou fiindcă botnetii deja rulează nodejs si scrapere.
Strategia de mitigare ține de buget. Un firewall hardware cu fpga în el pentru rutare și clasificare pentru o singură conexiune costă de la 3000 de euro în sus.

La 2 e de vină programatorul și îl poți lua la răspundere, orice api care e vulnerabil va fi exploatat, există framework-uri în care se pot scrie api-uri foarte sigure. Whitelist, load balancing, caching și rate limiting obligatoriu. Audit de la cineva care cu asta se ocupă.

La 3 poți pune un EV SSL, two-factor authentication și să atenționezi utilizatorii cu un blog post. Nu poți răspunde de prostia utilizatorilor.

2 Likes

+ chiar o campanie de informare via emails and stuff (clients love useful information that can be applied everywhere)

Pentru basic flooding poti sa pui o restrictie in .htaccess daca folosesti Apache sau in nginx.conf pentru Nginx ca sa blochezi POST-urile fara valid referrer si elimini cam 90% din queryurile automate. Ba mai multi poti restrictiona tot din webserver anumiti user-agents si ai cam rezolvat problema.
Pentru vulnerabilitatile de API problema e la development. Securizeaza API si foloseste un WAF (web application firewall).
In ceea ce priveste phishingul, ar trebui intai sa te intrebi de unde mai exact au lista de clienti incat au putut sa le trimita notificarile. Daca au gasit clientii inseamna ca ai un leak mult mai mare si trimisul de emailuri de phishing la sigur e direct spear phishing.
Politia n-o sa te poata ajuta cu mare lucru, mai ales daca atacurile vin din afara si e nevoie de foarte multe loguri de pe server, din centrul de date, de la ISP etc. pentru a justifica o ancheta concreta, altfel ramane doar o plangere si atat.

2 Likes