Blogy z môjho pôsobenia na WUG Slovakia – bezpečnosť
Lahky dotyk na securityTakže dnes som ukončil štatistický prehľad rizika napadnutia počítačov podľa OS (operačných systémov). Ide o jednu časť článku. Ako človek pracujúci v enterprise prostredí a tým pádom pracujúci na svojom “piesočku” stále spravujem niekoľko menších sietí. Väčšina týchto malých (do 45 PC) sietí beží na OS Windows. Servery sú Windows XP alebo Windows 2000, ktorý už nie je podporovaný MS takže žiadne záplaty ani updaty. Väčšina s firiem (66,6%) čiže tretina je rozpočtoviek a tým pádom sa snažia šetriť kde sa dá a tým pádom nemajú na nákup it. Takže sú ohrozenejšie niekedy viac ako domáce počítače vzhľadom k tomu, že majú iba freeware zabezpečenie. Pre vysvetlenie nedostali financie na nákup AV riešenia. Povodne som sa chcel vrhnut na porovnanie vyhod resp. nevyhod W98 a WNT (2000,XP) no momentalne som sa trochu domotal v log suboroch a clanok prekrocil unosnu medzu na citanie (cca12 A4). Takze som si nasiel temu ktora mozno nie je az taka zaujimava ale je dost uzitocna. Digitalne podpisy. Avoco secure2trust je asi najhorsi z tych ktore som testoval, dovod je jednoduchy 2x mi bol odmietnuty z 10 emailov. Zamietnuty bol z mvsr a Siemensu. Islo o 14 dnovy trial kde je mozne podpisat email a word dokumenty. I ked su clenmiMicrosoft Secure IT Alliance posadil som ich na posledne miesto. Cena na jeden rok 19,95 $ Posledne 2 podpisy davam na miesta uz len podla ceny, preco tak no jednoducho oba su uznane autority, oba su jeden vydavatel (VeriSign), su digitalne podpisy do emailu a boli bez problemov i pri Azete. Takze si mozete digitalny podpis dat aj k freewebu ak podporuje pop3 a SMTP prenos (to je Outlook Outlook expres ci Thunderbird.
Takze finalne: No a na zaver naco Vam vlastne je digitalny podpis? Nuz po prve lepsie vyzera pri komunikacii s instituciami podpis. A po dalsie budu aj znamy vediet ze je to Vas email.
No este jedna institucia je vydavatelom a ja ju pouzivam uz asi rok az rok a pol. Comodo Email certificates je taktiez zdarma a pre biznis klasicky na jeden rok 19,95 $. Bez problemov funguje na googli a mal som ho dlhsi cas kym som zacal minuly rok v marci pouzivat Thawte. Bol som s nim vcelku spokojny. No potreboval som par veci porobit tak som sa ponahanal po nejakych utilitkach. Takze linky plus strucny koment PC repair system na USBTo get the PC Repair System system, simply download PCRepairSystem.zip and extract the contents to any USB drive 32 MB or greater. Remove the USB drive from your system and plug it back in. You’re off and running!
Ophrack cdThe liveCD cracks passwords automatically, no installation necessary, no admin password necessary (as long as you can boot from CD). Ophcrack is a Windows password cracker based on rainbow tables. It is a very efficient implementation of rainbow tables done by the inventors of the method. It comes with a GTK+ Graphical User Interface and runs on Windows, Mac OS X (Intel CPU) as well as on Linux. GParted No ked treba partition. A ďalej odporúčam blog r00t4rce linky na HW, security, hack. Tak isto sajtiklifehackerkde je dost materialu pre rozne platformy (MS, *NIX, MAC) free utilitky a podobne. |
Redhawk | utorok 27. februára 2007 21:15 | Prečítané: 2300 x |
Lahky dotyk na security 2. Digitalny podpisPovodne som sa chcel vrhnut na porovnanie vyhod resp. nevyhod W98 a WNT (2000,XP) no momentalne som sa trochu domotal v log suboroch a clanok prekrocil unosnu medzu na citanie (cca12 A4). Takze som si nasiel temu ktora mozno nie je az taka zaujimava ale je dost uzitocna. Digitalne podpisy. No a na zaver naco Vam vlastne je digitalny podpis? Nuz po prve lepsie vyzera pri komunikacii s instituciami podpis. A po dalsie budu aj znamy vediet ze je to Vas email. No este jedna institucia je vydavatelom a ja ju pouzivam uz asi rok az rok a pol. Comodo Email certificates je taktiez zdarma a pre biznis klasicky na jeden rok 19,95 $. Bez problemov funguje na googli a mal som ho dlhsi cas kym som zacal minuly rok v marci pouzivat Thawte. Bol som s nim vcelku spokojny. |
||
Redhawk | piatok 27. apríla 2007 17:59 | Prečítané: 3011 x
|
Vízia a súčasnosť v narušeniach bezpečnosti
Stále rezonujú jednostranné vyhlásenia a obvinenia na útoky hackerov. Problém je však trochu zložitejší. Často pri šírení malwaru či útokoch napomáha ľudská nevedomosť, neznalosť a občas i hlúposť.
