The Need of Security Metrics

I have a strong believe that everyone needs security metrics. Imagine a case when all information security activities are outsourced. Will you define SLA and implement some metrics to ensure that contractor provides efficient service? Certainly! But what is the big difference when there is no outsourcing?

Here are other reasons for information security metrics implementation:

• You can not improve what you do not measure.
• In many cases just the fact of measurements (and making them visible) leads to improvement.
• You usually have limited resources, so they should be used efficiently. Metrics could be used to ensure this efficiency.
• Metrics can help justification of information security budget.
• Lastly - this is a classic tool of time management, when you firstly define your targets, KPIs etc. and then align your activity with them.
  

And here starts the difficult part - which metrics to implement. Share your experience!

Change Default SSHD Port Number In Mac OS X

I wanted to configure a sshd on my home Mac recently to be able to access it remotely and decided to follow best practice and change port from default value 22/tcp, which is quite an easy task to do on any *nix system.

It turned out that Apple changed service startup process in Mac OS X 10.4 (Tiger) to what is called launchd. So you may guess that changing port number in /etc/sshd_config didn't help and there was no /etc/inetd.conf or xinetd equivalent. At this point it became more interesting.

Finally I've come to the following procedure:

• Add a new service to the /etc/services file. I've called it ssh-NNNN, where NNNN is desired port number (this name is not a requirement and is only for clarity). So I've got a new line like:
  

  ssh-NNNN NNNN/tcp

  in /etc/services.

• Find a file named ssh.plist in /System/Library/LaunchDaemons. In this file find the following text:
  

  <key>SockServiceName</key>
  <string>ssh</string>

  and change ssh to a new service name ssh-NNNN.

• That's it. Now just start or restart SSH service from the System Preferences. Also, don't forget to open required port on the firewall (I leave this up to you)!

Friday Fun - Change Management

Анализ журналов кеширующего сервера

Проведен небольшой анализ недельных журналов работы кеширующего сервера (proxy). Результаты "обнадеживают": примерно 7% серверов, к которым обращаются пользователи, являются кандидатами на блокирование. В свете последних новостей, в число внешних сайтов представляющих угрозу для компьютеров пользователей, попадают рекламные сети. Методы, использованные в процессе анализа, позволяют, кроме выделения почтовых сайтов, форумов и т.д., детектировать, в том числе, банерные сети.
Отчет о проделаной работе.
Приложение к отчету.
В ближайшее время будет опубликован результат анализа журналов за 4 месяца.

Complexity Of Vulnerabilities

It is interesting to see that, although attacks and system vulnerabilities get more and more complicated, we still see obvious and simple problems with well-known protocols and software:

Domain-name issue could aid eavesdroppers

SANS Top20

SANS issued an updated version of their annual Top20 security risks list. Interesting part is the summary, outlining changes and trends. You may have guessed - shift from server-targeted attacks to client-targeted attacks. Botnets. No new "global" network worms. Increase in web vulnerabilities.

Full report is definitely worth reading:
SANS Top20
2007 Press Release

Subverted search sites lead to massive malware attack in progress

Well, this is something clever! Tactics is to use some legitimate site (a search engine) to point you to a malicious site, thus playing on your trust. Moreover, using legitimate site that is often visited makes the attack more efficient. This is not something completely new. See Spammers feeling lucky with Google, for example.

Read ComputerWorld article:
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9049269&intsrc=news_ts_head

Passive Fingerprinting by IDS

In a classical situation security administrator needs to deploy: IDS to match signatures against network traffic and send alerts to operator’s console, VA scanner to find vulnerable hosts in network, and correlation mechanism which should somehow collate information about discovered vulnerabilities with triggered IDS’ events and make a decision whether the event is important or not and automatically adjust event’s severity.

Keeping in mind that IDS monitors all traffic between two hosts I don’t understand why commercial IDSs don’t perform passive OS fingerprinting. In my opinion IDS fingerprinting could be even more accurate than that of an active scanner, due to IDS' ability to analyze actual interactions between systems.

Let me summarize some parameters that IDS can check to figure out what OS is used (more information is available below):

• TTL,
• DF bit,
• TCP Window Size,
• TOS,
• TCP ISN,
• clock skews (if RFC1323 is supported),
• Protocols used (OSI level 5 or higher),
• …

and, finally, history of successful attacks. If IDS can see whether attack was successful or not it can guess not only OS but also version of compromised service.

I saw this idea realized in snortpf but it is still absent in commercial products. The main advantage of such NIDS behaviour is that it can decide by itself whether matched signature is important or not, for example, when it sees DCOM Remote Activate BO attack against Linux.

If implemented appropriately, it should be possible for administrator to correct IDS’ assumptions, which will allow correction of system’s misinterpretations.

It is not a secret that a huge number of false positives is the biggest IDS’ disadvantage. To my mind, IDS passive fingerprinting would significantly reduce “noise” in IDS logs.

More information:

• Remote physical device fingerprinting
• Passive Fingerprinting or KYE: Passive Fingerprinting
• ICMP Usage in Scanning
• Remote OS Detection using TCP/IP Fingerprinting (2nd Generation)
• p0f

User Roles in SAP R/3

I’ve been reviewing a number of projects with SAP R/3 in a company I work for and found what seems to be a very big mistake in user rights planning and implementation. I raised this many times but still have no response from our ‘SAP gurus’, probably because their main task is to finish project and move on or maybe because they’re not experienced enough. I don’t know and it’s not my headache, but I think that the problem I’m going to explain is obvious.

The thing is that each project produces a number of roles, and authorizations (piece of privileges) are spread over these roles. During a test phase these roles are tested either by user without additional roles or by user with roles from the same project. I haven’t seen anybody testing roles from one project together with roles from different project. Unfortunately, SAP has weird system of authorizations – there are authorizations to access Objects, to perform Actions (transactions, programs) etc. So, to perform an action upon an object through specified transaction you have to have authorization for Action and for Object. To deny this action it’s enough not to have privileges for Action or for Object.

