Грустные мысли / Sad thoughts

В настоящее время в России так плохо с профессиональными кадрами, что скоро общая вменяемость будет считаться за одаренность.

===================

Now in Russia the situation with the professional staff is so bad, that soon common sense will be treated as endowment.

Skype Outage

Security is a trade-off, and reasons behind recent Skype outage proves this once again:
http://heartbeat.skype.com/2007/08/what_happened_on_august_16.html

Защита административных учетных записей

В этом коротком посте я буду говорить, возможно, об очевидных вещах, но весьма важных.

Административная учетная запись зачастую может обладать разрушительными правами для ИС, и, как следствие, пользоваться ею следует аккуратно. Она не должна использоваться для серфинга по Интернет, а доступ к ее профилю должен быть строжайшим образом ограничен.

Как обычно, чтобы как сделать все хорошо и безопасно, необходимо понять чего мы боимся, т.е. описать риски.

Проблема №1: Запуск вредоносного кода с административными правами.

Пример атаки: посещая сайты Интернет (или используя любого другого клиента, например – почтового), посредством zero-day уязвимости клиента Интернет запускается вредоносный код. Поскольку учетная запись жертвы в нашем случае обладает административными правами, практически на любое действие вредоносного кода не будет получен отказ ввиду нехватки полномочий.

Путь минимизации риска: очевидно, административными правами необходимо пользоваться только в тех случаях, где без этого не обойтись, откуда следует, что администраторам следует иметь минимум две учетные записи: одна – для повседневной жизни: посещение сайтов Интернет, прием электронной почты, работа с различными IM, пр.

Проблема №2: Компрометация профиля административной учетной записи. Посещая различные серверы по долгу службы системны администратор на каждом из посещаемых серверов оставляет свой профиль, который может быть доступен в случае получения административного доступа на сервер, например, в случае его компрометации злоумышленником.

Пример атаки: Злоумышленник компрометирует компьютер, который когда-либо обслуживался администратором и, следовательно, оставил на файловой системе сервера свой профиль. Далее злоумышленник создает скрипт, в который помещает всю свою вредоносную деятельность. Ссылка на скрипт помещается в systemdrive\Documents and Settings\username\Start Menu\Programs\Startup (systemdrive \Documents and Settings\ username \Главное меню\Программы\Автозагрузка), username – имя административной учетной записи.

Что происходит: администратор заходит на сервер для выполнения своих должностных инструкций, срабатывает скрипт с его полномочиями.

Путь минимизации риска: использовать перемещаемые профили.

Полезные ссылки:

Windows XP Professional Resource Kit

How to Modify the List of Programs that Run When You Start Windows XP

Security Excuse Bingo Card Generator

Can't wait until Friday? Check this security excuse bingo card generator. Liked this one:

We read Schneier's book.

(BTW, that's why Bruce wrote Secrets and Lies and Beyond Fear - see http://www.schneier.com/book-sandl-pref.html).

Virtualization Technology

Virtualization has gotten mainstream these days and, as it often happens, we have just started to realize security implications of the technology. There are both positive and negative effects that we currently see.
On the positive side:

• Easier means of systems isolation - with virtualization it's easier than ever to use dedicated (virtual) server for different services, which may be good for security.
• Better disaster recovery capabilities - it is extremely easy to make a full backup of a virtual machine and move it to another host.
• Ideal environment for malicious code analysis.
  

On the negative side:

• There will certainly be vulnerabilities in virtualization software. Results would most probably be code context escalation (malicious code being able to escape virtual machine and run on the host) and management interface weaknesses (remote console access protocol vulnerabilities, management web interface vulnerabilities, etc.) Here are some examples:
• VMWare Escape Publicized at SANSfire 2007
  
• VMware ESX Server Management Interface Script Insertion
  
• VMware vulnerability in NAT networking
• Lack of appropriate control and policies would pose a risk as always - consider situation of having internal and external virtual machines on the same host (keep in mind previous point).
  
• Most likely you already heard of Blue Pill. This is the type of issues that are hardly to imagine or predict before it happens.
• Modern malware has capabilities to detect virtual machines and does not run (performs self-destruction) then to make its analysis more difficult.