Prečo to zhodnotenie? Vezmime do úvahy základnú vec – programové vybavenie počítačov. Podľa údajov v SR je skoro polovica inštalovaných operačných systémov Windows nelegálnych.
To je dôvod, že väčšinou sa neaktualizujú. K tomu používajú užívatelia programy ktoré sú upravené ilegálne. A používajú rôzne generátory kľúčov, patche/cracky (aplikované záplaty ktoré spravia program plne funkčným) alebo už upravené verzie od špeciálnych skupín (FoSi, Razor1911, Deviance a podobne). Množstvo z nich už obsahuje v sebe rootkit, vírus alebo trójskeho koňa. A korunou k tomu býva takto upravený antivírus.
Ďalším prídavkom je dôvera užívateľov. Sociálne inžinierstvo (social engeneering). Lákavý obsah stránok warez, filmy, hry, erotika. Ďalšou časťou sú e-maily. Vtipy, videá prezentácie… Bežný obsah schránok vo firmách. A kto z nás nemá záujem o novinky vo svete? Móda, technika, veda, politika. Relatívne najneškodnejšie sú reťazové správy typu „Infikované ihly na sedadlách MHD, Malá holčička na obrázku má rakovinu mozku. Společnost AOL za každý odeslaný e-mail daruje 5 centů na její operaci” a podobne. Príkladom takéhoto spôsobu šírenia môže byť vírus Nuwar (Tibs, Luder, Tibs, Zhelatin, Nuwar, Mixor). Šíri sa internetom už skoro dva roky.
Povedzme si kto si občas niečo také nevyhľadá či neotvorí taký email? Nuž a tu prichádza šikovnosť „útočníkov”.
Schválne nepoužijem slovo hacker. Pretože napríklad kniha Hackin Knoppix vydavateľstvo Wileys, alebo Linux Server hacks (O´Reilly) nemá s nelegálnou činnosťou nič spoločné.
Ich schopnosť využiť medzery v systémoch, naivitu ľudí, viacúrovňové použitie rôznych nástrojov. Vo väčšine prípadov nastáva súboj správca vs útočník. Ich schopnosti, znalosti a v neposlednom rade peniaze. Zariadenia na ochranu (fyzické aj programové vybavenie) predsa niečo stojí. A za peniaze sa dajú kúpiť aj kvalitné nástroje na útok, bez toho aby bol útočník expert v IT. Stojí to tak 1000 dolárov.
A rozosielanie emailov spoliehajúcich sa na dôveru užívateľov, tak tam to skoro nič nestojí. Pokiaľ si myslíte, že Vám sa to nemôže stať, spravte si test. Je tam 10 otázok a Možnosť odpovedať, či ide o falošnú hlášku, email (phishing) alebo o reálny odkaz banky. Pre zaujímavosť dosiahol som 7/10 (70%) tu je stránka s testom
To je momentálna situácia. Ale ako to vyzerá do budúcnosti.
Budúcnosť vyzerá horšie ako súčastnosť. Mnohé firmy i napriek hrozbám riskujú použitie nevyžiadanej reklamy. Mnohí si chcú privyrobiť a internet je na to skvelým priestorom. A výroba stránky je relatívne jednoduchá a lacná záležitosť. Kompromitácia stránky je práca na pár minút ak som správcaJ a kto mi to dokáže, že som si infikoval kód stránky sám. A niekedy stačí použiť XSS (Cross Site scripting) či injection (injektáž kódu) a cudziu nezabezpečenú stránku si presmerujete kam chcete.
