Tuesday, July 29, 2008

Write Once Read Many

During preparation to some of the certification exams I encountered the term WORM - Write Once Read Many media. Surely I knew at least one example of it - CD-R or DVD-R discs - but the term was used in a way, that CD-R and DVD-R media can not support. For example, log files could be stored on such a media so that attacker is not able to tamper with them (again - CD-R would not fit this use as you can not write logs directly to CD so there always will be a lag between actual logs and what is stored on the CD). And I knew no WORM-type media that would fit such usage, until yesterday, when SanDisk announced their WORM flash memory. I really think this would be useful for forensics purposes and look forward to hearing actual uses of the technology. Hopefully you will really not be able to erase/modify the data through some undocumented feature :)

О вере в чудо: продолжение

Написав это хочется сразу отметить, что я ни в коей мере не желал и не желаю недобрым образом отзываться о решениях Microsoft. Проблема кроется в нашем восприятии действительности, на чем я и хочу кратенько остановиться в этом посте.

Наверняка многие заметили, что наше понимание окружающего нас мира сильно субъективно. Этот субъективизм является следствием наборов готовых шаблонов восприятия, которые мы набрали в ходе нашей жизни. Под шаблоном восприятия я понимаю некий элемент действительности однозначно воспринимаемый субъектом. Сложновато, но далее я постараюсь приложить все усилия, чтобы стало понятнее. Имея определенного рода набор (багаж) таких шаблонов восприятия, процесс понимания действительности сводится к обычному сравнению созерцаемого процесса с имеющимися в багаже шаблонами. Это очень просто: для того, чтобы понять, что стена длинная или короткая, мы ее сравниваем с известным отрезком, например в 1 метр или с аналогичной стеной которую мы видели ранее, и она считалась «длинной» или «короткой». Зачастую нужных шаблонов не находится, в этом случае выполняется своего рода «подгонка» под имеющийся набор шаблонов. С такой подгонкой связаны явления упрощения действительности до удобного для восприятия состояния, а также всякого рода поговорки вроде той, что каждый видит мир в «меру своей испорченности», «через призму своего восприятия», или «каждый видит то, что он хочет увидеть». То что это, скорее всего, верно очень просто проверить на примере – действительно, когда мы ищем нечто, о чем имеем полное представление, поиски длятся достаточно недолго, но искать то, что мы никогда не видели (следовательно, у нас нет шаблонов) – практически невозможно.

В том случае, когда шаблонов нет, и даже подгонка невозможна, – вот тут мы начинаем думать, что имеем дело с чудом. Т.е. фактически чудо – не что иное, как необъяснимое. Чудо у каждого свое: для кого-то электричество – это чудо, поскольку нет шаблонов для объяснения этого процесса, а для кого-то, напротив, в этом нет секрета; кому-то законы термодинамики кажутся очевидными, кому-то их приходится зубрить, пр.. Если у меня нет шаблонов для объяснения неких явлений, связанных с ПО от Microsoft, – это лично мои проблемы, – это значит, что я не набрал еще необходимый багаж шаблонов, чтобы уметь объяснять наблюдаемые процессы, – это значит, что я еще не достиг необходимого уровня мудрости.

Поговорим о шаблонах. Как я отмечал они берутся из жизненного опыта. Здесь, на мой взгляд, очень простая закономерность – чем больше в жизни человек видел и знает, тем больше у него шаблонов, тем более многогранно его понимание действительности, тем оно более объективно, а, следовательно, ближе к реальности. Большое количество шаблонов позволяет описывать процессы разными их наборами, т.е. объяснять действительность с разных точек зрения, тогда как людям с ограниченным числом шаблонов понятна только одна «сторона медали». Аналогия очень простая – см. рисунок, на всех из них изображен куб, но только последнее изображение позволяет это более или менее понять.



Теперь – главное, к чему я все это говорю. Различные люди имеют различные наборы шаблонов, как следствие – различные люди объясняют действительность по-разному. Нет «глупых» и «умных», а есть различные люди с различными наборами шаблонов. Понимание о глупых и умных связано с тем, что общество за годы существования приобрело некий набор «планок», на основании которых мы, знакомые с этими «правилами приличия», строим свои суждения о других. Вообще, «правила приличия», о их значимости для самовыживания общества, и о их происхождении – тема другого разговора, поэтому не буду на этом останавливаться. Но кто сказал, что эти «планки», созданные «цивилизованным обществом» верны? Многолетняя история? Мы уверены, что мы не ошибаемся? Лично я не уверен.

Мое мнение, что нет «глупых» и «умных», есть просто люди, думающие иначе, и это совсем не значит, что человек «глупец», если мы не можем «вложить» его мышление, поведение, пр. в имеющийся у нас набор шаблонов. Мы недостаточно мудры, чтобы понимать все, мы не знаем как правильно, и не нам судить. Есть только набор точек зрения, основанные на тех или иных наборах шаблонов, какие-то из них ближе к действительности, какие-то дальше. Опыт показывает, что наиболее объективные суждения, которые лучше отражают действительность, живут дольше. Абсолютно объективные суждения, истины, – вечны. Время покажет, какие суждения более верны, а какие менее, стерев «неправильные» шаблоны из памяти человечества.

