Microsoft Digital Crimes Unit s-a pornit împotriva rețelei de botnet-uri ZeuS

Microsoft Digital Crimes UnitAcum cca 10 ani când Bill a oprit firma și a lansat inițiativa Thrustworthy Computing, se vorbea de viermi și viruși ca Nimda, CodeRed, I Love You, Slammer, Blaster sau Sasser. Se punea problema schimbării procesului de dezvoltare pentru a incorpora securitate încă în faza de design, pentru a educa dezvoltatorii, pentru a reduce suprafețele de atac, pentru a actualiza regulat software-ul. Toate astea au dus la adoptarea SDL (Security Development Lifecycle), la crearea serviciului Microsoft Update care împinge un petabyte de actualizări pe lună la 600 de milioane de Windows-uri pe PC-uri și servere și la crearea MSRC (Microsoft Security Response Center). De-a lungul anilor s-a dovedit că nu este suficient, chiar dacă procesul nostru de dezvoltare și răspuns la incidente este lăudat de întreaga industrie de securitate. Era nevoie să ținem aproape de „reasearcher”-ii de securitate. Da, suntem prezenți la conferințele lor BlackHat, organizăm conferința noastră BlueHat unde îi provocăm să-și împărtășească practicile și să participe la concursuri. Era nevoie să publicăm SDL-ul și am făcut-o. Era nevoie să colaborăm cu autoritățile pentru a prinde infractorii și așa s-a pornit inițiativa Digital Crimes Unit din Microsoft, care lucrează cu autoritățile pentru a preleva probe corect, pentru a duce infractorii în fața justiției și pentru a pleda ca parte vătămată dacă trebuie. E nevoie de niște skill-uri mai aparte pentru a intra în echipa asta. Experiență în investigații, servicii și agenții din alea cu trei litere, sunt bine venite.

De ce facem asta? Fiindcă suntem printre puținii care își permit să o facă și au experiența necesară. Este drept că avem și o responsabilitate, fiindcă 80% din infrastructura critică a planetei folosește tehnologie Microsoft.

Săptămânile trecute ați citit probabil despre confiscarea câtorva bunuri din rețeaua de botnet-uri Zeus. E doar una din acțiuni. Alte botnet-uri scuturate de DCU au fost Waledac, Coreflood, Rustock sau Kelihos. Am tot respectul pentru acești colegi, fiindcă se bat cu adversari puternici, globali, plini de resurse inclusiv financiare și extrem de determinați.

Iată și un filmuleț educativ cu daunele ce le pot provoca acești infractori:

Un ultim cuvânt pentru copiii care speră la o carieră în „hacking”: băgați-vă mințile în cap fiindcă pușcăria e la fel de răcoroasă pentru infractorii de pe net ca pentru cei comuni.

Încrederea în cloud

increderea in cloudAm contribuit și eu la suplimentul de cloud publicat de MarketWatch. Cu Windows Azure, bineînțeles, și încrederea în cloud, evident. Partea de încredere vine la fix, sincron cu câteva anunțuri de conformitate legate de Office 365 și cu lansarea unui site dedicat http://trust.office365.com.

Anunțurile de conformitate sunt la pagina Office 365 Becomes First and Only Major Cloud Productivity Service to Comply With Leading EU and U.S. Standards for Data Protection and Security. Am lăsat titlul original pentru cei care nu vor să citească detaliile.

Iată și textul meu din suplimentul MarketWatch:

Încrederea în cloud

De-a lungul istoriei, se cunosc nenumărate tehnologii disruptive, care au suferit ani buni de reticență din partea potențialilor utilizatori. Sistemul planetar al lui Kopernikus a avut nevoie de sute de ani până la adoptarea de către scepticii heliocentrismului. Deținătorii primelor aparate foto au avut mari probleme cu persoanele care credeau că li se va afecta sufletul prin expunerea la fotografiere. Iar dilemele din perioada apariției telefoanelor includeau chiar temerea de infecție prin convorbire la distanță. Oarecum similar, cloud computing-ul are și el dilemele sale din partea potențialilor utilizatori, iar acestea sunt legate de trei concepte: securitatea, confidențialitatea datelor și fiabilitatea serviciilor.

Utilizarea cloud computing este o transformare inevitabilă, dată în principal de flexibilitatea crescută, de ușurința administrării și scăderea costului operării sistemelor IT (tehnologia informației). Eficiența economică este atât de mare încât această transformare este, cum spuneam, inevitabilă. Boom-ul cloud-ului din ultimii ani și ritmul intrinsec mult mai rapid de evoluție al IT-ului, întăresc sondajele și predicțiile analiștilor, care estimează accelerarea adopției în următorii ani. Conform IT Governance Institute (http://www.itgi.org/), 3 din 5 departamente IT din firme medii și mari implementează deja proiecte de cloud și al 4-lea are deja în plan.

