Archief voor de categorie 'Algemene Beveiliging'

«Oudere reacties

Worden gevirtualiseerde systemen Meer of minder veilig?

18 mei 2010

Ik heb de bovenstaande vraag vaak genoeg dat ik voelde dat waardig van een blog post. Terwijl een paar jaar terug het antwoord kan zijn "minder veilig", vandaag is het antwoord "beide". Ik weet het, klinkt als Chris zijn vrijblijvend, maar dat antwoord wel degelijk het meest nauwkeurig beschrijft de huidige stand van de technologie.

Virtualisatie verandert alles

Ik heb gehoord dat een paar mensen opmerking dat virtualisatie is over de industrie invloed op de dezelfde manier als de Internet deed in de jaren 90. Om eerlijk te zijn, ik denk dat er verdienste in dat advies. In de vroege jaren '90 de meeste mensen liepen IPX, AppleTalk, NetBUI en een overvloed aan andere protocollen op gesloten netwerken. Tegen het einde van de jaren 90, werden de meeste mensen actief IP uitsluitend met connectiviteit naar de hele wereld. De manier waarop we zaken deden, evenals de manier waarop we beveiligingsmaatregelen, compleet veranderd over die 10 jaar. Zowel netwerkbeheer en security vaardigheden die rand waren zagen in 1990 waren allemaal maar nutteloos in 1999.

Virtualisatie begint oprit tot aan het dezelfde impact op de industrie hebben. Implementatie van virtualisatie vereist een volledige heroverweging van hoe de veiligheid toe te passen. Terug in de jaren 1990, kreeg admins die gewoon aangesloten op het internet, zonder rekening te houden met hoe dit zou hun netwerk impact, verbrand big time. We staan ​​in de rij om een ​​vergelijkbaar resultaat te zien als mensen vast te stellen virtualisatie.

Wat maakt virtualisatie minder veilig

De achilleshiel van virtualisatie is in de software zelf. We hopen dat we de software te gast systemen weg te houden van elkaar, evenals de gastheer en / of de hypervisor vertrouwen. Er zijn twee grote problemen met deze verwachting:

  1. U hoeft geen software is bug vrij
  2. Software kan worden verkeerd geconfigureerd

Een paar jaar terug Core Uit onderzoek bleek ze konden doorbreken van een gast en volledige controle van de host-OS . Terwijl een hypervisor wordt verondersteld dat type van blootstelling te beperken, hebben we zeker gezien de gevallen waar zelfs de hypervisor is overgeslagen . We hebben zelfs gevallen gezien zijn software wordt misbruikt pas wanneer deze wordt uitgevoerd in een gevirtualiseerde omgeving . Deze links tonen een kleine dwarsdoorsnede van de virtualisatie problemen die zijn ontdekt in de afgelopen jaren. Google kan u een meer complete lijst als je geïnteresseerd bent.

Dus een voorzichtige security professional gaat voorzichtig van blindelings te vertrouwen software te beveiligen. Het probleem is dat verkopers niet altijd nemen deze dezelfde aanpak. Neem VMware met hun ESX (binnenkort ESXi) product als een voorbeeld. Velen van ons waren verbijsterd toen een vertegenwoordiger van VMware aangekondigd op CanSecWest dat het theoretisch onmogelijk om de ESX hypervisor te vallen . Wanneer we gewoon aannemen wat onbreekbaar is, is iemand die meer creatief gaan bedenken een manier om door middel van punch .

Een van mijn grootste zorgen met ESX / ESXi is dat VMware heeft ontworpen om te worden modulair (via VMSafe ). Aan de positieve kant, betekent dit dat externe leveranciers kunnen producten te creëren om de hypervisor van de functionaliteit en de veiligheid te verbeteren. Aan de andere kant verhoogt dit aanzienlijk de kans op slechte code wordt ingevoerd dat kan in gevaar te brengen.

We hebben gezien een mooi voorbeeld van dit in het verleden. Marcus Ranum schiep de Gauntlet firewall, die op dat moment was een van de meest veilige en kick butt beveiliging apparaten beschikbaar. Toen drie letter agentschappen van de beste security wilde, wendden zij zich tot Gauntlet. Marcus verkocht Gauntlet op Network Associates (later werd het McAfee) die meteen begonnen met het toevoegen van functies. Het duurde niet lang voordat er een gestage reeks kwetsbaarheden werden ontdekt, elk ingeleid door deze nieuwe "features". Vanaf nu is het product verloor zijn veiligheid cred en gleed af van de radar.

Nu is het zeker mogelijk om functies toe te voegen en dingen die veilig te houden. De FreeBSD mensen zijn een uitstekend voorbeeld van hoe correct te doen. Om ervoor te zorgen de beveiliging onderhouden ze een zeer strenge controle proces . Is het perfect? Absoluut niet, maar hun audit proces heeft de lat voor veilige software-implementatie. Met een beetje geluk VMware zal doen lijken, maar ik heb niet gehoord geen buzz over dit het geval is.

Getting Your Head Straight

OK, dus we kunnen niet blind vertrouwen virtualisatie software om aanvallers op afstand te houden. We kunnen echter nog steeds voorzorgsmaatregelen treffen om het minimaliseren van de impact als het ergste zich voordoet. Een van de grootste stappen die u kunt nemen is om zorgvuldig te overwegen welke servers gehost te krijgen, en welke andere gastsystemen zijn toegestaan ​​om te draaien op dezelfde doos. De veiligheidszone concept wordt gebruikt door het netwerk van architecten is net zo hier van toepassing.

Een veiligheidszone is gewoon een verzameling van systemen die dezelfde relatieve mate van risico te delen. Bijvoorbeeld Web, en SMTP-servers zijn meestal allemaal op een DMZ, omdat ze allemaal dezelfde risico van directe aanval. Op het binnenste deel van het netwerk, zijn desktops meestal geplaatst in een andere beveiligingszone dan de servers. Dit komt omdat servers hebben weinig tot geen toegang tot het internet, terwijl desktops worden meestal toegestaan ​​om rechtstreeks te communiceren. Dit plaatst de desktops een hoger risico van een aanval dan de servers.

We kunnen toepassen van deze zelfde logica bij de implementatie van virtualisatie. Een DMZ-server en een interne server mag niet worden gasten op dezelfde hardware (zowel CPU en disk array). Dit kan leiden dat een aanvaller een alternatieve route in ons netwerk te creëren. In plaats van door te geven door middel van een firewall, NIDS, NIPS, etc. apparaten die is ingezet op de draad, kan een aanvaller in staat zijn om toegang tot interne resources te krijgen via de virtualisatie-software. Is het een makkelijke aanval? Niet van wat we tot nu toe hebben gezien. Functionele exploits zijn echter ontdekt, dus waarom onnodige risico als we niet te hebben.

By the way, moeten deze dezelfde veiligheid zone regels worden toegepast op uw gevirtualiseerde netwerk versnelling. Het is bijvoorbeeld een slecht idee om dezelfde fysieke switch te gebruiken om VLAN de DMZ en het interne netwerk. Ik heb een paar klanten te krijgen op die manier vermoord.

