Securitate si naivitate

Friday, 10 December, Year 2 d.Tr. | Author: Mircea Popescu

Sa pornim la drum inarmati cu un exemplu. Daca dumneavoastra sunteti ceva spion/mafiot/individ psihotic care v-ati luat n-spe masuri de precautie pentru a nu fi cunoscut si a trai in anonimat, si locuiti intr-o casa pe o fundatura undeva, e perfect posibil pentru un vecin care face ditamai nunta sa va blocheze accesul cu masina.

El nu o face anume in contra dumneavoastra, nu stie cine sunteti si nu are un interes particular apropo de persoana dumneavoastra, dar fapt e ca vreo doua sute de prieteni i-au venit toti acasa cu masina si nu mai e loc sa arunci un ac. Asa ca v-a blocat.

Recentele atacuri care au scos din functiune serverele de procesat plati (deci nu site-urile de internet, ci serverele care proceseaza platile bancare, la bancomate, la comerciantii acceptanti, serverele cu care discuta POS-urile ori de cite ori incercati dumneavoastra sa platiti cu cardul, cele care spun "transaction accepted") ale Visa si MasterCard au functionat datorita unei greseli copilaresti in design-ul securitatii informatice pentru companiile respective. Sigur, nimeni afara de ele nu stia chestia asta, cel putin teoretic, fiind atit de stupida incit mai nimeni nu s-ar fi gindit sa incerce asa ceva pe post de atac. Sau cel putin eu nu m-as fi gindit si generalizez, dar in tot cazul, e la nivelul de a te astepta ca o trupa de hoti profesionisti de diamante sa-si fi lasat buletinul la intrare, chestii de-astea.

Practic vorbind, serverele care tineau site-urile respective, raspunzindu-le pe porturile 80 ca orice servere de web comunicau cu internetul pe aceeasi infrastructura informatica (routere si cablaje) ca si serverele care procesau plati (comunicind doar cu anumiti clienti selectati, si pe alte porturi dupa alte sisteme de codificare decit http). Rezultatul net al unei imense cantitati de informatie-nonsens livrate pe infrastructura respectiva a fost, ca si in exemplul cu nunta, incapacitatea informatiei legitime de-a ajunge la serverele procesatoare de plati. Spionul s-a trezit tintuit in loc si a ratat cine stie ce mare operatiune de-a lui pentru ca vecinul tinea nunta si i-a blocat masina.

E la mintea cocosului lucrator in domeniu, admitind ca exista pe undeva un cocos care lucreaza in securitate (si nu m-ar mira sa existe pe la rusi) ca cele doua servicii trebuie separate si fizic, pentru ca sunt separate conceptual. A consolida fizic entitati separate conceptual ale aceleiasi entitati conceptuale e echivalent cu a asuma un risc, si anume riscul de ricoseu. Actualizarea acestui risc ati avut ocazia s-o constatati zilele astea, cu servere de procesat plati inaccesibile o zi intreaga pentru ca niste pustani atacau niste servere de web.

Costul actualizarii acestui risc e doar in ce priveste spezele un 0.3% din veniturile pe anul curent ale celor doua companii, ceea ce poate usor sa insemne o zecime din profituri daca ei au o rata a profitului de 3%. Nu am mai pus la socoteala impactul negativ asupra brandului si bunavointei in piata, avind in vedere de-un exemplu ca pentru prima oara in douazeci de ani se discuta serios in cercuri guvernamentale si de afaceri ca-i cazul sa se sparga duopolul celor doua companii. Pe scurt, Visa si MasterCard se prea poate sa fi pierdut tot, absolut tot, in zilele astea. Eu am un track record destul de prost aici pe blog cu evaluarile astea, asa ca priviti-le cu un gram de sare, dar in tot cazul, posibilitatea exista.

