( _Franko_ | 2020. 12. 07., h – 15:29 )

"Ha erős jelszavad van, amit nem használsz máshol és/vagy kulccsal engedsz csak belépést akkor védve vagy."

Ha erős jelszavad van, akkor üzemszerű körülmények között (nem üzemszerűt lásd lejjebb) még közepesen gyenge jelszó esetén is minimum évekig tartó brutal force alatt vagy törhető, ha nincs jelszavad, hanem csak kulcsod van, akkor pláne. És persze ehhez ki kell találni a felhasználónevet is, ami létezik az adott rendszeren és ez azért nem triviális, ha nem "admin" vagy "user" az a felhasználónév. Ezekre tudsz tenni metrikát, igen alacsony riasztási küszöbbel, hogy elkezdték próbálgatni valamelyik felhasználót, tehát információ szivárgás van vagy volt, aminek ki kell deríteni a forrását.

Kurvára értelmetlen azon pörögni, hogy olyan felhasználókkal próbálnak belépni, amelyek nálad nem léteznek és olyan metódussal próbálnak, amivel amúgy sem engeded be.

"Plusz üzemeltetési kockázat, minden egyes felesleges rule..."

Egyszer zárod ki magad tűzfalszabállyal, amikor fontos lenne belépned, akkor rájössz, hogy miért üzemeltetési kockázat. Beállítod, hogy csak magyarországi IP engedjen be, aztán kapsz egy olyan IP-t a UPC hálózaton, ami osztrák (megtörtént eset), aztán próbálsz onnan olyan helyre tovább menni, ahonnan be tudsz lépni. Másrészt, ha statikus az IP adatbázisod van, akkor elmászik alatta a világ, egyre többször szaladhatsz bele problémákba; ha dinamikus, akkor vagy kézimunka, ami üzemeltetési kockázat vagy automatizálod, akkor meg máshonnan húzol be üzemeltetési kockázatot. Ha meg elbaszod az automatikát, mert nincs rá out-of-the-box megoldás (nem véletlenül), akkor bizony könnyedén kicsukod magad.

"A támadással arányos védekezés"

Az ellen védekezz, ami veszélyes, annyira, amennyire veszélyes és kockázatos.

A témaindító "támadás" annyi, mintha papírgalacsinnal dobálnák a várfaladat, azt röhögjed ki, ne számolgasd nyüszítve, hogy mennyi papírgalacsin per óra épp a "támadás" mennyisége, teljesen ártalmatlan az egész.

Ha feszegetik valamelyik kaput vagy próbálgatnak jelszavakat, mert tudják a felhasználónevet, akkor erre legyen alacsony küszöbű riasztás és nézd meg, hogy vajon honnan szivároghatott ki egy felhasználónév. Nekem eddig még nem tudták kitalálni, hogy mi a felhasználónév, nemhogy jelszóval próbálkoztak volna, amivel amúgy nem jutnak be...

Ha jön biztonsági javítás, mert kiderül, hogy a szennyvízcsatornán keresztül fel lehet mászni a várba és belülről kinyitni a kaput, akkor legyen automatikus eljárásrended arra, hogy a lehető legkevesebb időn belül felmenjen a security fix, humán interakció nélkül.

Ha kiderül egy 0day sebezhetőség és nincs rá azonnal security fix (ez ritka), akkor is minimum tudjál róla, hogy van 0day sebezhetőség és legyen rá workaround terved, amivel védeni tudod magad. Nem általánosságban, hogy hátha nem jönnek be, ha felezem az IP címeket, hanem tényleges és működő workaround, amivel ténylegesen megvéded magad.

Ha van 0day sebezhetőség és nem derült még ki, akkor van esélye, de igen-igen kicsi, hogy rajtad kezdik kihasználni, mert egy nem javított és ismeretlen 0day sebezhetőségnek komoly ára van a feketepiacon, nem fogják jelentéktelen gépeken ellőni, ahol felmerül, hogy mi van, ha "korhazba kerulsz es fizikailag keptelen vagy updatelni", hanem olyan célpontokon fogják használni, ahol van bőven anyagi haszna is. Ez ellen nem véd az, ami megoldásokat itt látunk, mert humán intelligencia fog támadni, kombinált sebezhetőségekkel, social engineering és egyéb dolgokkal; amikor már botokkal nyomják tömegesen, akkor már napokkal, hetekkel, hónapokkal a security fix után vagyunk.

És persze nézni kell azt, hogy bejutottak-e, mert a sikeres támadást pont nem fogod észrevenni se a tűzfal, se a monitoring, se a többi dolog nem jelzi, főleg, ha ügyesen csinálják. Linkeltem az előbb, ez az SSH hekkelés tipikus survivorship bias, szanaszét lőhetik az SSH logot, nem lesz belőle egyáltalán bajod, viszont mivel sok találat van, egyszerűen pszichológiai okokból akarsz ezzel foglalkozni.

Ki az aki bant teged, hogy itt vezeted le a feszultseget? :)

Az itt olvasott hülyeségek bántanak, amelyek megoldásként születtek a feldobott problémára.