A to veľmi ľahko. Veľa stránok nie je zabezpečených a je ich viac než sa zdá.
Momentálne sa na Slovensku chystá rozšírenie služieb štátnych inštitúcií pre občanov…. A nielen u nás aj v EÚ. Tým pádom sa objaví pole na ktorom sa budú môcť priživiť rôzne firmy (reklama, zoznamy užívateľov a podobne).
Ide len o to aby sa zlepšilo povedomie užívateľov, zabezpečenie počítačov a sietí a hlavne…. chce to hlavne chladnú hlavu.
Na záver niekoľko odkazov na stránky z oblasti bezpečnosti.
http://packetstormsecurity.org
http://redhawk75.ic.cz/pc/security.pdf – moja prednáška Základy bezpečnosti pre WUG SK.
http://www.blackhat.com/ za 4 dni (18.2. začína konferencia BlackHat)
http://www.lifehacker.com Tech tricks, tips and downloads for getting things done.
Redhawk | štvrtok 14. februára 2008 15:54 | Prečítané: 2435 x
Najčastejšie riziká v IT bezpečnosti
Väčšina firiem s snaží v posledných dvoch rokoch zlepšovať bezpečnosť svojich počítačov a sietí.No a pri porušení bezpečnosti často neoprávnene obvinia z útoku „hackerov” alebo administrátora z neschopnosti. Ale je tomu naozaj tak?
Nuž pre zaujímavosť tabuľka príčin rizík pri narušení bezpečnosti:
•1.) 80% zamestnanec
•2.) 12% náhodný útok
•3.) 3% automatizované útoky „na slepo”, botnet siete
•4.) 4,8% cielený útok, tu sú zarátané aj platené útoky na „objednávku”
•5.) 0.2% ostatné
Takže ako vidieť nie je všetko ako vyzerá. Ruku na srdce koľko firiem má politiku používania programov? A v koľkých sa to dodržiava? Veď si pozrime iba tie najohrozenejšie aplikácie ako webové prehliadače alebo instant messengery (ICQ či Skype). Keď ich máte aj ošetríte ich prístup na internet? Poprípade koľko užívateľov má povolené inštalovať programy a koľkí si nosia z domu cd, dvd alebo USB kľúče? A aké percento z nich má znalosti z problematiky IT? Reštrikcie sú dôležité ale celkom najdôležitejšia je osveta a prevencia.
Veru tak pri týchto podmienkach sa niet čo diviť, že 80% spôsobujú užívatelia. Keďže môžu urobia to. Ako občas hovorím, hlúposť užívateľa je úmerná jeho právam. A neplatí to, bohužiaľ, len pre IT.
Druhou najčastejšou príčinou je útok na „slepo” alebo inak povedané náhoda. Nuž užívateľ prehliadal na internete stránku tú a tú alebo si registroval pracovný email niekde na webe. Nuž automaticky sa email alebo iba doména (časť emailovej adresy za zavináčom (@)) dostane na „voľné pole” internetu. A tým aj k potencionálnym cieľom. K tomu sa dá priradiť aj tretí dôvod a to BotNet siete. Tie sú však riadené „autoritou” či už spamermi alebo hackermi ktorý hľadajú možné ciele alebo odrazové body na nelegálnu činnosť.
Prakticky poslednou kapitolou je cielený útok (ostatné útoky môžu patriť do ktorejkoľvek kategórie len neboli identifikované). Ide relatívne o malé percento (necelých 5% čiže asi každý 20 útok je cielený) ale stačí ak si aj doma, ak máte nainštalovaný firewall , pozriete log ohrození. U mňa to je za deň aj do 3000 útokov denne, ktoré sú zastavené. A to je do 150 cielených útokov (ak platí priama úmera). Vo firme to bude rádovo viac, možno v stovkách alebo tisícoch útokov denne.
Takže ako vidieť väčšinou ide o ranu na slepo ale pri tom množstve jeden prienik nie je ktovie čo. A stále sa ochrana počítačov zlepšuje. Neveríte? Nuž podľa štatistík sú zdroje priameho ohrozenia nasledovné, pre porovnanie uvádzam percentá v roku 1998 a 2007:
6/2007
•1.) 45% útokov bolo interných. (vedomé i nevedomé útoky užívateľov)
•2.) 55% Internet
1/1998
•1.) 10% útokov bolo interných
•2.) 90% Internet
Do úvahy sa vzali narušenia bezpečnosti, zavírenie siete a infiltrácie, ktoré prebehli úspešne. Ako vidieť deje sa niečo neobvyklé, klesá podiel útokov z internetu. Dôvodom môže byť neinformovanosť užívateľov alebo skorumpovanosť J ?
