Staré blogy – bezpečnosť 1. časť

Blogy z môjho pôsobenia na WUG Slovakia – bezpečnosť

Lahky dotyk na security

Takže dnes som ukončil štatistický prehľad rizika napadnutia počítačov podľa OS (operačných systémov). Ide o jednu časť článku. Ako človek pracujúci v enterprise prostredí a tým pádom pracujúci na svojom “piesočku” stále spravujem niekoľko menších sietí. Väčšina týchto malých (do 45 PC) sietí beží na OS Windows. Servery sú Windows XP alebo Windows 2000, ktorý už nie je podporovaný MS takže žiadne záplaty ani updaty. Väčšina s firiem (66,6%) čiže tretina je rozpočtoviek a tým pádom sa snažia šetriť kde sa dá a tým pádom nemajú na nákup it. Takže sú ohrozenejšie niekedy viac ako domáce počítače vzhľadom k tomu, že majú iba freeware zabezpečenie. Pre vysvetlenie nedostali financie na nákup AV riešenia.
Keďže mám isté kontakty dal som si zistiť u jedného providera OS zákazníkov (anonymne len v percentách). Nuž 99,25% zákazníkov malo OS na platforme Windows, 0,5% *nix a zvyšok iná platforma (musím veriť dodaným informáciam, nemám si to možnosť overiť takže bez záruky). Počet pripojených užívateľov je cez 27 000. Inú časť som si zabezpečil cez portály. Použil som dáta poskytnuté portálmi BlackHole, Žive, Linuxos, itnews dalsie 4 portaly ktoré si neprajú byť zverejnené (i keď to nechápem) v mojej prednáške. Priemerne sa okolo 90% užívateľov pripája na tieto portály práve Windowsom. BlackHole ma Windows prístupy 89,6%. Takže ako vidíte ohrozené sú všetky tieto počítače čo je 9 z 10. Zaujímavé by bolo zistiť koľko s tých počítačov má firewall, antivírus a antispyware. Podľa zbežných prehľadov ( a ktovie ako veľmi hodnoverných zdrojov) uvádza že zhruba 50% počítačov môže byť použitých útočníkom. Takže rizko 50:50. Už to vyzerá lepšie. V USA
podľa istých prehľadov to je 80:20 takže sme na tom podstatne lepšie. Pokiaľ si chcete overiť svoje pc nech sa páčihttp://network-tools.com/analyze/ bohužiaľ podporuje iba IE (FireFox IE Tab).
No a teraz sa dostávam k pointe, prečo vlastne som sa odhodlal spracovať tieto údaje. Vo WUG sk sa robia rôzne mítingy, nielen MS platforma (naposledy XEN), a security momentálne robia iba český prednášajúci a ľudia majú strach (nie všetci návštevníci sú IT profesne zameraný) tak sa snažím trochu to dať do reálnej podoby. Pretože istým spôsobom sa tieto veci preháňajú. Dôvod? Neviem. Ako som už inde písal o vierohodnosti testov AV (sponzoring) tak tiež mám isté skúsenosti s nadhodnotením rizika útokov.
Podľa mojich skúseností treba dodržať základné pravidlá: 1.) Práva užívateľa majú byť primerané jeho
znalostiam a potrebám. (U nás mam 2 kontá jedno admin a druhé user. S user kontom mam viac práv v AD ako admin !!!) 2.) Software ktorý chráni sieť (AV, Firewall, AntiSpyware) 3.) Prevencia a administrácia (pravidelná kontrola PC dobre nastavenie prístupu.) Je to stručne samozrejme. Pokiaľ chce ísť niekto do hĺbky odporúčam projekt HoneyNet Honeymaju knihu Know Your Enemy 2nd edition poprípade keď si chcete stiahnuť utilitku HoneySnap .

Povodne som sa chcel vrhnut na porovnanie vyhod resp. nevyhod W98 a WNT (2000,XP) no momentalne som sa trochu domotal v log suboroch a clanok prekrocil unosnu medzu na citanie (cca12 A4). Takze som si nasiel temu ktora mozno nie je az taka zaujimava ale je dost uzitocna. Digitalne podpisy.
Jednym zo zakladnych problemov je ich cena( teda vacsinou) a bezny user si malokedy moze dovolit dat rocne cca 20 dolarov. Na druhej strane je mozne tym podpisat dokumenty, emaily a stat sa doveryhodnym. No ja osobne som testoval niekolko Digital ID. Urcite mozem doporucit Thawte (je mozne s toho ziskat PLNOHODNOTNY digitalny podpis po overeni 2 ludmi (v SR Myjava)). I ostatne na bezne domace ci pre malu firmicku su pouzitelne.
No a teraz trochu statistiky, testoval som 6 digital ID ako podpis v emaili (10 emailom (2 statne institucie, 4 firemne emaily, 3 ine (pouzil som svoje konta na domene, azet a yahoo) a 1 banka) Dovod preco statne institucie je kvoli najcastejsej nutnosti mat digitalny podpis pri komunikacii s nimi. Banka tam slo o moj sluzobny email, kontroloval som to az na druhy den, v statnej institucii islo o mvsr a drsr, no a pouzil som znamych a ich firemne emaili (HP, Siemens, T-Com, UPC). Pouzil som svoj email na wug.cz a azet, yahoo ako freemaili. Zaroven som si k azet vytvoril Digital podpis na test. Vysledok nizsie.