Wat maakt Virtualisatie veiliger

Gelukkig, vanuit een security perspectief, virtualisatie is niet allemaal slecht nieuws. In feite zijn er een aantal zeer coole beveiliging praktijken die je kunt toepassen in een gevirtualiseerde omgeving die je gewoon niet kan doen zonder. Dit was een van de redenen waarom we gestart met virtualisatie binnen het Honeynet al in 2000.

Een van de grootste security problemen waar we vandaag de dag is kernel-niveau rootkits . Wat maakt deze stam van malware zo verraderlijk is blijkt effectief het besturingssysteem zelf in malware. Dit maakt detectie van uiterst moeilijk, aangezien alle veiligheidscontroles moet door de kernel. Als de kernel zelf is aangetast, kunnen we niet vertrouwen op de kernel om nauwkeurig verslag beveiligingsinformatie. We eindigen met systeem moet afsluiten, monteert u de schijf op een bekend is dat schoon OS, en het uitvoeren van onze forensische controles vanaf daar. Oh natuurlijk het probleem met dit proces is dat het niet goed doet schaal. Als we tientallen of honderden servers, er is gewoon niet genoeg tijd in een dag om ze te controleren alles goed.

Zoals eerder vermeld, is VMware nu toelaten van derden leveranciers toegang tot de hypervisor API via VMSafe. Dit maakt de toegang tot bevoorrechte status informatie, zoals het geheugen en het netwerkverkeer, op elk van de gast-besturingssystemen. Door de stekker in de hypervisor, een aantal zeer coole beveiligingsopties mogelijk geworden.

Bijvoorbeeld laten we zeggen een gast-OS is aangevallen door een kernel rootkit niveau. Door het analyseren van gast-geheugen, kan de rootkit te detecteren van buiten het virtuele besturingssysteem. Bij het uitvoeren van de controles via de hypervisor, is er veel minder van een kans dat een rootkit kan stealth haar activiteiten en onopgemerkt blijven. Zoals eerder vermeld, is er geen vergelijkbare optie met een niet-gevirtualiseerde systeem.

De API plug creëert ook nieuwe mogelijkheden voor het omgaan met versleutelde verkeer. Bij het begin tot het einde encryptie wordt gebruikt (zoals een VPN), netwerk op basis controles van de applicatielaag zijn gemakkelijk omzeild. Uw enige reële optie was om agent software draaien op het eindpunt, kon zo de veiligheid worden uitgevoerd nadat de decryptie-proces. Natuurlijk is het probleem hier is dat als de agent wordt aangevallen, zijn alle weddenschappen zijn uitgeschakeld. Nogmaals, door de stekker in de hypervisor zijn we in een betere positie om veiliger te controleren deze gegevens.

We zijn net begonnen om nieuwe te zien producten die de VMSafe API stekker leverage . Omdat alle producten zijn relatief nieuw, de jury is nog steeds op hoe effectief ze kunnen zijn. Aanbod loopt het gambiet van de vervanging van host-based firewall en IDS bescherming volledige beleid handhaving. Het zal interessant zijn om te zien hoe dit product niche schudt over het komende jaar.

Overzicht

Dus als ik al zei aan het begin van deze post, virtualisatie heeft de mogelijkheid om uw omgeving meer of minder veilig is, afhankelijk van hoe u implementeren. Als je gewoon begint te lopen alles op een enkele box, bent u waarschijnlijk gaat krijgen vermoord. Als u uitbreiden van de best practices die in de loop der jaren ontwikkeld tot de virtualisatie rijk, maar ook als hefboom een ​​aantal van de nieuwe beveiligingsfuncties die worden vrijgegeven, kunt u daadwerkelijk zorgen voor een betere algemene veiligheid houding.

Geen reacties »

Geplaatst in drie-err , Algemene Beveiliging , Virtualisatie

Tags:

Dag 2 Keynote

12 januari 2010

Dank aan allen die uit kwam om de encryptie / DLP top. Hier zijn de slides van mijn keynote op dag 2.

encryptie-dlp-keynote

Geen reacties »

Geplaatst in drie-err , Algemene Beveiliging

Tags:

Poor Man's DLP

11 januari 2010

Groetjes allemaal,

Ik ben in New Orleans op de SANS Encryption & DLP-conferentie geeft een voordracht getiteld "Poor Man's Data Leak Prevention". Ik beloofde de aanwezigen een exemplaar van de dia's, dus even ya go.

arme-mans-dlp

2 reacties »

Geplaatst in een-opkomende landen , Algemene Beveiliging

Tags:

PDF van "Bescherming tegen gerichte aanvallen" praten

14 oktober 2009

In de komende weken zal ik het geven van deze lezing op een aantal locaties. Voor degenen die bezocht en verzocht om een PDF-versie van de dia's, hier is de link die ik beloofd: het beschermen-tegen-gerichte-aanvallen-R2

3 reacties »

Geplaatst in drie-err , Algemene Beveiliging

Tags:

Cyberveiligheid Act van 2009 In-Depth - Deel 2

11 september 2009

In het bericht van gisteren Ik had betrekking op de eerste helft van de Cybersecurity Act van 2009. Hier is de up schrijven over de tweede helft van het wetsvoorstel.

Deel 13: Cybersecurity concurrentie en uitdaging

Zoals de naam al impliceert, dit zet de financiering van een reeks van wedstrijden om te helpen identificeren van de beste en de slimste.

(A) IN HET ALGEMEEN-De directeur van het National Institute of Standards and Technology, rechtstreeks of door middel van passende federale entiteiten, stelt cyberveiligheid competities en uitdagingen met geldprijzen, om-

(1) te trekken, te identificeren, evalueren en getalenteerde individuen voor de Federale informatietechnologie beroepsbevolking, en

(2) stimuleren van innovatie in fundamenteel en toegepast cybersecurity onderzoek, technologische ontwikkeling en prototype te tonen dat de mogelijkheden voor toepassing van de Federale informatietechnologie activiteiten van de federale regering hebben.

Geen rode vlaggen hier. Prijzen kunnen niet meer dan $ 1M zonder checks and balances binnen schoppen niet je hoop op te staan. Dat is voor een hele gebeurtenis, niet een specifieke prijs.

Deel 14: Publiek-private clearinghouse

Dit gedeelte lijkt vrij onschuldig uit, tot je goed lezen. Hier is de opening sectie:

(A) Aanwijzing-Het ministerie van Handel dienen als coördinatiecentrum voor cyberveiligheid bedreiging en de kwetsbaarheid van informatie van de federale overheid en de private sector in handen kritieke infrastructuur informatiesystemen en netwerken.

