Saturday, July 27, 2013

Security maxims - real life expirience

Някои максими за сигурността, до които съм стигнал, с практическият си опит, с хората и компютрите....
 
Максима 1
Максима за арогантността: Лекотата, на пробиване, на една система е право пропорционална на арогантността на създателя/потребителя, и на това колко често ползват изрази като нехакваемо, неразбиваемо, неуязвимо.
 
Така е, няма непробиваем компютър, няма непробиваема ОС, няма непробиваема защита. Всеки който твърди обратното има нужда от отрезвително. Вижте какво стана с мак и епъл, фукаха се че са нехакваеми, а се оказа че са същото решето от пробиви като уиндоус.
 
Масима 2
Максима за защитата: Ако вие сте доволни от защитата ви, лошите също са доволни от нея.
 
Максима 3
Максима за атаките: Атаките винаги стават по-добри, никога не стават по-лоши
 
Максима 4
Максима за системата за сигурност: Ефективността на една система се определя от това което е свършено зле, а не от това което е свършено добре.
 
Така е, това което е свършено зле, е слабата точка която ще поддаде и ще създава проблеми, не това което е свършено добре.
 
Максима 5
Максима не си подмокряй панталоните: колкото повече хората спрягат една защитна технология, толкова по-малко разбират самата технология, и собствените си проблеми със сигурността.
 
Максима 6
Максима прекалено хуаво не е на хубаво: Ако това което ви говорят за едно нещо, в звучи прекалено хубаво за да е истина, то наистина е така.

Къде свършва Безплатната защита, и къде почва Платената?

Къде свършва Безплатната защита, и къде почва Платената?

безплатната защита свършва там където свършат уменията ти и познанията ти. Докато имаш уменията и познанията винаги можеш да комбинираш безплатни програми така че да са разностойни или да превъзхождат платените.

В света на платеното секюрити, Интересите ти като клиент често на са на 2 план, като цената и парите ти са на първи план.
 
обикновено колкото по-сериозни изисквания имаш, ония ти бъркат толкова повече в джоба и в един момент, в началото нещата изгеждат като далавера - получавам повече от колкото плащам с времето нещата поскъпват и става получавам толкова колкото плащам и леко по леко се изместват към не съм сигурен в резултата който ми давате в замяна на парите които ми вземате, и накрая се стига до виждам че ми пробутвате силно надценени решения с ефективност и резултати, които не си покриват цената и нуждите ми.

Security Basics

Компютърната защита не е проста работа, и обикновено, тя се изгражда според индивидуалните нужди на един потребител, и според задачите които компютъра ще изпълнява.
 
Нещата се делят най-общо казано на 5 основни аспекта
 
Първи аспект, и най-важен за сигурността това са самите потреители, user behavior - поведение на потребителя, наличие и отсъствие на защитни програми - антивирус, огнена стена, наличие и отсъствие на system memory protection - защита на паметта като DEP, ASLR, SEHOP....
Втори аспект на сигурността това е редовното обновяване на ОС, защитни програми, програми които са избрани за защита.
 
Трети аспект на сигурността е Risc assesment - оценка на риска, memory protection - защита на паметта - кои защити участват и до каква степен се интегрират в общия контур на защитата
 
Четвърти аспект на сигурността application security, account security, access control
 
Пети аспект на сигурността - application integration - интеграция между програмите, общи и шернати файлове пренасяне на уязвимост от една в друга програма заради това че ползват общ или шернат файл в който има уязвимост, пренасяне на защита от една на друга програма, заради това че ползват общ или шернат файл който предлага форма на защита. общи и шернати файлове значи едно и също - системен файл който се ползва от 2 и повече програми, в това число се брои и операционната система. В уиндоус има 4 големи кръга на интеграция, и шернатите файлове са кажи-речи всички без няколко, за това е важно да се обновяват всички програми и ос. Проблемът с общите файлове, е че примерно макар файлът да е собственост на интернет експлорер, микрософт офис го ползва за уеб и интернет възможностите си. Така ако във файла има уязвимост, тя вече не е само на интернет експлорер, а се пернася и върху микрософт офис. Същото важи и в обратна посока. Друг пример: Уиндоус Медиа Плейър има обновен файл който не само е премахнал уязвимост, но и въвежда системна защита на паметта. Файлът е собственост на Уиндоус Медиа Плейър, но понеже интернет експлорер също ползва този файл, за да представи мултимедиино съдържание, системната защита която предлага този файл се пренася и върху интернет експлорер. Много хора не вземат това под внимание, но това е там, това си съществува, независимо дали го вземат под внимание или не.
Митичната нехакваемост на макинтош се оказа само един мит.

Security Resources

огато говорим засигурност, всичко се свежда до ресурси. Колко ресурси ще вложите за да сe защитите,и колко ресурси ще вложат в атаката срещу вас. Ако вие вложит повече ресурси за защита, от колкото атакуващият да ви атакува, ще сте в безопасност, но ако атакуващият като ви атакува вложи повече ресурси в атаката от колкото вие в защитата, ще бъдете хакнати. В този случай неевъпрос, дали ще бъдете хакнати а кога ще бъдете хакнати. Важно е да знаете че винаги има момент, който гласи ч колкото повече вдигате летвата, толкова по-малко хора ще се опитват да я прескачат. Тук е момента да спомена че всички трябва да осъзнаят един важен момент – и това е че защитата на вашият компютър и вашата мрежа сасамо и единствено ваша отговорност ина никой друг, и че никой друг, няма да го направи вместо вас. Или избирате, да си направите сигурността като хората, и да сте защитени, или се превръщате в ниско висящ плод, който всеки може да тормози. Изборът затова какво искате да бъдете е ваш, но с това е ваша и отговорноста, ако нещата се объркат, и заслугита, ако нещата са наред. Да, отговорността и вината са само ваши и на никой друг.
 