Anything I missed? I'm quite sure more issues to come and there is a lot of research to be done in this field.

================================

В настоящее время технологии виртуализации получили большое распространение. Как это часто случается, мы только начинаем осознавать их влияние на безопасность. Можно выделить как положительные эффекты, так и отрицательные.
Плюсы:

• Разделение систем - виртуализация облегчает разделение систем и использование выделенных под конкретную задачу виртуальных серверов, что улучшает уровень защищенности.
• Упрощенное восстановление после сбоев – легко организовать полную резервную копию виртуальной машины и перенести ее на другой физический сервер.
• Идеальное окружение для анализа вредоносного кода.

Минусы:

• С уверенностью можно сказать, что в ПО виртуализации будут уязвимости. Можно ожидать ошибки типа эскалации контекста исполняемого кода (т.е. когда вредоносный код, будучи запущен в виртуальной машине, может перевести свое исполнение на физическую машину) и уязвимости в интерфейсе управления (т.е. в протоколах удаленного доступа к консоли виртуальных машин, в web-интерфейсе конфигурации сервера виртуальных машин и т.д.). Вот примеры уже обнаруженных уязвимостей:
• VMWare Escape Publicized at SANSfire 2007
• VMware ESX Server Management Interface Script Insertion
• VMware vulnerability in NAT networking
• Как обычно отсутствие политик и контроля над ИТ средой может нести риски – например в ситуации, когда на одном физическом сервере работают внутренние и внешние (доступные из Интернет) системы (учитывая предыдущий пункт).
• Скорее всего вы уже слышали про Blue Pill. Трудно предугадать появление такого рода атак до их появления.
• Современное вредоносное ПО зачастую включает функции определения факта его запуска в виртуальной машине, и при обнаружении этого перестает работать (самоуничтожается) для усложнения процесса его анализа.
  

Что-то пропустил? Я уверен, что мы увидим гораздо больше проблем в будущем - еще много вопросов, требующих исследования в этой области.

Понять очевидное: безопасность Microsoft

Посещая различные конференции по ИБ я неоднократно слышал одно и то же утверждение представителей Microsoft о том, что ОС Windows Vista куда более безопаснее, чем Linux, а MS SQL Server 2005 чем любая другая СУБД. В качестве аргумента приводилась статистика по опубликованным уязвимостям соответственно для Windows/Linux и SQL Server 2005/Oracle.

Не смог удержаться, чтобы не пооспаривать подобные утверждения. Вот аргументы:

1. неверно сравнивать ПО с открытым и закрытым кодом. По-моему очевидно: насколько хорошо сделан ремонт в квартире значительно проще понять просто зайдя туда, вместо того, чтобы пытаться догадаться об этом через закрытую дверь;
2. все-таки суждения о безопасности ПО необходимо строить в отношении к количеству инсталляций. Тут приходит на ум хорошая аналогия с криптографией: правильным считается выбирать проверенные временем решения, а не только что придуманные новинки; к тому же это подтверждается, например, в отчетах Symantec: Windows Vista Network Attack Surface Analysis и Security Implications of Windows Vista . Пользователи логично опасаются ставить новинки, что замедляет исследования в области безопасности (неуловимый Джо потому и неуловим, что он никому не нужен).
3. (совсем странное умозаключение) если исходить из того, что количество уязвимостей конечно, то чем больше их обнаружили, тем меньше их осталось. Понятно, что можно возразить, типа, каждый фикс приносит новые проблемы, и что это утверждение работает только в случае, если ПО не развивается (т.е. в нем не появляются новые функции вообще). Но я здесь имею в виду как раз то, что называется "зрелостью" ПО, то, к чему уже более неприменимо понятие "сырое".

В заключение, уважаемые читатели, если вы согласны хотя бы с одной мыслью изложенной в этом посте, имейте ее в виду, прослушивая пламенные речи о совершенстве всего нового, доселе неисследованного, поскольку в такой области как безопасность только время покажет что безопаснее, никакие косвенные, специально подобранные факты здесь не помогут. Обращайте внимание на факты практических внедрений тех или иных решений, ибо умные люди совершенно законно утверждают, что теория похожа на практику только на теории.