Threat Modeling Gamification @ OWASP Kyiv

В пентестах додатків є одна велика проблема: показати клієнту, що була зроблена вся можлива робота. Threat Modeling Gamification оптимально її розв’язує.

Викладаю відео та слайди мого виступу “Threat Modeling Gamification” (in English) на зустрічі OWASP Kyiv минулої суботи. У доповіді йдеться про те, як команда BSG здійснює моделювання загроз в проєктах з тестування безпеки програмного забезпечення. В пентестах програмних додатків є одна велика проблема: показати клієнту, що була зроблена вся можлива робота, а не лише те, про що OWASP не забув написати у відповідному стандарті. Наш підхід цю проблему розв’язує і досить оптимально.

Тест-драйв виявився успішним, з аудиторії поступили цікаві питання, і я вже доповнив слайди відповідями на них. Наступний раз цей матеріал презентуватиму на якійсь конференції, але ще не вирішив куди саме подам заявку.

Моделювання загроз це, напевно, єдина справді необхідна практика в процесі безпечної розробки програм. Без цього етапу немає звідки взятися вимогам безпеки, а тому й імплементувати їх ніхто не стане, й тестувати також. Але на жаль займаються моделюванням загроз одиничні, дуже зрілі команди розробки, і в цьому, я думаю, основна причина того, що навколо нас так багато дірявого програмного забезпечення.

Дякую команді OWASP Kyiv за організацію. Для мене це був перший мітап київського відділення, в підготовці якого я не брав жодної участі. Дуже приємно спостерігати, як створене тобою стає самостійним та успішним без твоєї допомоги.

Окрема подяка моїм колегам: Сергій Короленко, Толік Березюк та Аня Жмурко оновили колоду карт Elevation of Privilege та помістили в неї актуальні загрози програмних додатків. Причому зробили це в рекордні терміни, дуже дякую. Бо грати в оригінальні карти від Microsoft деколи буває смішно: вони досить архаїчні та часто вимагають неабиякої креативності у застосуванні загроз з дев’яностих до сучасних технологій.

OWASP Threat Dragon Logo
OWASP Threat Dragon

Під час виступу я анонсував воркшоп на аналогічну тему, і щойно на нього назбирається достатньо учасників, я із задоволенням його запланую та проведу. Ось посилання на реєстрацію: http://bit.ly/threatmodelingworkshop. Під час воркшопу я нагадаю учасникам, як користуватися OWASP Threat Dragon, а далі ми просто пограємо. Тому що саме ігровий підхід до моделювання загроз робить його менш нудним та довготривалим, ніж звичайні сесії Threat Modeling.

Поділитися:

Хто розробляє кіберзброю для російських спецслужб?

Atlantic Council у вишуканій манері деанонімізував російську компанію з кібербезпеки, яка розробляє кіберзброю для російських спецслужб. Чи вдасться вам здогадатися, про яку фірму йдеться?

Надзвичайно цікаве дослідження випустив 1 березня Atlantic Council. Вишуканий смаколик детективної журналістики. В дослідженні йдеться про одну з найдраматичніших підгалузей індустрії кібербезпеки. А саме пошук вразливостей в програмному забезпеченні та створення інструментів з експлуатації цих вразливостей. Але які ж то інструменти, якщо дія їхня суто деструктивна? Це, друзі, справжнісінька зброя, а в цьому випадку – кіберзброя.

В матеріалі йдеться зокрема про те, що розробкою цієї новітньої зброї в певних країнах займаються не державні спецслужби, а приватні компанії. Автори дослідили три такі фірми та діляться своїми спостереженнями щодо того, як у них все влаштовано. Як відбуваються технічні процеси, а як бізнесові. Як ці компанії співпрацюють зі спецслужбами та іншими замовниками в себе на батьківщині та закордоном. З якими експортними та іншими міжнародними угодами та регуляціями їм доводиться мати справу. Тощо.

Як приклади авторський колектив наводить три конкретні компанії: NSO Group з Ізраїлю, DarkMatter з ОАЕ та таємничу фірму з Росії, назву якої в тексті вони згадувати не стали. Точніше, ця назва закодована словом ENFER, яке підозріло співзвучне зі словом infer (англ. припускати, робити висновок). Як на мене, то це чудова пасхалка, з прямим натяком на те, що на основі наведених у звіті даних можна здогадатися, про яку саме компанію йдеться.