Yawn. Ik zie dit als iets wat je niet kunt mandaat. Als u nuttige informatie verstrekken, zullen de gebruikers op zoek gaan naar wat je te zeggen hebt. Als je gewoon opnieuw af te drukken wat reeds is vrijgegeven als open source, dan is mijn Google nieuwsfeed zal waarschijnlijk me de info sneller en met een betere interface. Het is gemakkelijk om te willen deze sectie op basis van deze opening verklaring negeren, maar lees een beetje verder please:

(B) functies, de secretaris van Koophandel-

(1) hebben toegang tot alle relevante gegevens met betrekking tot dergelijke netwerken en los van elke bepaling van de wet, regeling, regel, of beleid beperken van die toegang;

Wat?? Dit is voor mij de ultieme macht te grijpen. Dus een netwerk of systeem dat kan worden beschouwd als "kritieke infrastructuur" te laten commerce afdeling hebben vrije toegang tot hun netwerk. Deze toegang is zonder rekening te houden op een eerlijk proces of van de rechtsstaat. "Relevant" is een zeer subjectief begrip dat kan worden toegepast op iets.

Dus het komt terug naar die "kritieke infrastructuur" beschrijving die we al gezegd is het oordeel roep van een enkel individu. Misschien is Microsoft's netwerk moet worden beschouwd als kritieke infrastructuur, omdat ze van de overheid de primaire desktop-leverancier. Misschien is Linux-servers ontwikkeling moet ook worden beschouwd als "kritiek" als servers, apparaten en embedded technologie is gebaseerd op dit platform. Hoe zit het Anti-Virus en firewall leveranciers die producten leveren aan de overheid? Internet service providers onderhoud overheid netwerken? Onderhoud overheid telco's medewerkers? Universiteiten gefinancierd om cyber-beveiliging technieken te ontwikkelen? Dit kan een zeer hellend vlak te zijn.

Voor mij is dit waarschijnlijk de meest gevaarlijke deel van de rekening.

Deel 15: Cybersecurity risk management rapport

Kortom, dit onderdeel vereist dat de voorzitter een verslag binnen een jaar dat aangeeft:

(1) het creëren van een markt voor cybersecurity risicobeheer, waaronder de oprichting van een systeem van burgerlijke aansprakelijkheid en verzekering (met inbegrip overheid herverzekering), en

(2) die cyberveiligheid om een ​​factor in alle obligatie-ratings worden.

Dit item kunnen worden genomen in een aantal richtingen. Als ze slim zijn, zullen ze kijken naar de haalbaarheid van de plassen eindgebruiker overeenkomsten, zodat softwareleveranciers moeten aansprakelijkheid aanvaarden voor de veiligheid niet in hun product. Zonder aansprakelijkheid, verkopers hebben weinig motivatie om een ​​architect in security kader van product oprichting. Het is veel gemakkelijker en goedkoper te lijmen hem op na het betalen van klanten al problemen ondervindt.

Deel 16: Wettelijk kader beoordelen en rapporteren

Dit gedeelte vraagt ​​om het kantoor van de president om de bestaande wetten met betrekking tot computerbeveiliging review:

de federale wettelijke en juridische kader voor cyber-gerelateerde activiteiten in de Verenigde Staten

Kortom, dit is een overzicht te zien of de wetten worden nog steeds van toepassing of moet worden bijgesteld.

Artikel 17: Authenticatie en de burgerlijke vrijheden rapporteren

Hier is de hele sectie:

Binnen 1 jaar na de datum van inwerkingtreding van deze wet, wordt de voorzitter, of de president aangestelde, toetsing, en het rapport aan het Congres, over de haalbaarheid van een identity management en authenticatie-programma, met de juiste burgerlijke vrijheden en privacy bescherming, voor de overheid en kritieke infrastructuur informatiesystemen en netwerken.

Ik weet niet zeker wat te maken van deze sectie. Het leest als ze willen een single sign-on oplossing te vinden voor de overheid netwerken. Als dat het geval is, begrijp ik niet de "juiste burgerlijke vrijheden en privacy-bescherming" statement. Dit impliceert een applicatie die meer is gericht op het grote publiek. Jury is nog steeds op dit gedeelte als ik heb geen andere meningen op.

Sectie 18: Cybersecurity verantwoordelijkheid en gezag

Hier is het gedeelte dat iedereen is freaking out gaat. De blurb:

De voorzitter-

(2) mag verklaren een cyberveiligheid noodsituatie en om de beperking of uitschakeling van het internet verkeer van en naar eventuele gecompromitteerd Federale Regering of de Verenigde Staten kritieke infrastructuur informatie systeem of netwerk;

Klinkt slecht, maar denk aan het op deze manier. Toen vliegtuigen werden crashen in de bouw van de voorzitter beval de aarding van alle commerciële vluchten. Ik betwijfel of er was een specifieke wet die hem dat specifieke bevoegdheid, maar gezien het was een noodsituatie niemand stelde het punt of de beschouwde het als een misbruik van macht.

Ik zie deze bepaling als zijnde vergelijkbaar. Als het wordt bevestigd dat de aanvallers de controle over het stroomnet genomen en worden nu systematisch af te sluiten, gaat niemand schuld van de president voor het vereisen van die organisaties om zich te isoleren van het internet in het algemeen. Het kan wel of niet echt het probleem oplossen, maar het zou een verwachting van verdediging worden. Dit zou gebeuren met of zonder deze bepaling in het wetsvoorstel.

Dus voor mij dit onderdeel is een veel heisa om niets. Sommige van de eerder besproken secties zijn veel enger.

Een ander interessant punt in deze sectie:

(5) leidt de periodieke in kaart brengen van de federale regering en de Verenigde Staten kritieke infrastructuur informatie-systemen of netwerken, en ontwikkelt het metrics om de effectiviteit van het mapping proces te meten

Tot op zekere hoogte is dit proces al is begonnen als onderdeel van de Trusted Internet Connect (TIC) programma. Ik ben eigenlijk wel verbaasd is het al niet een vereiste. Het is mogelijk dit is al gedaan, maar dat gegevens niet beschikbaar was toen de rekening werd geschreven.

Artikel 19: Quadriënnale cyber overzicht

(A) IN HET ALGEMEEN-Beginnend met 2013 en in elk vierde jaar nadien, stelt de voorzitter, of de president aangestelde, compleet een herziening van de cyber houding van de Verenigde Staten, waaronder een niet-geclassificeerde samenvatting van de rollen, taken, prestaties, plannen, en programma's.

Kortom, elke nieuwe president krijgt om commentaar over hoe ze denken dat hun voorganger uitgevoerd met betrekking tot cyberveiligheid. Dit rapport zou veel nuttiger zijn als het een jaar eerder nodig. Op die manier zou fungeren als een briefing voor de nieuwe president. Het zou hen een beter idee van wat nodig is voor de toekomst.

Artikel 20: Gemeenschappelijke intelligentie dreigingsbeeld

Specificeert (nog een) jaarverslag over cyberveiligheid aan het Congres. Niets te zien hier. Move along.

