Sunday, February 19, 2012

Атаки отвътре навън са днешните опасности


Атаки отвътре навън, са нещо ново, и не всеки който се занимава със секюрити, е навлезнал в тази област. Тази област включва 2 големи групи, това което повечето хора си представят, вероятно и ти, е първата страна на въпроса. Първата страна на атаки отвътре навън: Когато хората чуят за Атаки отвърте навън, обикновено си представят в най-често, саботьор който саботира мрежата отвътре, което е едната страна на въпроса с атаките отвътре. Лошото е че хората въобще не си дават сметка че има още една страна по въпроса. втората страна на въпроса е невидима за хората, и точно за това е много по-масова, и хората си патят най-много от тази страна. за да разбереш втората страна, трябва да ти дам пример с нещо от преди време. Преди време, атаките бяха отвън на вътре. Тоест троянско конче идва при теб отвън, влиза в компютъра използвайки remote exploit, настанява се в системата, и ти яхва системата, и си отваря си порт, и седи и чака стопанина му да го потърси отвън. Когато стопанина му го потърси отвън то му дава достъп, и атаката отвън на вътре е успяла. Със сегашната защита и тогавашните средства, нямаше да стане нищо.

Атаката отвън навътре щеше да е унищожена на мига в който започне. Троянското конче ще си седи и чака напразно, а стопанина му ще се опитва да се свърже, и няма да може защото firewall казва това е непознат трафик, който не е очакван от никоя от работещите програми и прекратява връзката. Сега атаките са направени на обратния принцип след като сам си вкараш троянското конче, и след като то ти яхне системата, отваря си порт, отваря си правило в огнената стена, и само се обажда на стопанина си, за да може първата връзка да е отвътре навън, тоест във firewall да с регистрира изходяща връзка, която трябва да получи отговор, и firewall е пуснал изходящия трафик, и си е записал че на този порт чака отговор от това ИП, и когато стопанина на троянското конче отговори - системата получава очакван трафик Firewall вижда, познат и очакван трафик, пуска го и айде, готово, хванали са ти системата, все едно нямаш огнена стена. Добрият Firewall следи както и входящият трафик към компютъра, така и изходящият трафик от компютъра, също така добрият Firewall не позволява, друг да си отваря сам правила. Винаги пита администратор за потвърждение. Иначе на потребител който не е, администратор просто блокира трафика, отказва отварянето на правило, отказва връзка и не занимава потребителя.

в случая хубавото е че Memory Mitigations - защити на паметта, помагат точно срещу този тип атаки, разбира се не ги елиминират на 100%, но създават достатъчно голяма пречка за реализирането им, и до такава степен усложняват реализирането им, че често пъти създаването и реализирането на успешна атака, става много трудно, много сложно, и все по-често резултатите от нея, в голяма степен не покриват времето и усилието за създаването и реализирането на атаката. Memory Mitigations които са достъпни за използване в уиндоус, са следните:

DEP - Data Execution Prevention
ASLR - Address Space Layout Randomization
SEHOP - Structured Exception Handler Overwrite Protection
EAF - Export Addres table Filtering
Heap Spray Protection
Null Page Protecton
Bottom Up Randomization

Тук трябва да намесим и процесорите, защото без тях картинката е напълно различна. Процесора дава гръб на някои защитни техники да развият пълния си потенциал, и пълната си сила, която иначе е силно ограничена. Например DEP е добър пример. Само софтуерен DEP от страна на ОС не винаги е достатъчен като сила, от друга страна от процесора на ниско системно ниво, на ниво адрес в паметта не можеш да се скриеш, щом процесор реагира на ставащото, оттърване няма. Ако се съберат софтуерен и хардуерен DEP на едно място, защитата става наистина силна, защото силния контрол който налага процесора на ниво физически адрес в паметта, се пренася от ОС върху Heap и Stack на ОС и на програмите, и в зоните от паметта на работещите процеси, като така вече цялата сила, и целия понетциял се разгръща с пълна сила едновременно на ниско физическо ниво в паметта, и на ниво stack, heap. Дори DEP на ОС да пропусне ставащото в стека, или в паметта, което пряко зависи от настройки на системата, и до каква сила са настроени защитните сили на деп, DEP на процесора ще го залови на ниско, системно ниво - адрес в паметта, ще го спре и ще го докладва на ОС.

Хардуерна виртуализация, поддържана от процесора.
Това е още една форма на вкоравяване на системата. Това е система от инструкции, с които процесора активно участва в създаването и вкоравяването на пясъчни кутии - Sandbox и цели виртуални машини. пограми пясъчни кутии като Sandboxie, модули на програми като Google chrome sandbox, Firefox Plugin-Container, Internet Explorer 8 Protected Mode, Internet Explorer 9 Protected Mode, Office 2010 Protected View, както и цели виртуални машини, като Carousel, Parallels, Vmware, Virtual PC, Windows XP mode в уиндоус 7 64 бита, също могат да се възползват от тази форма на хардуерно подсилване, която ги прави по-устойчиви на опити да бъдат пробити, независимо дали нещо отвътре иска да излезне или нещо отвън се опита да влезне. Обикновено Пясъчната кутия е по-слабия вариант, и си страда от някои ограничения, което ограничава функционалността или степента на защита на тази категория софтуер, докато една пълна вирутуална машина като Parallels, Carousel, VMWare, Virtual PC не страдат от ограничения, и имат пълна неограничена функционалност.

No comments:

Post a Comment

Note: Only a member of this blog may post a comment.