Avoco secure2trust je asi najhorsi z tych ktore som testoval, dovod je jednoduchy 2x mi bol odmietnuty z 10 emailov. Zamietnuty bol z mvsr a Siemensu. Islo o 14 dnovy trial kde je mozne podpisat email a word dokumenty. I ked su clenmiMicrosoft Secure IT Alliance posadil som ich na posledne miesto. Cena na jeden rok 19,95 $
My CredentialTM from GeoTrust, Inc. 4. miesto I ked su sucastou VeriSign, ide len o digitalny podpis a jedine mi to vratilo mvsr. Dovod iny to nema, cena na jeden rok 19,95 $.
Aloaha je free digital sign pre email a pdf. Nič viac nic menej. Bez problemov prijaty vsetkymi emailami. 3.miesto si zasluzi len preto ze ako predosle 2 sa dal nainstalovat (priradit iba mailovej schranke od providera, azet ako freemail mi uznali ako nedoveryhodne, s cim v podstate suhlasim vzhladom k registraciam) Velke plus je zdarma a rovnako uznany ako aj GeoTrust (VeriSign)

Posledne 2 podpisy davam na miesta uz len podla ceny, preco tak no jednoducho oba su uznane autority, oba su jeden vydavatel (VeriSign), su digitalne podpisy do emailu a boli bez problemov i pri Azete. Takze si mozete digitalny podpis dat aj k freewebu ak podporuje pop3 a SMTP prenos (to je Outlook Outlook expres ci Thunderbird.

 

Takze finalne:
Priamo VeriSign a to je snad najznamejsia a najvyuzivanejsia certifikacna autorita je mozne stiahnut si 60 dni trial free, inak je cena na jeden rok 19,95 $. A preto ich 2. miesto.
Thawte je vitaz. Je to plnohodnoty osobny digitalny podpis. Nebudete sice vo Web Of Trust ale na to Vam staci navstivit po dohode v Myjave 2 “notarov” Thawte a po overeni ID (Obciansky preukaz) ste uz trusted. Potrebujete overit od oboch aby ste boli spolahlivy a tym sa vyrovna VeriSign platenemu certifikatu. Dalsou vyhodou je ked mate overene ID tak mozete revokovat podpis aj pri zmene emailu. A nemusite vytvarat novy podpis. Vlastna specifikacia od Thawte:thawte’s Personal E-mail Certificate system, in conjunction with the thawte Web of Trust (WOT), is a tried and tested way to secure all e-mail communications. A simple registration process allows you to enjoy the benefits of thawte’s Personal Certification System – absolutely FREE

No a na zaver naco Vam vlastne je digitalny podpis? Nuz po prve lepsie vyzera pri komunikacii s instituciami podpis. A po dalsie budu aj znamy vediet ze je to Vas email.

 

No este jedna institucia je vydavatelom a ja ju pouzivam uz asi rok az rok a pol. Comodo Email certificates je taktiez zdarma a pre biznis klasicky na jeden rok 19,95 $. Bez problemov funguje na googli a mal som ho dlhsi cas kym som zacal minuly rok v marci pouzivat Thawte. Bol som s nim vcelku spokojny.

No potreboval som par veci porobit tak som sa ponahanal po nejakych utilitkach. Takze linky plus strucny koment
Knoppix STD – knoppix STD This distribution is a customized version of Knoppix with an emphasis on information security tools. Hence, Security Tools Distribution. Even though a windows manager is provided, you’ll find most of the tools in STD are command line. Hm pokial sa vam to zda zlozite: RTFM!!!!

PC repair system na USBTo get the PC Repair System system, simply download PCRepairSystem.zip and extract the contents to any USB drive 32 MB or greater. Remove the USB drive from your system and plug it back in. You’re off and running!

 

Ophrack cdThe liveCD cracks passwords automatically, no installation necessary, no admin password necessary (as long as you can boot from CD). Ophcrack is a Windows password cracker based on rainbow tables. It is a very efficient implementation of rainbow tables done by the inventors of the method. It comes with a GTK+ Graphical User Interface and runs on Windows, Mac OS X (Intel CPU) as well as on Linux.

GParted No ked treba partition. A ďalej odporúčam blog r00t4rce linky na HW, security, hack. Tak isto sajtiklifehackerkde je dost materialu pre rozne platformy (MS, *NIX, MAC) free utilitky a podobne.

Redhawk | utorok 27. februára 2007 21:15 | Prečítané: 2300 x

 

Lahky dotyk na security 2. Digitalny podpis

Povodne som sa chcel vrhnut na porovnanie vyhod resp. nevyhod W98 a WNT (2000,XP) no momentalne som sa trochu domotal v log suboroch a clanok prekrocil unosnu medzu na citanie (cca12 A4). Takze som si nasiel temu ktora mozno nie je az taka zaujimava ale je dost uzitocna. Digitalne podpisy.
Jednym zo zakladnych problemov je ich cena( teda vacsinou) a bezny user si malokedy moze dovolit dat rocne cca 20 dolarov. Na druhej strane je mozne tym podpisat dokumenty, emaily a stat sa doveryhodnym. No ja osobne som testoval niekolko Digital ID. Urcite mozem doporucit Thawte (je mozne s toho ziskat PLNOHODNOTNY digitalny podpis po overeni 2 ludmi (v SR Myjava)). I ostatne na bezne domace ci pre malu firmicku su pouzitelne.
No a teraz trochu statistiky, testoval som 6 digital ID ako podpis v emaili (10 emailom (2 statne institucie, 4 firemne emaily, 3 ine (pouzil som svoje konta na domene, azet a yahoo) a 1 banka) Dovod preco statne institucie je kvoli najcastejsej nutnosti mat digitalny podpis pri komunikacii s nimi. Banka tam slo o moj sluzobny email, kontroloval som to az na druhy den, v statnej institucii islo o mvsr a drsr, no a pouzil som znamych a ich firemne emaili (HP, Siemens, T-Com, UPC). Pouzil som svoj email na wug.cz a azet, yahoo ako freemaili. Zaroven som si k azet vytvoril Digital podpis na test. Vysledok nizsie.
Avoco secure2trust je asi najhorsi z tych ktore som testoval, dovod je jednoduchy 2x mi bol odmietnuty z 10 emailov. Zamietnuty bol z mvsr a Siemensu. Islo o 14 dnovy trial kde je mozne podpisat email a word dokumenty. I ked su clenmiMicrosoft Secure IT Alliance posadil som ich na posledne miesto. Cena na jeden rok 19,95 $
My CredentialTM from GeoTrust, Inc. 4. miesto I ked su sucastou VeriSign, ide len o digitalny podpis a jedine mi to vratilo mvsr. Dovod iny to nema, cena na jeden rok 19,95 $.
Aloaha je free digital sign pre email a pdf. Nič viac nic menej. Bez problemov prijaty vsetkymi emailami. 3.miesto si zasluzi len preto ze ako predosle 2 sa dal nainstalovat (priradit iba mailovej schranke od providera, azet ako freemail mi uznali ako nedoveryhodne, s cim v podstate suhlasim vzhladom k registraciam) Velke plus je zdarma a rovnako uznany ako aj GeoTrust (VeriSign)
Posledne 2 podpisy davam na miesta uz len podla ceny, preco tak no jednoducho oba su uznane autority, oba su jeden vydavatel (VeriSign), su digitalne podpisy do emailu a boli bez problemov i pri Azete. Takze si mozete digitalny podpis dat aj k freewebu ak podporuje pop3 a SMTP prenos (to je Outlook Outlook expres ci Thunderbird. Takze finalne:
Priamo VeriSign a to je snad najznamejsia a najvyuzivanejsia certifikacna autorita je mozne stiahnut si 60 dni trial free, inak je cena na jeden rok 19,95 $. A preto ich 2. miesto.
Thawte je vitaz. Je to plnohodnoty osobny digitalny podpis. Nebudete sice vo Web Of Trust ale na to Vam staci navstivit po dohode v Myjave 2 “notarov” Thawte a po overeni ID (Obciansky preukaz) ste uz trusted. Potrebujete overit od oboch aby ste boli spolahlivy a tym sa vyrovna VeriSign platenemu certifikatu. Dalsou vyhodou je ked mate overene ID tak mozete revokovat podpis aj pri zmene emailu. A nemusite vytvarat novy podpis. Vlastna specifikacia od Thawte:thawte’s Personal E-mail Certificate system, in conjunction with the thawte Web of Trust (WOT), is a tried and tested way to secure all e-mail communications. A simple registration process allows you to enjoy the benefits of thawte’s Personal Certification System – absolutely FREE

No a na zaver naco Vam vlastne je digitalny podpis? Nuz po prve lepsie vyzera pri komunikacii s instituciami podpis. A po dalsie budu aj znamy vediet ze je to Vas email.

No este jedna institucia je vydavatelom a ja ju pouzivam uz asi rok az rok a pol. Comodo Email certificates je taktiez zdarma a pre biznis klasicky na jeden rok 19,95 $. Bez problemov funguje na googli a mal som ho dlhsi cas kym som zacal minuly rok v marci pouzivat Thawte. Bol som s nim vcelku spokojny.

Redhawk | piatok 27. apríla 2007 17:59 | Prečítané: 3011 x


 

Ľahký úvod do security 3.: Autentifikácia do systému

Pre upresnenie dnes sa nebudem venovať lokálnej stanici ale prihlasovaniu Klient / Server.

Bežné je prihlásenie užívateľov do systému v doméne či cez VPN. Obe varianty pracujú na princípe klient server a to nasledovným spôsobom:
dopyt “Hi, Its Me”(klient) —> (server) /
/ request “pls authentificate” (server) —> (klient) autentifikuje sa /
/ (odošle Username. password)
 —> request accept (server) /
/ odošle username a access a akceptuje prihlásenie (server)
 —> klient je prihlásený
(Ide o “jednoduché” zhrnutie)

No ako je to z bezpečnosťou? Nuž vždy musí ísť o kryptovanú (šifrovanú) komunikáciu.
Kryptografické prostriedky sú motorom celej bezpečnosti. Hash funkcie ako sha1, autentifikačné kódy HMAC, ako aj protokol SSL musia byť použité správne a implementátor schémy im musí rozumieť.
Napríklad SSL nie je autentifikátor užívateľa, hoci môže autentifikovať užívateľa pomocou cerifikátu X.509, ktorý patrí k technológii PKI a tá nie je veľmi mobilná. SSL teda zabezpečí len dôvernosť pre autentifikátory a data.
Momentálne sa na autentifikáciu užívateľov primárne používajú heslá, preto ich treba obzvlášť chrániť, hlavne ak užívateľ je nedisciplinovaný a musí si pamätať niekoľko hesiel na viaceré systémy. Odhalenie hesla vedie ku kompromitácii celého užívateľa a teda servery by nemali prezentovať heslo užívateľovi. Nevyhnutnosť je preposlať heslo kryptovane (HASH, SSL). Optimálne je heslo posielané s klienta serveru jediný raz a spätné nadviazanie kryptovaného spojenia na základe jednorazového generovaného ID.
Optimálne je nastavenie “silného” hesla. Čo napríklad pri konte MARTIN môže byť v tvare maRt!n48 kde číslo nie je žiadne z dátumu a podobne.
Bohužiaľ väčšina ľudí použije heslo martin123 (alebo martinxyz kde xyz su po sebe iduce číslice). Ďaľším jasne daným špecifikom by malo byť 3x a dosť. Kde nejde o trest smrti ale o uzamknutie konta alebo povedzme zamietnutie daľších pokusov na 15 minút až hodinu.
Pred citlivými operáciami, ako je napríklad zmena hesla, by mal server vyžadovať reautentifikáciu. Keďže pri kompromitácií konta by útočník zmenil údaje a mohol by konto používať a majiteľ by sa k nemu nedostal. Optimálne je zaslať email na adresu sekundárneho mailu (súkromná schránka) ktorá nie je public alebo nie je vydedukovateľná z tvaru užívateľského mena (napr.: meno.priezvisko@firma.sk).
Používať a chrániť autentifikátory, ktoré nahrádzajú heslo v komunikácií klientom/server. Sú to cilivé dáta, ktorých prezradenie môže viesť k neoprávnenému prístupu. Oproti heslám majú výhodu že sú flexibilné (jednorázové). Pri každom kontakte môže byť odovzdavý iný autentifikátor platný pre užívateľa. Heslá sú väčšinou menené len vtedy ak je užívateľ“prinútený”. Netreba zabúdať, že heslo je teoreticky kompromitované pri prvom použití. Optimálne je meniť heslá raz za 30 dní, pri dôležitých kontách (admin) každých 7 dní.
Spoľahlivé nasadenie ktoré má zabrániť kompromitácií nesmie byť ľahko odhaliteľné. Zlým príkladom autentifikácie môže byť autentifikátor pozostávajúci z ID čísla a email adresy v cookie. Autentifikátory často obsahujú identifikátory session a to nestačí, dôležité je aby boli náhodné.
Autentifikátor by mal pozostávať: ID užívateľa, doplňujúce údaje a dodatkové (readonly) údaje. Meno užívateľa je jasné, doplňujúca by mala byť informácia povedzme o IP alebo MAC adrese (pri VPN je odporúčané uzamknúť konto na MAC adresu). A dodatkový údaj, ktorý by bol iba na čítanie je nejaký HASH-ovaný údaj, dodatkové informácie, mali by byť jednoznačne oddelené. Napríklad reťazec usernameaccess, môže byť interpretovaný ako user / nameaccess a nie ako je bežné username / access. Ako oddelovač sa najčastejšie používa ampersand &. Pretože sa predpokladá, že kľúč nie je záškodníkovi známy, nemôže ani pozmeniť obsah autentifikátora.
Ak je na uloženie autentifikátora použíté cookie, je nevyhnutné, aby mal cookie zapnutý príznak secure. Ďalšou možnosťou kam umiestniť autentifikátor je URL. Mnohé servery to tak robia hoci HTTP v. 1.1 to nedoporučuje. Webový prehliadač totiž uloží aktuálnu hodnotu URL (aj s autentifikátorom) do HTTP hlavičky s názvom referer a takúto požiadavku pošle na nový, kliknutý server. Vkladanie Referer položky do HTTP hlavičky je štandardné správanie sa prehliadača a nedá sa vypnúť. Vlastnosť sa často používa v XSS (cross site scripting útokoch). Ďalej odporúčam nepoužívať súborové cookie. Server má možnosť určiť či prehliadač bude držať cookie v pamäti, alebo ho uloží na disk do súboru.
Ukladanie do súboru umožňuje dve hlavné možnosti na zneužitie. Niektoré, “správne” napísané vyhľadávacie programy pri vhodnom dopyte zobrazia obsah súboru s cookie, a tým k získaniu autentifikátorov. Druhá nepríjemnosť spočíva vo verejných prístupových bodoch. V tom prípade, ktokoľvek, kto príde k pc má možnosť prečítať súbor cookies.
Odporúčané je nastaviť timeout autentifikátora ako jeho súčasť (kryptovaný časový údaj). Po uplynutí doby životnosti server, ktorý by prijal ukradnutý autentifikátor, zistiť falzifikát a odmietnuť autorizovať odosielateľa. Ako som uviedol vyššie odporúčam viazať VPN na MAC adresu. Tým sa znižuje možnosť na replay útok keďže by útok musel prebehnúť z toho istého PC alebo musí útočník poznať danú MAC adresu (MAC spoof). Určite neodporúčam viazať na IP keďže môže ísť o IP proxy alebo nemusí mať pevnú IP. Na druhej strane však užívateľ musí použiť to isté PC.

No po dlhsom case som zas pripravoval (a dokoncievam) clanok o security. Vzhladom k casu ktory mi uteka tak som hladal do prednasky nejake zaujimave video (no lenivost ma naucila hladat bocne cesticky) a kedze som potreboval este VM Ware appliance na Back Track tak som snoril a nuchal:-)
Vysledok je nizsie. Len pre neinformovanych pred akym kolvek prevedenych technik je dobre poznat aspon zaklady zakonov tu je predvedeny takzvany eticky hacking, alebo inak povedana bezna security prax pri testovani prelomitelnosti ochran.

To je zatial vsetko a tu su linky:
Offensive Security dema
Offensive Security predviedli za pomoci BT (BackTrack) v ramci etickeho hackingu vzdialene prevzatie PC. Pekne:-)
Security blogy
Ethical Hacker Comunity pokial by to niekoho zaujimalo.

Mimochodom nieco podobne je aj v AT kde je firma X-Soft a ta riesi testy a projekty na security 😉

Redhawk | nedeľa 23. decembra 2007 16:37 | Prečítané: 2494 x


 

Prečo by mal administrátor zapnúť audit?

Windows User Group - Slovak Republic

Politika auditu stanovuje, ktoré bezpečnostné udalosti budú ukládané do logov a následne reportováné správcovi.

Administrátor musí monitorovať bezpečnostné a systémové udalosti v systémoch, protože bez auditu je správca prakticky slepý. Vetšina systémových služieb a procesov, ktoré nie sú interaktivne, zasiela informácie o aktivite len do systémových logov.

 

Typickým príkladom je linuxový démon cron, který je zodpovedný za štartovanie úloh v predefinovanom čase. Pred aplikovaním auditu sa musí správca rozhodnúť, ktoré bezpečnostné udalosti sa musia sledovať. Na Internete nájdete návody, ako zapnúť audit napr. pre  Active Directory s  Windows 2003 môžete využiť návod – HOW TO: Audit Active Directory Objects in Windows Server 2003 http://support.microsoft.com/kb/814595.

Obdobne nájdete návody na zapnutie auditu v iných OS.

doporučené zapnutie auditu na serveroch s W2003 (na serverech i doménových kontroleroch):

•·    Audit Account Logon Events                    | Success, Failure

•·    Audit Account Management            | Success, Failure

•·    Audit Directory Service Access       | Failure

•·    Audit Logon Events                         | Success, Failure

•·    Audit Object Access                        | Failure

•·    Audit Policy Change                        | Success, Failure

•·    Audit Privilege Use                          | Failure

•·    Audit Process Tracking                    | Not Defined

•·    Audit System Events                        | Success, Failure

Zapnutie môže ľahko zahltiť logy Preto byste mali zapínat niekteré druhy auditu iba v nutnosti. Na Windows môže byť zapnutá služba SNMP a WMI pre vzdialený monitoring.

Redhawk | štvrtok 27. novembra 2008 20:51 | Prečítané: 3578 x |
 

Vízia a súčasnosť v narušeniach bezpečnosti

 

Stále rezonujú jednostranné vyhlásenia a obvinenia na útoky hackerov. Problém je však trochu zložitejší. Často pri šírení malwaru či útokoch napomáha ľudská nevedomosť, neznalosť a občas i hlúposť.

Prečo to zhodnotenie? Vezmime  do úvahy základnú vec – programové vybavenie počítačov. Podľa údajov v SR je skoro polovica inštalovaných operačných systémov Windows nelegálnych.

 

To je dôvod, že väčšinou sa neaktualizujú. K tomu používajú užívatelia programy ktoré sú upravené ilegálne. A používajú rôzne generátory kľúčov, patche/cracky (aplikované záplaty ktoré spravia program plne funkčným) alebo už upravené verzie od špeciálnych skupín (FoSi, Razor1911, Deviance a podobne). Množstvo z nich už obsahuje v sebe rootkit, vírus alebo trójskeho koňa. A korunou k tomu býva takto upravený antivírus.

Ďalším prídavkom je dôvera užívateľov. Sociálne inžinierstvo (social engeneering). Lákavý obsah stránok warez, filmy, hry, erotika. Ďalšou časťou sú e-maily. Vtipy, videá prezentácie… Bežný obsah schránok vo firmách. A kto z nás nemá záujem o novinky vo svete? Móda, technika, veda, politika. Relatívne najneškodnejšie sú reťazové správy typu „Infikované ihly na sedadlách MHD, Malá holčička na obrázku má rakovinu mozku. Společnost AOL za každý odeslaný e-mail daruje 5 centů na její operaci” a podobne. Príkladom takéhoto spôsobu šírenia môže byť vírus Nuwar (Tibs, Luder, Tibs, Zhelatin, Nuwar, Mixor). Šíri sa internetom už skoro dva roky.

Povedzme si kto si občas niečo také nevyhľadá či neotvorí taký email? Nuž a tu prichádza šikovnosť „útočníkov”.

Schválne nepoužijem slovo hacker. Pretože napríklad kniha Hackin Knoppix vydavateľstvo Wileys, alebo Linux Server hacks (O´Reilly) nemá s nelegálnou činnosťou nič spoločné.

Ich schopnosť využiť medzery v systémoch, naivitu ľudí, viacúrovňové použitie rôznych nástrojov. Vo väčšine prípadov nastáva súboj správca vs útočník. Ich schopnosti, znalosti a v neposlednom rade peniaze. Zariadenia na ochranu (fyzické aj programové vybavenie) predsa niečo stojí. A za peniaze sa dajú kúpiť aj kvalitné nástroje na útok, bez toho aby bol útočník expert v IT. Stojí to tak 1000 dolárov.

A rozosielanie emailov spoliehajúcich sa na dôveru užívateľov, tak tam to skoro nič nestojí. Pokiaľ si myslíte, že Vám sa to nemôže stať, spravte si test. Je tam 10 otázok a Možnosť odpovedať, či ide o falošnú hlášku, email (phishing) alebo o reálny odkaz banky. Pre zaujímavosť dosiahol som 7/10 (70%) tu je stránka s testom

To je momentálna situácia. Ale ako to vyzerá do budúcnosti.

Budúcnosť vyzerá horšie ako súčastnosť. Mnohé firmy i napriek hrozbám riskujú použitie nevyžiadanej reklamy. Mnohí si chcú privyrobiť a internet je na to skvelým priestorom. A výroba stránky je relatívne jednoduchá a lacná záležitosť. Kompromitácia stránky je práca na pár minút ak som správcaJ a kto mi to dokáže, že som si infikoval kód stránky sám. A niekedy stačí použiť XSS (Cross Site scripting) či injection (injektáž kódu) a cudziu nezabezpečenú stránku si presmerujete kam chcete.

A to veľmi ľahko. Veľa stránok nie je zabezpečených a je ich viac než sa zdá.

Momentálne sa na Slovensku chystá rozšírenie služieb štátnych inštitúcií pre občanov…. A nielen u nás aj v EÚ. Tým pádom sa objaví pole na ktorom sa budú môcť priživiť rôzne firmy (reklama, zoznamy užívateľov a podobne).

Ide len o to aby sa zlepšilo povedomie užívateľov, zabezpečenie počítačov a sietí a hlavne…. chce to hlavne chladnú hlavu.

Na záver niekoľko odkazov na stránky z oblasti bezpečnosti.

http://packetstormsecurity.org

http://www.securityfocus.com

http://spammer.cz

http://viry.cz

http://spyware.cz

http://rootkit.cz

http://www.sac.sk/

http://www.security-portal.cz

http://blogs.securiteam.com/

http://www.ethicalhacker.net

http://sectools.org/

http://redhawk75.ic.cz/pc/security.pdf – moja prednáška Základy bezpečnosti pre WUG SK.

http://www.blackhat.com/ za 4 dni (18.2. začína konferencia BlackHat)

http://www.lifehacker.com Tech tricks, tips and downloads for getting things done.

Redhawk | štvrtok 14. februára 2008 15:54 | Prečítané: 2435 x


Najčastejšie riziká v IT bezpečnosti

Windows User Group - Slovak Republic

Väčšina firiem s snaží v posledných dvoch rokoch zlepšovať bezpečnosť svojich počítačov a sietí.No a pri porušení bezpečnosti často neoprávnene obvinia z útoku „hackerov” alebo administrátora z neschopnosti. Ale je tomu naozaj tak?

Nuž pre zaujímavosť tabuľka príčin rizík pri narušení bezpečnosti:

•1.)    80% zamestnanec

•2.)    12% náhodný útok

•3.)    3% automatizované útoky „na slepo”, botnet siete

•4.)    4,8% cielený útok, tu sú zarátané aj platené útoky na „objednávku”

•5.)    0.2% ostatné

 

Takže ako vidieť nie je všetko ako vyzerá. Ruku na srdce koľko firiem má politiku používania programov? A v koľkých sa to dodržiava? Veď si pozrime iba tie najohrozenejšie aplikácie ako webové prehliadače alebo instant messengery (ICQ či  Skype). Keď ich máte aj ošetríte ich prístup na internet? Poprípade koľko užívateľov má povolené inštalovať programy a koľkí si nosia z domu cd, dvd alebo USB kľúče?  A aké percento z nich má znalosti z problematiky IT? Reštrikcie sú dôležité ale celkom najdôležitejšia je osveta a prevencia.

Veru tak pri týchto podmienkach sa niet čo diviť, že 80% spôsobujú užívatelia. Keďže môžu urobia to.  Ako občas hovorím, hlúposť užívateľa je úmerná jeho právam. A neplatí to, bohužiaľ,  len pre IT.

Druhou najčastejšou príčinou je útok na „slepo” alebo inak povedané náhoda. Nuž užívateľ prehliadal na internete stránku tú a tú alebo si registroval pracovný email niekde na webe. Nuž automaticky sa email alebo iba doména (časť emailovej adresy za zavináčom (@)) dostane na „voľné pole” internetu. A tým aj k potencionálnym cieľom. K tomu sa dá priradiť aj tretí dôvod a to BotNet siete. Tie sú však riadené „autoritou” či už spamermi alebo hackermi ktorý hľadajú možné ciele alebo odrazové body na nelegálnu činnosť.

Prakticky poslednou kapitolou je cielený útok (ostatné útoky môžu patriť do ktorejkoľvek kategórie len neboli identifikované). Ide relatívne o malé percento (necelých 5% čiže asi každý 20 útok je cielený) ale stačí ak si aj doma, ak máte nainštalovaný firewall , pozriete log ohrození. U mňa to je za deň aj do 3000 útokov denne, ktoré sú zastavené. A to je do 150 cielených útokov (ak platí priama úmera). Vo firme to bude rádovo viac, možno v stovkách alebo tisícoch útokov denne.

Takže ako vidieť väčšinou ide o ranu na slepo ale pri tom množstve jeden prienik nie je ktovie čo. A stále sa ochrana počítačov zlepšuje. Neveríte? Nuž podľa štatistík sú zdroje priameho ohrozenia nasledovné, pre porovnanie uvádzam percentá v roku 1998 a 2007:

 

6/2007

•1.)    45% útokov bolo interných. (vedomé i nevedomé útoky užívateľov)

•2.)    55% Internet

 

1/1998

•1.)    10% útokov bolo interných

•2.)    90% Internet

 

Do úvahy sa vzali  narušenia bezpečnosti, zavírenie siete a infiltrácie, ktoré prebehli úspešne. Ako vidieť deje sa niečo neobvyklé, klesá podiel útokov z internetu. Dôvodom môže byť neinformovanosť užívateľov alebo skorumpovanosť J ?

Ďalším pohľadom na narušenie bezpečnosti je podľa najčastejšie použitých / používaných spôsobov narušenia bezpečnosti vo firmách k 6/2007:

 

•1.)    72% Zneužitie/použitie konta zamestnanca

•2.)    12% sniffing (odchytenie údajov)

•3.)    8% brute force attack (takzvaná hrubá sila)

•4.)    5% internet attack (zneužitie botnet siete,DDoS)

•5.)    3% ostatné

 

Tak ako aj tu vidieť najčastejšie ide o zneužitie užívateľa. Ako k tomu môže dôjsť? Nuž niet jednoduchšieho riešenia. Často vidieť na monitoroch či v šuplíkoch stola meno aj heslo užívateľa. Nuž a získať vyššie práva v operačnom systéme nie je problém. Ďalším spôsobom je sociálny inžiniering kde trebárs zavolám do firmy xy a predstavým sa Janko Mrva z IT oddelenia a potrebujem jej niečo upraviť v pc. Nech mi povie kedy končí a ake má prihlasovacie údaje. Hlúposť? Ale kde množstvo ľudí na to naletí. Vcelku krásne som sa pobavil na reklame jednej banky, viac v mojom článku.

http://blackhole.sk/putava-poucna-reklama

poprípade môj zážitok z praxe

http://blackhole.sk/nevzdelanost-vs-hlupost

 

Na zvyšné techniky treba isté skúsenosti a programy a tým sú často doménou skôr cielených útokov. Sniffer odchytí vaše údaje pri prihlásení na „infikovanú stránku” ako trebárs v prípade talianskych stránok kde bol v stránkach kód, ktorý odchytával heslá a posielal na server FastFlux siete.

http://en.wikipedia.org/wiki/Fast_flux

Tieto Botnet siete sa už potom starajú o väčšinu útokov v bode 3, 4 a 5.

Takže ako vidieť niekedy na zníženie zraniteľnosti bezpečnosti v IT by stačilo pár školení užívateľov, ktoré zvládne oddelenie IT, možno unifikované nasadenie programov a ich nastavenia. Zablokovanie stránok, alebo povoľte im iba nutné na prácu či tie ktoré sú „bezpečné”.

Skúste trebárs vašim zamestnancom dať tento test od Microsoftu

http://www.microsoft.com/cze/athome/security/quiz/default.mspx

Čo je čo v článku:

 

Botnet

http://en.wikipedia.org/wiki/Bot_net

– Sieť počítačov riadená centrálnym serverom slúžiaca na rozosielanie spamu alebo iného škodlivého kódu či útokov na cielený server. Bola použitá napr. na útok na stránky SME a TA3

Škodlivý kód – široký pojem často používané aj označenie malware http://sk.wikipedia.org/wiki/Malware

IT – informačné technológie. Počítače a komunikačná technika.

Instant Messenger – komunikačné programy, existuje ich väčšie množstvo najznámejšie sú ICQ, Skype, MSN Messenger, Yahoo(AOL) messenger, Jabber

Hacker – tu vo význame útočník, škodca. Osobne sa však s týmto významom nestotožňujem viac mi sedí ten výraz na pôvodné označenie špecialistu v IT

http://sk.wikipedia.org/wiki/Hacker

Pôvodní hackeri z veľkej časti prispeli k zrodu počítačovej siete Internet či hnutiu slobodného software, ako napr. GNU.

 

PS: Podľa informácie spoločnosti ESET sa rozmnožil červ Win32/Nuwar v podobe Valentínskeho pozdravu. Takže opatrne s otváraním valentínskych príloh. Nuwar vám totiž priradí vaše PC práve do jednej z BotNet sietí.