Sectie 21: Internationale normen en cyberbeveiliging afschrikking maatregelen

Hier is de clip:

De president-

(1) werken met vertegenwoordigers van buitenlandse regeringen-

(A) aan normen, organisaties en andere coöperatieve activiteiten te ontwikkelen voor de internationale actie voor computerbeveiliging te verbeteren, en

(B) om de internationale samenwerking in het verbeteren van cybersecurity op een wereldwijde basis aan te moedigen

Ik zie dit als meer de rol van het ministerie van Justitie . Wat nodig is is een betere interactie tussen de rechtshandhaving in de internationale grenzen, geen PR-snippets en geneuzel. Denk aan het op deze manier, wat zou effectiever zijn in het afschrikken fysieke misdaden dan staatsgrenzen, frequente interactie tussen overheids-wetshandhavingsinstanties, of frequente interactie tussen de presidenten?

Sectie 22: Federale veilige producten en diensten overnames board

Voor mij is dit waarschijnlijk een van de meest positieve onderdelen van het wetsvoorstel. Hier is de blurb:

(A) VESTIGING-Er is gevestigd, een Secure Producten en Diensten Acquisitions Board. Het bestuur is verantwoordelijk voor cyberveiligheid beoordeling en goedkeuring van hoogwaardige producten en diensten verwerven en, in samenwerking met de National Institute of Standards and Technology, voor de vaststelling van passende normen voor de validatie van software te worden overgenomen door de federale regering.

In het kort, zou de overheid worden met behulp van de gecombineerde koopkracht om de veiligheid normen voor alle software aankopen af ​​te dwingen. Dit kan een grote invloed op de commerciële sector. Leveranciers graag klagen dat het te duur is om beveiligde software schip. Nu als ze willen verkopen aan de overheid, zullen ze moeten de juiste NIST-standaarden te voldoen. Waarschijnlijk is de beveiligde software zou beschikbaar zijn voor commerciële koop ook. Zo uit de doos zou je eindigen met een beter beveiligde product.

Nogmaals, ik zie dit als een zeer positief vereiste. Terwijl de leveranciers kunnen mopperen over, omdat klanten zouden we allemaal profiteren.

Artikel 23: Definities

Dit is gewoon een definitie van de termen die in het wetsvoorstel. Alle zijn ofwel algemene termen (zoals "Internet") of die in eerdere hoofdstukken.

Exec Samenvatting

Er zijn dingen zo goed als angst in dit wetsvoorstel de liefde. Het verhoogt de middelen voor cyberveiligheid onderzoek en maakt gebruik van de overheid koopkracht te genereren meer beveiligde software voor iedereen. Tegelijkertijd probeert te omzeilen vastgestelde processen (evenals de regels van de wet), die het potentieel om de computerbeveiliging situatie eerder slechter dan beter zijn. Het wetsvoorstel wordt momenteel beoordeeld door de Senaatscommissie voor Handel, Wetenschap en Transport . Nu is het tijd om alle lof of aangelegenheden die je hebt gesproken.

3 reacties »

Geplaatst in een-opkomende landen , Algemene Beveiliging

Cyberveiligheid Act van 2009 In-Depth - Deel 1

10 september 2009

Er zijn nogal wat artikelen over de Cybersecurity Act van 2009 . De meeste zijn gericht op het deel dat zou de president de macht geven om "shutdown het Internet". Maar zijn er nog andere dingen in dit wetsvoorstel moet je nog meer zorgen over? Is er iets echt nuttig in het wetsvoorstel? In dit tweedelige post zal ik nemen u mee door de rekening sectie voor sectie.

De eerste twee delen zijn gewoon de index en de bevindingen. Een opmerkelijk citaat uit sectie 2:

(1) Amerika's gebrek aan cyberspace te beschermen is een van de meest urgente nationale veiligheid problemen in het land.

Dit zet de toon voor de rest van de sectie en ik moet zeggen dat ik eens met de stelling. Beveiliging wijs we werkelijk zijn in slechtere staat dan de meeste mensen willen geloven.

Afdeling 3: Cybersecurity adviespanel

Deze twee citaten echt zeggen het allemaal:

(A) IN HET ALGEMEEN-De Voorzitter stelt of aanwijzing van een Cybersecurity Advisory Panel.

(C) VERPLICHTINGEN-Het panel adviseert de voorzitter over aangelegenheden met betrekking tot de nationale cyberveiligheid programma en strategie

Ik heb gemengde gevoelens ten aanzien van deze punten. Ik denk dat cyberveiligheid is belangrijk genoeg is om op hoog niveau zichtbaarheid verdienen. Maar dit wetsvoorstel gaat hand in hand met S. 788, een wetsvoorstel om de positie van Cybersecurity Advisor te creëren , en HR 1910, een wetsvoorstel om de positie van Chief Technology Officer te creëren . Beide functies zouden rechtstreeks rapporteren aan de president, zo lijkt het nuttiger om het paneel te vallen hebben onder deze twee rollen in de nationale organigram. Kan gewoon semantiek, maar een van de kwesties die we vandaag hebben is parallel ambtstermijn zonder duidelijke eigendom van problemen. Als alle drie de rekeningen passeren zie ik een hogere kans op het creëren van conflicten in plaats van resoluties.

Deel 4: Real-time dashboard cyberveiligheid

Ik heb gezien dat er weinig aandacht besteed aan dit onderwerp, maar er is een makkelijk afgezet kunnen verklaring in deze sectie:

De secretaris van Koophandel zal

(1) in overleg met het Bureau van Management en Budget, het ontwikkelen van een plan binnen 90 dagen na de datum van inwerkingtreding van deze wet aan een systeem om dynamische, uitgebreide, real-time de status van cyberveiligheid en de kwetsbaarheid informatie van alle federale regering informatie te verschaffen implementeren systemen en netwerken worden beheerd door het ministerie van Handel;

Een paar punten hier, waarom juist het ministerie van Handel? Of dit een echt nuttig hulpmiddel zijn, waarom dan niet uit te breiden is het gebruik dan dit een regering kantoor? Ook de verklaring is een beetje vaag. Dit kan net zo ineffectief als de National Threat niveau of een subset van de gegevens verstrekt door sites zoals DShield of Homeland Security Infrastructuur Open Source Report . Hoe dan ook ik dit zien als een lange termijn falen.

Afdeling 5: nationale en regionale programma voor cyberveiligheid

Hier is de focus van deze sectie:

(A) oprichting en ondersteuning van cyberveiligheid CENTERS-De secretaris van Koophandel wordt de bijstand voor de oprichting en ondersteuning van regionale Cybersecurity Centra voor de bevordering en uitvoering van cybersecurity normen. Elk centrum moet aangesloten zijn bij een in de Verenigde Staten gevestigde non-profit instelling of organisatie, of consortium hiervan, dat geldt voor en wordt toegekend financiële steun uit hoofde van deze sectie.

Klinkt goed op het eerste lezen, maar wat is er met het "verbonden met ... non-profit organisaties" sectie? We kunnen gemakkelijk eindigen met een niet-gecentraliseerd systeem met geen duidelijk aanspreekpunt voor de doelgroep. Dus als ik hulp nodig hebt met cyberveiligheid, moet ik naar ... The Jimmy Fund ? Farm Aid ? Of misschien is het de Tennessee Elephant Sanctuary ?

