Nový Botnet z Ukrajiny
Na internete sa objavil nový botnet, jeho domovská krajina je Ukrajina a najviac sedení je z Ruska. Prekonal 1,9 miliónov zapojených počítačov “užívateľov” a predpoklad je že do konca týždňa ich budú 2 milióny.
Jeho momentálne zapojenie je vrozposielaní spamu (niekto si asi zaplatil slušný balík).
Hlavnou zaujímavosťou že včare bol detekovaný iba 4 antivírmi (z 39) podľa stránky Virus Total.
Obr. Virus total
Zakúpenie ovládacej konzoly je možné z jedného fóra v Rusku. Konzola má meno SENEKA[xxxxxxx].DLL; Zch[xxxxxxxx].exe a pomocou nej môžete čítať emaily na infikovaných PC, používať http na komunikáciu s inými PC. Spúšťať procesy a služby. Injectovať kód do procesov a prezerať web bez vedomia užívateľa. Konzola je registrovaná na infikovanom PC ako skrytá služba na pozadí (API ju nevidí) a umožňuje vykonávať ďaľšie rôzne príkazy.
Obr. Log sťahovaných súborov podľa Joe Security
“Majitelia” botnetu môžu použiť danú sieť vzdialene aj na známe počítače (za použitia remote instalation) na rozširovanie siete, ktorá rastie vyslovene z hodiny na hodinu.
podľa rozsahu IP adries infikovaných PC je momentálne nasledovná štatistika infikovaných PC.
* USA: 45%
* UK: 6%
* Kanada: 4%
* Nemecko: 4%
* Francúzko: 3%
* Ostatné: 38%
Redhawk | piatok 24. apríla 2009 11:02 | Prečítané: 3965 x
Ako podporiť hacknutie PC ?
Aké sú najčastejšie dôvody a spôsoby prieniku do PC užívateľom? Tomu sa venuje blog na Washington Post
Ako som si povšimol, čoraz častejšie sa objavujú seriózne správy o bezpečnosti na internete.
Prekvapil ma, a príjemne, blog na Washington post od Briana Krebsa, ktorý sa seriózne venuje dôvodom a spôsobom rozšírenia hacknutých PC.
Obr. Dôvody útokov na PC
Určite odporúčam prečítať celý blog
Redhawk | pondelok 01. júna 2009 14:45 | Prečítané: 3674 x
Program bezpečnosti vo firme
Každá firma by mala mať nejaký program bezpečnosti IS (informačného systému). Samozrejme pokiaľ nejaký IS má.
V každom informačnom systéme (IS) je nutné nasadiť nejaké bezpečnostné riešenie. Samotná bezpečnosť IS je dynamický proces, ktorý sa vyvýja a mení s rastom či zmenou firemného prostredia a aj napriek snahe vždy bude obsahovať niekoľko slabých miest. Je nutné pokryť bezpečnostnú politiku komplexne v oblasti systémovej aj manažérskej.
Preto sa vypracúva plán na zabezpečenie v dvoch vlnách podľa oblasti pôsobenia.
V bezpečnosti IS poznáme dve oblasti či typy pôsobenia:
1.) Reaktívny typ – kde dochádza k reakcií na incident a dá sa povedať, že i keď je to historický model, stále je potrebný. Ide o reakciu na dej či udalosť, ktorá poškodila už daný IS a následné napravenie chýb alebo odstránenie problému
2.) Proaktívny typ – v ktorom dochádza k vyhodnocovaniu rizík, vykonávaniu predbežných opatrení a k zavádzaniu kontrol. Vytváraniu stratégií a plánov na disaster recovery (obnovu po incidente).
Pre komplexný bezpečnostný program je nutné mať nasledovné:
· Plán firemného IS – dokonalé poznanie vlastného systému a jeho homogénnosť je dosť dôležité pre odhad rizík a slabých miest.
· Analýza a vyhodnotenie rizík – audit IS je nutný aspoň 2x do roka.
· Identifikácia rizikových dát a častí systému – ide o oblasti ktoré by mohli spôsobovať problémy alebo mohli byť zdrojom incidentov
· Presná definícia kľúčových dát a častí IS – je nutné vedieť bez čoho sa neobíde chod firmy, a tiež čo by mohlo najviac poškodiť firmu keby došlo k incidentu.
· Definovať zásady bezpečnosti vo firme
· Vzdelávať zamestnancov
· Plán rozvoja IS
Pokiaľ máte už taký program, treba dbať na jeho aktualizáciu a aplikáciu zmien v ňom aj na základe zistených skutočností počas auditu. Taktiež je nutné stanoviť striktné pravidlá pre prácu mimo objektu firmy či vziať v úvahu zmeny legislatívy, komunikáciu so zmluvnými partnermi, model pracovných postupov zamestnancov (workflow). A to značí, že je nutné zmapovať komplexné toky dát a miesta ich vzniku. Je nutné mať pod dohľadom pripojenia k iným sietiam (LAN či WAN) a tiež je nutné spravovať identity užívateľov a zálohované dáta.
Akonáhle pochopíte a zmapujete procesný model vašej firmy a aplikujete vyššie uvedené informácie, mali by ste byť schopný odhadnúť stav a nutné zmeny v IS. Samozrejme treba brať do úvahy iné oddelenia a tiež záujem manažmentu (a taktiež jeho informovanosť). Pokiaľ je k dispozícií je dobré si pozrieť históriu minulých incidentov a reakcií na ne.
Pokiaľ sa vám to zdá zbytočné, uvediem dva príklady bežného narábania s IS a jeho optimálne riešenie.
Bežný živnostník či jednoosobová firma:
Realita:
IS spočíva v jednom PC (laptop alebo stolné PC) s pripojením na internet. Z 90% tam bude operačný systém (OS) Windows XP spolu s Microsoft Office a ekonomický program na vedenie účtovníctva. Na danom PC podľa všetkého chodia na internet všetci príslušníci domácnosti a fungujú pod jedným účtom s právami administrátora. Dotyčný si občas spravý zálohu údajov na inú partíciu disku či na zapisovateľné médium (CD alebo DVD).
V prípade bezpečnostného incidentu (zavírenie, pád systému, konflikt v OS) často dôjde k reinštalácií OS a novému nainštalovaniu a v prípade že nedošlo k poškodeniu, alebo že záloha existuje, k importu dát do ekonomického programu.
Optimálne riešenie:
IS mať zložený z domáceho a firemného PC poprípade mať externý USB disk či NAS pole na odkladanie údajov.
Na firemnom PC, ktoré by kľudne mohlo byť niekoľko rokov staré (napr. 500 – 1000MHz procesor s 1-2GB Ram, 20GB +40GB pevnými diskami) na ktorom bude bežať OS Windows, Office, ekonomický program a internetové pripojenie (email). Samozrejmosťou by mal byť antivírový program.
Pracovný účet v OS by nemal mať práva administrátora a daný počítač by mal byť zálohovaný a to minimálne dáta s ekonomického programu, emailové správy a poprípade nastavenia systému na iný pevný disk.
Ako vidieť zvýšil by sa počet PC v domácnosti na dva. Na toto však stačí použiť starší počítač a ako vidieť na modeli stačí aj pc s 500MHz procesorom na dané úlohy, ktoré by mal firemný počítač pre malú firmu zvládať.
Firma s 20 zamestnancami a niekoľkými externými spolupracovníkmi.
Realita:
IS je zložený s rôznych pc na rôznych OS (často kombinácia Windows XP, Vista a Windows 7) vačšinou OEM, MS Office rôznych verzií a programov ktoré sú nutné k chodu firmy. Všetky PC sú v skupine WORKGROUP a maximálne majú nastavené zdieľanie priečinkov. Zamestnanci často (skoro vždy J ) používajú účet s administrátorskými právami. Často nebývajú dané PC kontrolované nikým a ako boli zapojené a nastavené dú. Pracovná plocha je plná odkazov a súborov, ktoré sú v priečinku Plocha. Externisti, poprípade zamestnanci ktorí majú home office sa pripájajú do firmy na svoje PC (v horšom prípade na nejaký „všeobecný server”).
Optimálne riešenie:
Zjednotenie OS a programového vybavenia. Vytvorenie „domény” na linuxovom systéme (vzhľadom k relatívne vysokej cene serverových OS na platforme Windows) a vytvorenie file serveru so zálohovaním dát.
VPN klienti by sa pripájali iba k dátam a mohli by používať webmail. Všetky dôležité súčasti by sa zálohovali na file serveri a na plochu dávať iba odkazy na dané súbory. Zároveň môže firma na danom servery prevádzkovať vlastné www stránky.
Je síce pravdou že je nutné postaviť server ale v podstate to zvládne bežný počítač.
Ako vidieť v ukážkových modeloch investícia do IS na zníženie rizík je vcelku minimálna (rastie s množstvom užívateľov, PC a serverov).
Tu uvedené modely sú stavané na menšie firmy z dôvody primárneho zanedbávania danej problematiky a zúženia celej IT bezpečnosti na antivírové riešenie.
Redhawk | nedeľa 16. januára 2011 17:40 | Prečítané: 3532 x
TOP 10 základných chýb administrácie IS
Rozhodol som sa zhrnúť a okomentovať 10 najčastejších problémov v IT, ktoré sa týkajú správy IS (Informačných systémov) a to konkrétne na platforme Microsoftu
(Operačné systémy), kde je správa relatívne jednoduchá a je možné ju robiť vizuálne (zaklikávaním).
Ako však vidieť s článku nie všetky problémy s TOP10 je nutné riešiť s veľkými finančnými nákladmi, často stačí pár drobných zmien.
10.) Nesprávna konfigurácia LAN
Veľmi často sa konfiguruje a/alebo stavia LAN (Local Area Network, lokálna sieť) (jej logická štruktúra) na etapy alebo spôsobom kedy je na “starú” LAN priplácnutý server či iná LAN. Tým vznikajú rôzne diery, neštandardné prepojenia a podobné záležitosti. Pri takejto činnosti sa veľmi často zabúda na množstvo vecí a často je lepšie vytvoriť najprv návrh konsolidácie či finálnu podobu siete a až potom konať. Konfigurácia by mala byť kompaktná a určite by mala byť pri počte 20 a viac PC (Personal Computer, počítač) riešená systémom domény a nie pracovnej skupiny. Najčastejším problémom s ktorým som sa ja stretol bolo používanie nevhodných ACL (Access Control List, zoznam prístupových práv) s dôvodu rôznych OS (Operačný systém) (Windows 98SE, 2000, XP)
9.) Priveľké reštrikcie na kritické servery
Všetkého veľa škodí, hlása jedno ľudové príslovie a v reštrikciách pri serveroch je to platné dvojnásobne.
Je optimálnejšie nastaviť ACL tak, aby každý účet mal len práva ktoré potrebuje ako uplatňovať reštrikcie priamo na systém alebo partície disku. Taktiež sa skoro vôbec nevyužíva uzamknutie serverov, čím sa zamedzí spúšťaniu nových aplikácií a procesov.
Uzamknutie serveru je uzamknutie relacie pomocou GroupPolicy. Následne ma aj administrátor obmedzené práva.
8.) Nevyváženosť prístupových práv
Často ide o nesprávne priradenie užívateľom (administrátorské práva pre manažéra alebo účtovníčku sú zbytočnosťou) alebo nevhodnú segmentáciu LAN. Často ide napríklad o prístup obchodných partnerov do LAN cez VPN (virtual private network) kde po pripojení majú prístup do intranetu a často aj plné práva užívateľa v LAN.
Je vhodné definovať rôzne účty pre LAN a VPN prístup.
7.) Nesprávne zvolená správa IS
Častokrát s ohľadom na financie alebo rozhodnutia “z hora” dochádza k nevhodnému nasadeniu a postaveniu LAN a následne aj k správe. Tento bod sa z veľkej časti týka predosšlých a aj nasledujúcich bodov. Častokrát je to spôsobené aj výmenami administrátorov či používaní rôznych aplikácií tretích strán.
6.) Priveľa aplikácií tretích strán “nutných” k správe.
Pri správe LAN často administrátori používajú aplikácie od tretích strán (PCanywhere, VNC, TeamViewer a pod.) či utility na monitorovanie, ktoré nie sú overené či otestované pred nasadením v ostrej prevádzke. A následne sa potom povoľujú výnimky na uzloch siete či lokálnych staniciach.
5.) Používanie iba základných možností ochrany
Administrátori nemajú často chuť hľadať riešenia ochrany, alebo sa im nechce riešiť dané veci, pokiaľ to nebude nutné. Takže sa používa základná ochrana, antivírový program, antispam na mail, a na vhodných miestach firewall. Málo sa používajú systémy IPS (Intrusion Prevention System) a IDS (Intrusion Detection System) či monitorovanie aplikácií a sieťovej prevádzky externým zariadením alebo softvérom. Taktiež sa používajú aplikácie ktoré sa “osvedčili” v minulosti danému administrátorovi ale nemusia byť vhodné na použitie v danej konfigurácií.
4.) Nevhodné nasadenie antimalware a antivirusového riešenia
Využívanie komplexných riešení od jednej bezpečnostnej firmy nemusí byť to najvhodnejšie riešenie. Taktiež je nutné analyzovať aké procesy na danom mieste bežia a podľa toho nastaviť aj konfiguráciu alebo typ bezpečnostnej aplikácie.
Určite nemá zmysel dávať komplexné riešenie na exchange server (moja skúsenosť MS Exchange 2003 s 230 mailboxami v kombinácií s ESET Smart Security 3). Menej je často viac a vhodnejšie.
3.) Rovnaké heslá pre viac prístupov
Viaceré prístupy s rovnakým heslom alebo rovnaké heslá pri prístupe na server (nie na zariadenia typu prepínač (Switch) alebo smerovač (router)). Týmto vzniká riziko prezradenia prístupových hesiel.
2.) Nesprávna konfigurácia smerovačov a prepínačov
Nepoužívanie filtrovania komunikácie (packet filtering) či portov nedelenie siete do segmentov. To sú len omrvinky ktoré je najčastejšie vidieť. Chýba na daných zariadeniach využívanie ACL či obmedzenie komunikácie na konkrétne servery a ich porty. Triviálne ale účinné riešenie
1.) Nezmenené východzie heslá v sieťových zariadeniach
Zistiť východzie heslá (Default passwords) je veľmi jednoduché ako som to uviedol v jednom starom blogu z 4.1.2008. Tieto heslá často ani nechcú meniť, dôvod je jednoduchý, sú v manuáloch alebo v priloženom letáku k zariadeniu.
Tu neexistuje iná možnosť len to meniť na všetkých zariadeniach a optimálne je robiť to aspoň 1x do roka. Najznámejším prípadom je asi AT&T z roku 1993.
Takže aké je riešenie pre firmy, ktoré si niesú isté stavom LAN a jej bezpečnosti?
Dať si spraviť analýzu siete, odkonzultovať jej výsledky a následne zrealizovať zmeny.
Pokiaľ má firma schopného IT manažéra mal by byť schopný danú analýzu spraviť aj sám s pomocou svojho týmu.
Redhawk | nedeľa 31. októbra 2010 08:49 | Prečítané: 1788 x
RedHawk's space 