Daca cele doua aveau inteligenta sa tina cele doua clase de servere pe infrastructuri diferite, puteau fara greturi abandona serverul de web (care oricum nu-i in practica defensibil in contra unui atac de anvergura si natura celui in discutie) si-si puteau vedea in continuare de afacerile lor, care nu puteau fi atacate in acelasi mod (pentru ca serverele procesatoare de plati nu discuta cu internetul in general, ci strict cu anumiti clienti, si deci un atac ddos e imposibil in contra lor). De fapt, dupa toate aparentele atit ofiterii celor doua firme (mintile care se ocupa de strategie, adica) cit si departamentele de comunicare pareau a se afla sub impresia ca intr-adevar separatia exista in practica, si am impresia ca au suferit o surpriza din partea departamentului de IT (care, sa fiu eu CEO pe-acolo, se lasa cu niste concedieri disciplinare).

Arhitectura nu era corect construita cel mai probabil pentru ca atunci companiile ar fi trebuit sa plateasca costul suplimentar al unor securizari la comunicarea intre cele doua clase de servere. Cu alte cuvinte, daca tinem si webserverul si PPS-ul in aceeasi zona nu avem a le securiza separat, si a securiza apoi comunicarile dintre ele, le putem lasa sa comunice din zona de incredere in care ambele se gasesc. Aceasta economie la tarite a expus doua firme la niste spectaculoase distributii de faina in riu.

Merita observat ca ambele firme din duopolul procesarii platilor au facut aceeasi gresala strategica. E binecunoscuta tendinta companiilor care activeaza in pietele comodizate de a lupta contra inovatiei, si a incerca sa se asigure prin apelul la familiar (uneori manifestat de-a dreptul ca tinere cu dintii de familiar). Aceasta situatie imi pare o ilustratie excelenta a viciilor acestei abordari totusi atit de raspindite : daca-i intrebai, dintr-o pozitie de autoritate, ca secretar de stat in finante, sau ca sef al securitatii statului, ambii CEO ti-ar fi raspuns fara indoiala ca aplica "cele mai state of the art tehnologii, la nivelul de best practices in the market". Corect. Intimplarea face ca "best practices in the market" ala erau de fapt niste practici ingrozitor de proaste, amanunt care nu pare sa fi interesat pe nimeni.

Asta si nimic altceva e motivul pentru care companiile merita cu atit mai putina incredere cu cit sunt mai mari, mai solid asezate si mai bine ancorate : se lenevesc si incep sa taie din craca de sub picioare, cu superioritatea emfatica a creatorilor de standarde (uitind convenabil ca ei cei ce au creat cu ghearele si dintii piata respectiva sunt totusi alti "ei" decit ei cei de azi). Acelasi fenomen a prabusit si bancile, si acelasi fenomen va continua sa prabuseasca tot ce-i mare : sentimentul acut al indispensabilitatii fiintei proprii.

Un sentiment de altfel fals. Si oarecum naiv.

Category: 3 ani experienta
Comments feed : RSS 2.0. Leave your own comment below, or send a trackback.

12 Responses

  1. Da' şi dacă separau infrastructura, serverul de plăţi e în continuare vulnerabil dacă i se trimite bogus data; ba chiar cred că Anon l-ar fi forjat mai puternic având în vedere că ăsta are în spate nişte databases care-s prin definiţie mai încete decât un server ce serveşte statice ca html & teh likes.

    Of course, I might be horribly wrong, da' tot ce ştiu e că un sistem conectat la interneţ' e prin definiţie atacabil cumva.

  2. Mircea Popescu`s avatar
    2
    Mircea Popescu 
    Friday, 10 December 2010

    Nu aveau cum sa atinga serverul de plati, dat fiind ca dinsul nu discuta decit cu merchants. Afara de cazul ca merchants s-ar fi apucat de atac, in care caz nu mai erau deloc anonimi, ci chiar contrariul.

  3. pai si bre, ce facem: nu mai lasam firmele sa creasca peste o anumita limita? :D

  4. Mircea Popescu`s avatar
    4
    Mircea Popescu 
    Friday, 10 December 2010

    De ce sa nu le lasam ? Piata in mod evident e capabila sa se regleze singura.