Persoonlijk denk ik dat deze centra moet worden aangesloten bij InfraGard . Zij zijn gevestigd in bijna elke staat, hebben al een lange geschiedenis van community outreach, en zijn nu al gericht op het omgaan met cyberveiligheid kwesties. Mijn gok is dat het ministerie van Handel volledige controle wil, terwijl InfraGard is al verbonden met de FBI.

Dus wat is het doel van het creëren van deze centra?

(B) DOEL-Het doel van de Centers is het verbeteren van de computerbeveiliging van de kleine en middelgrote bedrijven in de Verenigde Staten

Dit is een bewonderenswaardig doel. Te wijten aan gebrek aan middelen, kleine en middelgrote bedrijven worstelen het meest. Waarschijnlijk de enige demografische die groter is zou zijn thuisgebruikers. Als we zouden kunnen stappen te ondernemen om deze organisaties te ondersteunen, zou het een lange weg te gaan naar versterkende onze nationale veiligheid houding.

De centra zouden het ondersteunen van kleine en middelgrote ondernemingen door:

(1) te verspreiden cybersecurity-technologieën, standaard en processen op basis van onderzoek door het Instituut voor het doel van de demonstraties en overdracht van technologie;

(2) actieve overdracht en verspreiding van cybersecurity-strategieën, best practices, standaarden en technologieën om te beschermen tegen en het inperken van het risico van cyberaanvallen om een ​​breed scala van bedrijven en ondernemingen, met name kleine en middelgrote bedrijven, en

(3) te maken leningen, op een selectieve, korte termijn, van items van geavanceerde cyberbeveiliging tegenmaatregelen voor kleine bedrijven met minder dan 100 werknemers.

Nogmaals, ik zie deze activiteiten als een prima geschikt voor InfraGard. Inzet zou worden bespoedigd, omdat er al een nationale structuur. Deze zouden drastisch snijden de bocht op het maken van deze middelen beschikbaar.

Deel 6: NIST de ontwikkeling van normen en naleving

Het wetsvoorstel ziet er naar NIST het ontwikkelen van veiligheidsnormen voor alle overheden:

(A) IN HET ALGEMEEN-Binnen 1 jaar na de datum van inwerkingtreding van deze wet, wordt de National Institute of Standards and Technology te stellen meetbaar en controleerbaar cybersecurity normen voor alle federale regering, contractant van de overheid, of gerechtigde kritieke infrastructuur informatiesystemen en netwerken

NIST is nu al verantwoordelijk voor het vaststellen van normen. In feite is hun veiligheid documenten worden beschouwd als een van de beste in de industrie. Per de Information Technology Reform Act van 1996 , is NIST al belast met de ontwikkeling Federal Information Processing Standards (FIPS).

Ik ben geen jurist, maar ik zie niets in deze sectie, die niet reeds door eerdere facturen gespecificeerd, behalve deze tid beetje onder "(d) Naleving van tenuitvoerlegging":

(2), verlangen elke federale agentschap, en elke exploitant van een informatie systeem of netwerk aangewezen door de Voorzitter als een kritieke infrastructuur informatie systeem of netwerk, periodiek aan te tonen dat aan de normen in dit hoofdstuk.

Ik ben eerlijk gezegd niet zeker of de voorzitter op dit moment de macht om (willekeurig?) Aan te wijzen welk netwerk of systeem als "kritiek" en dus onderworpen aan deze sectie. Ik geef de voorkeur specifieke definities versus subjectief vertrouwen het oordeel van een enkel individu. Deze manier worden behandeld in beide richtingen, van systemen die hadden moeten worden opgenomen, maar werden gemist, evenals systemen die niet echt thuis op de lijst.

Deel 7: Licensing en certificering voor cyberveiligheid professionals

Dit gedeelte schrikt me echt als het heeft de potentie om meer kwaad dan goed doen. Hier is de beschrijving:

(A) IN HET ALGEMEEN-Binnen 1 jaar na de datum van inwerkingtreding van deze wet, de minister van Handel zal ontwikkelen of en integreren van een nationale licentie, certificering, en periodieke hercertificering programma voor cyberveiligheid professionals te coördineren.

Voor mij, iemand die geen idee heeft van de draagwijdte van wat nodig is om het probleem aan te pakken schreef deze sectie. Cyberveiligheid is geen enkele discipline. Er zijn experts die zich richten op Malware-analyse, perimeter beveiliging, packet-decodering en inbraak analyse, incident afhandeling, host specifieke beveiligings-, auditing, forensisch onderzoek, draadloze, databases, en de lijst gaat maar door. Een nationale certificaten en vergunningen programma zou uiteindelijk een van de volgende:

  1. Dus het algemeen niet echt iets betekenen
  2. Zo moeilijk is "gecertificeerd" middelen moeilijk zou zijn om langs te komen

Vanwege de diversiteit van de cybersecurity veld, er is echt geen tussenweg. In dit hoofdstuk gaat dan met te zeggen:

(B) verplicht vergunningenstelsel-Vanaf 3 jaar na de datum van inwerkingtreding van deze wet, wordt het onwettig voor een individu om in het bedrijfsleven gaan in de Verenigde Staten, of te worden gebruikt in de Verenigde Staten, als aanbieder van diensten aan cybersecurity een federale agentschap of een informatie systeem of netwerk aangewezen door de president of de president aangestelde, als een kritieke infrastructuur informatie systeem of het netwerk, die niet is in licentie gegeven en gecertificeerd onder het programma.

Wacht een minuut. Laten we gewoon een oog springende voorbeeld. Alan Paller is de directeur van Research bij SANS , werd geciteerd in dit wetsvoorstel (hoofdstuk 2, # 8), en is een van mijn persoonlijke helden in deze industrie. Hij is voorzien raad naar het Witte Huis en het Congres meerdere keren. Hij is een van die unieke individuen dat de kloof tussen mensen die verschillende talen (geeks, CFO, COO, etc.) spreken kunnen bemiddelen. Terwijl hij kent de branche, hij is niet het soort man die tijd besteedt het schrijven van Nessus plug-ins of decoderen van TCP-aanval stromen. Is het werkelijk de bedoeling van dit wetsvoorstel tot hulpbronnen, zoals Alan verliezen als ze ervoor kiezen niet te certificeren?

Er is een patroon hier echter. Zoals zoveel posten voordat het in deze paragraaf geeft controle in de handen van het ministerie van Handel. Dus ik persoonlijk denk dat dit minder over het waarborgen hebben wij deskundig personeel ondersteunend netwerk beveiliging, en meer over grijpen macht.