When a user has a number of roles, authorizations in these roles are added together, and in the end it’s possible for user to gain more capabilities than she should have. Maybe it is hard to understand, but it is really possible in SAP if you have, for example, authorization for Object in one role and authorization for Action in another.

We may significantly reduce the probability of such ‘authorization summation’ by adding each authorization into role manually but it’s very time-consuming. It’s much more easer to build role from menu or use other automated role-generation tools. If we were too lazy to create roles manually we could test all combination of roles to fix ‘authorization summation’ issue. But it would be very difficult!

Well, I see the only solution in this case – make one role for one user. I know this is not what SAP recommends (I attended "CA940: SAP R/3 Application Security Concept"), but in complicated environment where there are thousands of users and thousands of roles from different projects, to my mind, it is the only solution. This strategy can withstand the following common issues:

• authorization summation – you need to test only one role for one user;
• some employees do more than specified in their job description, and in this case you just add authorizations into one role for that user. To my mind, it’s more secure than add whole additional role never being tested in combination with others that user already has;
• you get more flexibility: if roles in project were developed in connection with organizational structure they wouldn’t fit when organization's structure changes. In "one role–one user" situation – just add new authorizations for users that changed their positions.

The only bad thing here – it is more difficult to quickly finish new projects…

Five Simple Rules of Client Security Proved in Practice

Several days ago I helped friend of mine install Windows XP Professional on his home computer. I made default installation of XP SP2 and created two users with default options – these accounts were created with administrator rights.

After that he made a contract with local Internet provider and plugged into the Internet. My friend had admired by the Internet up to depth of his soul, – he was very happy to be able to visit internet sites at home.

But two days latter he phoned me complaining that his new computer had become very slow and he sees a lot of prompters from Kaspersky AV telling him that his computer is infected with malware. I should mention that he has 30-days evaluation version of Kaspersky with old virus base.

I downloaded latest CureIT and went to my friend’s place. But when I came I found that all my attempts to log on to Windows immediately ended with logging off. I found a number of materials about malware that change HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon subkey and decided that problem was in that. Then I made a BartPE CD and loaded from it. I found that C:\Windows\System32\Userinit.exe simply absent. I copied it from I386 directory of XP installation CD. After that I decided to look at HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. I loaded offline registry and I found two suspicious programs that start from C:\Windows\system32 and C:\Windows\Temp. Unfortunately I don’t remember exact names but I have been assured, that they can be deleted safely. Finally, I started CureIT against whole C:. Remember, it was three days old XP SP2 installation, so C: didn’t contain much data. It ended with more that 50 different malware found! Mainly they were Trojans. I know that some malware block AV updates by editing C:\WINDOWS\system32\drivers\etc\hosts file so I decided to check it too. Well, I hadn’t mistaken – I commented 35 rows of well-known update services including Microsoft Windows update, Symantec Live update, etc.

After that long process of getting rid of viruses, assuming that my friend will not buy antivirus so computer will not be protected with AV and also he will not update Windows because it takes too much Internet traffic that costs money I wrote for him 5 simple rules that should help him to stay somehow protected against Internet threats. Here they are.

1. Do not surf the Internet with admin rights. Very simple – if you catch something, it won’t destroy your system, just your profile.
2. Do not use IE. Since you don’t update your Windows, IE is not updated as well. Use Firefox – it’s free and seems more secure.
3. If browser asks you something, read this carefully and only after this make your decision. If you feel lazy and don’t want to read – answer ‘No’.
4. Try to avoid unknown sites. I know that it’s difficult, – that’s why I said ‘try’.
5. Do not install plug-ins. Even if everything is OK with your browser core you still can be successfully attacked through plug-is. See, for example, page 7 here.

Additionally, it’s good idea to download CureIT and run test periodically, for example, once a week.

Inside myself I was very frightened because I don’t have AV on my home computer, my XP has only SP2 and no other patches and my wife like the Internet very much. The only defense I have – five above rules.

When I came home I ran CureIT against C:. I was very happy with result – ‘No viruses found’. I think it does really prove that 5 rules are working. Don’t misunderstand me, I don’t assert that we don’t need to use AV and install patches, no, but these rules are good trade-off.

More On Malware - Trojan.Bayrob

Wow, this is really worrisome, sophisticated, targeted and (I think) effective attack: Trojan.Bayrob Strikes Again! A mix of social engineering and advanced malware.

Mac Malware

We've been expecting this for a long time, and at last Mac OS X trojan was found in the wild by a security research company Intego. OSX.RSPlug.A (name of the trojan) is a simple one and was hosted by several pornographic web sites. It requires user interaction - disguises itself as a multimedia codec installer and asks for admin password, so nothing new in terms of technology. Welcome to real world, mac users :).

Also in Macworld.

UPD: SANS ISC, SecurityFocus

UPD: Symantec Security Response Blog:

Symantec Security Response has also confirmed this, and added detection for the threat as OSX.RSPlug.A. It appears that the Mac is becoming popular enough that the "bad guys" think it is worth spending time and effort in developing malware for the Mac OS. If we see a rise in Mac malware, then we will have to assume that there are profits to be made in malware for Macs as well. Stay tuned.

NIST Issued Information Systems Risk Management Draft

The National Institute of Standards and Technology has issued SP-800-39, "Managing Risk from Information Systems: An Organizational Perspective."
Comments on this draft are accepted until December 14, 2007.

Терроризм? Какой терроризм?

Понятие "терроризм" прочно вошло в нашу жизнь. И характеризуется это не столько частыми терактами, сколько тенденцией называть терроризмом все подряд. Апофигеем этого была (случайно) подслушанная за обедом фраза "...врезалась в столб и загорелась машина, иномарка. Но не крутая, так что я не думаю что это теракт...". Такими темпами мы скоро терроризмом будем называть все подряд. Подорожало масло? - это просто террористы заразили крупный рогатый скот птичьим гриппом.

