Безопасность
Подписаться на эту рубрику по RSS
Одной из наиболее важных для сисадмина задач является слежение за безопасностью подконтрольной ему сети. Дыры, представляющие опасность, могут находиться не только на внешней стороне брандмауэра или шлюза, но и с противоположной стороны – на компьютерах конечных пользователей. Вероятность их появления весьма высока – за счет большого количества отдельных машин и низкой грамотности пользователей. Также нельзя сбрасывать со счетов и вероятность умышленного вредительства внутри организации.
За сотней компьютеров нескольким админам не уследить, а приставлять к каждой паре “пользователь-компьютер” специалиста по безопасности нерационально. Нужна автоматизация: автоматическое и регулярное сканирование устройств, имеющихся в сети, на предмет уязвимостей, установка свежих обновлений программного обеспечения (желательно не по факту выявления слабого места, а заранее).
Присматривать нужно не только за актуальностью программного обеспечения, но и за ошибками в конфигурации, разделении прав, а в идеале – и за несанкционированными носителями данных.
Все это и даже больше можно делать при помощи сетевого сканера уязвимостей GFI LANguard, умеющего изучать, реагировать и выдавать рекомендации по широкому спектру устройств – начиная с серверов и виртуальных окружений и заканчивая относительно простыми устройствами вроде управляемых свитчей.
GFI LANguard представляет из себя эффективный инструмент, позволяющий администратору сканировать, обнаруживать, оценивать и эффективно устранять уязвимости в локальной сети.
LANguard производит комплексное сканирование локальной сети как снаружи (анализом открытых портов и поведения работающих там служб), так и изнутри при помощи агента, наблюдающего за состоянием системы (поддерживается как Windows, так и Linux). При этом для поиска уязвимых мест LANguard использует регулярно пополняемую базу знаний, поддерживаемую OVAL и SANS Top 20. В базе содержится более 15000 сигнатур известных уязвимостей, касающихся серверов, рабочих станций, сетевых устройств, а также виртуальных окружений. Помимо этого, пользователь может задавать и собственные методики поиска уязвимостей.
LANguard обладает широкими возможностями для программного и аппаратного аудита сети и клиентских устройств. Администратору доступна полная информация о состоянии оборудования – конфигурация пользовательских компьютеров, установленные принтеры, используемые порты, подключенные внешние носители информации, установленные приложения. При этом сканер можно (и нужно) настроить не только на поиск явных уязвимостей, но и на обнаружение подозрительных событий – изменений в аппаратной части пользовательских ПК, появления неоптимальных (или изменения существующих) разрешений в сетевых папках NTFS, появления незнакомых беспроводных устройств, подключения к пользовательским компьютерам переносных накопителей данных.
При обнаружении критических уязвимостей сканер генерирует событие первоочередной важности, привлекая внимание администратора к проблеме. Если проблема может быть решена установкой обновлений (или просто не установлены самые свежие обновления), они скачиваются и устанавливаются.
При этом LANguard умеет оперировать не только апдейтами Microsoft, но и следить за актуальностью некоторых популярных программ (например, Firefox, Sun JVM, 7-zip и так далее). Также программа проверяет и актуальность антивирусных баз.
Если же в организации широко используется какое-то ПО, пока не поддерживаемое LANguard – не проблема, его можно “научить” обновлять что угодно при помощи собственных скриптов.
Агенты LANguard, установленные на пользовательских компьютерах удобно использовать также для массовой установки дополнительного ПО, если возникнет такая необходимость – не придется бегать по всем кабинетам и даже подключаться удаленным терминалом к каждой машине – достаточно “объяснить” серверу LANguard, что и куда нужно установить, и он сделает все самостоятельно. Даже если часть компьютеров будет в этот момент выключена, операции для них будут запланированы и выполнены по мере возможности (включения машин).
Помимо задач, связанных с безопасностью, LANguard очень удобно использовать и для инвентаризации оборудования (имея в виду как аппаратную часть, так и программную). В инвентаризационные списки попадают все устройства, обладающие IP-адресом и способные к минимальному самосознанию.
Все действия, проводимые при помощи LANguard, все события и сообщения отражаются в отчетах и доступны для просмотра в любое время и в любом виде. Задания для LANguard можно и планировать – например, устанавливать обновления во время обеденного перерыва, чтобы не мешать работе пользователей перезагрузками компьютера (увы, по-другому Microsoft обновления устанавливать так и не научилась), да и сканирование на уязвимости лучше проводить в нерабочее время. Оно хоть и оптимизировано и проработано, но нежелательную нагрузку все-таки генерирует. Кстати, запущенное сканирование можно приостановить и продолжить позже, а также проводить его в несколько потоков, если позволит вычислительная мощность сервера.