Deel 8: Beoordeling van de NTIA domeinnaam contracten

Dit is een ander eng sectie:

(A) IN HET ALGEMEEN-geen actie door de adjunct-secretaris van Koophandel voor Communicatie en Informatie na de datum van inwerkingtreding van deze wet met betrekking tot de verlenging of wijziging van een contract met betrekking tot de werking van de Internet Assigned Numbers Authority, is definitief tot de Advisory Panel-

(1) heeft beoordeeld de actie;

(2) beschouwd als de commerciële en nationale veiligheid implicaties van de actie, en

(3) goedgekeurd de actie.

De Internet Assigned Numbers Authority (IANA) wordt uitgevoerd door The Internet Corporation for Assigned Names and Numbers (ICANN). Dit is een non-profit internationale organisatie die verantwoordelijk is voor het begeleiden van (niet de uitvoering) op hoog niveau operaties van het internet. Ze nemen begeleiding van een aantal organisaties, waaronder de Internet Engineering Task Force (IETF), die worden de normen voor communicatie via internet. De IETF is een internationale organisatie die bestaat uit iedereen van individuele onderzoekers naar leveranciers.

Voor mij is dit gedeelte klinkt als een poging om de financiële druk te brengen op deze organisaties. Nogmaals, dit lijkt een poging om meer macht te consolideren onder het ministerie van Handel. Zeker als je het combineert met hoofdstuk 9.

Deel 9: Secure domeinnaam adressen-systeem

Hier is de clip:

(A) IN HET ALGEMEEN-Binnen 3 jaar na de datum van inwerkingtreding van deze wet, wordt de adjunct-secretaris van Koophandel voor Communicatie en Informatie een strategie ontwikkelen om een ​​veilige domeinnamen aanpakken systeem te implementeren. De adjunct-secretaris maakt kennis van het systeem eisen in het Federal Register, samen met een uitvoeringsschema voor federale agentschappen en informatie systemen of netwerken aangewezen door de president of de president aangestelde, als kritische infrastructuur informatie-systemen of netwerken.

Zoals vermeld in het laatste deel, het ontwikkelen van Internet standaarden in de rol van de IETF, niet het Commerce Department. Verder hebben we al normen om de domeinnaam structuur (secure DNSSEC ) en routing en de IP-adressering regeling ( sBGP ). Het probleem is hun inzet is zeer traag. Wat we nodig hebben is de inzet van de bestaande normen, niet concurrerende ontwikkeld buiten de geaccepteerde IETF proces.

In dit hoofdstuk gaat dan met te zeggen:

(B) de naleving VEREIST-De Voorzitter ziet erop toe dat elke federale agentschap en elk van deze systeem of het netwerk van de beveiligde domeinnaam het aanpakken van het systeem implementeert in overeenstemming met het schema gepubliceerd door de adjunct-secretaris.

OK hier is het probleem. Met het oog op veilige IP-en DNS van de oplossing moet wereldwijd worden geïmplementeerd. Dat is een deel van de reden waarom het zo lang duurt. Als de federale overheid vandaag de dag ingezet DNSSEC en sBGP het zou weinig doen om domeinnaam kaping of route omleiding te voorkomen, omdat aanvallers kon eenvoudig werk buiten de overheid omtrek.

Ik moet zeggen dat ik deel de frustratie op dit gebied. Zowel de DNSSEC en sBGP zijn er al 10 jaar. Ik denk dat we nodig om het zuigen op de verstoringen die veroorzaakt kan worden door inzet en gewoon de klus te klaren. Misschien ICANN heeft een vuur aangestoken onder hun kont om enkele voorwaartse beweging te creëren. Ik ben gewoon niet overtuigd van deze twee delen zijn de weg te gaan over.

Deel 10: Het bevorderen van bewustwording cyberveiligheid

Je wist een pr-campagne moet worden opgenomen in de hier ergens, toch? Hier is de blurb:

De secretaris van Koophandel zal ontwikkelen en implementeren van een nationaal cybersecurity sensibiliseringscampagne

Weet u niet zeker hoe nuttig dit zal zijn, omdat de nieuws-feeds zijn nu al vol met verhalen die onze huidige staat van veiligheid te beschrijven. Ik zie dit als het potentieel te hebben zo gek dan informatief. Ik heb deze visioenen van het lopen in de school van mijn kid's en het zien van een poster die stelt: "Billy Bytes zegt geen Be A H4X0R". OK, hopelijk dat zal nooit gebeuren, maar je weet nooit. ;)

Sectie 11: Federale cyberveiligheid onderzoek en ontwikkeling

Hier is de eerste verklaring:

(A) FUNDAMENTELE cybersecurity-ONDERZOEK De directeur van de National Science Foundation, geven voorrang aan de computer en de informatie wetenschap en techniek onderzoek om ervoor te zorgen substantiële steun wordt verleend aan de volgende uitdagingen in cyberveiligheid voldoen:

Dit gedeelte dumpt veel geld in het onderzoek en de ontwikkeling van cybersecurity technieken. Het strekt tot wijziging van de bestaande nota's om de uitgaven te verhogen met $ 265m in 2010, tot meer dan $ 310M in 2014. Er zijn al andere programma's die het fonds cyberveiligheid onderzoek, maar op voorwaarde dat de fondsen juiste wijze worden beheerd Ik zie dit als een nuttig de oorzaak.

Sectie 12: Federale cyber beurs voor service programma

Hier is de clip:

(A) IN HET ALGEMEEN-De directeur van de National Science Foundation stelt een federale Cyber ​​Scholarship-for-service-programma te werven en trainen van de volgende generatie van de federale informatietechnologie arbeiders en security managers.

Dit is niet anders dan veel andere "beurs voor service" programma's. Ik zie dit als gunstig voor zowel de student als de overheid. $ 50M is toegewezen aan het programma, oplopend tot $ 70 miljoen in 2014.

Overzicht

Dat is het voor nu. Morgen zal ik post de laatste helft van het wetsvoorstel.

Geen reacties »

Geplaatst in een-opkomende landen , Algemene Beveiliging

DLP FAQ

07 augustus 2009

Ik heb een paar vragen over de SANS Data Leak Prevention en encryptie Summit Ik zal keynote volgende maand. De vragen hebben draaide rond DLP in het algemeen, dus ik dacht dat ik zou een run geven naar beneden op de technologie.

Wat is DLP?

DLP staat voor "Data Leak Prevention" of "Data Loss Prevention", afhankelijk van welke leverancier je spreekt. Er zijn een paar andere namen op dit moment stuiterde rond (gotta love marketing mensen die proberen om hun spullen er nieuwere en koeler ;) ), Maar ze zijn effectief dezelfde technologie. DLP probeert aan te melden, of eventueel te verbieden, de overdracht van gevoelige informatie van een beveiligde locatie op een onveilige locatie.

Gevoelige informatie bevat meestal gegevens zoals credit card nummers of sofi-nummers. De meeste zullen ook geeft u de mogelijkheid om zinnen of specifieke bestanden definiëren als gevoelig ook. Natuurlijk hoe veel aanpassingsmogelijkheden je krijgt is afhankelijk van het product, maar deze functies zijn vrij standaard. Het grote verschil heeft de neiging om met het gemak van het beleid schepping. Sommige kunt u gebruik maken van een eenvoudige, natuurlijke taal, terwijl anderen kunnen eisen dat u een leren Regex soort van meningsuiting taal om het beleid te creëren en te schrijven filters.