Й справді, фактів більше, ніж достатньо, починаючи від переліку послуг компанії та хронології початку співпраці із російськими державними замовниками, закінчуючи характерною манерою навмисного розкриття вразливостей компаній-конкурентів з країн-суперниць. А після переліку технологій, на яких ця компанія спеціалізується (#iot, #ss7), у досвідченого читача не залишається жодних сумнівів.

Якщо ви маєте стосунок до кібербезпеки та займаєтеся нею понад п’ять років, дочитавши до цього місця ви напевно вже здогадалися, про яку компанію йдеться. (І якщо в когось закралася думка, що це Лабораторія Касперського, дослідження її вишукано спростовує згадуванням про низку арештів в “іншій фірмі” у 2016 році.) Якщо ж ні – я наполегливо раджу вам прочитати оригінальний звіт. Можливо, я просто не достатньо точно його переказую.

Ви можете сказати, що я спекулюю та вигадую нісенітниці. Але насправді, якщо ви маєте певне уявлення про реальний стан справ щодо кібербезпеки в цьому регіоні, та ваш погляд не замулений “братерською любов’ю” до північного сусіда, вам буде неважко раціоналізувати цю теорію. В Росії не так вже й багато компаній, які надають послуги пентестів та апсеку на міжнародному рівні. Серед таких компаній лише декілька достатньо просунуті, щоб індустріалізувати пошук вразливостей та розробку експлойтів. А серед таких компаній лише одній вдалося отримати держзамовлення від МО РФ в перші два роки від заснування.

Поділитися:

РНБО повідомляє про атаку російських хакерів на систему документообігу держорганів

РНБО попереджає про фішингову атаку через систему документообігу Українських державних установ та звинувачує в цьому росіян.

Техніка атаки примітивна: класичні документи Microsoft Office із макросами. Проте, цілком дієва: фішинг завжди в моді, а користувачі радо погоджуються на пропозиції хакерів завантажити на комп’ютер шкідливі програми.

Цікавий скоріше вектор атаки: поширення файлів через Систему електронної взаємодії органів виконавчої влади (СЕВ ОВВ). Це такий собі файлообмінник з вебінтерфейсом та скриптами за кілька десятків мільйонів гривень, який українські державні установи використовують замість електронної пошти або сервера SharePoint. Система, на хвилиночку, має атестат відповідності КСЗІ від 2019 року.

З усього скидається те, що нападникам вдалося захопити контроль над щонайменше одним суб’єктом системи документообігу. Цікавий нюанс: у пресрелізі РНБО напад класифікують як атаку на ланцюг постачання (Supply Chain Attack). Чи випливає з цього, що було модифіковано програмне забезпечення системи СЕВ ОВВ? Чи йдеться про первинне проникнення в державну установу – суб’єкта документообігу? Про це РНБО змовчує, залишаючи простір для спекуляцій.

Проте, походження атаки сумнівів не викликає. Адже зафіксовані індикатори компрометації однозначно вказують на російську хакерську групу Gamaredon (aka Primitive Bear), яка вже кілька років кошмарить українську госуху. Та й на тлі політичного та військового загострення, викликаного введенням санкцій проти низки проросійських політиків в Україні, така гібридна відповідь виглядає цілком очікувано.

Не клікайте каку.

Поділитися:

Блокування LiveJournal та Github в Україні

Голосіївський районний суд заблокував 426 вебсайтів, серед яких блог-платформа LiveJounral та навіть піддомен Github.

Оновлення 2021-02-25 18:00. Схоже, новина викликала неабиякий резонанс. Ситуація перейшла на рівень МВС, де робляться спроби врегулювати цей маразм та ініціювати законодавчі зміни, які б його унеможливили.

Це було б дуже смішно, якби відбувалося не з нами. Голосіївський суд Києва заблокував кількасот вебсайтів і цього разу до списку потрапили LiveJournal та піддомен gist.github.com.

Тут для не-технарів невеличке пояснення. Що таке LiveJournal багато з вас, напевно, ще пам’ятає. Це одна з найперших успішних блог-плаформ, яка пережила пік популярності ще до початку епохи соцмереж і скотилася десь під кінець 2000-х років. Її викупили росіяни, бо більше нікому вона була непотрібна, і росіяни ж нею переважно й користуються.

Але щодо Github ситуація принципово інша. Це платформа для розміщення вихідного коду програмного забезпечення. Скажімо, у вас є команда програмістів, і ви хочете налагодити між ними ефективну роботу. Ви створюєте організацію в Github, додаєте до неї розробників, і вже за кілька хвилин можете розпочати процес створення нового програмного продукту. Ресурс неймовірно популярний і його нещодавно викупила корпорація Microsoft. Після чого на Github з’явилися нові фішки типу автоматичного безплатного аналізу вразливостей у використаних вами програмних бібліотеках та інші безпекові примочки. З усіх боків класний та позитивний сервіс. Звісно ж, що його блокування автоматично призводить до зупинки усіх пов’язаних проєктів з розробки програмного забезпечення.

Але є в ньому підрозділ gist.github.com, який дозволяє швидко розмістити текст в інтернеті. Він дуже активно використовується для публікації нотаток або навіть блогів. І скоріш за все, під роздачу Голосіївського суду домен потрапив якраз через розміщені кимось на ньому певних матеріалів. Але замість того, щоб звернутися до Github цивілізовано та висунути вимогу щодо видалення конкретного вмісту, українське правосуддя вирішило забанити увесь домен на рівні провайдерів та операторів зв’язку. Яке, до речі, ніц не працює, адже в Україні вже навіть в дитсадку всі знають, як користуватися методами обходу цих блокувань.

Таке автоматичне спрацювання судової системи, без жодного експертного аналізу списку ресурсів, вказує усім у світі на одне. Україна некомпетентна в технічних питаннях і не хоче змінюватися. І навіть якщо ми всією країною пересядемо на VPN 24 години на добу 7 днів на тиждень, є й інші наслідки. Така поведінка держави дає чіткий сигнал закордонному бізнесу: тут вас можуть нагнути через technicality по заяві приватної особи. Серйозно, я не перебільшую. Мене сьогодні з самого ранку колеги звідусіль питають: що, серйозно? Україна забанила Github? Та ти що, навіть Китай Github не банить!

Так що це не смішно і ні до чого доброго не призведе. Допоки в Україні в районному суді можна зупинити роботу команди розробників програмного забезпечення, успіхи українського ІТ-бізнесу відбуваються не завдяки державі, а всупереч їй.

Поділитися:

Гейміфікація моделювання загроз

Цієї суботи на OWASP Kyiv штовхатиму за моделювання загроз в Application Security та тестах на проникнення. Хто думає що пентести то форма мистецтва і що моделювання загроз то нудно, хай так і думає. Більш просунутих запрошую доєднатися та обговорити тему в усіх подробицях.

– Назва
Гейміфікація моделювання загроз for Fun and Profit

– Тези
У цій доповіді я розповім, як наша команда (BSG) моделює загрози під час проєктів тестування безпеки для досягнення повноти покриття обсягу робіт. Ми використовуємо гейміфікацію для вдосконалення цього процесу, і я припускаю, що це набагато менш нудно, ніж ви очікуєте від сеансу моделювання загроз. Я поділюсь інструментами, якими ми користуємось, та загальним підходом до гри.

– Опис
Мені смішно, коли я чую, як постачальники систем безпеки говорять про те, що “appsec треба зсувати ліворуч” у життєвому циклі розробки. Попри те, що моделювання загроз є найлівішим лівим з усіх лівих у цій галузі, вони насправді мають на увазі SAST, DAST, DeveSecOps або інше модне слівце.

У роботі пентестера, у більшості випадків можна застосувати “неявну модель загроз” або покластися на свою “експертну інтуїцію”. Однак одного разу ви зіткнетеся з тим, чого ніколи не зустрічали, і такий підхід підведе вас, вашу команду та вашого клієнта. Ви все одно проведете пентест, але не матимете впевненості, що зробили все, що могли. Звичайно, ви можете скористатися чеклістами та посібниками з тестування, але всі ми знаємо, що навіть OWASP WSTG охоплює лише обмежену частину обсягу робіт.

Ось для чого нам явне моделювання загроз. Зазвичай ми досягаємо успіху, думаючи як зловмисник, але тут нам слід подумати як розробник. За допомогою моделювання загроз та STRIDE, ми можемо провести мозковий штурм і записати всі речі, які можуть піти не так, а потім перейти до їх імітації. З теорії та практики – це набагато надійніший підхід до визначення обсягу робіт по пентесту. І навіть якщо вам не вдасться досягти абсолютної повноти тестування, ваш клієнт принаймні отримає гідну модель загрози.

Реєструйтесь за посиланням та побачимось у суботу.

Поділитися: