Saturday, July 27, 2013

Security Resources

огато говорим засигурност, всичко се свежда до ресурси. Колко ресурси ще вложите за да сe защитите,и колко ресурси ще вложат в атаката срещу вас. Ако вие вложит повече ресурси за защита, от колкото атакуващият да ви атакува, ще сте в безопасност, но ако атакуващият като ви атакува вложи повече ресурси в атаката от колкото вие в защитата, ще бъдете хакнати. В този случай неевъпрос, дали ще бъдете хакнати а кога ще бъдете хакнати. Важно е да знаете че винаги има момент, който гласи ч колкото повече вдигате летвата, толкова по-малко хора ще се опитват да я прескачат. Тук е момента да спомена че всички трябва да осъзнаят един важен момент – и това е че защитата на вашият компютър и вашата мрежа сасамо и единствено ваша отговорност ина никой друг, и че никой друг, няма да го направи вместо вас. Или избирате, да си направите сигурността като хората, и да сте защитени, или се превръщате в ниско висящ плод, който всеки може да тормози. Изборът затова какво искате да бъдете е ваш, но с това е ваша и отговорноста, ако нещата се объркат, и заслугита, ако нещата са наред. Да, отговорността и вината са само ваши и на никой друг.
 
Част 1
Операционна система Windows
Системата за сигерност на Windows е изградена, около акаунта и обекта. Това значи, че в основата на всякастратегия за сигурност седи потребителският акаунт. Обекта е всяка програма/експлойт/червей/вирус която работи поддаден акаунт и по подразбиране работи с правата и забраните на акаунта. Разбира се има много начини, все варианти на privilege escalation exploits които позволяват повдигането на правата до администраторски, но не винаги има условия за приложението на тези експлойти, а и освен другото, неадминистраторският акаунт, макар да е преоолимно препядстви само по себе си, често при добре настроена система играе ролята на още едно препядствие което трябва да се преодолее, още едно нещо да усложни задачата, още едно ниво нагоре повдигната летва. Още едно нещокоето трябва да се направи. Това макар и само по се беси да е пробиваемо, винаги има момента, че ако на систематаработи ЕМЕТ, експлойтаза повдиганенаправата може и да не успее заради намесата на емет. Винаги има възможност, този пробив да е поправени пачнат с някоя кръпка пусната от микрософт. Освен това не винаги има условията които са необходими за прилагането му изобщо. Така че това допълнително препядствие не е за подценяване.
 
Под windows, Основният набор от забрани и разрешения, бива налаган, чрез, избора на подходящ акаунт, и причисляването му към подходяща група. Така полагате основата, върху която в последствие ще работите. Настройките на Windows Media player, Windows Media Center, MS Office, Internet explorer, .NET Framework са допълнителни аспекти, които дават допълнителен контрол, на избрани аспекти, от общата конфигурация, но те неса основната конфигурация, те са допълнтелнит неща, които надграждат основния набор, създаден от акаунта, и така създават пълен контрол. За допълнителни настройки върху потребителски акаунт или настройки на група в която той принадлежи, се използва приложението gpedit.msc което фабрично вградено в windows, а за контол на достъпа по дайловете, се използва естествената за Windows NT базирано ядро, NTFS файлова система. Използвайки NTFS можете, да забраните достъп до други функции, до които нямат пряк достъп з забрана. Например забранявайки достъп до regedit.exe, забранявате на потребителя достъп до редактора на регистри, и го ограничавате да не може да прави промени по регистри.
Говарейки за акаунти, аминистративният и неадминистративният акаунти, получават коренно различно отношеине от ОС.
 
Неадминистративният акаунт, получава отношение, ако не е изришно посочен за разрешено, значи е забранено по подразбиране. Когато приложение работи под неадминистраторски акаунт, Операционната система, налага на това приложение, всички забрании ограничения, които са наложени от името на акаунта, под който приложението работи. За успешна атака, тованалага използването на екплойти повдигащи правата, и това добавя още 1 препядствие за преодоляване, още едно нещо да се свърши, още една степен по-висока летва. Това допълнително усилие не винаги е оправдано, невсякамишена си струва усилието.
 
Това правило, не се прилага върху административния акаунт. Поради много причини, като актуализации на операционната система, актуализации на програми, актуализации на драйвери, настройки на операционната система, мрежови настройки, настройки на хардуера през драйверите, консумация на енергия в хардуера от висок клас, консумация на батерия при лаптопи, и други нужди на системата, налагат неограничен достъп на администраторския акаунт над цялата система. За това, ако административен акаунт, бъде взет под прицел и бъде превзет, това значи край на играта, това вече не е вашият компютър, и не можете да направите нищо по въпроса.
 
От гледна точка на сигурност, 64 битовите версии на windows особено Vista и 7, предлагат, завишена степен на защита по 2 причини, едната е ядрото е вече защитено, и по никакъв начин не можеш даго пипаш, и да го пачваш и да се хукваш, което е една от причините, под 64 битов уиндоус да няма ефективно работещи рууткити, но също така е и причината 64 битовите ОС да са много по-стабилни, и много по-устойчиви на сривове, защото вътрешните механизми на ОС не могат да бъдат разстроени от външна намеса.
 
Друга мярка за сигурност е политика налагана от ОС наречена Driver Signature Enforcement Policy. Това значи, че ако един драйвер не е подписан, че е качествен и че в работата си действително прави това което твърди че прави, няма да бъде зареждан от ОС и вкарван в употреба. От гледна точка на сигурност, отново добре, това е още едно нещо което чупи модела на рууткитовете, защото нищо не може да се зареди като драйвер, или kernel mode driver и от там да манипулира системата. Освен това това също увеличава стабилността на системата, и устойчивостта и на сривове, защото целият този кошмар от драйвери за щяло и нещяло изчезва. Ичезва още едно нещо, което разстройва вътрешните механизми на ОС. Политиката за следене на драйверите Driver Signature Enforcement Policy бива поправена и подсилена, с актуализациите от Windows Update, за месец Юли 2012 година.
Въпреки, че следните защити не са приом, зано на 64 битовите системи, а и на 32 битоите, при 64 битовите системи, те подсилват защитата на ядрото, и на политиката за наагане на подписани драйвери, с което увеличават и устойчивостта на системата срещу саботаж.
 
Въпросните защитни мерки са:
SafeSEH или SEHOP това са 2 имена на едно и също нещо. Под сървър 2008, 2008R2, 2012 се нарича SafeSEH или Safe Structured Exception Handling, а под Windows Vista/7/8 се нарича
 
SEHOP – Structured Excepton Handling Overwrite Protection
 
ASLR – Address Space Layout Randomization
 
DEP – Data Exexcution Prevention,
 
които 3 системни защити на паметта, ако работят едновременно, значително вкоравяват системата, срещу разни експлойти. Коворейки за експлойти, това също вкоравява системата и я прави още по-устойчива срещу Privilege escalation exploits, за това казвам че при добре направена защита, смяната на акаунта може да е сериозно препядствие, което е всеки може да преодолее, а от тези които могат, не всеки би отделил времето и ресусрсите – не е рентабилно.
Друга полезна мярка е редовно обновяване на използваният софтуер, на всичкият използват софтуер. Вслучая на микрософт базирани конфигурации, имаме и не малка степен на интеграция между различните приложения на микрософт, което води до интересни ефекти и дефекти. Всичко това става със споделени DLL файлове, което значи, че ако има само един файл с проблем, но го ползват 10 програми, всичките 10 ще страдат от този проблем.
 
Част 2
Приложения на микрософт, и интеграция между приложенията.
Когато ползвате windows като операционна система, и приложения на Microsoft непременно, ще се сблъскате с интеграцията между приложенията чрез споделените DLL файлове, и въобще не си правете наивната илюзия че ще ви се размине. Накратко интргацията между приложенията се състои в това че едно приложение ползва файловет на друго, зада постигне някакъв резултат. Например интернет опциите на Windows, MS Office, Windows Media Center, Windows Media player, зависят изцяло от Internet explorer и файловете на internet explorer, или пък, мултимедиините възможности на Windows Media center, Internet explorer, MSOffice, и самият Windows зависят изцяло от Windows media player. Друг пример ефективността на Microsoft Security Essentials и Windows Firewall зависят едно от друго.
 
Пример 1
Нека кажем че един DLL файл, който е собственост на Internet explorer има бъг в себе си, и Internet explorer си страда от този бъг, ми то е нормално бъга си е на експлорер. Обаче проблемът не остава индивидуален на Internet Explorer, а става общ, защото според степента на интеграция между приложенията на Microsoft, този бъг се пренася върху всички програми които ползват Internet explorer и този файл, създавайки илюзия, че всички страдат от този бъг. Когато при поредната актуализация, този файл бива поправен, тогава всички спират да страдат от този бъг.
 
Пример 2
Същият принцип важи и в обратна посока, когато един файл на Internet explorer подлежи на допълнителна защита от DEP, ASLR и SEHOP, той пренася тази защита, върху всички програми които го ползват, генерално подобрявайки положението, и повишавайки степента на защита на всички приложения, и на операционната система.
 
Част 3
Как примери 1 и 2 се отнасят един спрямо друг, и спрямо сигурността на компютъра и операционната система.
Повечето хора автоматично приемат, че софтуера на микрософт е пълен с бъгове, които влияят на сигурността и работоспособността. Това че наистинаоказва влияние на сигурност и на работоспособност, е така, но иситната е малко е различна от това. Проблемът е че действително приложенията не са пълни с бъгове, просто това че ползват общ файлс бъг в него, който принадлежи на Internet explorer, в действитеност е само един бъг, само един бъгав файл, и само интернет експлорер е бъгав, но всички го ползват, и за това се създава илюзията че всички са бъгави. Същото важи и в обратна посока, когато единн файл се обнови и започне да бъде защитаван от SEHOP, DEP, ASLR той пренася тая защит върху всички които го ползват, ивсички са облагодетелтвани от това.
 
Част 4
Допълнителни ресурси
ЕМЕТ - Enhanced Mitigation Experience Toolkit. Към момента на писане на поста, текущата версия е 3.0. Това е инструмент, който помага, значително зазащита на компютъра, като следи рам паметта, за некоректни операции и спира процесите кото са на път да извършат, тази операция, з да защити ОС и останалите приложения. Ефективносттана ЕМЕТ се увеличава ЗНАЧИТЕЛНО, ако разполагате с хардуер от висок клас, иимате активирари от БИОС на дънната платка DEP и виртуализация. Това значи че давате хардуерен гръб и хардуерна подкрепа на емет, което ефективного подсилва при изпълнение на задачите му. Това прави ЕМЕТ по-труден за преодояване като препядствие, а от там, и по-труднода саботирате приложенията които биват пазени от ЕМЕТ.
 
Макар напръв поглед това да няма общо, действително има много общо. Хардуериня DEP от процесора, Помага значително, защото действа на най-ниско ниво – физически адреси на паметта, дефакто маркирацялата рам като неизпълнима област, и следи за изпълнения от нея. Софтуерният DEP от страна на Windows налага тези правила върху Stack и Heap на програмите, а комбинирани, позволява на Windows да използва контрола налаган от процесора, ефективно върху Stack и HEAP постигайки, максималната сила на DEP силно ограничавайки, второто най-голямо семейство атаки, върху Windows Buffer Overrun/Buffer Overflow. С добавянето на ASLR към ставащото до тук, второто най-голямо семейство атаки срещу уиндоус бива почти изцяло изкоренено.
 
Следващ полезен ресурс, е използването на antimalware и firewall които се допълват един друг, защото така всеки мже дасе допита до другия ако нещо не е сигурен, или му липсва дефиниция. Така не само се увеличава степента науловените гадини, както от antimalware така и от Firewall. Освен това, точно защото има с кой да се допитат, и да синаправят справка, се намаляват и фалшивите тревоги. Това генералноувеличава нивото на защита. Хобавото е че ако имате активерани DEP, ASLR, SEHOP глобално за цялата система, и DEP и виртуализация от процесора, те директно вкоравяват anti-malware и Firewall правейки ги по-трудни за саботиране, и от там увеличават и общатаустойчивост на компютъра, в частта си в която бива пазен от тези програми.
 
Друг полезен ресурс, е изключването на UPNP както от рутера, така и от Операционната система. Възможно е някои програми да спрат да работят временно, но с бърза проверка в гугъл, можете да видите на кои портове работят, и да ги конфигурирате във Firewall и в NAT на рутера, и да си решите и този проблем. Същото правило, за натване на портове и ИП важи и ако имате конзоли като X-box или Сони плейстейшън. Натвате им портовете до тяхното ИП и въпросът приключва. Последните по-масови червеи, използваха точно UPNP за да си отварят път през firewall и през рутерите, така че спирайки UPNP ограничавате и чарвеите, а полезните приложенияя ги конфигурирате през Firewall или NAT и работят перфектно.
 
Друг полезен ресурс е Hosts файла. Този файл може да се използва като много ефективна бариера срещу изходящи връзки. Просто записвате ип 0.0.0.0 и сайта където не искате да ходите
 
0.0.0.0 unwanted_domain.com
 
И компютъра ви забравя за този сайт окончателно и за винаги. ТСР протокола винаги работи с този файл, и винаги, го използва ПРЕДИ да направи ДНС справка на кое ип отговаря този сайт. Ако има запис за този сайт в Hosts файла, TCP директно използва този запис и не пита DNS. За това този файл е много хитра и ефективна бариера.

No comments:

Post a Comment

Note: Only a member of this blog may post a comment.