Zaštitite se od vanjskih prijetnji

U prethodnoj kolumni otkrio sam kako velika većina prijetnji računalne sigurnosti s kojima se suočava vaše okruženje živi na strani klijenta i zahtijeva sudjelovanje krajnjeg korisnika. Korisnici moraju biti društveno dizajnirani da kliknu stavku na radnoj površini (e-poštu, privitak datoteke, URL ili aplikaciju) koju ne bi trebali imati. To ne znači da istinski udaljeni eksploati ne predstavljaju prijetnju. Oni su.

[ Kolumna Rogera Grimesa sada je blog! Doznajte najnovije vijesti o IT sigurnosti s bloga Security Adviser. ]

Daljinsko prelijevanje međuspremnika i DoS napadi ostaju ozbiljna prijetnja računalima pod vašom kontrolom. Iako su manje rašireni od napada na strani klijenta, ideja da daljinski napadač može pokrenuti niz bajtova protiv vaših računala, a zatim steći kontrolu nad njima uvijek donosi najveći strah administratorima i hvata najveće naslove. Ali postoje i druge vrste daljinskih napada na usluge slušanja i demone.

Rukavica udaljenih iskorištavanja

Mnoge usluge i demoni podložni su MitM (čovjek u sredini) napadima i prisluškivanju. Previše usluga ne zahtijeva autentifikaciju krajnje točke ili upotrebu šifriranja. Uz prisluškivanje, neovlaštene strane mogu naučiti vjerodajnice za prijavu ili povjerljive podatke.

Neprikladno otkrivanje informacija još je jedna prijetnja. Potrebno je samo malo Googleova hakiranja da vas uplaši. Vjerodajnice za prijavu pronaći ćete u običnom prikazu i neće proći još puno vremena prije nego što pronađete prave strogo povjerljive i povjerljive dokumente.

Mnoge usluge i demoni često su pogrešno konfigurirani, što omogućuje anonimni privilegirani pristup s Interneta. Prošle godine dok sam predavao na Googleovom hakiranju, otkrio sam da je cijela (američka) baza podataka o zdravlju i socijalnoj skrbi dostupna na Internetu, a nisu potrebne vjerodajnice za prijavu. Sadržavala je imena, brojeve socijalnog osiguranja, telefonske brojeve i adrese - sve što bi lopov identiteta trebao biti uspješan.

Mnogo usluga i demona ostaje neotkriveno, ali izloženo Internetu. Samo prošli tjedan, stručnjak za sigurnost baza podataka David Litchfield pronašao je stotine do tisuće nepakiranih baza podataka Microsoft SQL Server i Oracle na Internetu nezaštićene vatrozidom. Neki nisu imali zakrpe za ranjivosti koje su ispravljene prije više od tri godine. Neki novi operativni sustavi svjesno se izdaju s zastarjelim knjižnicama i ranjivim binarnim datotekama. Možete preuzeti svaku zakrpu koju dobavljač nudi i još uvijek možete iskoristiti.

Što možeš učiniti?

* Popisite mrežu i pronađite popis svih usluga slušanja i demona pokrenutih na svakom računalu. 

* Onemogućite i uklonite nepotrebne usluge. Još nisam skenirao mrežu koja nije koristila tone nepotrebnih (i često zlonamjernih ili barem potencijalno opasnih) usluga za koje tim za IT podršku nije znao.

Započnite s rizičnom imovinom i vrijednom imovinom. Ako usluga ili demon nisu potrebni, isključite ih. Ako sumnjate, istražite ga. Puno je korisnih izvora i vodiča koji su besplatno dostupni na Internetu. Ako ne možete pronaći konačan odgovor, kontaktirajte dobavljača. Ako još uvijek niste sigurni, onemogućite program i vratite ga ako nešto završi pokvareno.

* Provjerite jesu li svi vaši sustavi u potpunosti zakrpani, i OS i programi. Ovaj jedan korak značajno će smanjiti broj pravilno konfiguriranih usluga koje se mogu iskoristiti. Većina administratora izvrsno radi s primjenom OS zakrpa, ali im to ne ide od ruke pazeći da su aplikacije zakrpane. U ovoj posebnoj kolumni brinu me samo aplikacije za krpanje koje pokreću usluge slušanja.

* Provjerite rade li preostale usluge i demoni u najmanje privilegiranom kontekstu. Dani pokretanja svih vaših usluga kao administrator računala ili domene trebali bi se približiti kraju. Stvorite i koristite ograničene račune usluga. Ako u sustavu Windows morate koristiti visoko privilegirani račun, umjesto administratora domene idite na LocalSystem. Suprotno uvriježenom mišljenju, pokretanje usluge pod LocalSystemom manje je rizično od pokretanja kao administratora domene. LocalSystem nema lozinku koja se može dohvatiti i koristiti kroz šumu Active Directory.

* Zahtijevajte da svi računi usluga / demona koriste jake lozinke. To znači dugo i / ili složeno - 15 znakova ili više. Ako upotrebljavate jake lozinke, morat ćete ih mijenjati rjeđe i neće vam trebati zaključavanje računa (jer hakeri nikad neće uspjeti).

* Google-hakirajte vlastitu mrežu. Nikad ne boli saznati objavljuje li vaša mreža osjetljive podatke. Jedan od mojih omiljenih alata je Foundstoneov kopač web stranica. U osnovi automatizira postupak hakiranja Googlea i dodaje mnoge vlastite čekove tvrtke Foundstone.

* Instalirajte usluge na neslužbene portove ako nisu prijeko potrebni na zadanim lukama; ovo mi je jedna od najdražih preporuka. Stavite SSH na nešto drugo osim na port 22. Stavite RDP na nešto drugo osim 3389. S izuzetkom FTP-a, uspio sam pokrenuti većinu usluga (koje nisu potrebne široj javnosti) na neslužbenim lukama, gdje hakeri rijetko Nađi ih.

Naravno, razmislite o testiranju mreže pomoću skenera za analizu ranjivosti, bilo besplatnog ili komercijalnog. Mnogo je izvrsnih koji pronalaze slabo visi voće. Uvijek prvo imajte dozvolu za upravljanje, testirajte izvan radnog vremena i prihvatite rizik da ćete tijekom skeniranja vjerojatno isključiti neku važnu uslugu izvan mreže. Ako ste doista paranoični i želite proći javno objavljene ranjivosti, upotrijebite raspršivač da potražite neobjavljene exploite nultih dana. Ovih sam se dana igrao s komercijalnim (pripazite na Test Center radi pregleda) protiv raznih sigurnosnih uređaja, a fuzer pronalazi stvari za koje sumnjam da dobavljači ne znaju.

I naravno, ne zaboravite da rizik od zlonamjernih iskorištavanja uglavnom dolazi od napada na strani klijenta.