V předchozím sloupci jsem odhalil, jak velká většina počítačových bezpečnostních hrozeb, kterým čelí vaše prostředí, žije na straně klienta a vyžaduje zapojení koncového uživatele. Uživatelé musí být sociálně připraveni kliknout na položku na ploše (e-mail, přílohu souboru, adresu URL nebo aplikaci), kterou by neměli mít. To však neznamená, že skutečně vzdálené exploity nejsou hrozbou. Oni jsou.
[RogerGrimesův sloupec je nyní blog! Získejte nejnovější zprávy o zabezpečení IT z blogu Security Adviser. ]
Přetečení vzdálené vyrovnávací paměti a útoky DoS zůstávají vážnou hrozbou pro počítače pod vaší kontrolou. I když jsou méně rozšířené než útoky na straně klienta, představa, že vzdálený útočník může spustit řadu bajtů proti vašim počítačům, pak získat nad nimi kontrolu, vždy přináší největší strach správcům a zachycuje největší titulky. Ale existují i jiné druhy vzdálených útoků proti naslouchacím službám a démonům.
Rukavice vzdálených exploitů
Mnoho služeb a démonů je vystaveno útokům a odposlechu MitM (muž uprostřed). Příliš mnoho služeb nevyžaduje ověření koncového bodu ani použití šifrování. Díky odposlechu se mohou neoprávněné strany naučit přihlašovací údaje nebo důvěrné informace.
Nevhodné zveřejnění informací je další hrozbou. Vyděsit ty kecy z tebe chce jen malé hackování Google. Přihlašovací údaje najdete v přehledném zobrazení a nebude trvat déle, než najdete skutečné přísně tajné a důvěrné dokumenty.
Mnoho služeb a démonů je často nesprávně nakonfigurováno, což umožňuje anonymní privilegovaný přístup z Internetu. V loňském roce jsem během výuky kurzu hackingu Google našel celou databázi (USA) zdravotního a sociálního zabezpečení státu přístupnou na internetu, nejsou vyžadována přihlašovací údaje. Zahrnovala jména, čísla sociálního zabezpečení, telefonní čísla a adresy - vše, co by zloděj identity potřeboval, aby byl úspěšný.
Mnoho služeb a démonů zůstává neopravených, ale vystavených internetu. Jen minulý týden našel expert na zabezpečení databází David Litchfield stovky až tisíce neopravených databází Microsoft SQL Server a Oracle na internetu nechráněných firewallem. Někteří neměli opravy chyb zabezpečení, které byly opraveny před více než třemi lety. Některé nové operační systémy jsou vědomě vydávány se zastaralými knihovnami a zranitelnými binárními soubory. Můžete si stáhnout každou opravu, kterou prodejce nabízí, a jste stále zneužitelní.
Co můžeš udělat?
* Inventarizujte svou síť a získejte seznam všech poslechových služeb a démonů běžících na každém počítači.
* Zakažte a odeberte nepotřebné služby. Ještě jsem nenaskenoval síť, která nespouštěla spoustu nepotřebných (a často škodlivých nebo alespoň potenciálně nebezpečných) služeb, o kterých tým podpory IT nevěděl.
Začněte s vysoce rizikovými a vysoce hodnotnými aktivy. Pokud služba nebo démon není potřeba, vypněte ji. Pokud máte pochybnosti, prozkoumejte to. Na internetu je zdarma k dispozici spousta užitečných zdrojů a příruček. Pokud nemůžete najít definitivní odpověď, obraťte se na prodejce. Pokud si stále nejste jisti, deaktivujte program a obnovte jej, pokud se něco pokazí.
* Ujistěte se, že jsou všechny vaše systémy plně opravené, OS i aplikace. Tento jediný krok výrazně sníží počet správně nakonfigurovaných služeb, které lze zneužít. Většina správců provádí aplikace patchů OS vynikající práci, ale nedělají tak dobře, aby zajistili opravu aplikací. V tomto konkrétním sloupci se zajímám pouze o opravu aplikací, které spouští poslechové služby.
* Ujistěte se, že zbývající služby a démoni běží v nejméně privilegovaném kontextu. Dny spouštění všech vašich služeb jako administrátor root nebo domény by se měly chýlit ke konci. Vytvářejte a používejte omezenější účty služeb. Ve Windows, pokud musíte použít vysoce privilegovaný účet, použijte místo správce domény LocalSystem. Na rozdíl od všeobecného přesvědčení je spuštění služby pod LocalSystem méně riskantní než její spuštění jako správce domény. LocalSystem nemá heslo, které lze načíst a použít v doménové struktuře služby Active Directory.
* Vyžadujte, aby všechny účty služeb / démonů používaly silná hesla. To znamená dlouhé a / nebo složité - 15 znaků nebo více. Pokud používáte silná hesla, budete je muset měnit méně často a nebudete potřebovat uzamčení účtu (protože hackeři nikdy nebudou úspěšní).
* Google hackněte svou vlastní síť. Zjistit, zda vaše síť vydává citlivé informace, nikdy neuškodí. Jedním z mých oblíbených nástrojů je Foundstone's Site Digger. V podstatě automatizuje hackerský proces Google a přidává mnoho vlastních šeků společnosti Foundstone.
* Nainstalujte služby na nestandardní porty pokud nejsou na výchozích portech nezbytně nutné; toto je jedno z mých oblíbených doporučení. Vložte SSH na něco jiného než na port 22. Dejte RDP na něco jiného než 3389. S výjimkou FTP jsem dokázal provozovat většinu služeb (které veřejnost nepotřebuje) na nestandardních portech, kde hackeři zřídka najít je.
Samozřejmě zvažte testování vaší sítě pomocí skeneru analýzy zranitelnosti, ať už jde o bezplatnou nebo komerční variantu. Existuje mnoho vynikajících, které nacházejí nízko visící ovoce. Nejprve vždy mějte oprávnění pro správu, otestujte mimo pracovní dobu a přijměte riziko, že během kontroly pravděpodobně klepnete na nějakou důležitou službu offline. Pokud jste opravdu paranoidní a chcete projít veřejně odhalenými zranitelnostmi, použijte fuzzer k hledání nezveřejněných explozí nultého dne. Hrál jsem dnes s komerčním (dávejte pozor na testovací centrum kvůli mé kontrole) proti různým bezpečnostním zařízením a fuzzer hledá věci, o kterých tuším, že o nich prodejci nevědí.
A samozřejmě nezapomeňte, že vaše riziko škodlivého zneužití pochází hlavně z útoků na straně klienta.
