BUGET DE HACKING!

Posted: 01/07/2010 in Uncategorized
Tags: , ,

https://i2.wp.com/www.osn.ro/wp-content/uploads/d3208fn2x.jpgÎn plină criză economică poate părea deplasat să discutăm despre cheltuieli. Însă trebuie avut în vedere că pîna cînd o firmă are o infrastructură IT, expunere la Internet și date confindențiale, bugetul pentru a-și proteja și îmbunătăți infrastructura ar trebui să rămînă cel puțin neatins. Vom face un mic exercițiu de imaginație și vom prezenta două scenarii. Ce ar putea face o echipă de hackeri “black hat” (băieții răi) cu suma de un milion de dolari, respectiv ce ar putea face o echipă “white hat” (băieții buni) cu aceeași bani. Suma pare la prima vedere exagerat de mare, dar imediat veți vedea că nu este deloc așa.

1. Buget Black Hat

Ideile următoare sînt aproximative și nu reprezintă sub nicio formă un plan de afaceri. Nu recomand nimănui să încerce să-și clădească o afacere pe ideile de mai jos, deși sînt convins că există grupuri care au pus în aplicare așa ceva.
Să începem prin a defini misiunea grupului, o vom numi Project Intrusion (PI). Scopul acestui grup este
de a fura informații confidențiale (proprietate intelectuală) și a-l vinde celui care oferă prețul cel mai ridicat. În timpul acestui proces, grupul poate dezvolta programe și tehnici proprii pe care să le vîndă în momentul în care nu-i mai sînt de folos, dar alte grupuri mai puțin sofisticate și cu mai puține resurse le-ar mai putea folosi împotriva unor subiecți mai mărunți.
Avem așadar 1 milion de dolari și începem să-i cheltuim.
I.  Echipa. Fără oameni nu există activitate. Vom aloca 750,000 USD pentru a angaja oameni, astfel.
Team leaderul trebuie să aibă o vastă experiență ca și cercetător de vulnerabilități, dezvoltator de exploituri, tester în procesul de penetrare, bun cunoscător al mediilor enterprise și preferabil cu experiență de lucru la nivel guvernamental. El poate excela într-o specialitate (să zicem aplicații web sau servicii Windows), dar trebuie să fie bine pregătit și în celelate domenii. El este cel care în primul rînd crează o viziune pe care o transmite grupului și generează valoare pentru clienți. 120,000 USD.
– Echipa are nevoie de cel puțin un dezvoltator versat de programe de atac pentru fiecare arhitectură pe care echipa dorește să o penetreze. Astfel, angajăm trei oameni, un specialist în aplicații web, unul în sistemul de operare Windows și unul în retelistică și Unix. 330,000 de USD.
– Avem nevoie și de doi operatori ai programelor de penetrare dezvoltate de echipa de programare. Rolul acestora este de a pătrunde în infrastructura victimei și a sustrage toate datele care se doresc a fi valorificate. 180,000 USD.
– Nu în ultimul rînd avem nevoie de o persoană cu excelente abilități de social engineering. Rolul acestuia este de a descoperi locurile unde există proprietate intelectuală valoroasă și reprezintă interfața cu posibilii cumpărători. 120,000 USD.
II. Tehnologie. Echipa va avea nevoie de următoarele, la un cost total de 200,000 USD.
Computere de test, unde se vor testa programele de penetrare dezvoltate, se vor testa scenarii de atac, etc.
Computere operaționale, de pe acestea se vor executa atacurile propriu-zise.
Rețea, conectivitate la internet pentru computere, dispersate în mai multe locații pe glob.
Software-ul necesar pentru atacuri, deoarece multe din programele profesionale de atac sînt comerciale. Licențe MSDN, pe care nu e nevoie sa le furam, se încadrează în buget.
III. Diverse. Ultimii 50,000 USD îi vom folosi pentru aplanarea diferitelor incidente, mită, premii, deplasări sau orice altceva necesar pentru o afacere aflată la început.
Dacă programatorii reușesc să cîștige în plus suficient de mult prin vînzarea de exploituri originale, fondurile respective se redirectează pentru angajarea mai multor operatori de penetrare. Cu șase persoane se poate susține o operație 24×7, în timp ce cu doi este nevoie de atenție sporită și activitate doar în anumite intervale orare.
Cu 1 milion de USD pe an oricine poate angaja serviciile unei echipe profesioniste de specialiști, care au puterea și cunoștințele tehnice de a pentra și persista în atacuri asupra oricărei entități. Echipa dispune de cunoștințele necesare pentru a dezvolta metode și programe de atac specifice și personalizate, să le execute și să valorifice rezultatele vînzînd către cel care oferă cel mai mult pentru informația obținută.
Este o viziune înspăimîntătoare? Gîndiți-vă ce puteți face cu 1 milion de dolari în firma la care lucrați. Dacă este o firmă mică, 1 milion de dolari ajung pentru multe. Dar chiar și la o firmă medie, dacă adunăm toți factorii – plata pentru infrastructura de apărare, hardware, software, salariile specialiștilor, multitudinea de responsabilități etc – realizăm că de fapt o echipă de hackeri și 1 milion de dolari nici nu sună așa rău. Ba mai mult, această echipă are posibilitatea de a efectua atacuri simultane împotriva mai multor victime, pentru aceeași bani. De ce? Toată lumea rulează Windows. Toată lumea folosește același client software. Toate firmele au tendința de a avea aceleași erori de configurație, aceleași patchuri lipsă, același model de echipă IT, același tipar de probleme. În cele mai multe cazuri, tiparul de atac asupra victimei A va funcționa și împotriva victimei B.
Totul se reduce la nivel de costuri, de ambele părți. Din păcate, doar atacatorul poate face profit din activitatea sa.
2. Buget White Hat

