Programavimas

Apsaugokite nuo išorinių grėsmių

Ankstesniame stulpelyje aš atskleidžiau, kaip didžioji dauguma jūsų aplinkai kylančių kompiuterio saugumo grėsmių gyvena kliento pusėje ir reikalauja galutinio vartotojo įsitraukimo. Vartotojai turi būti socialiai sukonstruoti, kad darbalaukyje spustelėtų elementą (el. Laišką, failo priedą, URL ar programą), kurio jie neturėtų turėti. Tai nereiškia, kad tikrai nuotoliniai išnaudojimai nėra grėsmė. Jie yra.

[RogerGrimeso skiltis dabar yra tinklaraštis! Gaukite naujausias IT saugos naujienas iš saugos patarėjo tinklaraščio. ]

Nuotolinis buferio perpildymas ir DoS atakos išlieka rimta grėsmė jūsų valdomiems kompiuteriams. Nors jie yra mažiau paplitę nei kliento atakos, idėja, kad nuotolinis užpuolikas gali paleisti baitų seriją prieš jūsų kompiuterius, tada įgyti jų kontrolę, visada sukelia didžiausią baimę administratoriams ir užfiksuoja didžiausias antraštes. Tačiau yra ir kitokių nuotolinių atakų prieš klausymo tarnybas ir demonus.

Nuotolinio išnaudojimo pirštinė

Daugybė tarnybų ir demonų patiria MitM (vyras viduryje) atakas ir pasiklausymą. Pernelyg daug paslaugų nereikia galutinio taško autentifikavimo arba naudoja šifravimą. Pasiklausydami neteisėti asmenys gali sužinoti prisijungimo duomenis ar konfidencialią informaciją.

Netinkamas informacijos atskleidimas yra dar viena grėsmė. Norint išgąsdinti šūdą, reikia tik šiek tiek „Google“ įsilaužimo. Prisijungimo duomenis rasite paprastame vaizde ir netruks rasti realių slaptų ir konfidencialių dokumentų.

Daugelis paslaugų ir demonų dažnai sukonfigūruojami neteisingai, suteikiant privilegijuotą anoniminę prieigą iš interneto. Praėjusiais metais dėstydamas „Google“ įsilaužimo pamoką radau visą (JAV) valstijos sveikatos ir socialinės rūpybos duomenų bazę, prieinamą internete, nereikia prisijungimo duomenų. Jame buvo vardai, socialinio draudimo numeriai, telefono numeriai ir adresai - viskas, ko reikia, kad tapatybės vagis būtų sėkmingas.

Daugelis paslaugų ir demonų lieka nepašalinti, tačiau yra veikiami interneto. Dar praėjusią savaitę duomenų bazių saugumo ekspertas Davidas Litchfieldas internete rado šimtus tūkstančių nepašalintų „Microsoft SQL Server“ ir „Oracle“ duomenų bazių, kurių neapsaugojo užkarda. Kai kurie neturėjo pažeidžiamumo vietų, kurios buvo pašalintos daugiau nei prieš trejus metus. Kai kurios naujos operacinės sistemos sąmoningai išleidžiamos su pasenusiomis bibliotekomis ir pažeidžiamais dvejetainiais failais. Galite atsisiųsti kiekvieną pardavėjo siūlomą pleistrą ir vis tiek esate išnaudojamas.

Ką tu gali padaryti?

* Inventorizuokite savo tinklą ir gaukite visų klausymosi paslaugų ir demonų, veikiančių kiekviename kompiuteryje, sąrašą.

* Išjunkite ir pašalinkite nereikalingas paslaugas. Aš dar netikrinau tinklo, kuriame nebuvo daug nereikalingų (ir dažnai kenksmingų ar bent jau potencialiai pavojingų) paslaugų, kurių IT palaikymo komanda nežinojo.

Pradėkite nuo didelės rizikos ir didelės vertės turto. Jei paslaugos ar demono nereikia, išjunkite jį. Jei kyla abejonių, ištirkite ją. Internete yra daugybė naudingų šaltinių ir vadovų, kuriuos galite nemokamai rasti. Jei nerandate galutinio atsakymo, susisiekite su pardavėju. Jei vis dar nesate tikri, išjunkite programą ir atkurkite ją, jei kažkas baigsis.

* Įsitikinkite, kad visos jūsų sistemos yra visiškai užtaisytos, tiek OS, tiek programos. Šis vienintelis žingsnis žymiai sumažins tinkamai sukonfigūruotų paslaugų, kurias galima naudoti, skaičių. Daugelis administratorių puikiai atlieka OS pataisų darbą, tačiau ne taip gerai, kad užtikrintų programų pataisymą. Šiame konkrečiame stulpelyje man rūpi tik programų, kurios teikia klausymo paslaugas, lopymas.

* Įsitikinkite, kad likusios paslaugos ir demonai veikia mažiausiai privilegijuotame kontekste. Tų dienų, kai visos jūsų paslaugos bus vykdomos kaip šaknies ar domeno administratorius, turėtų būti baigta. Kurkite ir naudokite ribotesnes paslaugų paskyras. Jei turite „Windows“ naudoti labai privilegijuotą paskyrą, eikite su „LocalSystem“, o ne domeno administratoriumi. Priešingai nei manoma, paslaugos valdymas naudojant „LocalSystem“ yra mažiau rizikingas nei paleisti ją kaip domeno administratorių. „LocalSystem“ neturi slaptažodžio, kurį būtų galima gauti ir naudoti „Active Directory“ miške.

* Reikalauti, kad visose „service / daemon“ paskyrose būtų naudojami griežti slaptažodžiai. Tai reiškia ilgą ir (arba) sudėtingą - 15 ar daugiau simbolių. Jei naudojate tvirtus slaptažodžius, turėsite juos keisti rečiau ir jums nereikės užrakinti paskyros (nes įsilaužėliams niekada nesiseks).

* „Google“ nulaužkite savo tinklą. Niekada neskauda sužinoti, ar jūsų tinklas skelbia neskelbtiną informaciją. Vienas iš mano mėgstamiausių įrankių yra „Foundstone's Site Digger“. Tai iš esmės automatizuoja „Google“ įsilaužimo procesą ir prideda daugybę pačių „Foundstone“ patikrinimų.

* Įdiekite paslaugas nenumatytuose prievaduose jei jie nebūtinai reikalingi numatytuosiuose uostuose; tai yra viena iš mano mėgstamiausių rekomendacijų. Įdėkite SSH kitam, o ne 22 prievadui. Įdėkite RDP kitam, o ne 3389. Išskyrus FTP, aš galėjau paleisti daugumą paslaugų (kurių nereikia plačiajai visuomenei) nenumatytuose uostuose, kur įsilaužėliai retai Surask juos.

Žinoma, apsvarstykite galimybę išbandyti savo tinklą pažeidžiamumo analizės skaitytuvu - tiek nemokamu, tiek komerciniu. Yra daugybė puikių, kurie randa žemai kabančius vaisius. Pirmiausia visada turėkite valdymo leidimą, patikrinkite ne darbo metu ir prisiimkite riziką, kad tikrindami tikrąją svarbią paslaugą tikrinsite neprisijungę. Jei esate tikrai paranojikas ir norite praeiti pro viešai paskelbtas spragas, naudokitės „fuzzer“ ir ieškokite neatskleistų „nulinės dienos“ išnaudojimų. Šiomis dienomis žaidžiau su komerciniu (stebėkite „Test Center“, kad galėčiau peržiūrėti), prieš įvairius apsaugos prietaisus, o „fuzzer“ randa dalykų, apie kuriuos, įtariu, pardavėjai nežino.

Ir, žinoma, nepamirškite, kad kenksmingo išnaudojimo rizika daugiausia kyla iš kliento atakų.

Copyright lt.verticalshadows.com 2022