X-Force изнутри

Журналистка Деб Рэдклиф побывала на передовой всемирного сражения с киберпреступниками вместе с командой защиты от угроз компании ISS.

Автор: Деб Рэдклиф, опубликовано в журнале NetworkWorld 2 февраля 2007 г.

Перевод с английского: Денис Батранков, 4 февраля 2007 г.

АТЛАНТА -- Когда сенсоры, входящие в глобальный центр управления уязвимостями (GTOC) компании Internet Security Systems, обнаружили новую уязвимость XML HTTP в начале ноября прошлого года, то атаки, использующие эту уязвимость, уже осуществлялись в различных частях Интернета.

Это был тот самый момент, когда вся команда X-Force, состоящая из 200 человек занимающихся разработкой и исследованиями, узнала что в их руках "нулевой уровень". Ноль как точка отсчета, так же как нулевой день, означает, что больше нет промежутка между публичным раскрытием уязвимости исследователями-безопасниками и запуском хакерами эксплойтов эксплуатирующих эту уязвимость.

В последние годы профессионалы из ISS и других компаний занимающихся безопасностью раскрыли потенциальные уязвимости и передали эту информацию соотвествующим производителям, которые затем имели несколько недель, чтобы выпустить исправления до того, как хакеры могли бы использовать эту информацию как реальную угрозу. Но сейчас этот интервал быстро уменьшается.

В 2005 году 10% атак происходило в течение 48 часов после того как уязвимость была обнаружена. В 2006 году было в приблизительно 2-3 zero-day атаки в месяц, говорит Ламар Бейли, один из руководителей X-Force. Более того, исследователи X-Force говорят, что информация о новых уязвимостях продается на черном рынке и используется киберпреступниками, чтобы зашибить монету.

Zero-day атаки это лишь одна из тех многих угроз, которыми занимаются исследователи различных лабораторий, таких как X-Force, говорит Гюнтер Олмэн, директор X-Force. Например, используя техники полиморфизма, атаки сечас могут изменяться по команде, обманывая детекторы сигнатур. Также на подъеме фаззинг, который тестирует поля ввода данных на уязвимости, генерируя и заполняя их различными видами специальных данных, пока не добьется неправильной работы программы, что говорит о наличии уязвимости.

Этих новых угроз достаточно для того, чтобы держать членов команды X-Force на работе ночами - без преувеличения.

"На часах всегда 2 часа ночи, когда плохие парни приходят и стучатся в вашу дверь," говорит Крис Шуелер, чей послужной список борьбы с угрозами безопасности начался в вооруженных силах и сейчас он руководит глобальным центром безопасности компании ISS (SOC). "Число звонков, которые становятся более приоритетными и которые более важные, увеличивается с такой скоростью, что я волнуюсь, что мы станем обслуживать такие типы звонков все время."

Шуелер был одним из первых, кто начал действовать, когда HTML эксплойт был перехвачен сенсорами X-Force. На этих сенсорах запущена комбинация анализаторов протоколов, движков статистики и защиты от вирусов, и информация с этих сенсоров поступает в GTOC - глобальный центр управления уязвимостями команды X-Force.

Совещание в ситуационном центре

Уже все поужинали, когда пейджеры начали собирать ключевых директоров и менеджеров X-Force, отрывая от своих телевизоров, свиданий, друзей и домашних животных на совещание в тесном конференц-зале едва приспособленном, чтобы вместить 6 человек. Это был "ситуационный уентр" в конце коридора после выхода из лифта на 4 этаже, пройдя мимо черной эмблемы X-Force на стене. Именно здесь Олмэн, занимавшийся раньше дружескими взломами в Великобритании и Новой Зеландии и имеющий несколько научных званий, собрал совещание, чтобы спланировать стратегию.

Когда выявляется уровень ноль у каждого есть работа. Проверяется и обновляется база данных X-Force состоящая из 30000 уже изученных уязвимостей. Команда исследователей и разработчиков дизассемблирует примеры вредоносного кода и создает сигнатуры для движков Proventia, которые занимаются распознаванием и блокированием атак. Тестеры напускают свежий эксплойт на потенциальные цели в своей лаборатории, которая забита уязвимыми машинами. И GTOC и SOC получают обновления сигнатур, в ответ возвращают информацию об отраженных и пропущенных атаках, команда исследователей опять пользуется этими результатами и так по кругу.

Здесь, в эту холодную ноябрьскую ночь, девушка делала домашнее задание на пятом этаже офиса, ожидая своего парня, который был вызван вместе с другими исследователями в так называемую комнату предварительного изучения или кабину. Это небольшое помещение на 6 этаже, где исследователи используют системы на базе Linux и Unix чтобы провести тесты с бинарным файлом эксплойта, изучают его поведение и действия. Им нужна эта информация, чтобы обновить базу и сделать сигнатуры для этого типа атаки.