Însă cloud-ul impune tratarea amenințărilor și a riscurilor într-un mod diferit. Până acum organizațiile aveau control complet asupra datelor fiindcă acestea erau administrate în ograda lor. Acum, în lumea cloud-ului, organizațiile sunt parte dintr-un sistem de parteneriate cu furnizorii de servicii în cloud, iar acest lucru necesită un limbaj comun în ceea ce privește încrederea și capabilitățile de securitate. Microsoft are două abordări pentru a demonstra capabilitățile sale de securitate în cloud.

Prima este conformitatea sistemului nostru de management al securității informației cu standardul ISO/IEC 27001:2005 pentru operarea zi de zi a centrelor de date și o colecție de alte standarde specifice diverselor industrii și regiuni: SAS 70 Type I and II, Sarbanes-Oxley, Payment Card Industry Data Security Standard, Federal Information Security Management Act etc.

A doua abordare privește transparența totală. Ne supunem regulat auditărilor independente, împărtășim rezultatele acestor evaluări cu clienții noștri dar și cu restul industriei, pentru a ridica nivelul discuțiilor pe tema securității în cloud. Clienții noștri sunt bineveniți și ei în centrele noastre de date, iar până atunci le recomandăm să studieze documentele publicate pe siteul http://www.globalfoundationservices.com/ și să nu ezite să ne contacteze pentru întrebări.

Un alt aspect este subliniat în ultimul nostru Security Intelligence Report (http://www.microsoft.com/security/sir/) și anume că peste 99% din atacurile curente din internet se bazează pe vulnerabilități cunoscute. Acest lucru arată importanța actualizării software-urilor de pe orice calculator, dispozitiv sau server. Nu trebuie uitat că în IT de obicei sunt aplicații cu două capete: un capăt la utilizator și un alt capăt pe serverele organizației sau în cloud. Dualitatea asta ne arată că nivelul de securitate al unui sistem IT este dat de capătul cel mai puțin sigur. Așa că actualizarea sistemelor utilizatorilor este la fel de importantă. Dar să revenim la cloud.

Datele

Din punct de vedere practic, orice organizație care dorește să utilizeze cloud-ul, trebuie să vadă întâi dacă datele pe care le pune în cloud sunt senzitive sau nu. Dacă sunt date publice, nu e nici o problemă, însă dacă datele sunt senzitive, atunci va trebui să le securizeze conform cu nivelul de senzitivitate. Fiecare va trebui să decidă pentru sine, care este acest nivel. De exemplu, platforma de cloud Windows Azure expune facilitățile de criptare cu care dezvoltatorii sunt deja obișnuiți în .NET. Nu uitați, controlul datelor este la client. Furnizorul de cloud are doar grijă să nu piardă aceste date, să ofere izolarea lor și implicit să nu autorizeze accesul la ele decât așa cum decide clientul.

Accesul la date

Un al doilea aspect este cum se dă acces la date. Din nou, dacă datele sunt publice, se poate da acces pentru oricine, dar dacă datele sunt senzitive, vom avea nevoie de un sistem de a identifica utilizatorii. Crearea de sisteme de autentificare independente pentru fiecare aplicație poate duce la haos sau la necesitatea de a investi în sisteme complexe de management al identităților. Recomandarea în cloud este să se folosească identitățile existente deja, de exemplu cele din Active Directory pentru aplicații interne sau Live ID, Facebook ID etc pentru aplicații publice. Office 365 și Windows Azure sunt capabile să accepte astfel de identități existente. Odată rezolvată problema identității utilizatorilor, se poate trece la autorizarea lor pe date.

Dezvoltarea de software

Pentru unii clienți, cloud-ul înseamnă să dezvolte o aplicație în cloud sau să contracteze dezvoltarea unei astfel de aplicații. Se impune respectarea unui proces de dezvoltare care să includă aspecte de securitate și de confidențialitate din faza de proiectare până după instalare, adică în perioada de utilizare. Microsoft a publicat documentația proceselor sale interne de dezvoltare și uneltele de testare, rafinate pe parcursul a 8 ani de experiență (de la lansarea inițiativei Trustworthy Computing în 2002) sub numele de Security Development Lifecycle: http://www.microsoft.com/security/sdl/. Încurajăm orice dezvoltator să studieze și să folosească astfel de practici.

Aspecte operaționale

Pe lângă conformitatea cu standardele de mai sus, Microsoft impune restricții operaționale care privesc multiple niveluri de securitate fizică și electronică, politici transparente de retenție a datelor, procese de distrugere a discurilor defecte pentru a evita recuperarea frauduloasă a datelor, planuri de continuitate a business-ului inclusiv răspuns la dezastre, dar și managementul riscurilor pentru situații ne
prevăzute.

