Hur hackerintrång går till
Vi har tidigare bloggat om Verizons rapporter som redogör för hur dataförluster (huvudsakligen kortnummer) har gått till. Nu är Verizon ute med ett tillägg till den senaste rapporten, den har det (amerikanska namnet) 2009 Data Breach Investigations Supplemental Report, Anatomy of a Data Breach (pdf).
Den kompletterande rapporten syftar bl a till att förklara attackerna noggrannare, ge exempel på hur man bör skydda sig och "war stories". De slutsatser CJ drar i posten om föregående rapporten är fortfarande aktuella så jag tänkte istället rekommendera de "war stories" som finns för varje attacktyp. Som vi har hävdat tidigare är det generellt ganska skralt med exempel på hur attacker har gått till och varje tillfälle att läsa sådana bör tas.
Min favorit-war story under kategorin "don't complicate things":
A large e-commerce retailer contracted Verizon to conduct an investigation into recent fraud reports
and determine if a data breach had occurred within their online portal. Investigators examined access
logs from the e-commerce application and found over 600,000 failed attempts to authenticate to the
online shopping cart. This all occurred within a two-day period in the previous month and originated
from a single IP address in southeast Asia.
Well, as the old saying goes, the 600,003rd time’s a charm. The attacker landed on the correct
combination and nabbed 50,000+ credit card numbers, usernames and passwords, and other personal
information. A review of the application’s settings showed they allowed for infinite authentication
attempts. Interestingly, the application was configured to log failed attempts, which clearly showed a
dictionary-style brute-force attack. Failed passwords appeared in an alphanumeric, sequential order.
Värt att notera är hur rapporten ger två sorters rekommendationer; indicators and mitigators. Orden är svåra att översätta till svenska på ett bra sätt men det handlar om att upptäcka och mildra intrång. Jag brukar dela upp säkerhetsarbete i tre aktiviteter;
Välkommen till en ny vecka!
--
Stefan Pettersson
Den kompletterande rapporten syftar bl a till att förklara attackerna noggrannare, ge exempel på hur man bör skydda sig och "war stories". De slutsatser CJ drar i posten om föregående rapporten är fortfarande aktuella så jag tänkte istället rekommendera de "war stories" som finns för varje attacktyp. Som vi har hävdat tidigare är det generellt ganska skralt med exempel på hur attacker har gått till och varje tillfälle att läsa sådana bör tas.
Min favorit-war story under kategorin "don't complicate things":
A large e-commerce retailer contracted Verizon to conduct an investigation into recent fraud reports
and determine if a data breach had occurred within their online portal. Investigators examined access
logs from the e-commerce application and found over 600,000 failed attempts to authenticate to the
online shopping cart. This all occurred within a two-day period in the previous month and originated
from a single IP address in southeast Asia.
Well, as the old saying goes, the 600,003rd time’s a charm. The attacker landed on the correct
combination and nabbed 50,000+ credit card numbers, usernames and passwords, and other personal
information. A review of the application’s settings showed they allowed for infinite authentication
attempts. Interestingly, the application was configured to log failed attempts, which clearly showed a
dictionary-style brute-force attack. Failed passwords appeared in an alphanumeric, sequential order.
Värt att notera är hur rapporten ger två sorters rekommendationer; indicators and mitigators. Orden är svåra att översätta till svenska på ett bra sätt men det handlar om att upptäcka och mildra intrång. Jag brukar dela upp säkerhetsarbete i tre aktiviteter;
- man kan försöka förebygga intrång,
- man kan försöka upptäcka intrång och
- man kan försöka göra något åt intrång som redan inträffat.
Välkommen till en ny vecka!
--
Stefan Pettersson
Kommentarer
Trackback