Команда исследователей и разработчиков, которая насчитывает около 60 человек, большинство из которых молодые парни, помешанные на компьютерах, держит баночное пиво и воду в бутылках в маленьком холодильнике у входа в комнату на случай такой ночи как эта. Нас знают в ближайших ресторанах, говорит Бейли. "Когда мы приходим в них на ужин, то они спрашивают нас: "Как долго сегодня? Насколько это серьезно?"

Несмотря на ужасно жесткий график, Бейли говорит, что он любит свою работу, потому что она никогда не бывает скучной. "Ты никогда не знаешь, что ты будешь делать, когда придешь на работу", добавил он.

Нил Мехта, руководитель команды углубленных исследований и разработки X-Force, говорит, что то, что сохраняет его интерес к исследованию уязвимостей это то, то он становится первым, кто узнает о уязвимостях.

"Мы немедленно начинаем раскрывать уязвимости в программах, железках, встроенных устройствах до того как плохие парни воспользуются ими", говорит Мехта. Он изучал биохимию и цифровое авторское право до того как пришел сюда на работу прямо из колледжа 5 лет назад, после того как он был был рекомендован на эту работу своим другом, который сейчас является исследователем X-Force в Австралии.

Сейчас хакеры уходят от распространения червей и занимаются эксплуатацией ошибках в браузерах, чтобы установить бот сеть и делать деньги, говорит Мехта. "Мы до сих пор находим уязвимости которыми могут воспользоваться серевые черви, но мы не видим распространения червей, потому что в основном активность хакеров сконцентрирована на другом."

Шантаж также является популярной целью создания бот сетей, сегодня, говорит Мехта. У него есть клиенты, большие финансовые организации, которые заплатили деньги сетевым вымогателям за то, что они не выполнили свою угрозу начать DOS атаки, говорит он.

Что же относительно будущих угроз, то, по словам Мехты, он видит большую активность в области атак мобильных устройств, в частности на платформе Symbian. В 2007 году он ожидает увидеть финансово мотивированные атаки этих платформ и проксимити-сервисов, таких как Bluetooth.

Техническая база

Лаборатория уязвимостей отделена от всей остальной сети, также как SOC имеет полностью отдельную сеть, которая закрыта и находится за дверью с биометрической проверкой доступа в цоколе здания. В дополнение к машинам на базе Linux и Unix, которые используются для тестов в кабине и в индивидуальных офисах исследователей, у команды есть в распоряжении 1000 реальных и 600 виртуальных машин всех производителей и моделей - даже принтеры и камеры с IP протоколом - работающие полностью со своими родными уязвимостями.

Именно на этих машинах исследователи изучают как поведут себя атаки и проверяют новые способы взлома этих систем. В любой день код эксплойта полученный из доски объявлений может быть просмотрен на экране тестовой системы на базе линукс в стенах тестовой кабины.

Изучая исходные коды и их поведение на уязвимых устройствах в лаборатории, исследователи уязвимостей X-Force находили примерно 200 новых уязвимостей в месяц в прошлом году, что в итоге вылилось в 2400 уязвимостей из общих 7000, входящих в базу X-Force в 2006 году.

Уязвимости которые обнаруживаются самими исследователями могут быть рассмотрены как конфликт интересов для компаний учавствующих в бизнесе управления уязвимостями, говорит Пит Линдсторм, главный аналитик по безопасности Burton Froup. Олмэн утверждает, что все наоборот.

"Мы тщательно тестируем сотни протоколов при помощи нашей технологии анализа, чтобы найти полные классы уязвимостей, от которых мы можем защититься", говорит Олмэн. "Естественно некоторые исследования могут привести к новым эксплойтам".

Как пример того как работает вышеупомянутая защита от целого класса эксплойтов у клиентов компании ISS, Олмэн привел zero-day атаку в ноябре прошлого года. Все 12000 клиентов ISS были защищены заранее от этого класса уязвимостей обработки HTTP запросов. Олмэн сослался на этот тип эксплойта как "heap spraying", означающий, что какое-то ActiveX или JavaScript приложение пытается заполнить память браузера, пока не запишет shell код в нужную часть памяти и не возьмет управление компьютером (От переводчика: подробнее про это читаем в PDF 237Кб).

Хотя проактивная защита уже два года как есть в продуктах ISS для рабочих станций, разработчики X-Force до сих пор создают сигнатуры для конкретных эксплойтов на всякий случай, например, скажем, если кто-то не обновил или неправильно настроил или удалил сигнатуры из сканирующих движков. Но в конце концов, говорит Олмэн, вся индустрия должна уйти от сигнатурного анализа эксплойтов к более проактивным методам.

"Возьмем Zotob. До его появления (в 2005 году), Snort, как лучший движок все это время, имел 318 сигнатур для различных вариантов атаки на Universal Plug and Play, которые исследователи Snort могли вообразить", говорит Олмэн. "Затем появился Zotob (в результате эксплуатации программной ошибки Windows в сервисе Plug and Play) и обошел их все."