 

Na stránke Microsoft at Home som našiel pár kvízov som sa pobavil ale návšteva mi oznámila, že veď to je super. No možno to naozaj nie je až taká hlúposť ale zase dosť vecí pozerám ako ITpro nie ako bežný užívateľ a koľko krát ma ani len nenapadne, že to čo je pre mňa bežné pre niekoho nemusí byť a berie to ako španielsku dedinu na ďalekej Sibíri.

No ale zase vcelku pobaví: Na otázku či je všetok spyware „škodlivý” je správna odpoveď v podaní Malého Mäkkého nasledovná:

Na rozdíl od jiných druhů softwaru, které lze dělit na užitečné a škodlivé, spyware lze zařadit do obou kategorií a zároveň do žádné z nich. Kromě škodlivých činností může spyware provádět i legitimní činnosti. Například antivirový program nebo internetová brána firewall, které se spouští bez zásahu uživatele, vyhledávají a blokují nebezpečný software. V jiných případech se služby systému (např. tiskové fronty) mohou spustit na pozadí s omezeným uživatelským rozhraním nebo bez něj, ale mají legitimní účel. Další informace naleznete v dokumentu.

 

27 Av programov na platformu MS ktore sa podla av-comparatives (dot) org hodia pre domacich uzivatelov.

*


Ide o abecedny zoznam cize nie su zoradene podla kvality a podobne. 

*: e.g. over 85% on-demand detection rate, not too many false alarms or crashes, etc.

1 Ahnlab 
– scored under 85%
2 ArcaVir – scored under 85%
3 Avast (Alwil)
4 AVG (Grisoft)
5 AVIRA (AntiVir)
6 BitDefender
7 CA (VET) 
– scored under 85%
8 CounterSpy (Sunbelt)
9 Dr.Web
10 eScan
11 ESET (NOD32)
12 F-Prot
13 F-Secure
14 GDATA (AVK)
15 Kaspersky
16 McAfee
17 Microsoft
18 Norman
19 Panda

20 PC Tools (uses VirusBuster engine)
21 Rising – scored under 85%
22 Sophos 
23Symantec (Norton) 
24 TrendMicro – scored about 87%
25 TrustPort (AEC)
26 VBA32 
– scored under 85%
27 VirusBuster – scored under 85%

Zoznam vacsiny beznych AV rieseni sa da najst na Virus Buletin

 

 

Optimálne je nastavenie “silného” hesla. Čo napríklad pri konte MARTIN môže byť v tvare maRt!n48 kde číslo nie je žiadne z dátumu a podobne.
Bohužiaľ väčšina ľudí použije heslo martin123 (alebo martinxyz kde xyz sú po sebe idúce číslice). Ďalším jasne daným špecifikom by malo byť 3x a dosť. No tu nejde o trest smrti ale o uzamknutie konta alebo povedzme zamietnutie dalších pokusov na 15 minút až hodinu.
Pred citlivými operáciami, ako je napríklad zmena hesla, by mal server vyžadovať reautentifikáciu. Keďže pri kompromitácií konta by útočník zmenil údaje a mohol by konto používať a majiteľ by sa k nemu nedostal. Optimálne je zaslať email na adresu sekundárneho mailu (súkromná schránka) ktorá nie je public alebo nie je vydedukovateľná z tvaru užívateľského mena (napr.: meno.priezvisko@firma.sk).
Používať a chrániť autentifikátory, ktoré nahrádzajú heslo v komunikácií klientom/server. Sú to cilivé dáta, ktorých prezradenie môže viesť k neoprávnenému prístupu. Oproti heslám majú výhodu že sú flexibilné (jednorázové). Pri každom kontakte môže byť odovzdavý iný autentifikátor platný pre užívateľa. Heslá sú väčšinou menené len vtedy ak je užívateľ“prinútený”. Netreba zabúdať, že heslo je teoreticky kompromitované pri prvom použití. Optimálne je meniť heslá raz za 30 dní, pri dôležitých kontách (admin) každých 7 dní.

 

Digitalne podpisy.
Jednym zo zakladnych problemov je ich cena( teda vacsinou) a bezny user si malokedy moze dovolit dat rocne cca 20 dolarov. Na druhej strane je mozne tym podpisat dokumenty, emaily a stat sa doveryhodnym. No ja osobne som testoval niekolko Digital ID. Urcite mozem doporucit Thawte (je mozne s toho ziskat PLNOHODNOTNY digitalny podpis po overeni 2 ludmi (v SR Myjava)). I ostatne na bezne domace ci pre malu firmicku su pouzitelne.

Redhawk | piatok 18. januára 2008 15:36 | Prečítané: 3515 x


 

 

Pridaj komentár

Zadajte svoje údaje, alebo kliknite na ikonu pre prihlásenie:

WordPress.com Logo

Na komentovanie používate váš WordPress.com účet. Odhlásiť sa / Zmeniť )

Twitter picture

Na komentovanie používate váš Twitter účet. Odhlásiť sa / Zmeniť )

Facebook photo

Na komentovanie používate váš Facebook účet. Odhlásiť sa / Zmeniť )

Google+ photo

Na komentovanie používate váš Google+ účet. Odhlásiť sa / Zmeniť )

Connecting to %s