Ďalším pohľadom na narušenie bezpečnosti je podľa najčastejšie použitých / používaných spôsobov narušenia bezpečnosti vo firmách k 6/2007:
•1.) 72% Zneužitie/použitie konta zamestnanca
•2.) 12% sniffing (odchytenie údajov)
•3.) 8% brute force attack (takzvaná hrubá sila)
•4.) 5% internet attack (zneužitie botnet siete,DDoS)
•5.) 3% ostatné
Tak ako aj tu vidieť najčastejšie ide o zneužitie užívateľa. Ako k tomu môže dôjsť? Nuž niet jednoduchšieho riešenia. Často vidieť na monitoroch či v šuplíkoch stola meno aj heslo užívateľa. Nuž a získať vyššie práva v operačnom systéme nie je problém. Ďalším spôsobom je sociálny inžiniering kde trebárs zavolám do firmy xy a predstavým sa Janko Mrva z IT oddelenia a potrebujem jej niečo upraviť v pc. Nech mi povie kedy končí a ake má prihlasovacie údaje. Hlúposť? Ale kde množstvo ľudí na to naletí. Vcelku krásne som sa pobavil na reklame jednej banky, viac v mojom článku.
http://blackhole.sk/putava-poucna-reklama
poprípade môj zážitok z praxe
http://blackhole.sk/nevzdelanost-vs-hlupost
Na zvyšné techniky treba isté skúsenosti a programy a tým sú často doménou skôr cielených útokov. Sniffer odchytí vaše údaje pri prihlásení na „infikovanú stránku” ako trebárs v prípade talianskych stránok kde bol v stránkach kód, ktorý odchytával heslá a posielal na server FastFlux siete.
http://en.wikipedia.org/wiki/Fast_flux
Tieto Botnet siete sa už potom starajú o väčšinu útokov v bode 3, 4 a 5.
Takže ako vidieť niekedy na zníženie zraniteľnosti bezpečnosti v IT by stačilo pár školení užívateľov, ktoré zvládne oddelenie IT, možno unifikované nasadenie programov a ich nastavenia. Zablokovanie stránok, alebo povoľte im iba nutné na prácu či tie ktoré sú „bezpečné”.
Skúste trebárs vašim zamestnancom dať tento test od Microsoftu
http://www.microsoft.com/cze/athome/security/quiz/default.mspx
Čo je čo v článku:
Botnet
http://en.wikipedia.org/wiki/Bot_net
– Sieť počítačov riadená centrálnym serverom slúžiaca na rozosielanie spamu alebo iného škodlivého kódu či útokov na cielený server. Bola použitá napr. na útok na stránky SME a TA3
Škodlivý kód – široký pojem často používané aj označenie malware http://sk.wikipedia.org/wiki/Malware
IT – informačné technológie. Počítače a komunikačná technika.
Instant Messenger – komunikačné programy, existuje ich väčšie množstvo najznámejšie sú ICQ, Skype, MSN Messenger, Yahoo(AOL) messenger, Jabber
Hacker – tu vo význame útočník, škodca. Osobne sa však s týmto významom nestotožňujem viac mi sedí ten výraz na pôvodné označenie špecialistu v IT
http://sk.wikipedia.org/wiki/Hacker
Pôvodní hackeri z veľkej časti prispeli k zrodu počítačovej siete Internet či hnutiu slobodného software, ako napr. GNU.
PS: Podľa informácie spoločnosti ESET sa rozmnožil červ Win32/Nuwar v podobe Valentínskeho pozdravu. Takže opatrne s otváraním valentínskych príloh. Nuwar vám totiž priradí vaše PC práve do jednej z BotNet sietí.
Na stránke Microsoft at Home som našiel pár kvízov som sa pobavil ale návšteva mi oznámila, že veď to je super. No možno to naozaj nie je až taká hlúposť ale zase dosť vecí pozerám ako ITpro nie ako bežný užívateľ a koľko krát ma ani len nenapadne, že to čo je pre mňa bežné pre niekoho nemusí byť a berie to ako španielsku dedinu na ďalekej Sibíri.