А если серьезно, то такая тенденция объясняется достаточно просто. Кому это выгодно? Хорошенько припугнув с помощью масс медиа население терроризмом, можно под это дело выделять огромные бюджеты, делать борьбу с терроризмом лозунгом политической кампании, принимать авторитарные законы. Именно это и происходит сейчас в США, России и, без сомнения, в целом ряде других стран. А тем временем от сердечных приступов и автокатастроф гибнет ежегодно на несколько порядков больше людей, чем от терроризма. Есть над чем задуматься...

Standard of Good Practice Updated

Information Security Forum released updated "Standard of Good Practice". It is aligned with ISO 27000 series and provides excellent guidelines. More information here.

The Other Side Of Compliance

Yesterday I was thinking about Big Brother and privacy… It is proved historically that systems like ECHELON won’t have success mainly because even if was possible to collect and store such amount of data, it’s tremendously difficult to analyze this data or somehow use it.

I asked myself: ‘What can I do if I still need to collect, store and use this data?’ The answer was obvious – let’s a collect and store data not in one central place, but in place of origination. To my mind, it’s really easier to process a number of small databases than one huge database.

How government agencies can force companies store desired amount of data for desired period of time and process that data in predefined way? The answer is obvious again – let’s make a number of regulations and make everybody comply with them.

Finally, special agency with power to take collected records – that’s all I would have needed.

So, what are the pros and cons?

Pros:

• No need to employ staff who will support huge DB, the will be ‘outsourced’.
• No need to store somewhere that DB, and I don’t need to invent systems to collect the data.
• ….
• Well, nothing is required – just write standard to comply with.

Cons:

• No ability to correlate data between Companies to see general picture… But it isn’t 100% so.

The Computer Virus Story Starts Over Again

Very nice. It seems like we have good old problems with obfuscating/mutating malicious code, now in VBScript/JavaScript: SANS: Anti Virus industry and VBScript/JavaScript detection. OK, what about mutating macro viruses, Windows PowerShell viruses, etc.? Looks like we are playing the game over and over again. Antivirus software needs code normalization capability for every possible malicious code environment.

Security Is Business

Infosecurity Moscow has finished. I have to say if you have not attended the conference you lost nothing. Most interesting thing that I found there are friends for live conversation.

Everybody is trying to stick a label on their products with a precious word "security". You could find there a traffic analyzer, rebuilt for security needs; most secure document workflow system; a boy who was trying to sell sniffer that can recover passwords from broadcast segment; companies, known to nobody, which have the magic word on their advertisement.

Known security firms are trying again and again to sell their products to us - new, fully rewritten version of antivirus, new IDS system with a new glossy interface, new security scanner (after re-branding). So many conference sessions made by people who are just managers and sales. They can not answer any single question, which was not mentioned in the presentation.

It seems like nobody can make good identity management system, because it is complex. Nobody can make real log management system with good analysis engine, because it is hard. Nobody can give you advise, because it is their know-how.

I am attending Infosecurity Moscow again next year, but only for networking with friends.

Can You Prove An Axiom?

Several days ago I spent a lot of time and effort trying to convince my system administrators that it’s not possible to change computer account’s password in MS Active Directory 2003 using nmap. Their main argument was that Microsoft Premium Support’s consultant said that it is possible!

Well, I posted this as joke but I would never think, that it can concern me directly. Of course, there were smart guys that realized words: “nmap is port scanning tool that doesn’t try to guess password”, so thanks a lot to them, but it’s really pity that I was ought to spend time and nerves to prove this axiom not only to highly-skilled administrators, but also to Microsoft Premium Support’s consultant. It’s very sad truth, and unfortunately I see no future with such IT.

Does Spam Still Work?

I got a spam message recently. There was nothing unusual about it, just plain stock scam:


Then I wondered if such schemes really work and checked price on Tuesday - it was up from (as correctly mentioned in the message) $0.1 to $0.155, which is 55%. Image is not very good, but the trend is clear (image from Yahoo! Finance):


Anyone want to guess what will happen next? It is also notable that there was increase in the number of transactions with these shares couple of days before the spam message.

Take care.

When Cyber Security Meets Physical Security

Cyber security and physical security are very interdependent. For example, most of the time having physical access to some server means having full access. But more concerns to emerge - sometimes subtle and dangerous. See the excellent point from the SANS ISC Diary: Pen Testing - Dangerous side effects?

Will We Ever Learn?

http://www.theregister.co.uk/2007/09/17/vista_hit_by_stoned_angelina/

"A batch of laptops pre-installed with Windows Vista Home Premium was found to have been infected with a 13-year-old boot sector virus."

(Also in Russian). Are we looped and doomed to discover "good old" vulnerabilities (remember beta versions of Vista?) and viruses over and over again? I guess the number of signatures in modern antivirus software became so huge that antivirus vendors are getting rid of old viruses to decrease the size and improve speed.

Project Management Fun

Classical picture, found here:

PIN-Protected Flash Drive

I got my Corsair Flash Padlock yesterday and had some time to play with the beast a little. I didn't expect any silver-bullet type of thing and it provided exactly the features I expected.
Remember Schneier's five-step risk analysis process (presented in Beyond Fear, and also described here, for example)? Second step is "What are the risks to the assets?". To determine whether the device would fit your purposes it is essential to understand who are you protecting your data against. You cannot expect any device without high-grade encryption (proven algorithm, strong password etc. - most of us know encryption is hard to implement properly) to provide any protection against determined attacker. Even with encryption, there are myriad of ways to attack the system - from shoulder-surfing to keyboard sniffers and "thermorectal cryptanalysis" (in Russian). But what about ordinary, non-corporate user? I'm sure in most cases people would worry about accidental disclosure of their private information rather than a determined (neighbor?) that will be able to disassemble the device and access data directly.

On the positive side authentication is performed in hardware and the device is platform independent and does not require installation of any software on the computer to use - meaning also no administrative rights are required for operation.

Conclusion
Affordable price, ease of use and platform independence makes the Corsair Flash Padlock nice option, as long as you understand the limitations. Basically, data is not encrypted on the flash memory and adequate protection is provided only against accidental loss and unskilled attacker. It is certainly a step in the right direction.

