Jump to content
Zatarra

Razdon - Security Insights

By Zatarra, in Securitate web

Recommended Posts

Zatarra Enthusiast

Zatarra

Posted
Posted

Salut a todos,

 

Am un proiect pe partea de CyberSecurity, la care lucrez de ceva timp impreuna cu un fost coleg de munca si pe care as vrea sa vi-l prezit si voua cu speranta in a veni si a-l testa. Am fost si la Defcamp unde am avut un stand (multumim @Andrei cu aceasta ocazie) si am rulat un program de BugBounty (care inca e valid - cine gaseste un bug valid il raporteaza si in functie de severitate vom premia cu vouchere Emag)

 

Pe scurt, este vorba de https://razdon.com , un website care va ofera posibilitatea de a "onboardui" si a veda traficul vostru LIVE cu un extra context de securitate la fiecare request.

 

Aceasta parte de live este prezentata sub forma unui dashboard unde poti vedea harta lumii si toate request-urile venind spre locatia serverului tau. Aveti un screenshot atasat mai jos:

 

image.thumb.png.e749cef16fc049ba632b82d615971d1e.png

 

Dupa cum vedeti proiectul a fost dezvoltat pe RST si aici puteti vedea un window de aproximativ 8 ore cu toate statisticiile legate de RST in aceste 8 ore + traficul live, bineinteles.

 

Pe langa partea de dashboard live, care necesita interactiune minima (practic este doar selectia site-ului in scop - in cazul in care aveti mai multe), avem si partea de analiza de trafic.

 

In partea de analiza de trafic ai optiunea de a cauta in toate request-urile pe o anumita perioada de timp dupa ceva anume (ex. toate requesturile cu status code 4XX or 3XX). In partea de analiza este prezenta si un scurt istoric al atacurilor recente (cu tot cu tipul lor)

 

Puteti vedea o bucata din acesta pagina mai jos:

 

image.thumb.png.e68a45d82f4e52e2bdf4fe811266d084.png

 

Un alt meniu destul de interesat este cel cu partea de certificate SSL, unde va puteti verifica data de expirare a certificatului (iar pe viitor vom implementa si sistem de alerte - atat la certificate cat si la atacuri).

 

Un screenshot cu partea de certificate mai jos:

 

image.thumb.png.8e972b243a31f8184682036e1510eccd.png

 

Putem implementa si partea de WAF, dar momentan avem 0 focus in aceasta directie.

 

Foarte curand vom face release si la un beta pe partea de artificial intelligence / machine learning, cu ajutorul carora vom maximiza eficienta detectarii atacurilor.

 

Acestea fiind spuse, daca cineva este interesat de un asemenea produs, inregistrariile sunt deschise si puteti urma pasii necesari pentru a viziona traficul.

 

Pentru a evita intrebariile de tipul cum faceti asta, va informez de pe acum ca singurul lucru care e necesar pentru aceste actiun sunt logurile de apache, respectiv nginx cu traficul website-ului. Momentan preluam aceste loguri cu un binar scris in GO (pentru eficienta) dar voi pune si varianta (raw) cea de a trimite catre API-ul nostru log-urile fara a rula un binar (safety reasons). O mica schema pentru a intelege mai bine cum sta treaba aveti jos.

 

image.png.5d87f07c2c646842a401a8b083507185.png

 

Mersi si o seara faina!

 

P.S. In caz ca vrea sa ne cumpere careva cu vreo 2-3 mil de euro sa-mi dea un MP, dupaia e mai scump.

  • Like 2
  • Thanks 1
  • Upvote 7
Link to comment
Share on other sites
WarLord Enthusiast

WarLord

Posted
Posted

Fainuc proiectul, si inteleg ca a fost multa munca, dar pe partea de defense cum e? Nu am citit nimic decat ca nu e WAF, deci atunci e bun *numai* pe partea de analiza. Dorinta clientilor atunci devine ca un produs sa aiba de toate, inclusiv WAF, DDoS protection, DLP, monitoring/alerting, geo blocking, response time (tech support) sa fie imediat atunci cand sunt probleme, etc. Multi clienti incearca sa reduca din numarul de platforme, si nu sa adauge.

Sunt multe produse deja care fac toate sau multe din lucrurile mentionate ca si produsele de la Imperva.

 

Care e viitorul platformei atunci - roadmap-ul?

Care sunt limitarile serviciilor care sunt deja functionale?

 

Noroc in continuare.

