Časopis Lider je u studenom objavio članak u čijoj sam izradi sudjelovao. Članak možete preuzeti na ovom mjestu:
Časopis Lider: Bliski susreti koji jamče zarazu
6.12.13
“Vulnerability Assessment” ili “Vulnerability Management” (3. dio)
Prvi i drugi dio teksta pronađite na ovim mjestima.
Treći dio teksta o upravljanju računalnim ranjivostima predstavlja specifičnu tehniku mrežnog skeniranja koja je danas imaju svi značajni alati ove namjene. To je tehnika skeniranja primjenom privilegiranih pristupnih prava.
Naime, standardni način rada skenera računalnih ranjivosti šalje niz mrežnih upita prema mrežnom resursu kojeg analiziraju. Na ove mrežne upite odgovaraju mrežni servisi čiji mrežni kanal (specifični TCP/UDP protokol) skener koristi, odnosno kojima se provodi testiranje. Može se reći da ovaj način testiranja simulira postupke osobe koja bi istom sekvencom mrežnih poruka provjeravala reakciju suprotne strane te izvela zaključke o nedostacima, no u slučaju skenera postupak je automatiziran, pa samim time efikasniji, cjelovitiji i brži. Vratimo se na manualno testiranje. Ukoliko bi osoba prije pokretanja provjera imala mogućnost pristupa na resurs koji testira, te postigla mogućnost uvida u resurse operativnog sustava koji nadilaze mrežnu razinu, nalazi će biti puno bogatiji i raznolikiji. Upravo se na ovome temelji tehnika skeniranja primjenom privilegiranih pristupnih prava koju sam najavio u uvodnom odlomku.
Skeneri računalnih ranjivosti za ovu namjenu koriste prikladne mehanizme udaljenog pristupa koji su dovoljni za obavljanje zadatka, uz pridržavanje visokih sigurnosnih kriterija. Za pristup Windows resursima se, npr. koristi udaljeni pristup administratorskim računom koji omogućuje pristup do „Administrative share“ lokacijama i registry podacima, a putem ovih točaka pojedinih do, praktički, svih značajnih informacija o operativnom sustavu, instaliranim aplikacijama, konfiguracijskim postavkama. Na Unix/Linux resursima se za ovu namjenu koristi SSH protokol, a skener se prijavljuje s privilegiranim računom (root ili neki drugi račun koji ima mogućnost elevacije pristupnih prava, npr. „sudo“ tehnikom).
Skeneri danas uglavnom ne koriste namjenske agente koje bi trebalo instalirati na ovim resursima, iako se u nekim slučajevima primjenjuju hibridne tehnike i jednostavni agenti. Da bi se proveo autenticirani sken nije dovoljno imati mogućnost udaljenog pristupa, nego skener u tom slučaju mora imati u bazi podataka podatke o ranjivostima za što je moguće više platformi, što svakako može postati veliki inženjerski zadatak za proizvođače skenera.
QualysGuard, s kojim najviše radim, ima mogućnost privilegiranog pristupa i izvođenja autenticiranog skena na velikom broju platformi – sve Windows platforme, sve značajne verzije Unix/Linux operativnog sustava, baze podataka Oracle i MS SQL Server, Cisco IOS i SNMP.
Razlika između ove dvije tehnike skeniranja prikazana je na sljedećoj slici.
Posebno ću se osvrnuti na dubinski uvid u računalne ranjivosti koji se postiže autenticiranim skenom. Napravio sam sljedeći test: instalirao sam Windows Server 2008 R2 SP1 – samo osnovne pakete, bez i jednog dodatnog programa (dakle, bez baze podataka, Exchange servera, Office paketa…), ali i bez, inače neophodnog, ažuriranja verzije operativnog sustava s programskim popravcima neposredno nakon instalacije. Nakon toga sam napravio autenticirani i neautenticirani sken ove instance sustavom QualysGuard. Cilj je bio utvrditi razlike u detaljnosti nalaza između ova dva skena. Razlika je ilustrirana u sljedećoj tablici:
Kategorije
ranjivosti
|
||||||
5
|
4
|
3
|
2
|
1
|
Total
|
|
Neautenticirani
|
1
|
0
|
1
|
3
|
1
|
6
|
Autenticirani
|
51
|
65
|
29
|
11
|
1
|
157
|
Ranjivosti su kategorizirane u 5 razreda (viša ocjena predstavlja kritičnije ranjivosti). Neautenticirani sken je pronašao samo 6 ranjivosti. Autenticirani sken je pronašao 157 ranjivosti. Ovim testom nisam imao namjeru pokazati eventualne manjkavosti analiziranog operativnog sustava, a ovakav drastičan primjer ćete teško pronaći u ozbiljnom produkcijskom okruženju jer će se i površnom primjenom računalnih popravaka otkloniti brojne inicijalne ranjivosti. Isključiva namjera bila je ilustracija mogućnosti autenticiranog skena.
Autenticirani sken je posebno značajan za radne stanice. Nekako je uobičajeno da programi provjere i upravljanja računalnim ranjivostima zaobilaze radne stanice, a fokus se stavlja na mrežne poslužitelje. To je svakako ispravno gledajući sa stajališta značaja informacijske imovine koja je uglavnom koncentrirana na serverima. No, današnje računalne prijetnje neće ciljati ni perimetarski segment niti direktno mrežne poslužitelje: glavni vektori su usmjereni prema osobama i prema klijentskim računalima, nastojeći iskoristiti računalne ranjivosti na radnim stanicama. Stoga, provjera računalnih ranjivosti na radnim stanicama postaje gotovo jednako važna kao i antivirusna zaštita na istim računalima, naročito ako uzmemo u obzir da antivirusna zaštita nije danas više svemoćna. Autenticirani sken radnih stanica će se pokazati osobito efikasnim u provjeri ranjivosti na tipičnim klijentskim programima – Microsoft Office, web preglednici, Adobe Reader, Adobe Flash Player, Java…
Rezultati autenticiranog skena svakako su dobar materijal za ocjenu stvarne izloženosti sustava napadačima i malicioznim korisnicima, no treba naglasiti da ovakva vrste provjere daju izuzetno bogat materijal tzv. „security intelligence“ sustavima. Analiza ranjivosti prema CVSS parametrima ima smisla prije svega ako su rezultati postignuti autenticiranim skenom.
Kada budete planirali autenticirani sken budite spremni razbiti gotovo neizbježnu predrasudu: s obzirom da se autenticirani sken provodi korištenjem privilegiranih (administrativnih) korisničkih računa, često se nameće pogrešan zaključak da su to ranjivosti koje mogu iskoristiti samo administratori pa se slijedom tog razmišljanja i uobičajenog povjerenja u administratore zaključuje da nema potrebe raditi takvu analizu. Zaključak je pogrešan jer su administratorski računi najjednostavnije sredstvo za utvrđivanje ranjivosti, a same ranjivosti se mogu sasvim efikasno zloupotrijebiti i u kontekstu drugih, „običnih“ korisnika.
Na koncu, bez obzira što smo u ovom tekstu izuzetno naglasili značaj autenticiranog skena, u provjerama računalnih ranjivosti i dalje primjenjujte neautenticirani sken. Rezultat ovog skena daje dobru informaciju o redovitoj vidljivosti vaših sustava na mreži, a ranjivosti koje se otkriju ovim skenom svakako moraju biti na vrhu liste prioriteta.
15.11.13
Ljudi u crnom
S malim zakašnjenjem prilažem kopiju članka iz časopisa Banka koji sam objavio u kolovozu.
Tema je ponovo kibernetičko ratovanje. Naizgled, nije aktualno u našem okruženju, međutim sve ono što se događa u Europi u proteklih nekoliko mjeseci govori da su ratne tehnike operacije prisutne i u razdoblju prividnog kibernetičkog mira.
Tema je ponovo kibernetičko ratovanje. Naizgled, nije aktualno u našem okruženju, međutim sve ono što se događa u Europi u proteklih nekoliko mjeseci govori da su ratne tehnike operacije prisutne i u razdoblju prividnog kibernetičkog mira.
23.10.13
Thycotic Software u ponudi Boree
Nešto veći razmak od prethodnog teksta na blogu sam, osim za redovite poslovne aktivnosti, iskoristio i za daljnji razvoj poslovanja moje tvrtke. Jedan od rezultata ove aktivnosti je značajno unaprjeđenje suradnje s tvrtkom Thycotic Software. S ovom tvrtkom surađujem preko godinu dana, no krajem ljeta je Borea stekla status Thycotic Certified Partner.
Thycotic Software je najpoznatiji po svom rješenju Secret Server - sustavu za pohranu i upravljanje zaporkama privilegiranih korisničkih računa. Upotreba privilegiranih korisničkih računa u sebi nosi možda najznačajnije rizike od internog ugrožavanja sigurnosti informacijskog sustava. To su pristupna prava koja koriste administratori mrežnih, poslužiteljskih, database i drugih kritičnih resursa informatičke infrastrukture. Secret Server značajno pojačava sigurnosne mehanizme kod pristupa lozinkama ovih korisničkih računa, a sofisticirani mehanizmi evidentiranja i nadzora značajno olakšavaju praćenje, ali i djeluju preventivno te efikasno odvraćaju osobe koje su u iskušenju kompromitirati dodijeljena im prava.
Thycotic Secret Server igra značajnu ulogu u integraciji sa drugim sustavom kojeg Borea ima u ponudi - sa SaaS rješenjem QualysGuard. Naime, integracijom ovih sustava moguće je zaporke koje se koriste u autenticiranom skenu pohraniti unutar lokalne mreže, a ne u Qualysovom oblaku, što predstavlja značajni poticaj za iskorištavanje svih mogućnosti sustava QualysGuard.
Više o svojstvima sustava Thycotic Secret Server možete pronaći na stranicama ove tvrtke ili na stranicama Boree. Naravno, možete mi se javiti mailom ili telefonom za svaku dodatnu informaciju, ako želite vidjeti ovaj sustav u živom radu ili ako želite i sami isprobati Secret Server.
Thycotic Software je najpoznatiji po svom rješenju Secret Server - sustavu za pohranu i upravljanje zaporkama privilegiranih korisničkih računa. Upotreba privilegiranih korisničkih računa u sebi nosi možda najznačajnije rizike od internog ugrožavanja sigurnosti informacijskog sustava. To su pristupna prava koja koriste administratori mrežnih, poslužiteljskih, database i drugih kritičnih resursa informatičke infrastrukture. Secret Server značajno pojačava sigurnosne mehanizme kod pristupa lozinkama ovih korisničkih računa, a sofisticirani mehanizmi evidentiranja i nadzora značajno olakšavaju praćenje, ali i djeluju preventivno te efikasno odvraćaju osobe koje su u iskušenju kompromitirati dodijeljena im prava.
Thycotic Secret Server igra značajnu ulogu u integraciji sa drugim sustavom kojeg Borea ima u ponudi - sa SaaS rješenjem QualysGuard. Naime, integracijom ovih sustava moguće je zaporke koje se koriste u autenticiranom skenu pohraniti unutar lokalne mreže, a ne u Qualysovom oblaku, što predstavlja značajni poticaj za iskorištavanje svih mogućnosti sustava QualysGuard.
Više o svojstvima sustava Thycotic Secret Server možete pronaći na stranicama ove tvrtke ili na stranicama Boree. Naravno, možete mi se javiti mailom ili telefonom za svaku dodatnu informaciju, ako želite vidjeti ovaj sustav u živom radu ili ako želite i sami isprobati Secret Server.
11.6.13
Nova faza kibernetičkog rata
Jučer je sam na portalu časopisa Banka objavio tekst Nova faza kibernetičkog rata. Povod za ovaj tekst je bila prošlotjedna objava teksta smjernice Bijele kuće o načinima vođenja cyber-war operacija. Sama smjernica je nastala u studenom prošle godine i klasificirana je kao dokument visoke povjerljivost, a objavljena je prošli tjedan u dnevniku The Guardian.
The Guardian je prošlog tjedna postigao dva pogodka američkoj administraciji. (Bilo bi zanimljivo saznati tko je bio u veznoj liniji). Drugi pogodak je naravno objava kontinuirnog uvida američkih tajnih službi u podatke i komunikaciju koju svi mi obavljamo serverima vodećih svjetskih informatičkih tvrtki.
Imaju li vezu ova dva slučaja: nove smjernice za vođenje kibernetičkih ratova i sustav PRISM kojime se analiziraju podaci koji putuju Internetom? Formalo gledajući, direktna veza ne postoji - barem prema kriteriju vremenskog razdoblja u kojima se pojavljuju, no oba slučaja treba sagledati u kontekstu borbe američke administracijeprotiv neprijatelja različitih boja i sve jače izloženosti osobnih podataka koje postaju kolateralne žrtve u ovoj borbi.
Od svih tekstova o sustavu PRISM, posebno bih istaknuo komentare prema kojima bi ovakvo praćenje, prikupljanje i analiza podataka mogla ugroziti povjerenje u Cloud arhitekturu. Ne sumnjam da će tehnološke tvrtke pojačati marketinške i PR aktivnosti kako bi ograničili nastalu štetu, no problem je u tome što su potporu sustavu PRISM pružile tvrtke koje nas godinama uvjeravaju u sigurnost svojih Cloud rješenja.
The Guardian je prošlog tjedna postigao dva pogodka američkoj administraciji. (Bilo bi zanimljivo saznati tko je bio u veznoj liniji). Drugi pogodak je naravno objava kontinuirnog uvida američkih tajnih službi u podatke i komunikaciju koju svi mi obavljamo serverima vodećih svjetskih informatičkih tvrtki.
Imaju li vezu ova dva slučaja: nove smjernice za vođenje kibernetičkih ratova i sustav PRISM kojime se analiziraju podaci koji putuju Internetom? Formalo gledajući, direktna veza ne postoji - barem prema kriteriju vremenskog razdoblja u kojima se pojavljuju, no oba slučaja treba sagledati u kontekstu borbe američke administracijeprotiv neprijatelja različitih boja i sve jače izloženosti osobnih podataka koje postaju kolateralne žrtve u ovoj borbi.
Od svih tekstova o sustavu PRISM, posebno bih istaknuo komentare prema kojima bi ovakvo praćenje, prikupljanje i analiza podataka mogla ugroziti povjerenje u Cloud arhitekturu. Ne sumnjam da će tehnološke tvrtke pojačati marketinške i PR aktivnosti kako bi ograničili nastalu štetu, no problem je u tome što su potporu sustavu PRISM pružile tvrtke koje nas godinama uvjeravaju u sigurnost svojih Cloud rješenja.
Pretplati se na:
Postovi (Atom)