Additional Links
http://www.corsairmemory.com/products/padlock.aspx
http://www.corsair.com/_appnotes/AN701_Padlock_USB_Flash_Drive_08212007.pdf
http://www.schneier.com/blog/archives/2007/08/padlocked_flash.html
http://www.clevx.com/datalock.html

Пословицы и правда жизни: кто на чьих ошибках учится

Умный - учится на своих ошибках,
Глупый - не учится вообще.

Грустные мысли: эффект отсутствующей плитки.

Суть проблемы заключается в том, что, к сожалению, внимание людей обладает потрясающей способностью замечать негатив, а положительное – с большим трудом.

Представьте себе помещение, идеально выложенное кафельной плиткой, прекрасно подобрана палитра цветов, идеально обработаны швы. Но вот вы увидели, что одной плитки не хватает и в ее отсутствие зияет темная дыра, в которую просматривается стена с элементами былой краски, штукатурки и прочих строительных материалов свидетельствующих о долгой и насыщенной истории данного помещения. Согласитесь, что после этого мысли о том, как хорошо и красиво все сделано куда-то пропадают….

Более того, под влиянием подобного ничтожного недочета люди, как правило, не только перестают восхищаться хорошим результатом, а напротив, начинают находить еще более мелкие огрехи, совокупная масса которых приводит к кардинальному изменению мнения о проделанной работе. К нашему общему несчастью, мораль такова, что ничтожная ложка дегтя не просто может, а, практически точно испортит бочку меда.

Это 100% работает и в случае проектов. Минимальный прокол способен свести на нет колоссальный труд, полностью переориентировать недавних союзников и они, подобно сорбенту будут собирать и аккумулировать всю грязь, которую только можно найти. Негатив, подобно снежному кому будет накатываться, угрожая гибелью проекту.

Несомненно – это еще одно из человеческих предубеждений, но именно это и влияет на принятие решений, а рациональный подход, к сожалению, опаздывает.

Влияние человеческих предубеждений на принятие решений прекрасно описано в эссе Брюса Шнайера Психология безопасности.

Fun

http://thesource.ofallevil.com

MTBH

There are a lot of abbreviations in use in IT and IT Security - it's not bad and it's not good, it's just a fact. I was thinking of introducing a new one - MTBH.

One can encounter a lot of "holy wars" between lovers of this or that operating system, and for the unprepared user it is always hard to anticipate any opinion, because there are a whole bunch of factors that are presented and being discussed. Here I propose the (yet) hypothetical factor that can help to choose a desktop operating system - Mean Time Between Helpdesk Calls (MTBH).

Besides usability (which is hard to measure, by the way), it is important for end user that his/her personal computer does not require much maintenance and does not cause much trouble. Do you remember last time you did "virus cleaning exercise" for some friend or relative? When considering corporations - they are also interested in minimizing support/operational costs and would prefer software (you can include office or other software in such evaluation as well) with big MTBH. This would result in integral factor, depending on ease of use, reliability, stability and resistance to various computer threats out of the box.

That being said, I don't argue that market share in the desktop operating systems will dramatically change anytime soon, but to be sure that you use optimal solution you need unbiased criteria when going through the selection process, and MTBH (when we manage to measure it) may become one of them.

Анализ журналов кеширующего сервера

Проведено небольшой анализ журналов работы кеширующего сервера (proxy).
Результаты обнадеживают: примерно 7% серверов, к которым обращаются пользователи, являются кандидатами на блокирование. В свете последних новостей, в число внешних сайтов представляющих угрозу для компьютеров пользователей, попадают рекламные сети. Методы, использованные в процессе анализа, позволяют, кроме выделения почтовых сайтов, форумов и т.д., детектировать, в том числе, банерные сети.
Отчет о проделаной работе.
Приложение к отчету.

Browser security

Recently I mentioned here (unfortunately available only in Russian) that number of discovered vulnerabilities does not indicate level of security. It is a rather strange assertion that Windows is more secure than Linux because it has less discovered faults during specified period of time than Linux.
Here are facts that show that situation actually is reverse.

On figure 6 we can see charts for Remote code execution vulnerabilities in IE, Firefox and Opera. Using Microsoft's logic IE should be safer... But unfortunately things are not so simple - see figure 7. If the idea is not obvious - read text between these figures:

... As shown in Figure 7, these input URLs that resulted in a 0.5735% of successful compromises of Internet Explorer 6 SP2 did not cause a single successful attack on Firefox 1.5.0 or Opera 8.0.0...

Awareness training: misleading applications.

There are materials (Misleading Applications: faking left, running right, Misleading Applications – What you need to know, KYE: Malicious Web Servers and others) about client security. IT and IT security can fight against such threats on infrastructure level (Web filtering - URL/Content/Category, Anti-virus/-malware/-spyware/-crimeware/etc.) but unfortunately it's not enough because new attack technologies trend to target people as the weakest link in the chain of security countermeasures using social engineering. New kind of such deceiving software - misleading applications - is not exception.

In this short post I outline some very simple rules that can help ordinary people to protect themselves and significantly lower risk of being attacked via Internet clients:

• Control your patch level and patch level of your antivirus.
• Do not visit unknown sites.
• Do not believe unknown sites. If site tries to persuade to install something that will do you good, consult with your IT/IT security. Do not install software from the Internet.
• Do not open e-mails you don’t expect or from somebody you don’t know. Do not open attachments or click links in such e-mails.
• Switch off unneeded functionality in client. For example, if you don’t need JavaScript, disable it in your browser.
• Do not start Internet clients (browser, e-mail client, IM client, etc.) with admin privileges
  
• Be paranoid, If you feel suspicion do not hesitate to contact your IT/IT-security.

Does The Quantitative Risk Analysis Suck?

To clarify the issue right off, I am considering information security risk analysis here. Although some of the aspects may be applicable to other areas of risk analysis and management, it is not a purpose of the article to cover them.

What are the practical benefits of risk analysis?
Most of us think that risk analysis is useful, but what do we mean by that? What are the practical benefits of spending your time on the task of risk analysis? I would outline these two major benefits:

• Risk analysis results allow to justify the spending on the information security programme.
• Risk analysis results help prioritize the information security efforts.

To understand whether some risk analysis method is adequate means to me assessment if it can accomplish these goals. Please also note, that good risk analysis method should not only comply with the goals, but also yield correct and reproducible results, which leads to the next section:

Can we trust the results?
Quantitative risk analysis results depend on the method used and correctness of the source data. Most risk analysis methodologies are based on the formula of:

ALE = SLE * ARO

(ALE - Annualized Loss Expectancy, SLE - Single Loss Expectancy, ARO - Annualized Rate of Occurrence). Therefore, to get correct (and reproducible) results we need to:

• Correctly identify list of threats to the system (as overall risk is the sum of the individual risks). This step is required both for quantitative and qualitative risk analysis.
  
• Correctly assess the probabilities (ARO) and impact (SLE) for each threat.

It does not matter whether you try to calculate SLE from other formulas, like:

SLE = AV * EF

(AV - Asset Value, EF - Exposure Factor). Now you have to deal with another unknown value that is hard to quantify - Exposure Factor.

We know several industries that are based upon risk assessment - insurance and financial institutions being among them. Most of them assess risks based on statistical data (several hundred of years of statistical data exist in insurance industry) and extensive theories. Do we have these in IT security? I don't know any of them and may only guess that most of the time these numbers are expert opinions. Keeping this in mind, can you get results that can be acted upon?

Various methodologies
Given unreliable source data it is obvious that it does not matter what risk assessment methodology you use (here, I mean not the process, but the formulas). I think that basically what methodology can give you is who should be involved in the process, how it should be organized, what documents to produce, how to structure and simplify the process, etc.
Given the amount of effort that is required to perform the comprehensive risk analysis before starting the process one should decide whether the effort worth it.

As a summary, is the quantitative risk analysis worth close look? Definitely. Is there a mature methodology that can be used rights now and produces correct and reproducible results? Have not seen such yet.

Related
"Get 50 practitioners in a room and you will have 50 different methodologies for assessing IT risk. The trouble is that nearly all of them will be subjective – the outcome of any risk assessment exercise is most likely to be ‘high’, medium’ or ‘low’. Even when it’s an apparently objective number -- 54,821, for example – you don’t learn all that much. Try going to your board and telling them that their IT risk is 54,821 and their eyes are likely to glaze over very quickly! Any attempt to calculate ‘annual loss expectancy’, although valiant, only results in trouble when the degree of variability is larger than the sum itself!"
IT Risk Assessment – Fact or Fiction? (Symantec)

Регулярный мониторинг

Горячо любимый многими г-н Шнайер недавно поднимал тему отсутствия мониторинга за системами, которые существуют и работают, что определяет их неэффективность.
Теперь давайте оглядимся. Та-ак, что там у нас в сети творится:

• подсистема антивирусной защиты – когда вы последний раз изучали вирусную активность в вашей сети и принимали меры?
• подсистема резервного копирования – когда вы последний раз изучали ее журналы, на предмет поиска неудачно выполненных заданий?
• подсистема обнаружения атак – когда вы последний раз смотрели ее журналы и пытались разобраться с зарегистрированными событиями?
• …
  

Думаю, многие ответят – давно.

В чем проблема? Системы есть, но толку от них зачастую нет. Я уверен, что в 90% случаев система остается либо с настройками по умолчанию, либо в состоянии, в котором ее оставил «залетный» интегратор. Ну, иногда администратор системы немного ее ковыряет, но слишком часто встречаются администраторы, которые по 2-3 месяца изучают подсистему и в момент проверки не знают, что означают те или иные настройки, как работают и настроены рассылки уведомлений генерируемых системой и т.п.

Давайте опустим худший вариант, когда администратор просто не следит за системой потому-что не хватает знаний. Возьмем в принципе типичную картинку, когда что-то, генерируемое подсистемой, все-таки доходит до администратора. Что случается в этом случае? Тоже ничего хорошего.
Любая, не настроенная подсистема обнаружения атак генерирует сотни уведомлений в день. Подсистема антивирусной защиты, может завалить администраторами десятками писем о том, что обнаружены вирусы в файлах, находящихся на карантине. Подсистема резервного копирования ежедневно может сообщать о некритичных ошибках и в результате фильтруется все, включая важные для подсистемы события. Результат - администратор просто не обращает внимания на то, что генерируют подсистемы.

Но ведь проблему можно решить, просто ограничив поток информации идущей на администратора. Понятно, что существует вероятность того, что будут пропущены события, которые пропускать совсем не нужно. Но уж лучше плавно и равномерно идти к идеалу, чем с момента внедрения системы знать, что толку от нее никогда не будет.
То есть, вменив в обязанность администратору не абстрактное «мониторинг подсистемы ХХХ», а обязательную обработку N-событий, разбор инцидентов либо настройку правил фильтрации, мы начинаем контролировать процесс обслуживания подсистемы.

В сухом остатке:

• временные затраты администраторов на обслуживание подсистем легко прогнозируются;
• руководство всегда может оценить загрузку специалистов;
• можно спрогнозировать время, когда система окажется настроенной под конкретную КИС и будет реально обеспечивать необходимый уровень информационной безопасности.

Crimeware

Trend is hear for some time and is clear for everyone - organized crime has entered computer security scene. There are many ways to make illegal profit, and malware writers are obviously in high demand. Should we invent the new term for the situation - crimeware? Does it really matter if it is a virus, a trojan or a spyware? Is it reasonable for end user to distinguish among them?

Antivirus market is consolidating and maybe it is the time for a new name also - anticrimeware, or at least antimalware.

Related links:
Cyber crime tool kits go on sale (BBC)
"Cyber Crime Toolkits" Hit the News (Bruce Schneier's blog)

On virtualization rootkits

Recently I read this (second part) that makes me feel I mainly on Joanna’s side. Moreover some ideas in that interview prove my previous thoughts about virtualization after Amiran’s post explained in comment. In this post I’ll try to explain my point of view.

I think that the main thing is that hosted OS can just figure out that it’s running in virtual environment, but even this guess can be cheated. As far as all other applications (and of course all kind of detectors) executed on the top of OS, use it as interface to hardware, they blindly believe OS as trusted instance and as it’s so there is no means for them to investigate the fraud. In my comment I stated that software malicious agents can be detected by software detectors but the success depends on who have started first. That’s why such software-software (software badness – software detectors) methods are like Red Queen’s race. Also it’s obvious that software evil can be easily detected on hardware level. Now let’s look at virtualization rootkits – they sit right between hardware and system software (OS). How can OS detect this cheat if to deceive OS is the main idea of virtualization. I completely agree with Joanna that these rootkit detectors can just understand that they are in virtual environment and only implicitly (side channel, etc), not more. This rather more philosophical issue – let’s try to think as OS do – yes, we’ve figured out that something wrong, that we are on virtual machine, but how can we understand that our virtual environment is malicious? What does it mean malicious? How to detect this? The only technology we have to struggle malicious code is pattern matching. It doesn’t matter whether patterns are behavioral or code. How can we realize that our virtual environment is malicious whereas our eyes, ears, nose etc are not able to see more then OS?

I have an analogy. Suppose you’re in the plane on the flight. Is it possible to understand whether you’re above Moscow or above London? You can realize that you on the flight only because see sky through window, hear noise, feel G-forces. But all this are evidences provided by plane. What if noise-cancelling techniques and no windows – you will even have no opportunity to realize whether you’re in the air or on the ground.

Thomas Ptacek mentioned here that there are methods to detect unexpected virtualization. Actually I have no ideas what is unexpected virtualization. Unexpected for whom? OS? Is there expected virtualization? How to decide if virtualization is expected or not? Too many questions.

Thomas also enumerated these methods (in the interview there are three approaches explained). But there are two things against:

- These detect virtualization, not virtualization rootkit, - this is exactly what Joanna stated: “Unfortunately authors failed to prove their claims and all they presented was just a bunch of hacks of how to detect virtualization, but not virtualization based malware”.

- It’s not good idea in general to try to find malware hoping that it has bugs and that, may be, will provide you with evidence. What if malware will not have bugs?

Nate Lawson added: “…Our key finding is that it will always be easier to detect a (hypervisor) rootkit than it is to write perfect cloaking code for one. When you have a choice, it's always better to be on the side where software bugs benefit your goals. Our code is minimal and is less than 1000 LoC while New Blue Pill is about 7000 LoC. Adding support for hiding from our particular set of checks would increase the size of NBP even more.” It sounds rather strange to me, because AFAK nobody compares cost of producing malware with cost of detection/prevention means. It seems that it’s wrong to state that if it’s more difficult to write virus then antivirus nobody will write viruses any more :-). Cost of virus is better to compare with revenue of its actions (Unfortunately nobody writes viruses for fun nowadays) – something like ROI for virus (malware, rootkit, worm, trojan, whatever).

I agree with statement: “Five years from now, everyone's desktop operating system will be virtualized by default; rootkits won't have any opportunity to load themselves into hypervisors directly, because there will already be a hypervisor present, and it won't want to share” and it supports my idea that the winner is who starts first in software fight against software malware.

To conclude this bizarre post I’d like to repeat thought that it’s more reliable to struggle software badness from hardware level and it’s what Joanna said: “… It passed a year and we still don't have any good method for virtualization malware detection and I don't believe we could have any without the help from hardware.”

Грустные мысли / Sad thoughts

В настоящее время в России так плохо с профессиональными кадрами, что скоро общая вменяемость будет считаться за одаренность.

===================

Now in Russia the situation with the professional staff is so bad, that soon common sense will be treated as endowment.

Skype Outage

Security is a trade-off, and reasons behind recent Skype outage proves this once again:
http://heartbeat.skype.com/2007/08/what_happened_on_august_16.html

Защита административных учетных записей

В этом коротком посте я буду говорить, возможно, об очевидных вещах, но весьма важных.

Административная учетная запись зачастую может обладать разрушительными правами для ИС, и, как следствие, пользоваться ею следует аккуратно. Она не должна использоваться для серфинга по Интернет, а доступ к ее профилю должен быть строжайшим образом ограничен.

Как обычно, чтобы как сделать все хорошо и безопасно, необходимо понять чего мы боимся, т.е. описать риски.

Проблема №1: Запуск вредоносного кода с административными правами.

Пример атаки: посещая сайты Интернет (или используя любого другого клиента, например – почтового), посредством zero-day уязвимости клиента Интернет запускается вредоносный код. Поскольку учетная запись жертвы в нашем случае обладает административными правами, практически на любое действие вредоносного кода не будет получен отказ ввиду нехватки полномочий.

Путь минимизации риска: очевидно, административными правами необходимо пользоваться только в тех случаях, где без этого не обойтись, откуда следует, что администраторам следует иметь минимум две учетные записи: одна – для повседневной жизни: посещение сайтов Интернет, прием электронной почты, работа с различными IM, пр.

Проблема №2: Компрометация профиля административной учетной записи. Посещая различные серверы по долгу службы системны администратор на каждом из посещаемых серверов оставляет свой профиль, который может быть доступен в случае получения административного доступа на сервер, например, в случае его компрометации злоумышленником.

Пример атаки: Злоумышленник компрометирует компьютер, который когда-либо обслуживался администратором и, следовательно, оставил на файловой системе сервера свой профиль. Далее злоумышленник создает скрипт, в который помещает всю свою вредоносную деятельность. Ссылка на скрипт помещается в systemdrive\Documents and Settings\username\Start Menu\Programs\Startup (systemdrive \Documents and Settings\ username \Главное меню\Программы\Автозагрузка), username – имя административной учетной записи.

Что происходит: администратор заходит на сервер для выполнения своих должностных инструкций, срабатывает скрипт с его полномочиями.

Путь минимизации риска: использовать перемещаемые профили.

Полезные ссылки:

Windows XP Professional Resource Kit

How to Modify the List of Programs that Run When You Start Windows XP

Security Excuse Bingo Card Generator

Can't wait until Friday? Check this security excuse bingo card generator. Liked this one:

We read Schneier's book.