Част 1
Операционна система Windows
Системата за сигерност на Windows е изградена, около акаунта и обекта. Това значи, че в основата на всякастратегия за сигурност седи потребителският акаунт. Обекта е всяка програма/експлойт/червей/вирус която работи поддаден акаунт и по подразбиране работи с правата и забраните на акаунта. Разбира се има много начини, все варианти на privilege escalation exploits които позволяват повдигането на правата до администраторски, но не винаги има условия за приложението на тези експлойти, а и освен другото, неадминистраторският акаунт, макар да е преоолимно препядстви само по себе си, често при добре настроена система играе ролята на още едно препядствие което трябва да се преодолее, още едно нещо да усложни задачата, още едно ниво нагоре повдигната летва. Още едно нещокоето трябва да се направи. Това макар и само по се беси да е пробиваемо, винаги има момента, че ако на систематаработи ЕМЕТ, експлойтаза повдиганенаправата може и да не успее заради намесата на емет. Винаги има възможност, този пробив да е поправени пачнат с някоя кръпка пусната от микрософт. Освен това не винаги има условията които са необходими за прилагането му изобщо. Така че това допълнително препядствие не е за подценяване.

Ms Shared files

Shared Files - общи файлове, а това е голям пропуск, защото често общите файлове са тези които играят голяма роля в компютъра. Например, в Микрософтската платформа, Уиндоус, Офис, Интернет Експлорер и Уиндоус Медиа Плейър, имат не малка степен на припокриване, и ползване на общи DLL файлове. Например Мултимедията на Уиндоус, Офис и Инетрнет експлорер минава през Уиндоус Медиа Плейър, или пък интернет и HTTP възможностите на уиндоус, Офис и Медиа плейър минават през интернет експлорер. В този ред на мисли, Уинодус Медиа плейър, като Секюрити използва Правата и забраните на акаунта под който работиш, Използва правилата за защита които си задал в интернет експлорер, при достъп до уеб базирано мултимедиино съдържание. от страна на Офис често Outlook използва правата на акаунта под който уиндоус работи, използва windows media player за мултимедия, а контрола над сигурноста при достъп до уеб ресурси, е отнова на гърба на интернет експлорер. системата за актуализация на уиндоус използва Интернет експлорер за достъп, и за рендериране на страницата с резултатите. Тук се появява положението файла е собственост на интернет експлорер, но се ползва от няколко програми, или файла е собственост на уиндоус медиа плейър, но се ползва от няколко програми, което означава че ако този файл не е обновен и в него има пропуск, то няма само интернет експлорер да е уязвим или само уиндоус медия плейър, а всички програми които ползват този уязвим файл, ще страдат от тази уязвимост. това е начина по който една уязвимост привидно на една програма се пренася върху няколко други, които пряко не са уязвими, но понеже ползват общ файл който е уязвим, това пренася уязвимостта върху тях. По същата логика, ако файла е актуализиран и тази уязвимост я няма, всички програми които ползват този файл, няма да са уязвими, от дадената уязвимост. По същата логика Ако този системен файл е съвместим и предлага някаква форма на защита, както са файлвете на Интернет експлорер, изведнъж общите файлове на интернет експлорер които се ползват от всички, пренасят тази защита, върху всички, които ползват тези файлове, и това до някъде повишава общата защитата на компютъра.

Windows Hardcore Security

Windows като операционна система, има доста логична структура, на системата си за сигурност, но малко хора правят нещо по въпроса. Повечето просто слагат някакво копие, и мятат някакви драйвери, и после работят без повод с администраторски акаунт, и системата им е изложена постоянно. В техния случай те сами са си виновни че са хаквани. То заради безотговорни потребители идва и лошото име на ОС.
 
Част 1 акаунти.
Системата за сигурност, на уиндоус е ориентирана към акаунта и обекта. Обекта е всяка програма, която бива изпълнявана под дадения акаунт, и има същият достъп като акаунта, и същите забрани. Избора на неадминистративен акаунт, значително вкоравява операционната система, защото премахва достъп, до критични за ОС елементи, например регистри е с права само за четене, start up секцията е с права само за четене, Windows Firewall също не може да бъде преконфигуриран зад гърба ви, не може да бъде спрян, или да му се сложат правила.
 
В случай, че ползвате достатъчно зрял антивирус, независимо дали е Microsoft Security Essentials или друг зрял антивирус, ако е достатъчно зрял, антивируса ще усети под какъв акаунт работи, и ако не е администраторски, няма да може да бъде преконфигуриран или спиран.
 
В случай, че ползвате достатъчно зрял Firewall, независимо дали ползвате Windows Firewall или друг firewall, ако е достатъчно зрял Firewall ще се съобарази с акаунта, и няма да позволи преконфигуриране или излючване от акаунт по-нисък от администраторски.
Това създава значителни пречки при заразяване на система, защото самата ОС, възспира опитите на maware да се инсталират заавтоатично стартиране с ОС.
 
Хубавото е че тук дори с администраторски акаунт, дефакто не сте с администраторски акаунт и винаги работите със занижени права. Когато ви изтрябва администраторски достъп за някоя функция, идва интересен момент. Windows разрешава администраторски права, само за тази функция САМО ДОКАТО завърши работата си, после, администраторските права изчезват. Това постоянно държи още една бариера срещу malware и успешното заразяване, усложнява задачата, защото трябва да се търси, privilege escalation exploit а това значи още едно препядствие да се преодолее, още един проблем който повишава общото ниво на трудност и сложност на задачата, защото не малка част от ресурсите които един malware иска, ще са недостъпни.