  • Upvote 2
Link to comment
Share on other sites
Zatarra Enthusiast

Zatarra

Posted
  • Author
Posted
2 hours ago, WarLord said:

Fainuc proiectul, si inteleg ca a fost multa munca, dar pe partea de defense cum e? Nu am citit nimic decat ca nu e WAF, deci atunci e bun *numai* pe partea de analiza. Dorinta clientilor atunci devine ca un produs sa aiba de toate, inclusiv WAF, DDoS protection, DLP, monitoring/alerting, geo blocking, response time (tech support) sa fie imediat atunci cand sunt probleme, etc. Multi clienti incearca sa reduca din numarul de platforme, si nu sa adauge.

Sunt multe produse deja care fac toate sau multe din lucrurile mentionate ca si produsele de la Imperva.

 

Care e viitorul platformei atunci - roadmap-ul?

Care sunt limitarile serviciilor care sunt deja functionale?

 

Noroc in continuare.

 

Mersi de feedback!

 

Motivul pentru care nu oferim partea de WAF e pur business. Ai dreptate, foarte multi clienti vor ca tu sa faci filtrarea, dar tot ei sunt cei care iti spun: "noi nu vrem ca tu sa ai control asupra datelor pe care eu le primesc sau le trimit", iar a face partea de WAF fara control asupra datelor nu se poate. 

 

Pentru partea de DDoS protection, scopul nostru actual este in a detecta atacuri, nu a le bloca. Cand vorbim de un atac de tip DDoS protectia se face foarte putin la nivel logic ci foarte mult la nivel fizic (avand posibilitatea in a "handelui" mai mult trafic prin infrastructura network mai buna) sau prin a avea integrari/automatizari/access facil la reteaua internet provideri-lor. Iar toate aceste lucruri nu sunt in scopul nostru deoarece 1 pt infrastructura ai nevoie de bani (iar aia e independent fata de mine) si 2 pentru a putea prelua partea de ISP iar nu ti-o acorda nimeni.

 

Pentru partea de DLP - same story - avem nevoie control (clientul nu da control). Si aici pot da 2 exemple usoare:

1. Eu nu am cum sa observ daca tu ai un data leakage in traficul tau decat daca tu imi permiti ca eu sa-ti montez un SSL proxy in infrastructura si sa-ti anlizez asta (ceea ce nu permite nimeni)

2. Sa presupunem ca lasam criptarea la o parte si totul este necriptat (un serviciu FTP). Daca eu vad ca tu incerci sa copezi foarte multe fisiere si te blochez, tu ca si client vii si imi spui, pai da dar eu nu iti pot permite tie sa blochezi traficul meu deoarece nu stiu daca tu imi afectezi sau nu productia cu chestiile tale.

 

Partea de monitoring/alerting o oferim intr-o oarecare masura si o putem acoperi fara probleme.

Partea de response time - noi nu generam incidente, putem face asta, putem sa si le investigam si sa le rezolvam dar din nou, nu e in modelul nostru de business.

 

Legat de Imperva, ai dreptate, parte din lucrurile pe care noi le facem sunt oferite si de poate alte 50 de companii, insa sunt lucruri pe care noi le oferim si altii nu le au, cum ar fi partea de live traffic + detection si partea de machine learning / behaviour analysis personalizat pe site-ul fiecaruia (nu stiu vendor care sa faca asta).

 

Roadmapul - avem multe in plan. Momentan suntem 2 si suntem destul de limitati de timp, dar majoritatea chestiilor enumarate aici le vom acoperi mai de vreme sau mai tarziu (sau le vom atinge tangential).

 

Limitariile serviciilor: asta incercam si noi sa aflam (de aici si postul initial). Am avut probleme de scalare in functie de traficul site-ului, dar acelea au fost rezolvate si suntem pregatiti pentru noi challenge-uri.

 

Inca odata mersi de feedback!

  • Thanks 1
  • Upvote 1
Link to comment
Share on other sites
WarLord Enthusiast

WarLord

Posted
Posted

Acuma observ pe wiki ca e un log shipper care il instalezi pe serverele tale on-prem, adica e un fel de rsyslog service care face forwarding la logurile tale de pe (web) server sau ceva asemanator, sau un fel de Splunk Heavy Forwarder, oricum.

Merge si in sistem cloud - GCP, AWS, Azure, l-ati testat?

 

Inteleg ca statisticile arata 8 ore de loguri RST, dar fiecare cont de fapt cat spatiu si timp de retentie are?

 

Se poate face export la statistici ptr management care vor sa vada eficienta platformei ca astfel sa cheltuiasca banii din buget si la anul? :D

 

Suporta si incercari de atacuri brute-force, ca nu il vad in lista de statistici, desi asta a merge bine sub sectiunea de Abuse?