(BTW, that's why Bruce wrote Secrets and Lies and Beyond Fear - see http://www.schneier.com/book-sandl-pref.html).

Virtualization Technology

Virtualization has gotten mainstream these days and, as it often happens, we have just started to realize security implications of the technology. There are both positive and negative effects that we currently see.
On the positive side:

• Easier means of systems isolation - with virtualization it's easier than ever to use dedicated (virtual) server for different services, which may be good for security.
• Better disaster recovery capabilities - it is extremely easy to make a full backup of a virtual machine and move it to another host.
• Ideal environment for malicious code analysis.
  

On the negative side:

• There will certainly be vulnerabilities in virtualization software. Results would most probably be code context escalation (malicious code being able to escape virtual machine and run on the host) and management interface weaknesses (remote console access protocol vulnerabilities, management web interface vulnerabilities, etc.) Here are some examples:
• VMWare Escape Publicized at SANSfire 2007
  
• VMware ESX Server Management Interface Script Insertion
  
• VMware vulnerability in NAT networking
• Lack of appropriate control and policies would pose a risk as always - consider situation of having internal and external virtual machines on the same host (keep in mind previous point).
  
• Most likely you already heard of Blue Pill. This is the type of issues that are hardly to imagine or predict before it happens.
• Modern malware has capabilities to detect virtual machines and does not run (performs self-destruction) then to make its analysis more difficult.

Anything I missed? I'm quite sure more issues to come and there is a lot of research to be done in this field.

================================

В настоящее время технологии виртуализации получили большое распространение. Как это часто случается, мы только начинаем осознавать их влияние на безопасность. Можно выделить как положительные эффекты, так и отрицательные.
Плюсы:

• Разделение систем - виртуализация облегчает разделение систем и использование выделенных под конкретную задачу виртуальных серверов, что улучшает уровень защищенности.
• Упрощенное восстановление после сбоев – легко организовать полную резервную копию виртуальной машины и перенести ее на другой физический сервер.
• Идеальное окружение для анализа вредоносного кода.

Минусы:

• С уверенностью можно сказать, что в ПО виртуализации будут уязвимости. Можно ожидать ошибки типа эскалации контекста исполняемого кода (т.е. когда вредоносный код, будучи запущен в виртуальной машине, может перевести свое исполнение на физическую машину) и уязвимости в интерфейсе управления (т.е. в протоколах удаленного доступа к консоли виртуальных машин, в web-интерфейсе конфигурации сервера виртуальных машин и т.д.). Вот примеры уже обнаруженных уязвимостей:
• VMWare Escape Publicized at SANSfire 2007
• VMware ESX Server Management Interface Script Insertion
• VMware vulnerability in NAT networking
• Как обычно отсутствие политик и контроля над ИТ средой может нести риски – например в ситуации, когда на одном физическом сервере работают внутренние и внешние (доступные из Интернет) системы (учитывая предыдущий пункт).
• Скорее всего вы уже слышали про Blue Pill. Трудно предугадать появление такого рода атак до их появления.
• Современное вредоносное ПО зачастую включает функции определения факта его запуска в виртуальной машине, и при обнаружении этого перестает работать (самоуничтожается) для усложнения процесса его анализа.
  

Что-то пропустил? Я уверен, что мы увидим гораздо больше проблем в будущем - еще много вопросов, требующих исследования в этой области.

Понять очевидное: безопасность Microsoft

Посещая различные конференции по ИБ я неоднократно слышал одно и то же утверждение представителей Microsoft о том, что ОС Windows Vista куда более безопаснее, чем Linux, а MS SQL Server 2005 чем любая другая СУБД. В качестве аргумента приводилась статистика по опубликованным уязвимостям соответственно для Windows/Linux и SQL Server 2005/Oracle.

Не смог удержаться, чтобы не пооспаривать подобные утверждения. Вот аргументы:

1. неверно сравнивать ПО с открытым и закрытым кодом. По-моему очевидно: насколько хорошо сделан ремонт в квартире значительно проще понять просто зайдя туда, вместо того, чтобы пытаться догадаться об этом через закрытую дверь;
2. все-таки суждения о безопасности ПО необходимо строить в отношении к количеству инсталляций. Тут приходит на ум хорошая аналогия с криптографией: правильным считается выбирать проверенные временем решения, а не только что придуманные новинки; к тому же это подтверждается, например, в отчетах Symantec: Windows Vista Network Attack Surface Analysis и Security Implications of Windows Vista . Пользователи логично опасаются ставить новинки, что замедляет исследования в области безопасности (неуловимый Джо потому и неуловим, что он никому не нужен).
3. (совсем странное умозаключение) если исходить из того, что количество уязвимостей конечно, то чем больше их обнаружили, тем меньше их осталось. Понятно, что можно возразить, типа, каждый фикс приносит новые проблемы, и что это утверждение работает только в случае, если ПО не развивается (т.е. в нем не появляются новые функции вообще). Но я здесь имею в виду как раз то, что называется "зрелостью" ПО, то, к чему уже более неприменимо понятие "сырое".

В заключение, уважаемые читатели, если вы согласны хотя бы с одной мыслью изложенной в этом посте, имейте ее в виду, прослушивая пламенные речи о совершенстве всего нового, доселе неисследованного, поскольку в такой области как безопасность только время покажет что безопаснее, никакие косвенные, специально подобранные факты здесь не помогут. Обращайте внимание на факты практических внедрений тех или иных решений, ибо умные люди совершенно законно утверждают, что теория похожа на практику только на теории.

Attackers Hide In Fast Flux

http://www.forbes.com/technology/2007/07/17/symantec-security-bot-tech-cx_0717darkreading.html

Что дать интегратору.