Denk aan DLP apparaten zoals intrusion detection systemen voor specifieke zoekwoorden en je krijgt het idee te krijgen. In feite zijn er opgericht NIDS en NIPS leveranciers zijn nu touting hun DLP-mogelijkheden ook. Je hebt ook een aantal startups die specifiek gericht zijn op de DLP-markt.

Hoe werkt DLP werk?

Momenteel zijn er drie verschillende methoden van DLP inzet:

  • Op de draad
  • Op de server
  • Op het bureaublad

Sommige leveranciers ondersteuning van een enkele methode van de inzet, terwijl anderen ondersteunen alle drie. Er zijn sterke en zwakke punten aan elk, die ik later in deze FAQ te dekken.

Hoeveel kost DLP kosten?

Omdat het een nieuwe technologie zijn de prijzen over het hele bord. Een middelgroot bedrijf (50-500 nodes) kan verwachten om overal van $ 30.000 tot 200.000 dollar de VS te betalen. Deze apparaten zijn zeker niet plug and play, dus een gedeelte van de kosten bestaat uit het configureren van het apparaat en aanpassingen voor de specifieke omgeving. Je moet een beetje van de doorlooptijd verwachten ook in het verkrijgen van de inrichting (en) goed ingezet.

Wat zijn de problemen met de DLP?

Waarschijnlijk het grootste probleem met de DLP-technologie is dat het gemakkelijk kan worden verslagen. Het is echt ontworpen om per ongeluk lekken van gegevens, in plaats van een echte aanval te voorkomen. Je zou kunnen overwegen DLP een uitbreiding op uw bestaande beveiliging houding, niet een vervanging voor alle eerder ingezette technologie.

Bijvoorbeeld met de inzet van DLP op de draad is waarschijnlijk de snelste en meest effectieve implementatie. Het probleem is het gemakkelijk kan worden omzeild door encryptie. Dus als ik een gevoelig dossier voorafgaand aan verzending, of gebruikmaken van een VPN-technologie (zie de punten 5 en 4 op mijn coderen Top 5 Firewall bedreigingen ) post, het netwerk op basis van DLP zullen niet in staat zijn om de het doorgeven van informatie te zien.

Sommige DLP-apparaten kan je beperkte mogelijkheid om te werken rond de encryptie probleem. Bijvoorbeeld Fedelis zal integreren met een aantal proxy-producten aan het passeren van HTTPS controleren. Je moet een ondersteund product wel te kopen en specifiek configureren om end-to-end encryptie van HTTPS (de proxy breekt de gecodeerde stroom en dus zijn lading kan worden geanalyseerd) te voorkomen. Zelfs dan heb je alleen het probleem opgelost via HTTPS. Versleutelde data via andere havens nog steeds een probleem. Of een aanvaller kan versleutelen het bestand lokaal begint met het zenden via HTTPS omdat alle proxy weg kan strip is de SSL-encryptie.

De implementatie van DLP op het bureaublad lost een aantal van deze problemen, maar niet allemaal. Bijvoorbeeld het bureaublad agenten ik heb gekeken naar doen een goede baan te voorkomen dat mij van het overbrengen van een gevoelig bestand via het internet of een lokale USB-drive. Als u een agent op basis van DLP, probeer dan dit:

  1. Open een gevoelige bestand
  2. Maak een screenshot van gevoelige informatie (CTRL-ALT-Print scherm)
  3. Open Windows Paint en druk op CTRL-V
  4. Sla het bestand op als een GIF of JPG
  5. Kopiëren naar een USB-stick of overdracht via het internet

Als je resultaten zijn vergelijkbaar met de mijne, vind je deze zeer eenvoudige truc dwazen de agent in te laten de gegevens voorbij. Als je wilde je echt glad, zou u een beetje van Steganografie .

Exec Samenvatting

DLP is een krachtige technologie die kan helpen voorkomen dat het vrijgeven van gevoelige informatie. Op dit moment is het beter geschikt is voor het voorkomen van tegen het per ongeluk lekken van gegevens in plaats van een bepaalde aanvaller. Als de release van gevoelige gegevens is een ernstig probleem, moet u wellicht herwerken uw huidige architectuur, om de gaten DLP niet kunnen verdedigen sluiten.

Geen reacties »

Posted in 4-notice , Algemene Beveiliging

Tags:

Proactive Cyber Defence Seminar

29 juli 2009

I did the keynote today at the Proactive Cyber Defence Seminar held at the International Spy Museum . Very cool venue and worth checking out. It made for a nice mix of old school and cutting edge security. Worth the trip if you are in DC. Make sure you check out the spy poo. ;)

Thanks to all who attended as I had an absolute blast. I promised to post a PDF version of the slides, so here ya go…

proactive-cyber-defense-seminar

3 reacties »

Posted in 3-err , General Security

Tags:

Making The Web a Safer Place With NoScript

24 juli 2009

Gisteren was ik de herziening van de statistieken voor deze site en was aangenaam verrast om te zien dat 70% + van alle bezoekers zijn de Firefox-browser gebruikt. In een vorige post besprak ik What Makes A systeem kwetsbaar en definieerde het als wanneer we toestaan ​​dat gebruikers op afstand om te interageren met code die wordt uitgevoerd op het lokale systeem. Firefox heeft een uitstekende beveiliging uitbreiding genaamd NoScript , die drastisch kan verminderen deze vector van de blootstelling.

Het uitgangspunt van NoScript is zo rudimentair, moet je afvragen waarom elke browser leverancier maakt niet deze functionaliteit een ingebouwde optie. NoScript geeft u controle over welke sites kan code uitvoeren op uw systeem. Zijn zo eenvoudig. Dus alleen maar te bladeren naar een website niet langer meteen betekent dat u vertrouwt ze genoeg om programma's uit te voeren (Java, Flash, etc.) op uw bureaublad. NoScript is flexibel, relatief onopvallend, en een extensie "must have" voor veilig surfen op het internet.

Aan de NoScript

De makkelijkste manier om op te halen en installeren van NoScript is dwars door de Firefox Add-ons venster. Klik gewoon op "Tools" vanuit het hoofdmenu en selecteer "Add-ons" uit het drop down menu. Wanneer de Add-ons verschijnt, klikt u op de "Get Add-ons" knop aan de linker bovenkant van het venster. Als u niet ziet NoScript vermeld op de "Recommended" lijst, klik op de "Browse alle add-ons" link in de rechterbovenhoek van het scherm.

Klikken op de link zal paaien een nieuwe Firefox-tabblad leiden u naar de Firefox add-ons site. In de zoekbalk typt in "NoScript". Wanneer NoScript verschijnt in de resultaten, klikt u op "Voeg toe aan Firefox" knop. Als de installatie is voltooid gewoon start u de Firefox-browser. U bent nu klaar voor een veiliger surfen op internet. Als er nieuwe updates beschikbaar komen wordt u automatisch worden aangemeld.