No ale zase vcelku pobaví: Na otázku či je všetok spyware „škodlivý” je správna odpoveď v podaní Malého Mäkkého nasledovná:
Na rozdíl od jiných druhů softwaru, které lze dělit na užitečné a škodlivé, spyware lze zařadit do obou kategorií a zároveň do žádné z nich. Kromě škodlivých činností může spyware provádět i legitimní činnosti. Například antivirový program nebo internetová brána firewall, které se spouští bez zásahu uživatele, vyhledávají a blokují nebezpečný software. V jiných případech se služby systému (např. tiskové fronty) mohou spustit na pozadí s omezeným uživatelským rozhraním nebo bez něj, ale mají legitimní účel. Další informace naleznete v dokumentu.
27 Av programov na platformu MS ktore sa podla av-comparatives (dot) org hodia pre domacich uzivatelov.
*
Ide o abecedny zoznam cize nie su zoradene podla kvality a podobne.
*: e.g. over 85% on-demand detection rate, not too many false alarms or crashes, etc.
1 Ahnlab – scored under 85%
2 ArcaVir – scored under 85%
3 Avast (Alwil)
4 AVG (Grisoft)
5 AVIRA (AntiVir)
6 BitDefender
7 CA (VET) – scored under 85%
8 CounterSpy (Sunbelt)
9 Dr.Web
10 eScan
11 ESET (NOD32)
12 F-Prot
13 F-Secure
14 GDATA (AVK)
15 Kaspersky
16 McAfee
17 Microsoft
18 Norman
19 Panda
20 PC Tools (uses VirusBuster engine)
21 Rising – scored under 85%
22 Sophos
23Symantec (Norton)
24 TrendMicro – scored about 87%
25 TrustPort (AEC)
26 VBA32 – scored under 85%
27 VirusBuster – scored under 85%
Zoznam vacsiny beznych AV rieseni sa da najst na Virus Buletin
Optimálne je nastavenie “silného” hesla. Čo napríklad pri konte MARTIN môže byť v tvare maRt!n48 kde číslo nie je žiadne z dátumu a podobne.
Bohužiaľ väčšina ľudí použije heslo martin123 (alebo martinxyz kde xyz sú po sebe idúce číslice). Ďalším jasne daným špecifikom by malo byť 3x a dosť. No tu nejde o trest smrti ale o uzamknutie konta alebo povedzme zamietnutie dalších pokusov na 15 minút až hodinu.
Pred citlivými operáciami, ako je napríklad zmena hesla, by mal server vyžadovať reautentifikáciu. Keďže pri kompromitácií konta by útočník zmenil údaje a mohol by konto používať a majiteľ by sa k nemu nedostal. Optimálne je zaslať email na adresu sekundárneho mailu (súkromná schránka) ktorá nie je public alebo nie je vydedukovateľná z tvaru užívateľského mena (napr.: meno.priezvisko@firma.sk).
Používať a chrániť autentifikátory, ktoré nahrádzajú heslo v komunikácií klientom/server. Sú to cilivé dáta, ktorých prezradenie môže viesť k neoprávnenému prístupu. Oproti heslám majú výhodu že sú flexibilné (jednorázové). Pri každom kontakte môže byť odovzdavý iný autentifikátor platný pre užívateľa. Heslá sú väčšinou menené len vtedy ak je užívateľ“prinútený”. Netreba zabúdať, že heslo je teoreticky kompromitované pri prvom použití. Optimálne je meniť heslá raz za 30 dní, pri dôležitých kontách (admin) každých 7 dní.
Digitalne podpisy.
Jednym zo zakladnych problemov je ich cena( teda vacsinou) a bezny user si malokedy moze dovolit dat rocne cca 20 dolarov. Na druhej strane je mozne tym podpisat dokumenty, emaily a stat sa doveryhodnym. No ja osobne som testoval niekolko Digital ID. Urcite mozem doporucit Thawte (je mozne s toho ziskat PLNOHODNOTNY digitalny podpis po overeni 2 ludmi (v SR Myjava)). I ostatne na bezne domace ci pre malu firmicku su pouzitelne.
Redhawk | piatok 18. januára 2008 15:36 | Prečítané: 3515 x