 

Nu vad optiuni sa adaugi alti useri, cu drepturi reduse - de ex. Analyst sau Viewer sub organizatia creata.

 

In domeniul razdon.com, dupa ce o organizatie e configurata, ar fi fain sa arate ca sub-domeniul numele organizatiei, adica https://firma_mea.razdon.com.

 

Mai revin...

Link to comment
Share on other sites
Zatarra Enthusiast

Zatarra

Posted
  • Author
Posted
5 hours ago, WarLord said:

Inteleg ca statisticile arata 8 ore de loguri RST, dar fiecare cont de fapt cat spatiu si timp de retentie are?

 

Momentan nu am definit retention period pe data. Cel mai probabil 1-3 luni maximum. Dupa 3 luni logurile de securitate nu mai devin relevante. Cu toate astea cu siguranta vor exista clienti care vor cere un retention period de 1-2 ani pentru audit de securitate (cel mai probabil ca un backup la solutia lor).

 

5 hours ago, WarLord said:

Se poate face export la statistici ptr management care vor sa vada eficienta platformei ca astfel sa cheltuiasca banii din buget si la anul? :D

 

Cat de curant vor exista rapoarte definite pe anumite intervale de timp si anumite scopuri (gen management).

 

5 hours ago, WarLord said:

Suporta si incercari de atacuri brute-force, ca nu il vad in lista de statistici, desi asta a merge bine sub sectiunea de Abuse?

 

Da, bruteforce este suportat. Abuse se refera la un CTI community driven si anume abuseipdb.com

 

5 hours ago, WarLord said:

Nu vad optiuni sa adaugi alti useri, cu drepturi reduse - de ex. Analyst sau Viewer sub organizatia creata.

 

Ai dreptate, momental il poti doar crea via register si adauga in organizatia ta. Vom face acel Send Invitation sa functioneze (momentan nu trimite nici un email).

 

5 hours ago, WarLord said:

In domeniul razdon.com, dupa ce o organizatie e configurata, ar fi fain sa arate ca sub-domeniul numele organizatiei, adica https://firma_mea.razdon.com.

 

E o idee foarte buna pentru organizatiile care au 1-2 site-uri dar daca ai 50 nu prea mai are sens. Vom avea o chestie numita favourite host/site si by default vom afisa chestiile specifice acelui site. Mersi de sugestie, ne vom gandi cum putem sa facem sa se vada mai facil partea aceasta de site-uri (inafara de a da click pe Hosts).

 

Legat de cloud, cel mai important e modul in care aplicatia ta web ruleaza. Noi in spate avem un API si putem sa acceptam inputul de la orice metoda de a capta datele si a le trimite catre un API. Cu siguranta vom avea integrare directa cu cloud-urile mari prin chestiile lor native.

 

2 hours ago, lzomedia said:

sunt curios folositi rabbit mq .

cum se scaleaza ?

 

Avem partea de Message Queue si scalam prin K8s.

  • Thanks 2
  • Upvote 1
Link to comment
Share on other sites
Kev Experienced

Kev

Posted
Posted

Mesaj catre ISP

 

Eu: 

Quote

bUNA ZIUA SI CUM POT AVEA acest pach >
/var/log/httpd/acces.log

 

ISP:

Quote

Ce cereți, nu este un patch ci logul serverului apache și nu avem cum să vă punem la dispoziție așa ceva. Spuneți-ne concret ce anume vă trebuie din log si vom încerca să extragem informația în limita timpului disponibil.

 

Eu:

Quote

SPAM, SCAM, FLOOD, DDOS... etc, am un api si vreau sa il adaug

 

ISP:

Quote

API-ul respectiv este util numai in situatia in care aveti propriul server si nu intr-un mediu partajat (shared).

 

 

Scuze pentru dublu post, am zis ca nu apare notificare pentru edit

 

 

  • Haha 2
Link to comment
Share on other sites
Zatarra Enthusiast

Zatarra

Posted
  • Author
Posted
On 1/14/2023 at 5:36 AM, WarLord said:

Ca si test, s-ar putea sa trimitem logurile noastre de la firewall catre log-shipper-ul instalat local (in retea) care la randul lui le trimite spre platforma online? Trebuie neaparat sa fie un website?

 

Salut, momentan acceptam doar Nginx si Apache. Avem in plan sa implementam si partea de firewall in viitorul apropiat.

 

Daca ai ceva sample-uri si ni le poti da ne putem uita peste si putem incepe procesarea lor.

 

Ca sa-ti raspund si la intrebare, da, se poate.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Go to topic listing
×
×
  • Create New...