Внешняя информация

Уязвимости обнаруживаются в лаборатории и через сенсоры стоящие по всему миру, в результате чего на счету ISS около половины новых уязвимостей попадающих в базу данных X-Force каждый год. Остальные берутся из списков рассылки, сайтов эксплойтов, таких как Metaspoit и PacketStorm; государственных агенств, включая CERT и французскую команду реагирования на инциденты; хакерские IRC; у производителей софта и иногда базы данных CVE поддерживаемой некоммерческой Mitre Group.

Три аналитика X-Force мониторят в общей сложности 44 источника информации в Интернете, выискивая информацию о новых уязвимостях. Они используют специальную программу, чтобы собирать информацию из этих мест, сортируют в базе и присваивают категории. Как только данные получены, они заполняют 40 полей, таких как детальное описание, возможная опасность (могут дать доступ или простое сканирование портов), уязвимые операционные системы и методы защиты.

"С такой четкой системой управления информацией об узявимостях вы берете эту гору уязвимостей и пытаетесь сделать это доступным каждый день всем потребителям информационных технологий и безопасности", говорит Стивен Кристи, редактор CVE.

CVE сосредоточилось в середине всех коммерческих производителей соперничающих в желании найти самую последнюю уязвимость, давая этим уязвимостям общие идентификаторы, вместо того, чтобы полагаться на одного из них, кто будет делать это постоянно.

Начав работу в 1999 году, CVE пыталось делать то, что сейчас делает ISS, делая просмотр и проверку информации об уязвимости при помощи группы редакторов, перед тем как присвоить номер CVE. Быстро выяснилось, что это огромная работа и CVE оставила эту идею, занявшишь только присвоением идентификаторов новым уязвимостям, так что исследователи смогли получить общую точку входа ссылающуюся на различные источники информации о новых уязвимостях.

"Получаемый объем информации и немыслимое число уязвимостей - 100-150 каждую неделю - и их проверка, как оказалось, тратит чрезвычайное количество ресурсов", говорит Кристи. "Иногда нам возможно придется возвращаться назад и изменять запись, но это намного легче, чем пытаться cделать то, чем занимаются производители, такие как ISS".

Огромные ресурсы и огромный охват детекторов ISS - то что делает возможным группе X-Force быть на одном уровне или даже на шаг впереди сетевых преступников, говорит Кристи.

Майкл Россмэн, директор глобальной ИТ службы и информационной безопасности компании производителя специй McCormick, соглашается.

"Когда мы обновляли наш контракт на управление нашими сервисами безопасности в 2003 году и затем снова в 2006 году, то X-Force был ключевым фактором в выборе", говорит Россмэн. "Усилиями X-Force обеспечивается аналитическая информация, которая содержит в себе все события в Интернете и делает их ничего не значащими для клиентов пользующихся их защитой."

ISS управляет 10 межсетевыми экранами компании McCormick, что охватывает 100 стран. Они также управляют семью системами предотвращения атак Proventia в ключевых точках международного обмена входящего и исходящего трафика (Китай, Австралия, Сингапур, Великобритания, Франция, Канада и США). Также как и другие корпорации McCormick использует несколько устройств безопасности не производящихся компанией ISS, но большинство из которых управляются через центр управления SOC компании ISS.

Безопасность начинается с дома

Сети X-Force подвергаются точно таким же атакам как и те, от которых они пытаются защитить своих клиентов и даже более, благодаря своему имени.

"У нас есть обычные области рисков как в любой другой глобальной компании: сетевая безопасность, соответствие законодательству, частные секреты", говорит Хелен берг, CIO компании ISS. "И мы живем отслеживая около 500000 существенных попыток проникновения на наши порталы в неделю, что говорит о том, что мы находимся на экране чьих то радаров".

Сети X-Force защищены при помощи их собственного центра управления безопасностью SOC, который управляет безопасностью еще 2000 корпораций и организаций среднего размера. Команда Берг управляет своей собственной безопасностью через портал MSS при помощи устройств Proventia работающих в точках входа глобального трафика.

Вдобавок к своим собственным продуктам и сервисам, ISS, как и другие компании, использует различные устройства безопасности и бренды внутри организации. Информация взятая из этих устройств сенсорами ISS и полученная из портала пользователей попадает в руки Берг в виде удобного интерфейса, где информация отсортирована в виде графиков и диаграмм по важности событий, и при помощи которого она знает о половине миллиона атак в неделю.

Политика Хелен по событиям в зависимости от важности состоит в их автоматическом удалении или наоборот защите от них, что прекрасно выполняет SOC. "Мы всегда осторожны, политика "отвергать все" основной наш критерий", сказала она.

Как результат использования своих собственных продуктов и сервисов для защиты сети, ISS выполняет другую функцию: работая по сути в живой тестовой среде мы видим как продукты ISS работают в реальной компании, добавляет Берг.

Это приносит в X-Force полный цикл, давая доступ к информации на многих уровнях, необходимых, чтобы продолжать бороться с киберпреступниками.

Деб Редклиф - журналистка из Калифорнии. У неё есть e-mail deb@radcliff.com.

2 февраля 2007 г.