Om rapport

Vad är LISA?

LISA är ett system för insamling och analys av webbloggar. Potentiella attacker sammanställs i rapporter vilka skickas via e-post till deltagarna en gång i veckan. Generell statistik publiceras dagligen på Sitics webbplats. Ett regelverk över kända attackmönster används för att identifierar och kategorisera potentiella attacker i webbserverloggarna. Bland annat upptäcks följande typer av attacker: SQL-injektion, XSS (Cross Site Scripting), kommandoinjektion, multipla 400-felsvar. 

Ett av målen med LISA är att ge deltagande organisationer bättre kunskap om vilka hot som riktas mot deras webbapplikationer. Gissningar och tyckande ersätts av hårda fakta över faktiska attacker. För den som vill få en allmän överblick av hotläget kan de publika rapporterna på Sitics webbplats användas.

Typer av rapporter

Två typer av rapporter genereras av LISA:

• Klientrapport: Deltagarens rapport. Innehåller data som är specifika för installationen, men även jämförande data med övriga deltagare. Huvudrapporten innehåller text, tabeller och grafer. Rapporten "index-charts.html" innehåller endast grafer vilka är nerskalade så de får plats på en skärmbild.
• Totalrapport: Denna rapport är en sammanställning av data från alla deltagare i LISA-systemet. Vissa värden är avidentifierade, exempelvis är utdrag ur loggfilerna borttagna. Det finns inga absoluta värden i rapporten, utan endast medelvärden och relativa värden. Totalrapporten är publik och publiceras på Sitics webbplats.

Vad visas i grafer och tabeller?

I rappporten ska "attack" läsas som "potentiell attack". Vissa loggrader som har flaggats som attacker är normala och fullt legitima anrop. Dessa s.k. falska positiver kan bero på att Sitic bedömt regeln som värdefull trots att den har vissa kända sidoeffekter. LISA tittar enbart på själva loggraden, utan att ta hänsyn till hur den aktuella installationen ser ut (typ och version av webbserver, installerade webbapplikationer, hur dessa är implementerade etc.). Således kommer en PHP-attack kategoriseras som en attack trots att webbservern inte kör PHP. Systemet kan inte heller avgöra om en attack är lyckad eller inte. Med andra ord visar LISA misstänkta webbanrop som skulle kunna orsaka skada för någon typ av webbserver.

Rapporterna innehåller följande avsnitt:

• Översikt (text): Allmän information för perioden, exempelvis antal attacker och loggrader. En loggrad motsvarar ett HTTP-anrop, och "antal loggrader efter filtrering" är antal loggrader som behandlats av regelverket.
• Attacker över tiden (graf): Visar antalet attacker för rapportens period plus historik. Ger en överblick av omfattningen samt hur tendensen ser ut.
• Kritiska attacker (tabell): Visar periodens attacker sorterade efter hur pass allvarliga de är. Notera att "första förekomst" är första förekomsten av attacktypen i perioden och inte totalt. Loggraderna visas i tidsordning och listan trunkeras vid många rader.
• Topplista över attacktyper (tabell): Visar de vanligast förekommande attackerna.
• Attacker per typ över tiden (graf): Visar utvecklingen över tiden för de fyra översta attacktyperna i topplistan.
• Topplista över källor (tabell): Tabellen visar varifrån attackerna kommer ifrån med ip-nummer och land.
• Ursprungsländer (graf): Visar från vilka länder majoriteten av attackerna kommer ifrån.
• Attacker jämfört med övriga organisationer (graf): Denna graf finns endast i klientrapporten och visar antal attacker över tiden jämfört med övriga LISA deltagare. Medelvärde (antal attacker totalt / antal deltagare) används för att få fram grafvärden till totalserierna. Notera att alla deltagare inkluderas i totalserierna, inklusive organisationen som rapporten avser.

Vissa lågrisk attacktyper, exempelvis anrop med enstaka 400- och 500-svar, är bortfiltrerade i graferna. Multipla 400- och 500-svar visas dock. Detta gäller också tabellen "Källor". Bortfiltrerade attacker orsakas ofta av sökmotorernas spindlar som indexerar webbplatsen och är alltså legitim trafik. Eftersom ett 404-fel ("sidan saknas") kan tyda på en enumereringsattack tas de med i tabellerna.

Kategorisering av attacker

En attack kategoriseras efter hur pass allvarlig den bedöms vara. Ett försök till SQL-injektion är allvarligare än ett 404-fel. Följande nivåer används:

• Lågrisk: Enstaka 400- och 500-fel. Multipla 400- och 500-fel från samma ip-adress.
• Mellanrisk: SQL-injektion, XSS (Cross Site Scripting), kommandoinjektion med mera.
• Högrisk: Multipla mellanrisk attacker, mellanrisk attacker med statuskod 200 ("OK"), onormalt långa URL:er med mera.

Varför tas 404-fel med?

HTTP-statuskod 404 returneras då en resurs inte hittas, och webbloggar brukar vara fyllda av dessa fel eftersom innehåll flyttas och tas bort. En vanlig attackmetod är ett enumerera URL:er, exempelvis "index.jsp.bak", "index.jsp.~1~" och "index.jsp.old". Om angriparen skulle få träff på någon URL skulle det i detta exempel innebära att källkoden till JSP-sidan visas. Angriparen kan leta efter ännu ej publicerade länkar (den kommande kvartalsrapporten) eller material som av misstag hamnat i webbkatalogen (säkerhetskopior av webbinnehåll eller databas).

För att fånga upp denna typ av attacker räknas 400-fel som en attack, trots att antalet falska positiver är många. Speciellt multipla 400-fel kan tyda på en enumereringsattack. En del webbservrar returnerar ett 500-fel ("Internal Server Error") om en programresurs saknas. Därför behandlas 500-fel likadant som 400-fel även om 500-fel kan vara allvarligare, exempelvis returneras en 500-statuskod om ett fel inte hanteras av webbapplikationen utan webbservern blir tvungen att ta hand det.