Monday, July 28, 2008

Пословицы и правда жизни: о вере в чудо

Начал использовать решения Microsoft, - учись верить в чудо!



Данное правило я сформировал для себя достаточно давно, в период одного из общений по поводу Инцидента , когда инженер поддержки буквально сказал: "Здесь вам не Linux, здесь все взаимосвязано!". Как это не кажется странным, он был 100% прав: зачастую весьма странные действия приводят и устранению еще более странных проблем.

Wednesday, July 23, 2008

Конвергенция контроля доступа к периферийным устройствам и антивирусного ПО

В практике довольно часты случае, когда некая побочная возможность какой-либо системы имеет даже большее значение, чем основной функционал. Или не совсем целевое использование того или иного приложения приносить больше выгоды, чем штатный режим работы.

Для ограничения и контроля доступа к периферийным устройствам (съемные накопители USB, CD/DVD-приводы, пр.) мы используем соответствующее, специально для этого предназначенное, ПО. Функциями этого ПО (далее Система) являются: предоставление доступа к устройствам в соответствии с политикой использования, назначенной для конкретного пользователя/группы пользователей (система полностью интегрируется с MS Active Directory) и централизованное ведение журналов – т.е. имеется некий интерфейс из которого администратор Системы может посмотреть какие файлы были успешно или неуспешно записаны с или на устройство, а также, какой процесс операционной системы это сделал.

Последние время мы наблюдаем огромное количество различного вредоносного ПО, распространяющегося через автозапуск со съемных носителей и, соответственно, заражающие другие съемные носители. Приведу несколько примеров, далеко не все, – W32/Autorun-AK, PWS-LegMir.gen.k, PWS-WoW, Troj/Shuckbot-A, W32/Autorun.worm.u, пр. К сожалению, наш антивирус, развернутый на рабочих станциях пользователей не всегда успешно обнаруживает и лечит эти вирусы (обновления антивирусных баз жестоко отстают). Здесь и приходит на помощь анализ журналов Системы контроля доступа к периферийным устройствам. Алгоритм такой:

  • Формируем отчет по записи файлов .exe, .com на носитель,
  • Анализируем отчет: ищем записи файлов с подозрительными именами в корень носителя (в некоторых случаях ситуация совсем смешная – «процесс kesha.exe записал файл E:\ kesha.exe»). Понимание того, что такое «подозрительное» имя приходит с опытом, по началу, можно просто обращать внимание на файлы, записанные в корень тома. Опыт показывает, что бывают легитимные (не вирусы) файлы .exe, со странными именами, записанные в корень, но не попадался ни один легитимный файл .com, не являющийся вирусом.
  • Подозрительные имена просто проверяем в Интернет. Пример для Recycler.exe. Полезно то, что Система регистрирует не только имя файла, но и его размер, что позволяет его проверять.
  • Убедившись, что данный подозрительный файл, вероятнее всего вирус – включаем на антивирусе забирать файл в карантин по имени (вообще, система обладает функцией теневого копирования, что позволяет настроить забор файлов и на самой системе, но мы ее не используем, поскольку теневое копирование не работает для данного имени файла). Конечно, лучше забирать в карантин и по имени и по сумме MD5 (сумма берется из описаний, найденных в Интернете), но, например, наш антивирус умеет забирать только по имени – что ж, все лучше, чем ничего.
  • Пойманный вирус анализируется альтернативными движками, например - http://www.virustotal.com/ . Такая проверка должна увеличить уверенность, что данный образец – действительно нежелательное ПО.
  • Если опасения подтвердились – направляем отчет с http://www.virustotal.com/ и образец файла-вируса (взятого из карантина) в поддержку антивируса.

По опыту поддержка антивируса выпускает патч в этот же день. Остается только применить его по всем рабочим станциям пользователей.

Friday, July 18, 2008

Среднестатистический участник инцидента по ИБ

Анализируя статистику инцидентов по ИБ, за последний год я пришел к интересному наблюдению об уровне «просвещенности» по вопросам ИБ наиболее частого нарушителя. Странно, но следующая мысль была о целесообразности просвещения по вопросам ИБ вообще. Тем, не менее, я все же позволю себе не согласиться с Ранумом относительно полной ненужности просвещения по вопросам ИБ, поскольку, как мне кажется, – это единственное, что мы можем сделать, и не стоит от этого отказываться.

Но, ближе к делу. Я пришел к выводу, что «компьютерно низко образованные» сотрудники, как это не странно, как правило, не являются причиной инцидентов ИБ.

В свою очередь, высококвалифицированные сотрудники подразделений ИТ и ИБ, также не замечались часто в инцидентах.

Если с профессионалами все понятно, то «феномен низкообразованных» я пытаюсь объяснить тем, что недостаточные знания являются ингибитором любопытства и излишней самоуверенности.

Именно «средние компьютерно пресвященные» сотрудники являются наиболее частыми участниками инцидентов в области ИБ. Как мне кажется, здесь мы имеем дело с «синдромом опытного водителя» – когда есть некие навыки, дающие избыточную уверенность в своих возможностях, а также желание «познать неизведанное», «испробовать неиспробованное», «побывать там, где никто не бывал», пр.