Совершенно спонтанно, без какой бы то ни было подготовки, проведен дружественный "аудит" внутренней ИС одного из интеграторов. Сеть простояла не долго. Но плохо не это. Плохо то, что в сети не соблюдаются элементарные правила, уже много лет прописанные во всевозможных инструкциях, статьях и рекомендациях и продаваемые заказчикам в каждом проекте.
Вот немного недостатков обнаруженных при беглом осмотре:
- Сложность паролей не контролируется;
- Ограничений на срок действия паролей нет;
- Сертификаты, генерируемые для удаленного доступа пользователей через vpn, лежат на одном из серверов сети и не защищены паролями;
- Тестовые пользователи с простыми паролями и членством в административной группе;
- Аудит работы сети не ведется и нарушение безопасности не обнаружено (это при том, что в данной ИС хранится море информации о сетях клиентов);
- Тестовые сервера находятся в рабочем домене.
После этого Вы еще считаете, что Заказчики должны слепо доверять защиту своих сетей Интеграторам? Даже если Заказчик может исправить ошибки "недовнедрения" своими силами, то что делать с информацией о проекте и сети заказчика, которая оседает в ИС исполнителя и как проконтролировать доступ к ней?
Конечно, можно сказать, что не у всех все так плохо, но это будет только словами. Пока сети 2-х интеграторов (этот был не первым) сдались без боя.

On Fighting Spam

SPAM is an economic problem, not a technical one. And this lawsiut could be one of the first steps to solve the problem, if it succeeds:

Some of the worst spammers in the United States could be in for a rude surprise shortly, as Unspam Technologies has taken the first steps in tracking them down, with help from the ISPs.

The company filed a lawsuit yesterday in the Eastern District of Virginia seeking the identities of spammers under the U.S. CAN-SPAM Act and the state of Virginia’s own anti-spam statue. The suit seeks damages that could potentially reach $1 billion, but Unspam said it would be happy with driving spammers out of business.

http://www.internetnews.com/security/article.php/3674731

Куда поставить интегратора.

На семинаре группы RISSPA прозвучал доклад "Управление отношениями с поставщиками услуг. Взгляд с обеих сторон – заказчика и консультанта" Алексея Пастоева. Нельзя сказать, что Алексей выдумал что-то новое, но, пожалуй, он один из не многих заговорил о том, что постоянно обсуждается в курилках и о чем вслух стараются не говорить.
Забавно, что на форуме той же RISSPA участники семинара просят удалить этот провокационный доклад.
Все было замечательно, кроме определения компаний группы BIG4 как компаний de facto работающих хорошо.
Мое мнение - интегратор в принципе не может качественно (то есть на 100%, а не на 90%) реализовать проект, так как его доход напрямую зависит от времени потраченного на реализацию задания. Как выход мне видится изменение позиционирования интеграторов - они не должны заниматься проектированием и реализацией проекта самостоятельно. Этим должны заниматься представители заказчика, а интегратор может помочь им, используя свою базу старых проектов. То есть роль интегратора сводится к "черновой" работе, вроде предоставления шаблонов, монтирования оборудования и установки программного обеспечения. А сложную работу, качество исполнения которой сильно влияет на успешность реализации всего проекта, берет на себя заказчик. Конечно, на стороне заказчика должны появиться специалисты соответствующего уровня, ну это уже другая тема. Речь не идет о проектах, затеянных ради галочки или повышения уровня благосостояния представителей заказчика.
Как альтернатива были рассмотрены некие "консультанты". Но я не совсем понял мнение выступающего, потому не вижу предмета обсуждения.

Два слова о Студии Артемия Лебедева

Вообще, по долгу службы я не занимаюсь выбором подрядчиков для создания очередного сайта Компании на которую я работаю, мой удел - информационная безопасность. Поскольку корпоративный сайт - лицо компании, а лицо хочется доверять ответственному визажисту, не могу не поделиться своими мыслями относительно вот этого:

что в настоящее время можно лицезреть здесь.

Я привык считать, что безопасность - это не только следствие безупречного выполнения технического решения, а комплекс множества факторов, одним из которых является ответственность подрядчика. Кто-то умный сказал, что за деньги можно купить профессионализм, но нельзя купить ответственность, что я понимаю буквально - решение, выполненное безответственно не будет безопасным.

Но дело не только в безопасности, будучи ответственным за выбор подрядчика и абсолютно не разбираясь ни в чем, после подобного CV я все равно бы не выбрал Студию хотя бы по следующим умозаключениям:

1. Ловкое владение "народным" языком и попытки этим выразить свою индивидуальность/уникальность/единственность не должно доказывать или показывать преимущество, напротив, это свидетельствует о слабости (ну в крайнем случае должно настораживать). Многие подростки курят и ругаются матом для того, чтобы возвысить себя в чьем-либо лице, возможно это даже работает, но лично мне, такой подход к самоутверждению смешон (особенно сейчас, когда я уже давно не подросток). По этой же причине мне смешны субъекты, которые думают, что такие методы работают. Студия в данном вопросе подобна подросткам, которых я упоминал выше.

2. Этика, в частности, деловая, - это не только правила приличия, но еще и элемент уважения. Лично я бы не стал работать с подрядчиком, который не уважает меня, как заказчика, кто "в гробу видали все корпоративные ценности вместе взятые" и пр. На мой взгляд такой подход к организации сервиса является одной из причин "советского сервиса" (если кто-то не понял, о чем я говорю - рекомендую посмотреть мультфильм для детей 1988-ого года "Если был бы я моим папой", выпуск 1, где действия происходят в продуктовом магазине).

3. О профессионализме позвольте судить профессионалам. Вы верите рекламе? Когда производитель рассказывает на вид правдоподобные вещи о своем товаре, подчеркивая его уникальность и абсолютную необходимость именно вам. Подумайте о таком CV вашего подрядчика с этой стороны.

Outsourcing: The Nature's Way

A story from CBC Radio Quirks&Quarks program about the giant clam (Calyptogena magnifica) that practically outsources the energy production function to a bacteria.

It seems the bacteria produce all of the nutrients the clam needs to survive in this inhospitable environment. The clams, in turn, give the bacteria a safe place to live and a constant supply of sulphur, which they need in order to produce their own energy supply.

http://www.cbc.ca/quirks/archives/06-07/feb24.html#2