Răspuns la incidente

Clienții noștri se așteaptă ca serviciile noastre din cloud să fie fiabile. Au business-ul lor, și bineînțeles clienții lor, a căror nevoi trebuie să le satisfacă. Și totuși, se pot întâmpla incidente, de la defecțiuni hardware până la dezastre naturale care paralizează o națiune. E bine să înțelegem că astfel de incidente pot apărea. Chiar și așa, este normal ca un furnizor de cloud să aibă resursele globale și cunoștințele să ia măsuri pentru a minimiza impactul incidentului asupra serviciului pe care îl furnizează. Aceasta e rațiunea pentru care Microsoft oferă găzduire de date redundantă geografic pentru aplicațiile critice. Mai mult, în cazul oricărui incident, clienții noștri pot apela la suport oficial implementat în 4 centre operaționale cu funcționare non-stop. Aceste centre implică, dacă este nevoie, echipe specializate ca Microsoft Security Response Center pentru a investiga și a rezolva incidente de securitate.

Concluzie

Suntem conștienți că succesul nostru ca furnizori de cloud va fi dat, în mare măsură, de capacitatea de a ne proteja clienții. Cu timpul, odată ce clienții care adoptă timpuriu vor fi satisfăcuți, problema încrederii va dispărea și veți privi furnizorii de cloud ca orice alt furnizor de electricitate, gaz, apă sau telefonie. Până la urmă, dvs decideți ce responsabilități de securitate vreți să administrați singuri și ce lăsați pe seama furnizorului de cloud. Pentru a lua această decizie, puteți pune câteva întrebări furnizorilor de cloud cu care doriți să colaborați și veți vedea că problema încrederii se va cristaliza pe măsură ce veți primi răspunsurile:

– Ce investiții faceți în tehnologie și procese în domeniul securității, confidențialității și fiabilității?
– Cum vă asigurați că aplicațiile și datele mele sunt protejate de vulnerabilități?
– Conform căror certificări și standarde operați serviciile din cloud?
– Ce planuri de continuitate a businessului aveți și cum le testați?
– Cum monitorizați calitatea serviciilor din cloud și ce faceți în situații neprevăzute?

E greu să faci un browser fără buguri de securitate…

Vulnerabilități conform Secunia Factsheets:

Browser
(toate versiunile)

Ultimele 12 luni

12 luni anterioare

Safari

157

63

Chrome

139

52

Firefox

81

106

Opera

37

15

IE

34

54

Deh, popularitatea aduce cu sine și atenția ”specialiștilor în securitate”, așa că nu mai e suficient ca un vendor de browser să spună că este ”mai secure” decât concurența, trebuie să și demonstreze. Bravo IE!

Pentagonul alege cloudul pentru securitate, nu pentru cost

Dacă pentru ei este suficient de ”secure”, atunci ar trebui să fie și pentru voi.

Zilele trecute am fost întrebat de jurnaliști despre securitatea în cloud fiindcă este principala îngrijorare a clienților care se gândesc la servicii în cloud. Iată ce am răspuns:

Trecerea la cloud computing este o transformare inevitabilă, dată în principal de flexibilitatea crescută, de ușurința administrării și scăderea costului operării sistemelor IT (tehnologia informației). Această transformare impune tratarea amenințărilor și a riscurilor într-un mod diferit. Până acum organizațiile aveau control complet asupra datelor fiindcă acestea erau administrate în ograda lor. Acum, în lumea cloud computing-ului, organizațiile sunt parte dintr-un sistem de parteneriate cu furnizorii de servicii în cloud, iar acest lucru necesită un limbaj comun în ceea ce privește încrederea și capabilitățile de securitate. Microsoft are două abordări pentru a demonstra capabilitățile sale de securitate în cloud.

Prima este conformitatea sistemului nostru de management al securității informației cu standardul ISO/IEC 27001:2005 pentru operarea zi de zi a centrelor de date și o colecție de alte standarde specifice diverselor industrii și regiuni: SAS 70 Type I and II, Sarbanes-Oxley, Payment Card Industry Data Security Standard, Federal Information Security Management Act etc.

A doua abordare privește transparența totală. Ne supunem regulat evaluărilor independente, împărtășim rezultatele acestor evaluări cu clienții noștri dar și cu restul industriei, pentru a ridica nivelul discuțiilor pe tema securității în cloud. Clienții noștri sunt bineveniți și ei în centrele noastre de date, iar până atunci le recomandăm să studieze documentele publicate pe siteul http://www.globalfoundationservices.com/security/ și să nu ezite să ne contacteze pentru întrebări.