    Ce ar fi de facut e sa intelegem ca 1) mare nu inseamna solid si 2) mare nu inseamna inteligent si 3) mare nu inseamna de incredere. Nu exista "too big to fail", chestiile mari sunt neaparat sortite esecului. Ar putea sa existe "too small to fail", dar si asta e probabil prea mult.

    Daca reusim sa ne impacam cu aste trei observatii simple (si banale, orice copil privitor de desene animate stie ca al' mai mare dintre obiectele miscatoare de pe ecran va sfirsi prost) nici nu ne va merge asa rau.

  5. Nu cred ca problema au fost serverele, ci conexiunea la internet. Daca serviciile foloseau macar clase IP diferite, treaba se rezolva relativ simplu, nu mai anuntai clasa de IP a site-urilor web. Naspa, dar macar mergeau platile. Asta daca nu se apuca lumea sa-ti floodeze abolut toate clasele tale IP, care-s cam informatie publica, nu prea ai cum sa le ascunzi, adica poti sa incerci, le inregistrezi pe alta firma, dar daca cineva vrea neaparat, le afla, de ex, cati anon dinastia crezi ca lucreaza in IT, la ISP, la registre, etc.

    Singura solutie ar fi fost ca ISPii respectivilor sa filtreze floodurile, dar cine stie de ce n-au facut-o, probabil ca contractul nu includea si serviciul asta si cand sa-l puna in functiune nu erau pregatiti, ori ca filtrarile lor nu prea au mers, ori ca au stat aia de la mastercard sa se gandeasca daca merita sa plateasca factura pentru chestia respectiva, etc.

    Spre exemplu, Amazon a putut sa apere wikileaks de DDOS, dar ei au ditamai infrastructura si se confrunta cu problema asta zilnic, din moment ce tin site-urile oricarui dubios de pe planeta.

    Eu unul nu cred ca o sa dea faliment, de fapt, cred ca au si uitat de incident si nici nu le pasa ca maraie oamenii la ei. Sa nu-mi spui ca-ti anulezi toate cardurile tale Mastercard... si Visa, care probabil ca sunt, hmm... toate. Haha.

  6. Mircea Popescu`s avatar
    6
    Mircea Popescu 
    Saturday, 11 December 2010

    Mei, tu citisi ce scrie acolo ? Ca nimeni nu zice ca problema au fost serverele, ci localizarea lor, precum si alte chestii.

    Nu orice flood se poate filtra, depinde de niste parametri. Amazon a putut sa apere wikileaks pentru ca au fost atacati destul de lihozit. Si Polimedia poate sa apere Trilema de prapadelile astora de pe la noi.

    Eu nu folosesc carduri pentru plati la comercianti.

  7. Ce localizare mey, ca din interneti le dai flood oriunde ar fi si oricate ar fi si in oricate locuri ar fi. Atata timp cat tu comunici cu acei comercianti prin internet si nu prin sarme fizice sau circuite dedicate, ti-o iei.

  8. Mircea Popescu`s avatar
    8
    Mircea Popescu 
    Saturday, 11 December 2010

    Hai sa-ti citez din articol :

    Practic vorbind, serverele care tineau site-urile respective, raspunzindu-le pe porturile 80 ca orice servere de web comunicau cu internetul pe aceeasi infrastructura informatica (routere si cablaje) ca si serverele care procesau plati (comunicind doar cu anumiti clienti selectati, si pe alte porturi dupa alte sisteme de codificare decit http).
    [...]
    E la mintea cocosului lucrator in domeniu, admitind ca exista pe undeva un cocos care lucreaza in securitate (si nu m-ar mira sa existe pe la rusi) ca cele doua servicii trebuie separate si fizic, pentru ca sunt separate conceptual. A consolida fizic entitati separate conceptual ale aceleiasi entitati conceptuale e echivalent cu a asuma un risc, si anume riscul de ricoseu.

  9. Da, pe aceeasi infrastructura de retea, cam asa se face treaba. Ei fiind mari smecheri, probabil au propriile lor datacentere, adica spatiul lor intr-o cladire sau chiar o cladire intreaga. Acolo isi trag niste circuite de date, in functie de nevoile lor de trafic de la 2 sau mai multi ISP, si folosesc acele circuite pentru toate serviciile pe care le servers serverele din acea locatie.

    Acum, ce-ar fi putut ei sa faca? Sa-si ia circuite cu capacitate de 10 ori mai mare? eventual cat sa treaca tot internetul prin ele, sau sa-si ia un set separat de circuite pentru absolut fiecare cacat de serviciu pe care-l ruleaza ei acolo? Care servicii probabil sunt de ordinul sutelor sau miilor, si asta in ideea ca domle, daca ne floodeaza niste pusti site-ul, sa nu ne pice si serviciul de procesare a platilor, cand pustii aia ar putea sa floodeze si serviciul respectiv daca chiar aveau chef si poate chiar au si facut asta. Asta e asa, security by obscurity, chiar nici macar obscuritate, ca nu ascunzi nimic, zici doar ca poate nu se gandeste nimeni la asta.

    Nici macar nu-ti trebuie circuite separate, cum ziceam in primul comment, scoti anuntul clasei IP care deserveste site-urile web din BGP, si asta e, site-ul este inchis, ghinion.

    Acum nimeni nu poate spune exact ce s-a intamplat, deoarece nimeni nu cunoaste ce-au ei acolo, singura greseala arhitecturala grava pe care puteau s-o faca ar fi ca aceleasi servere web care deservesc site-ul sa deserveasca si serviciul de procesare de plati, dar este improbabil.

  10. Mircea Popescu`s avatar
    10
    Mircea Popescu 
    Saturday, 11 December 2010

    Puteau sa-si delocalizeze serverul de web, in colocatie intr-un hub mai important. Aia era chestia logica si rationala de facut. Pentru ca serverul de plati e una, si serverul de web te pisi pe el si-i dai foc, la o adica.

    Pustii nu au cum sa flodeze serviciul de procesare, ca ala nu e un serviciu public. El nu discuta cu oricine, ci doar cu merchants, care-s autorizati ca atare.

    Au incercat paleativul sugerat de tine, nu a functionat. Atita timp cit internetul iti ruteaza pachete inspre interfata ta, poti tu seta ce doresti pe dinsa, ca nu apuca sa le arunce suficient de repede.

  11. Daca tu nu mai anunti clasa aia, traficul nu mai ajunge in interfata ta, se opreste cel mult la vreun ISP de-al tau, sau na, daca chiar nu merge faza, le zici ISP-ilor sa filtreze clasa, deci traficul nu mai trece prin circuitul tau ci se opreste in reteaua ISP-ului, sau in loc sa o filtreze nici nu o mai anunta la randul lui, de ce sa isi umple reteaua de floodul tau...

    Pustii au cum sa floodeze orice e pe internet, trimit aiurea pachete catre clasele tale si-ti satureaza circuitele oriunde le-ai avea, chiar daca tu ai firewalluri si nu raspunzi la traficul ala, el tot ajunge la tine. Acum tipul asta de atac e mai usor de filtrat, dar filtrarea asta trebuie sa fie la nivelul ISP-ului.

    Eu zic ca pur si simplu s-au cacat pe ei si n-au stiut cum sa reactioneze intr-o situatie de criza.

  12. Mircea Popescu`s avatar
    12
    Mircea Popescu 
    Saturday, 11 December 2010

    Chestia cu anuntatul functioneaza intr-o oarecare masura, dar daca schimbi in timpul atacului, mnoa, tot o iei o vreme, datorita latentelor. Cel mai bine e sa le tii separate de la inceput.

    In principiu ce zici tu in al doilea paragraf e corect, teoretic vorbind, atita doar ca adresare arbitrara nu se poate oricum si oricind, una este sa downloadeze oricine LOIC si alta este sa ai nevoie de ditamai magaoaia. Nu intru in detalii din motive de securitate, da' enfin, intelegi tu ma gindesc.

    E posibil ce zici tu, sigur ca orice e posibil, dar eu nu prea cred.

Add your cents! »
    If this is your first comment, it will wait to be approved. This usually takes a few hours. Subsequent comments are not delayed.