Metodologia per la simulazione degli attacchi e per l analisi delle minaccie contro le applicazioni web Marco Morana Sr. VP/TISO Citigroup North America Security Summit Roma 9 Giugno 2011 Copyright 2011 The Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the License. The Foundation http://www.owasp.org
What is? 2
Agenda Della Presentazione PARTE I: I nuovi scenari di attacco ai siti web: dati e statistiche PARTE II: La metodologia per la simulazione degli attacchi e delle minaccie PARTE III: Esempio dell uso delle methodologia per l analisi delle minaccie, attachi e calcolo dei rischi causati da banking-malware 3
PARTE I: I nuovi scenari di attacco: dati e statistiche 4
Il cambiamento dello scenario delle minaccie alle applicazioni Lo scenario delle minaccie e cambiato drammaticamente rispetto a dieci anni fa, alcuni esempi: Gli attori di attacco sono motivati dal denaro (e.g. furto di dati di carta di cerdito per vendita, frodi finanziarie) Gli attori di attacco fanno parte del crimine organizzato (e.g. spie dei segreti/proprieta intelletuale e gruppi terroristici) I target sono le aziende e in particolare il settore finanza SOURCE: Cisco: Threat Control and Containment: New Strategies For A Changed Threat Landscape 5
Dati sulle minaccie del malware e hacking Contribuiscono alla maggioranza delle perdita dei dati (2010) Cosituiscono le minaccie principali per tipologia di attacco Source: Verizon Data Breach investigation Report: http://www.verizonbusiness.com/products/security/dbir/ 6
I targets delle minaccie malware e hacking I siti e le applicazioni web costituiscono la percentuale piu alta presa di mira dagli attacchi di malware e hacking I tipi di dati piu a rischio sono dati sensibili (e.g. carte di credito) Source: Verizon Data Breach investigation Report: http://www.verizonbusiness.com/products/security/dbir/ 7
Gli Attori Delle Minaccie Dietro Gli Attacchi di Hacking e Malware Il presunto hacker si e appena svegliato e sorseggiando il caffe (o tea o magari vodka) inizia la sua giornata di lavoro con una bella lista di indirizzi IP di computer compromessi e di logins per autenticarsi ai siti. Lo step successivo consiste nel spendere alcune ore a distibuire malware nei PC compromessi e rivedere la lista dei PC della settimana scorsa per aggiornarsi sui dati collezionati. Dopo di che e ora di andare a casa ad accudire moglie e figli. CyberCrime & Doing Time A Blog about Cyber Crime and related Justice issues: http://garwarner.blogspot.com 8
Sherlock Holmes vs. Dr Jerkill/Mr Hyde 9
L approccio al rischio conosco ma non faccio nulla
L approccio al rischio Paura Incertezza e Dubbio Paura di essere fuori norma => multe e restrizioni e controlli (e.g. SEC, PCI etc) Paura di perdere la reputazione => nel caso di perdita di dati sensibili, forzato a notificare il pubblico (SB 1386) Paura di cause penali => nel caso la vittima della frode e il business-cliente invece che l utente Incerto sulle cause e le conseguenze=> Siamo noi il target? Se lo siamo quanto denaro potremmo perdere? Dubbi sulla efficacia delle contro misure=> Non ci fidiamo delle nostre mezzi, processi e persone
L approccio al rischio come antagonista a chi il rischio lo deve mitigate Noi vs. Loro (Dept. Sicurezza vs. Dev/IT/Business Units): Mitigazione faccendo ricorso alla pillola magica Non c e dimostrazione di come gli attachi avvengono e impattano i business Non c e nessun incentivo a collaborare fra chi il rischio lo identifica e chi lo deve mitigare con le contromisure
L approccio al rischio Persone, Processi e Technologie Personale preparato e qualificato per rispondere agli incidenti Processi adequati per l identificazione degli errori di design e le vulnerabilita che vengono sfruttati dagli hackers Technologie e contromisure per la mitigazione delle minaccie del malware e hackers 13
PARTE II-Introduzione al metodo di Threat Modeling PASTA (Process for Attack Simulation and Threat Analysis) 14
La Methodologia Per L Analisi Delle Minaccie [Application] Threat Modeling Un processo strategico che punta a considerare le minaccie, i possibili scenari di attacco e le vulnerabilita che possono essere sfruttate nell ambiente applicativo con lo scopo di gestire rischi e livelli di impatto. Si basa su diversi metodologie per la determinazione delle minaccie e correlazione con le vulnerabilita Si focalizza su diversi aspetti per la mitigazione delle minaccie: Architettura & Software (design) Gli assetti a rischio (dati, server, applicazioni) Prospettiva di attacco o di difesa
Metodologia Threat Modeling di Methodolgia simplificata: Focalizzata sulle minaccie al software Non include l analisi ed il calcolo dei rischi L analisi delle minaccie e fatta a diversi livelli Threat Risk Modeling http://www.owasp.org/index.php/threat_risk_modeling
Metodologia Threat Modeling STRIDE di Microsoft User/ Browser I. Spoofing II. Repudiation HTTPs Request HTTPs Responses DMZ (User/Web Server Boundary) Web Server Application Calls (.do) Application Responses Internal (Web Server/ App & DB Server Boundary) Application Server Auth Data XML/HTTPS Authentication Credential Store XML/HTTPS Message XML/JMS Service Message Response SQL Query Call/ JDBC MFA RBA/ Fraud Detection Messaging Bus I. Tampering II. Repudiation III. Info Disclosure IV. Denial OF service Financial Transactions (ACH, wires external transfer) Restricted Network (App & DB Server/Financial Server Boundary) Financial Transaction Processing MainFrame 17
Limitazioni Delle Metodologie Di Threat Modeling Usate Oggi Diverse metodologie ma nessuna e adottata a larga scala STRIDE & DREAD non sono metodologie ma modelli per la classificazione delle minaccie e dei rischi Limitate nello scopo (e.g. assetto, attacco, software, security centriche) non tutti gli approcci considerano l analisi degli errori di design Limitate nell adozione nella SDLC sopratutto rispetto ad altre attivita (e.g. review codice sicuro, pen testing) Non sono parte dei processi di InfoSec (e.g. information security risk management, fraud, incident response) Processi soggettivi ed ad-hoc si basano sull esperienza di chi fa l analisi SMEs (Subject Matter Experts)/Security Architects/Consultants
La ricetta per la P.A.S.T.A Threat Modeling Si focalizza sugli asset di business come target degli attacchi Include tutti i processi per la (e.g. intelligence) mitigazione strategica dei rischi Si basa sulla analisi degli scenari di attacco Si focalizza nelle minimizzazione dei rischi delle applicazioni e degli impatti per il business
The P.A.S.T.A Threat Modeling Methodology 20
Gli utenti della metodologia P.A.S.T.A Business managers che in questo modo possono incorporare i requisiti di sicurezza per mitigare i rischi Architetti delle applications che cosi possono identificare gli errori del design e identificare le contromisure per rimediarli e per proteggere i dati e gli assets Sviluppatori che cosi possono capire se il software e vulnerabile ed esposto agli attacchi Security testers che possono usare i casi di use e abuso e le librerie di attacco per testare l applicazione Project managers che cosi possono gestire la remediazione dei diffetti in modo piu efficace CISO che cosi possono prendere decisioni su come mitigate i rischi a livello applicativo 21
PART III-Uso della methodologia PASTA per l analisi delle minaccie, attacchi e dei rischi del banking-malware 22
Gli steps della analisi del banking malware usando la metodologia P.A.S.T.A. I. Documentazione dei requisiti per l analisi dei rischi delle minaccie banking malware, attachi e vulnerabilita II. Definizione dello scopo tecnico dell analisi III.Analisi della sicurezza del sito dal punto di vista dei controlli di sicurezza a livello architetturale e di funzione IV. Studio e analisi delle minaccie dai dati di intelligence V. Analisi delle vulnerabilita che possono essere sfruttate dalle minaccie per causare un impatto VI. Modelli degli scenari di attacco VII.Formulazione della strategia per la mitigazione del rischio e per la riduzione dell impatto a livello di business 23
STAGE I Definizione Degli Obbiettivi di Sicurezza e Del Business: Cattura dei requisiti per l analisi e la gestione dei rischi di banking malware 24
Analisi Preliminare Degli Impatti Impatti per l azienda/business Perdita di denaro a causa di frodi (e.g. transferimento illegale di denaro) e perdita di dati sensibili del cliente Non responabilita legale per frodi contro clienti-business e causa di azioni legali da parte degli stessi Perdita di reputazione/immagine a causa della notificazione al pubblico della perdita dei dati sensibili dei clienti, questo ha anche un impatto sulla fedelta dei clienti Non in regola con la legge e la regolamentazione di sicurezza (e.g. PCI-DSS, FFIEC/OCC, GLBA, SB 1386, FACT Act, PATRIOT Act) e causa di multe e controlli costosi compliance Impatti per I clienti Furto di login per l accesso a siti di on-line banking Furto dei dati sensibili Perdita di denaro dal conto nel caso di conti aziendali/privati
Obbiettivi Dell Analisi e Requisiti Di Sicurezza e di Regolamentazione Project Business Objective Perform an application risk assessment to analyze malware banking attacks Identify application controls and processes in place to mitigate the threat Comply with FACT Act of 2003 and FFIEC guidelines for authentication in the banking environment Analyze attacks and the targets that include data and high risk transactions Identify a Risk Mitigation Strategy That Includes Detective and Preventive Controls/Processes Security and Compliance Requirement Risk assessment need to assess risk from attacker perspective and identify on-line banking transactions targeted by the attacks Conduct architecture risk analysis to identify the application security controls in place and the effectiveness of these controls. Review current scope for vulnerability and risk assessments. Develop a written program that identifies and detects the relevant warning signs or red flags of identity theft. Perform a risk assessment of online banking high risk transactions such as transfer of money and access of Sensitive Customer Information Analyze attack vectors used for acquisition of customers PII, logging credentials and other sensitive information. Analyze attacks against user account modifications, financial transactions (e.g. wires, bill-pay), new account linkages Include stakeholders from Intelligence, IS, Fraud/Risk, Legal, Business, Engineering/Architecture. Identify application countermeasures that include preventive, detective (e.g. monitoring) and compensating controls against malwarebased banking Trojan attacks
STAGE II Definizione dello Scope Tecnico Dell Analisi Definizione dello scopo di threat modeling relativo ai requisiti dell analisi 27
Profilo Della Applicazione In Scopo Dell Analisi: Sito Online Banking Application Profile: Online Banking Application General Description The online banking application allows customers to perform banking activities such as financial transactions over the internet. The type of transactions supported by the application includes bill payments, wires, funds transfers between customer s own accounts and other bank institutions, account balance-inquires, transaction inquires, bank statements, new bank accounts loan and credit card applications. New online customers can register an online account using existing debit card, PIN and account information. Customers authenticate to the application using username and password and different types of Multi Factor Authentication (MFA) and Risk Based Authentication (RBA) Application Type Data Classification Inherent Risk High Risk Transactions User roles Number of users Internet Public, Non Confidential, Sensitive and Confidential PII HIGH YES Visitor, customer, administrator, customer support representative 3 million registered customers
Definizione Dello Scopo Tecnico Dell Analisi Informazione estratta dai documenti di progetto: Componenti della applicazione web in funzione dei livelli funzionali (presentazione, logica, dati) Topologia della rete (firewall, servers, routers etc) Protocolli e processi che sono parte dell architettura end to end (diagrammi del flow dei dati) Scenari e funzioni d uso (diagrammi di sequenza) Modello della applicazione in supporto dell analisi: Gli assets dell applicazione (e.g. dati/servizi a diverse sezioni della architettura applicativa) I controlli di sicurezza dell applicazione (autenticazione, autorizzazione, crittografia, gestione della session, validazione dell input, archivio e logs) Le interazioni fra l utente e l applicazione per le varie transazioni web (e.g. login, registrazione, query dei dati etc)
Scopo della Architettura: On-line Banking Application Architecture Diagram 30
Transazioni di On-Line Banking in Scopo Per L Analisi Identifica le transazioni on-line che sono possibili targets per malware e hacking (e.g. transazioni ad alto rischio): Funzioni di login (e.g. registrazione, reset userid/pwd) Funzioni per la gestione del profilo (e.g. cambio del profilo/account email, indirizzo, telefono etc) Funzioni di autenticazione con fattore multi-factor Transazioni riguardandi validazione del customer con dati sensibili (e.g. validazione di CCN#, CVV, ACC# and PINs for registrazione e per apertura di conto) Accesso a dati confidenziali e sensibili (e.g. ACC#, CCN#, SSN, DOB) Transazioni bancarie as alto rischio: Transfermienti di denaro a conti esterni ACH Bonifici, Pagamenti 31
STAGE III Analisi dell applicazione: Identificazione dei controlli di protezione dei dati/assets e efficacia del controlli stessi nella mitiazione del rischio di attacchi da banking malware 32
Analisi del data flow di processo della applicazione di Online Banking User/ Browser HTTPs Request HTTPs Responses DMZ (User/Web Server Boundary) Web Server Application Calls (.do) Application Responses Internal (Web Server/ App & DB Server Boundary) Application Server Auth Data XML/HTTPS Authentication Credential Store XML/HTTPS Message XML/JMS Service Message Response SQL Query Call/ JDBC MFA RBA/ Fraud Detection Messaging Bus Financial Transactions (ACH, wires external transfer) Restricted Network (App & DB Server/Financial Server Boundary) Financial Transaction Processing MainFrame 33
Analisi Dell Efficacia Dei Controlli di Sicurezza a Livello delle Transazioni Online 34
STAGE IV Identificazione Delle Fonti Di Intelligence Per L Analisi delle Minaccie: Identificazione ed elaborazione di informazioni sulle minaccie dalle fonti di intelligence al fine di poter analizzare gli scenari e vetori di attacco usati dal banking malware 35
Identificazione Delle Fonti Di Intelligence Esempio di cosa si puo apprendere dalle fonti di intelligence: 1)Un Fonti nuovo esterne banking di informazioni trojan e distribuito via siti vulnerabili su attacchi di a banking iniezione malware di data in frames oppoure via Fonti spear phishing interne, direttamente per esempioai da clienti di banca (targeted) 2)Il frodi malware e attacchi/incidenti inietta codice (SIRT) HTML nel browser durante Fonti una sessione di informazione autenticata publica di on-line e a banking ai fini di rubare dati pagamento: sensibili dall utente 3)Il malware APWG comunica con il server botnet Commando CERT e Controllo C&C Trusteer Digital PhisNet 4)Il C&C serve codice al trojan e permette UK Payments all hacker Administrationdi FS-ISAC condurre transazioni impersonando Verizonl utente IC3 Verisign idefense 5)Il malware Internet Fraud mantiene Alerts li conto bancario in balance Zeus Tracker per non essere notato dai sistemi anti-frode (ifraudalert.org)
Dati Statistici Sui Banking Trojan Targets Source Domini target del Zeus trojan
Trends di Banking Malware
Scenario di Attacco Del Banking Malware 39
Esempi Di Incidenti Di Banking Malware Riportati Dagli Utenti 40
Esempi Di Vettori Di Attacco Estratti Dall Intelligence 41
Profilo Di Minaccia Del Banking Malware 1. E configurabile per diversi target di banche 2. Utilizza diversi tipi di attacco per infettare il PC utente/browser 3. Accetta e manda comandi al command control server 4. Evade le difese di client e applicazione come Anti-Virus, SS/TLS, MFA C/Q e fraud detection systems 5. Inietta codice HTML nel browser della vittima al fine di catturare conti, logins, data i sensitibili in sessione autenticata 6. Ruba is certificati di autenticazione 7. Ruba input alla tastiera usando keyloggers e form grabbers 8. Permette all hacker di transferire denaro dal conto vittima 42
STAGE V Analisi delle vulnerabilita : Analisi delle vulnereabilita e dei gap dei cotnrolli di sicurezza che sono sfrutatte per condurre gli attacchi 43
Correlazione Delle Minaccie di Banking Malware con lo sfruttamento delle vulnerabilita Social Engineering/Phishing Sfruttano debolezze in anti-phishing controls (e.g. EV SSL) Mancanza di informazione al client circa minaccie di banking malware Imposessamento delle login e dati sensibili Mancanza di protezione dei dati (e.g. unsecure cookies, tokens, unsecured secrets and certificates for authentication) Injection di malware via Iframe, SQL inj vulns (e.g. per il dropping), Errori di implementazione di autorizzazione Error nella logica di validazione del customer (e.g. PINs, ACC#) Perdite Finanziarie Sfruttano errori dell implementazione e progetto di authenticazione delle transazione (e.g. MFA bypass, weak authentication) Vulnerabilita session management della transazione (e.g. session fixation, session riding/csrf) Vulnerabilita in non repudiazione (e.g. one-way SSL) 44
Vulnerabilita Client- Servers A Livello Architettura Presentation Tier Represents the top most level of the application. The purpose of this tier is to translate commands from the user interface into data for processing to other tiers and present back the processed data > Get MY Account Info And Account Activity browser ` > Account#:***8765 Balance: 45,780 $ Last Transaction: 5/25/09 browser ` Weak Anti-Phishing and Anti-UI- Spoofing Controls & Warnings Browser Vulnerabilities & Flaws Logic Tier This layer processes commands and makes decisions based upon the application business logic It also moves and processes data between the presentation and the data tier Servers Servers Authentication, Authorization, Identification and Session Mgmt. Vulnerabilities and Design Flaws Data Tier Is the layer responsible for data storage and retrieval from a database or file system Query commands or messages are processed by the DB server, retrieved from the datasource and passed back to the lo the logical tier for processing before being presented to the user Query Account#, Balance, Transaction History Flaws and Vulnerabilities While Protecting Data/Transaction Confidentiality and Integrity Database Storage 45
Top Malware Propagation Vulnerabilities 46
Vulnerabilta potenzialmente sfruttate da banking malware Black Box Testing White Box Testing
STAGE VI Modello Degli Attacchi: Modello degli attacchi di banking malware 48
Analisi Banking Malware Con Attack Trees Fraudster Fraudster Upload Malware on Vulnerable Site Attack Victim s Vulnerable Browser Phishing Email, FaceBook Social Engineering Use Stolen Banking Credentials/ Challenge C/Q Drive-by Download/ Malicious Ads Upload Banking Malware on Customer s Pc Phish User To Click Link With Malware Remote Access To Compromised PC Through Proxy Steal Digital Certificates For Authentication Man In The Browser Steals Keystrokes with Key-logger Logs into Victim s Online Bank Account Delete Cookies Forcing to Login To Steal Logins Modifies UI Rendered By The Browser Redirect Users To Malicious Sites Perform Unauthorized Money Transfer to Mule Harvest Confidential Data/ Credentials From Victim Sends Stolen Data to Fraudster s Collection Server Money Transferred From Mule to Fraudster 49
Analisi di Attacco a Login Con Use and Abuse Cases Login With UserID password over SSL Threatens Key logger/from grabber captures keystrokes incl. credentials Includes Includes Drops Banking Malware on victims/pc Includes User Includes Trust connection by IP and machine tagging/browser attributes Threatens Set IP with Proxy/MiTM to same IP gelocation of the victim Hijacks SessionIDs, Cookies, Machine Tagging Includes Includes Includes Includes Communicate with fraudster C&C Fraudster Includes Enter One Time Password (OTP) to authenticate transaction Threatens Threatens Capture OTP on web channel and authenticate on behalf of the user Includes Includes Threatens Capture C/Qs in transit and authenticate on behalf of user Enter Challenge Question (C/Q) to authenticate transaction Threatens Man In The Browser Injected HTML to capture C/Q 50
Attacchi Alle Transazioni e Sfruttamento Di Vulnerabilita 51
Threat Modeling Tool` 52
STAGE VII Analisi dei Rischi e Degli Impatti: Identificazione della strategia per la mitigazione del rischio del banking malware 53
Fattori Per L Analisi Del Rischio Le minaccie (le cause) hacker prende di mira on-line banking application per i dati e per condurre frodi (transferimento non autorizzato di denaro) Le vulnerabilita (debolezze dell applicazione) Errori nel design di autenticazione e session management; Vulnerabilita in garantire confidenzialita e integrity dei dati; mancanza di logs e di tracciabilita degli eventi e azioni degli hackers sui sistemi L impatto tecnico (compromissione dei controlli) Bypassamento di Challenge/Questions, KBA, OTPs; By-passamento identificazione del client prima di autorizzare transazionis; Compromissione delle web forms al fine di ottenere dati dall utente. Abuso session di autenticazione. L impatto per il business (perdita denaro) Perdita di denaro dovuta a frodi e transferimento di denaro a mules; Perdita di data sensibili; Azioni legali per copertura danni account; Multe per non essere a norma con standards di sicurezza 54
Factori Per Il Calcolo Del Rischio Calcolo del rischio basandosi su modelli oggettivi: Qualitativo (e.g. Likelihood x Impact (H, M, L), Threat Source (STRIDE) x Severity (DREAD), Threat X Vulnerability X Impact ()) Quantitativo (e.g. ALE = SLE X ARO) Strategia di mitigazione holistica e multi-layer Controlli per prevenzione e detection Contromisure a diversi livelli (e.g. browser web application, infrastructure) Processi di Governance (e.g. risk based testing, improved fraud detection, threat analysis, cyber intelligence) 55
Banking Malware: Application Risk Framework Threat Agents & Motives Misuses and Attack Vectors Security Weaknesses Countermeasures Technical Impacts Business Impacts Hacker Dropper of Malware Attacker targets vulnerable sites to upload malware for drive by download Input validation vulnerabilities allowing for Frame injection of fraudster's URL, file upload via flaws exploits and SQL injection attacks Identification and remediation of common injection vulnerabilities and data /input validation flaws Site integrity is violated, visitors of the site get malware downloaded via malicious ads Reputation loss. Money loss/site taken down, lawsuits Fraudster attacking bank customers and institutions Attacker target banking customer with phishing to exploit browser vulnerabilities and upload banking trojan keylogger on his PC/browser Phishing and social engineering attacks via different channels (email, Facebook, SMS). Lack of customer information about banking malware threats, lack of site to user trust controls (e.g. EV SSL) Consumer education campaigns, EV-SSL certificates to prove authenticity, site to user controls, browser controls Once user selects malicious link, JS on client, install banking malware/trojan compromising the browser Fraud, money losses, reputation loss, data breach disclosure, Banking malware harvest s viictim s account/ data Banking malware/trojan, inject HTML form fields in session using MiTB attack, keylogger to stead data, sends data to C&C and receives commands Browser vulns. allowing MiTB, gaps in anti-automation detection controls, virtual keyboard bypassed by form grabbing Customer education on spoofed Uis, anti-forgey controls, CAPTCHA, Man present controls, antiforgery controls Once customer enter extra data in the HTML form it is sent to C&C: loss of data confidentiality and data integrity since outside application control Loss of customer PII, credentials, PII. Reputational loss via public disclosure of breach, Compliance audit lawsuits, account replacement cost Fraudster attacking bank customers and institutions Attacker sends and receives data to banking malware to perform unauthorized financial transactions using MiTM and session riding attacks Authentication flaws in protecting transaction with adequate strength, session management flaws and vulnerabilities (e.g. session riding/csfr, fixation), nonrepudiation flaws Architecture risk analysis to identify flaws, OOBA, OOBV, transaction signatures, fraud detection/monitoring, event correlation from logs Loss of data confidentiality and transaction integrity, session hijacking, missing logging, detection/monitoring and fraud alerts Money losses associated to fraud from money transfers. Lawsuits compliance/audit risks
Contromisure per la mitigazione del rischio PREVENTIVE Misure Anti UI Spoofing/Forging Watermarks nelle web forms che sono difficili da riprodurre Informazioni al clienti al fine di identificare pagine web contraffate dal malware Two-Way Out of Band (OOB) Verification / Transaction Signing Cellulare riceve richiesta di conferma della transazione on-line. Uso di tokens per firmare la transazione DETECTIVE Sistemi di monitoraggio e alerta frodi Anomaly detection Identificazione di cookies e di variables settate dal malware Logs delle sessions/transactions Systemi di identificazione malware/mitb Catturano il profile del browser e gli eventi Anti-automation/CAPTCHA Alerts al cliente via SMS Notifica in tempo reale di azioni sul conto 57
Q U E S T I O N S A N S W E R S 58