Het gebruik van NoScript

Wanneer u voor het eerst gebruikt NoScript kan het blijken dat veel van uw favoriete websites zijn gebroken. Flash video zal automatisch-load niet meer, drop-down menu's kan mislukken, enz. Neem een ​​kijkje op de bodem van uw Firefox-venster. U ziet uitvoer gelijkaardig aan # 1 figuur. NoScript is ons te vertellen dat alle scripts uitvoeren op dit moment is uitgeschakeld voor deze site. De site probeerde 12 scripts uit te voeren en er waren 0 ingesloten objecten (zoals frames weergeven van tekst of een video van andere websites). Om dit gedrag te veranderen klikt u op de "Opties ..." te klikken.

noscript-status

Te klikken op "Opties ..." zal een menu vergelijkbaar is met # 2 figuur. De informatie met betrekking tot deze specifieke site is aan de onderkant van het menu. NoScript is ons te vertellen dat de site probeerde te scripts uit te voeren van vier verschillende domeinen; mmismm.com, revsci.net, com.com en cnet.com. We zijn twee opties voor elk domein gegeven, laat de scripts van dat domein lopen alleen voor deze sessie (tijdelijk), of toestaan ​​dat het domein om scripts uit te voeren voor deze en toekomstige sessies en (Toestaan).

noscript-options

Mmismm.com en revsci.net zijn reclame bedrijven. Ze hebben ook een slechte vertrouwen Rating via het Web of Trust (WOT is een ander koel Firefox plug-in door de manier waarop), zodat we willen vertrekken vanuit scripts uitgeschakeld deze domeinen. De overige twee domeinen zijn onderdeel van CNET. Dus als we graag nieuws en artikelen van dit bedrijf te bekijken kunnen we willen om toegang te verlenen. Rekening mee dat dit moet echter niet automatisch te worden. For example this menu was generated while I was visiting the CNET News site . Ik was nog steeds in staat om alle inhoud die ik geïnteresseerd was in prima weergave, dus eigenlijk is er geen reden om een ​​van deze domeinen mogelijk om scripts uit te voeren en mezelf bloot te stellen aan potentiële aanval.

If you do permit script execution from certain domains, Firefox will automatically reload the page and execute the permitted scripts. U zult nu merken dat het NoScript statusbalk zal nu meer lijken op figuur # 3. NoScript is ons te vertellen dat de site bezochten we geprobeerd om scripts uit te voeren vanuit zes verschillende domeinen, maar slechts vier van hen waren toegestaan. De domeinen toegestaan ​​om scripts uit te voeren worden vervolgens vermeld voor ons te herzien. Er waren 69 scripts in totaal en nul ingesloten object.

noscript-status2

Als we later toch een site is niet zo betrouwbaar, zijn gemakkelijk om de machtigingen te trekken. Als we op de site in kwestie, klikt u op "Opties ..." en selecteer de "Verbied" menu-item voor dat domein. Als we niet bladert nu door de site, ga naar de bovenkant van het menu en selecteer "Opties ..." (tweede verschijning van deze titel). Klik op de "witte lijst" tab, bladert u door de lijst naar de site in kwestie te vinden, en klik op de Remove Selected Sites "-knop. Probleem opgelost.

Als je eenmaal hebt NoScript gebruikt voor een tijdje en wens om in enkele van de meer geavanceerde opties, de NoScript site heeft een paar uitstekende informatie. Begin met de FAQ en ga dan aan de gebruiker forums. Als je merkt dat NoScript bespaart u ook maar een keer uit een aanval, kan het de moeite waard te klikken op de "Donate" knop aan de bovenkant van de hoofdpagina. ;)

Geen reacties »

Posted in 4-notice , Algemene Beveiliging

Tags:

What makes a computer system vulnerable?

July 19th, 2009

Consider the following five systems:

  • A Web server
  • A desktop system
  • A “Next Gen” or Unified Threat Management (UTM) firewall
  • A Network Based Intrusion Prevention System (NIPS)
  • An isolated system only used to process Web server logs

Here's the $42 question; if we assume the above network has an Internet connection, which of these systems are susceptible to remote attack (meaning over the wire from the Internet, not via direct access to the keyboard)?

Seriously, don't just skim the question, give it some serious thought. Your answer is obviously going to have a direct impact on how you implement a security posture or assess network risk. Pretty major stuff.

Let's talk about each system individually before we say exactly how many are vulnerable to remote attack. The Web server has at least TCP/80 exposed to the Internet. This provides a socket that a remote attacker can connect to in order to interact with code running on the Web server. Its this interaction with local code that makes the Web server susceptible to potential attack. Consider this the classic view of risk as we've known these system are vulnerable for many years.

So let's talk about the desktop. While desktops usually do not have sockets exposed to access from the Internet, they do initiate communication sessions with remote servers. Java, ActiveX, etc. can be leveraged by those remote servers in order to interact with code running on the desktop itself (think Conficker and you'll get the idea). So as it turns out the desktop is vulnerable as well because a remote system can interact with locally executing code via these outbound sessions.

So what about the UTM firewall? If it has no open ports and does not originate outbound sessions, surly it must be safe, right? Think about how a UTM firewall operates. The IP header and payload is scrutinized in order to provide Malware, content, SPAM, etc. checking. In other words, the packet is read into memory and processed by local code in order to provide these services. “Processed by local code” means of course we're interacting with it. So its entirely possible that a remote attacker could leverage this level of access to whack the system (usually this takes the form of a simple DoS attack, but remote code execution has shown up in the wild).

OK, what about the NIPS? That one is easy. Zowel NIPS en UTM firewalls zijn gebaseerd op dezelfde onderliggende technologie (stateful inspection) dus dezelfde problemen zich voordoen hier ook. The NIPS is also vulnerable to remote exploit.

So that leaves us with just the isolated system which is parsing Web server logs. Safe or not? Turns out, this system can be remotely whacked as well, the attacker just has to be a bit more clever. Let's follow the path from the attacker's system to this internal host.

The attacker hits the Web server, which dutifully writes what it sees to a log file. If I can embed malicious code in the log file, that will get passed to the isolated internal system when it parses the Web logs. Mike Poor told me of an interesting hack he ran into at a client where a remote attacker injected Java code in the user agent field as they visited his client's Web site. When the local Admin used a Web browser to view their Web server logs (of course running as an Administrator equivalent!), the browser saw the Java code and executed it locally. The code then attempted to create a reverse socket connection so the attacker could gain remote access to the box.

So for those who are keeping score, every system listed above is vulnerable to remote attack.

What's the moral of the story? Exposure to remote attack is not about “open listening ports on the local system”, its about “permitting a remote system to interact with code running on the local system”. This can either be directly as in the first four examples, or indirectly as in the last one. Once we realize that remote code access is the true root cause of the problem, we also realize our exposure to risk is a lot higher than we thought.

1 reactie »

Posted in 3-err , General Security

Tags: