Σε μια προηγούμενη στήλη, αποκάλυψα πώς η συντριπτική πλειοψηφία των απειλών για την ασφάλεια του υπολογιστή που αντιμετωπίζει το περιβάλλον σας ζει από την πλευρά του πελάτη και απαιτεί τη συμμετοχή των τελικών χρηστών. Οι χρήστες πρέπει να είναι κοινωνικά σχεδιασμένοι για να κάνουν κλικ σε ένα στοιχείο στην επιφάνεια εργασίας τους (ένα e-mail, ένα συνημμένο αρχείο, μια διεύθυνση URL ή μια εφαρμογή) που δεν θα έπρεπε να έχουν. Αυτό δεν σημαίνει ότι τα πραγματικά απομακρυσμένα εκμεταλλεύματα δεν αποτελούν απειλή. Αυτοί είναι.
[ΡότζερΗ στήλη του Grimes είναι πλέον ένα blog! Λάβετε τις τελευταίες ειδήσεις για την ασφάλεια πληροφορικής από το ιστολόγιο του Security Adviser. ]
Η απομακρυσμένη υπερχείλιση buffer και οι επιθέσεις DoS παραμένουν σοβαρή απειλή για τους υπολογιστές που βρίσκονται υπό τον έλεγχό σας. Παρόλο που είναι λιγότερο διαδεδομένες από τις επιθέσεις από την πλευρά του πελάτη, η ιδέα ότι ένας απομακρυσμένος εισβολέας μπορεί να ξεκινήσει μια σειρά bytes στους υπολογιστές σας και, στη συνέχεια, να αποκτήσει τον έλεγχο πάνω τους φέρνει πάντα τον μεγαλύτερο φόβο στους διαχειριστές και συλλαμβάνει τους μεγαλύτερους τίτλους. Αλλά υπάρχουν και άλλα είδη απομακρυσμένων επιθέσεων κατά υπηρεσιών ακρόασης και δαίμονες.
Ένα γάντι απομακρυσμένων εκμεταλλεύσεων
Πολλές υπηρεσίες και δαίμονες υπόκεινται σε επιθέσεις και υποκλοπές του MitM (άνθρωπος στη μέση). Πάρα πολλές υπηρεσίες δεν απαιτούν έλεγχο ταυτότητας τελικού σημείου ή χρήση κρυπτογράφησης. Με την υποκλοπή, τα μη εξουσιοδοτημένα μέρη μπορούν να μάθουν διαπιστευτήρια σύνδεσης ή εμπιστευτικές πληροφορίες.
Η ακατάλληλη αποκάλυψη πληροφοριών είναι μια άλλη απειλή. Χρειάζεται μόνο λίγη χάραξη Google για να τρομάξει το χάλια. Θα βρείτε διαπιστευτήρια σύνδεσης σε απλή προβολή και δεν θα είναι πολύ περισσότερο πριν βρείτε πραγματικά έγγραφα μυστικού και εμπιστευτικού περιεχομένου.
Πολλές υπηρεσίες και δαίμονες συχνά δεν έχουν ρυθμιστεί σωστά, επιτρέποντας την ανώνυμη προνομιακή πρόσβαση από το Διαδίκτυο. Πέρυσι, ενώ δίδασκα ένα μάθημα στο Google hacking, βρήκα μια ολόκληρη (ΗΠΑ) βάση δεδομένων υγείας και κοινωνικής πρόνοιας προσβάσιμη στο Διαδίκτυο, δεν απαιτούνται διαπιστευτήρια σύνδεσης. Περιλάμβανε ονόματα, αριθμούς κοινωνικής ασφάλισης, αριθμούς τηλεφώνου και διευθύνσεις - ό, τι ένας κλέφτης ταυτότητας θα χρειαζόταν για να είναι επιτυχής.
Πολλές υπηρεσίες και δαίμονες παραμένουν ανάρμοστες, αλλά εκτίθενται στο Διαδίκτυο. Μόλις την περασμένη εβδομάδα, ο ειδικός ασφάλειας βάσεων δεδομένων David Litchfield βρήκε εκατοντάδες έως χιλιάδες μη αντιστοιχισμένες βάσεις δεδομένων Microsoft SQL Server και Oracle στο Διαδίκτυο χωρίς προστασία από τείχος προστασίας. Μερικοί δεν είχαν διορθώσεις για ευπάθειες που είχαν διορθωθεί πριν από περισσότερα από τρία χρόνια. Ορισμένα νέα λειτουργικά συστήματα κυκλοφορούν εν γνώσει τους με ξεπερασμένες βιβλιοθήκες και ευάλωτα δυαδικά αρχεία. Μπορείτε να κάνετε λήψη κάθε ενημερωμένης έκδοσης κώδικα που έχει να προσφέρει ο προμηθευτής και εξακολουθείτε να είστε εκμεταλλεύσιμοι.
Τι μπορείς να κάνεις?
* Απογραφή του δικτύου σας και λάβετε μια λίστα με όλες τις υπηρεσίες ακρόασης και δαίμονες που εκτελούνται σε κάθε υπολογιστή.
* Απενεργοποίηση και κατάργηση περιττών υπηρεσιών. Δεν έχω ακόμη σαρώσει ένα δίκτυο που δεν διέθετε πολλούς άχρηστους (και συχνά κακόβουλους ή τουλάχιστον δυνητικά επικίνδυνους) υπηρεσίες που η ομάδα υποστήριξης πληροφορικής δεν γνώριζε.
Ξεκινήστε με στοιχεία υψηλού κινδύνου και υψηλής αξίας. Εάν δεν απαιτείται η υπηρεσία ή ο δαίμονας, απενεργοποιήστε την. Σε περίπτωση αμφιβολίας, ερευνήστε το. Υπάρχουν πολλοί χρήσιμοι πόροι και οδηγοί διαθέσιμοι δωρεάν στο Διαδίκτυο. Εάν δεν μπορείτε να βρείτε μια οριστική απάντηση, επικοινωνήστε με τον προμηθευτή. Εάν εξακολουθείτε να μην είστε σίγουροι, απενεργοποιήστε το πρόγραμμα και επαναφέρετέ το εάν καταλήξει κάτι.
* Βεβαιωθείτε ότι όλα τα συστήματά σας είναι πλήρως διορθωμένα, λειτουργικό σύστημα και εφαρμογές. Αυτό το μοναδικό βήμα θα μειώσει σημαντικά τον αριθμό των σωστά διαμορφωμένων υπηρεσιών που μπορούν να αξιοποιηθούν. Οι περισσότεροι διαχειριστές κάνουν εξαιρετική δουλειά στην εφαρμογή ενημερωμένων εκδόσεων λειτουργικού συστήματος, αλλά δεν το κάνουν επίσης διασφαλίζοντας ότι οι εφαρμογές έχουν διορθωθεί. Σε αυτήν τη συγκεκριμένη στήλη, ανησυχώ μόνο για την επιδιόρθωση εφαρμογών που εκτελούν υπηρεσίες ακρόασης.
* Βεβαιωθείτε ότι οι υπόλοιπες υπηρεσίες και δαίμονες εκτελούνται σε λιγότερο προνομιακό περιβάλλον. Οι ημέρες λειτουργίας όλων των υπηρεσιών σας ως διαχειριστής ρίζας ή τομέα θα πρέπει να κλείνουν. Δημιουργήστε και χρησιμοποιήστε πιο περιορισμένους λογαριασμούς υπηρεσιών. Στα Windows, εάν πρέπει να χρησιμοποιήσετε έναν πολύ προνομιακό λογαριασμό, μεταβείτε στο LocalSystem αντί για διαχειριστή τομέα. Σε αντίθεση με τη δημοφιλή πεποίθηση, η εκτέλεση μιας υπηρεσίας στο LocalSystem είναι λιγότερο επικίνδυνη από την εκτέλεση ως διαχειριστή τομέα. Το LocalSystem δεν έχει κωδικό πρόσβασης που μπορεί να ανακτηθεί και να χρησιμοποιηθεί σε ολόκληρο το δάσος Active Directory.
* Απαιτήστε όλοι οι λογαριασμοί υπηρεσίας / δαίμονα να χρησιμοποιούν ισχυρούς κωδικούς πρόσβασης. Αυτό σημαίνει μεγάλο ή / και περίπλοκο - 15 χαρακτήρες ή περισσότερους. Εάν χρησιμοποιείτε ισχυρούς κωδικούς πρόσβασης, θα πρέπει να τους αλλάζετε λιγότερο συχνά και δεν θα χρειαστείτε κλείδωμα λογαριασμού (επειδή οι εισβολείς δεν θα είναι ποτέ επιτυχημένοι).
* Google-hack το δικό σας δίκτυο. Δεν βλάπτει ποτέ να μάθεις αν το δίκτυό σου εκδίδει ευαίσθητες πληροφορίες. Ένα από τα αγαπημένα μου εργαλεία είναι το Site Digger του Foundstone. Αυτοματοποιεί ουσιαστικά τη διαδικασία ηλεκτρονικής εισβολής και προσθέτει πολλούς από τους ελέγχους του Foundstone.
* Εγκαταστήστε υπηρεσίες σε μη προεπιλεγμένες θύρες εάν δεν είναι απολύτως απαραίτητα στις προεπιλεγμένες θύρες. αυτή είναι μια από τις αγαπημένες μου προτάσεις. Τοποθετήστε το SSH σε κάτι διαφορετικό από τη θύρα 22. Βάλτε το RDP σε κάτι διαφορετικό από το 3389. Με την εξαίρεση του FTP, κατάφερα να εκτελέσω τις περισσότερες υπηρεσίες (που δεν χρειάζονται από το ευρύ κοινό) σε μη προεπιλεγμένες θύρες, όπου οι χάκερ σπάνια βρείτε τους.
Φυσικά, εξετάστε το ενδεχόμενο να δοκιμάσετε το δίκτυό σας με έναν σαρωτή ανάλυσης ευπάθειας, είτε την ελεύθερη είτε την εμπορική ποικιλία. Υπάρχουν πολλά εξαιρετικά που βρίσκουν τα χαμηλά κρεμαστά φρούτα. Πάντα να έχετε πρώτα άδεια διαχείρισης, να δοκιμάζετε τις ώρες εκτός λειτουργίας και να αποδέχεστε τον κίνδυνο πιθανό να χτυπήσετε κάποια σημαντική υπηρεσία εκτός σύνδεσης κατά τη διάρκεια της σάρωσης. Εάν είστε πραγματικά παρανοϊκοί και θέλετε να ξεπεράσετε τις ευπάθειες που αποκαλύπτονται δημοσίως, χρησιμοποιήστε ένα fuzzer για να αναζητήσετε εκμεταλλεύσεις μηδενικής ημέρας. Παίζω με μια διαφήμιση αυτές τις μέρες (παρακολουθήστε το Κέντρο δοκιμών για την αναθεώρησή μου) ενάντια σε διάφορες συσκευές ασφαλείας και το fuzzer βρίσκει πράγματα που υποψιάζομαι ότι οι πωλητές δεν γνωρίζουν.
Και φυσικά, μην ξεχνάτε ότι ο κίνδυνος κακόβουλων εκμεταλλεύσεων προέρχεται κυρίως από επιθέσεις από πλευράς πελατών.
