V predchádzajúcom stĺpci som odhalil, ako veľká väčšina počítačových bezpečnostných hrozieb, ktorým čelí vaše prostredie, žije na strane klienta a vyžaduje zapojenie koncového používateľa. Používatelia musia byť sociálne pripravení tak, aby klikli na položku na pracovnej ploche (e-mail, príloha súboru, adresa URL alebo aplikácia), ktorú by nemali mať. To však neznamená, že skutočne vzdialené zneužitia nie sú hrozbou. Oni sú.
[RogerGrimesov stĺpec je teraz blogom! Získajte najnovšie správy o bezpečnosti IT z blogu Security Adviser. ]
Vzdialené pretečenie medzipamäte a útoky DoS zostávajú vážnou hrozbou pre počítače pod vašou kontrolou. Aj keď sú menej rozšírené ako útoky na strane klienta, predstava, že vzdialený útočník môže spustiť sériu bajtov proti vašim počítačom, potom nad nimi získa kontrolu, vždy prináša administrátorom najväčší strach a zachytáva najväčšie titulky. Existujú ale aj iné druhy vzdialených útokov proti posluchovým službám a démonom.
Rukavica diaľkových exploitov
Mnoho služieb a démonov je vystavených útokom MitM (muž v prostriedku) a odpočúvaním. Príliš veľa služieb nevyžaduje autentifikáciu koncového bodu ani šifrovanie. Vďaka odpočúvaniu sa môžu neoprávnené strany dozvedieť prihlasovacie údaje alebo dôverné informácie.
Nevhodné zverejnenie informácií je ďalšou hrozbou. Na to, aby ste z nich vystrašili kecy, stačí len malé hacknutie Googlom. Prihlasovacie údaje nájdete v jednoduchom zobrazení a nebude to trvať dlho, kým nenájdete skutočné prísne tajné a dôverné dokumenty.
Mnoho služieb a démonov je často nesprávne nakonfigurovaných, čo umožňuje anonymný privilegovaný prístup z Internetu. Minulý rok som počas výučby triedy o hackerstve Google našiel celú databázu zdravotného a sociálneho zabezpečenia v štáte USA, ktorá je prístupná na internete, nie sú potrebné prihlasovacie údaje. Zahŕňala mená, čísla sociálneho zabezpečenia, telefónne čísla a adresy - všetko, čo by zlodej identity potreboval, aby bol úspešný.
Mnoho služieb a démonov zostáva neopravených, ale vystavených internetu. Len minulý týždeň našiel expert na bezpečnosť databáz David Litchfield stovky až tisíce neopravených databáz Microsoft SQL Server a Oracle na internete nechránených firewallom. Niektoré nemali opravy chýb zabezpečenia, ktoré boli opravené pred viac ako tromi rokmi. Niektoré nové operačné systémy sú vedome vydávané so zastaralými knižnicami a zraniteľnými binárnymi súbormi. Môžete si stiahnuť každú opravu, ktorú predajca ponúka, a ste stále zneužiteľní.
Čo môžeš urobiť?
* Inventarizujte svoju sieť a získate zoznam všetkých posluchových služieb a démonov bežiacich na každom počítači.
* Zakážte a odstráňte nepotrebné služby. Ešte som nenaskenoval sieť, ktorá nespúšťala tony nepotrebných (a často škodlivých alebo aspoň potenciálne nebezpečných) služieb, o ktorých tím podpory IT nevedel.
Začnite s rizikovými a vysoko hodnotnými aktívami. Ak služba alebo démon nie je potrebný, vypnite ju. Ak máte pochybnosti, preskúmajte to. Na internete je zadarmo k dispozícii množstvo užitočných zdrojov a príručiek. Ak nenájdete definitívnu odpoveď, kontaktujte predajcu. Ak si stále nie ste istí, deaktivujte program a obnovte ho, ak sa niečo pokazí.
* Uistite sa, že všetky vaše systémy sú úplne opravené, OS aj aplikácie. Tento jediný krok výrazne zníži počet správne nakonfigurovaných služieb, ktoré je možné využívať. Väčšina správcov robí aplikácie opráv OS dobre, ale nerobia tak dobre, aby zabezpečili opravy aplikácií. V tomto konkrétnom stĺpci sa zaoberám iba opravou aplikácií, ktoré spúšťajú služby počúvania.
* Zaistite, aby zostávajúce služby a démoni bežali v najmenej privilegovanom kontexte. Dni prevádzkovania všetkých vašich služieb ako administrátora root alebo domény by sa mali chýliť ku koncu. Vytvárajte a používajte obmedzenejšie účty služieb. Ak vo Windows musíte používať vysoko privilegované konto, namiesto správcu domény použite LocalSystem. Napriek všeobecnej viere je spustenie služby v rámci LocalSystem menej riskantné ako spustenie ako administrátor domény. LocalSystem nemá heslo, ktoré by bolo možné získať a použiť v celej doménovej štruktúre služby Active Directory.
* Vyžadujte, aby všetky účty služieb / démonov používali silné heslá. To znamená dlhé a / alebo zložité - 15 znakov alebo viac. Ak používate silné heslá, budete ich musieť meniť menej často a nebudete potrebovať zablokovanie účtu (pretože hackeri nikdy nebudú úspešní).
* Google hacknite svoju vlastnú sieť. Zistiť, či vaša sieť vydáva citlivé informácie, nikdy nezaškodí. Jedným z mojich obľúbených nástrojov je Foundstone's Site Digger. V zásade automatizuje hackerský proces Google a pridáva mnoho vlastných kontrol Foundstone.
* Nainštalujte služby na iné ako predvolené porty ak nie sú na predvolených portoch nevyhnutne potrebné; toto je jedno z mojich obľúbených odporúčaní. Dajte SSH na niečo iné ako port 22. Dajte RDP na niečo iné ako 3389. S výnimkou FTP som dokázal spustiť väčšinu služieb (ktoré široká verejnosť nepotrebuje) na neštandardných portoch, kde hackeri zriedka Nájdi ich.
Zvážte samozrejme testovanie svojej siete skenerom na analýzu zraniteľností, či už bezplatnou alebo komerčnou odrodou. Existuje veľa vynikajúcich, ktoré nachádzajú nízko visiace ovocie. Vždy najskôr získajte povolenie na správu, otestujte mimo pracovnú dobu a prijmite riziko, že počas kontroly pravdepodobne zrazíte niektorú dôležitú službu offline. Ak ste skutočne paranoidní a chcete prekonať verejne zverejnené chyby zabezpečenia, pomocou fuzzera vyhľadajte nezverejnené možnosti zneužitia nultého dňa. V dnešnej dobe som hral s komerčným (dávajte pozor na testovacie centrum kvôli mojej kontrole) proti rôznym bezpečnostným zariadeniam a fuzzer hľadá veci, o ktorých tuším, že o nich predajcovia nevedia.
A samozrejme nezabudnite, že vaše riziko škodlivého zneužitia pochádza hlavne z útokov na strane klienta.