A cheltui 1 milion de dolari pentru apărare este mult mai greu decît a-i cheltui pe atac. Spuneam mai sus că 1 milion de USD pe an e de ajuns pentru ca oricine să poată angaja serviciile unei echipe profesioniste de specialiști, care au puterea și cunoștințele tehnice de a pentra și persista în atacuri asupra oricărei entități. Reciproca nu e valabila, adică, cu 1 milion USD pe an nu se poate bugeta o echipă de hackeri white hat care să planifice, reziste, detecteze și răspundă atacurilor echipei de black hat care dispune tot de 1 milion de dolari!
Acestea fiind zise, să împărțim fondurile.
I. Echipa. Ca și în scenariul anterior, cea mai importantă componentă. Alocăm 850,000 USD pentru angajarea de personal.
Team leaderul trebuie să fie un expert în securitate cu o vastă experiență în mediile enterprise. Acesta poate excela într-un domeniu, dar trebuie să stăpînească la nivel avansat toate celelalte. Acesta trebuie să fie capabil în a dezvolta o viziune de apărare care să fie potrivit businessului în care activează și să adauge valoare acesteia. Deoarece avem o echipă mică, team leaderul va răspunde de multe aspecte de management, mult mai multe decît echivalentul lui din echipa black hat. 120,000 USD.
Personal răspunzător în a detecta și contracara atacurile. Avem nevoie de minim trei oameni, un specialist Windows, un specialist Unix și un specialist în rețelistică. 330,000 USD.
Operatorul de securitate este cel care va trebui să minimizeze numărul și posibilitățile de penetrare prin dezvoltarea și implementarea de măsuri de contraatac. Acestuia i se pot atribui și alte roluri – consultanță de exemplu – după caz. 80,000 USD.
Analistul de riscuri este cel care face audit în mod constant la infrastuctura care se apără. Acesta trebuie să stăpînească cel puțin un limbaj de programare pentru a putea face reverse engineering la software-ul de atac capturat (cum este un virus) în timp ce se implică activ în dezvoltarea de planuri de apărare și contraatac. 120,000 USD.
II. Tehnologia. În acest moment avem 150,000 USD, din care putem cheltui 100,000 USD pe tehnologie. Trebuie să fie clar, că cu acești bani se pot achiziționa prea puține tooluri comerciale, software sau hardware. De fapt, echipa noastră va trebui să se confrunte cu cîteva situații și alegeri dificile.
Posibilitățile existente în software. Această echipă va trebui să se bazeze pe multe produse dezvoltate de terțe părți și pe bună dreptate. Oare chiar e nevoie să se dezvolte/achiziționeze un soft de firewall pentru Windows, cînd se pot folosi politici la nivel de server, iar calculatoarele deja beneficiază de firewall care vine odată cu Windows? Cu un buget atît de mic, acestea sînt compromisuri neplăcute, dar necesare.
Software open source. Echipa va trebui să implementeze numeroase soluții de securitate Open Source. Snort poate fi senzorul de monitorizare a rețelei de exemplu. Investind bani într-o echipă versatilă în folosirea și aplicarea produselor Open Source se cîștigă mai mult, decît dacă s-ar cheltui masiv pe software comercial.
Hardware. Acel senzor de monitorizare, firewall-ul și celelate produse de apărare trebuie să ruleze pe ceva. O bună parte din suma rămasă va fi folosită pentru achiziționarea de echipament.
III. Diverse. Ultimii 50,000 USD îi vom folosi pentru aplanarea diferitelor incidente, premii, deplasări sau orice altceva necesar pentru o afacere aflată la început.
Puteți vedea că outsourcingul nu este o soluție. Outsourcingul în situația noastră reprezintă prea multe cheltuieli raportat la valoarea care s-ar obține.
Cu o echipă atît de mică este imposibilă o monitorizare 24×7; probabil 8×5 este cel mai realist scenariu. De asemenea abilitatea echipei de a răspunde atacurilor la timp și a susține un astfel de efort pe o perioadă lungă va scădea odată cu creșterea companiei pentru care prestează. Este un efort mult mai mare să susții o echipă de apărători cu aceeași bani cu care ai susține o echipă de atac.

Advertisements
Comments
  1. rodica says:

    111 017 770

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s