Итог
Широкий спектр возможностей, удобный интерфейс, и (что немаловажно) гибкая ценовая политика GFI выделяют LANguard из массы аналогичного ПО. Продукт придется ко двору в компании любого размера, облегчая и автоматизируя нелегкий труд сисадминов.
Сделав простые изменения в обычном телефоне Motorola, исследователи из
Берлина смогли заблокировать звонки и текстовые сообщения для людей,
находящихся в одной зоне местоположения (location area). Их метод
работает в 2G сетях, которые являются самыми распространенными в мире, пишет MIT Technology Review.
Атака заключается в модификации прошивки, которая может обмануть сеть
доставки входящих звонков и SMS. В теории, один телефон может
заблокировать сервис для всех абонентов базовой станции, говорит
Жан-Пьер Сейферт, глава исследовательской группы в Техническом
Университете Берлина. Сейферт с коллегами представили свой доклад на
Usenix Security Symposium в Вашингтоне на прошлой неделе.
Сейферт с коллегами изменили прошивку baseband-процессора,
ответственного за связь непосредственно с передающей станцией. В
нормальной ситуации при звонке или SMS сота «опрашивает» подключенные
устройства для поиска того, которому они предназначены. И только один
телефон отвечает, по сути, говоря «Это я», объясняет Сейферт. К нему и
приходит фактический вызов или сообщение. Изменённая прошивка может
отвечать на любой звонок и делать это быстрее, чем жертва. При опросе
именно она будет говорить «Это я», а абонент никогда не получит вызов.
Сама группа исследователей, однако, никогда не перехватывала звонки или
SMS в реальности, она смогла взломать процесс опроса устройств и
протестировать его на своих собственных номерах. По предположениям, в их
location area для полного выключения третьего в стране сотового
оператора E-Plus будет достаточно всего 11 модифицированных телефонов.
«Все они будут слушать запросы сети и отвечать «Это я», никто не получит
ни вызовов, ни SMS», — говорит Сейферт. «Ответ операторов – это
незаконно», — продолжает он. «Однако, старые добрые времена, в которые
вы могли считать, что все телефоны благонадежны и следуют протоколу,
закончились».
Основой для работы послужили утекшие несколько лет назад прошивки для
baseband–процессоров отдельных телефонов. Это позволило ученым понять,
как работает алгоритм и «улучшить» его.
Исследователь Юнг-Мин Парк из Virginia Tech отмечает, что хотя атака
требует определенных глубоких знаний, будучи реализованной «она может
быть повторена любым инженером при наличии доступа к нужному железу и
софту».
Нельзя не отметить, что хотя многие операторы уже использую 3G и 4G
сервисы, GSM сети второго поколения остаются самыми распространенными в
мире. Их использует около 4 миллиардов человек для звонков, а операторы –
для machine-to-machine приложений. Исправить уязвимость можно, но для
этого потребуются изменения в GSM-протоколе. «Защита дорога», — говорить
Виктор Баль из Microsoft. «Я могу лишь предположить, что сотовые
операторы не хотят вкладывать средства в нее без непосредственной
угрозы».
Специалисты
Positive Technologies обнаружили целый ряд критических уязвимостей в
программном обеспечении цифровых устройств видеонаблюдения (DVR).
Воспользовавшись этими проблемами безопасности, злоумышленник может
удаленно получать полный контроль над системой видеонаблюдения:
просматривать, подменять или удалять записанное видео, использовать
систему для проникновения во внутреннюю сеть компании, рассылать спам, а
также эксплуатировать эти устройства в других противозаконных целях,
сообщили CNews в компании.
Так, среди найденных ошибок — стандартный пароль суперпользователя,
который нельзя сменить из-за особенности его хранения, открытые
сервисные порты и множественные уязвимости в программном обеспечении
DVR-устройства, открывающие злоумышленнику доступ к системе. Кроме
того, исследователям Positive Technologies Андрею Безбородову, Кириллу Ермакову, Александру Распопову и Дмитрию Склярову
удалось обнаружить так называемый мастер-пароль, который подходит к
учетной записи любого пользователя системы и открывает доступ к
устройству видеонаблюдения с максимальными привилегиями. Этот пароль
одинаков для всех DVR-устройств под управлением данного программного
обеспечения и не может быть изменен пользователем, рассказали в Positive
Technologies.
Устранение найденных уязвимостей осложняется тем фактом, что
программное обеспечение для управления системами видеонаблюдения
является проприетарным, и в нем, помимо прочего, отсутствует функция
автоматического обновления, указали в компании.
Между тем, устройства, использующие уязвимый софт, продаются под
десятками брендов по всему миру. При этом производители зачастую
полностью копируют уязвимое ПО и без изменения используют его в
собственных разработках. При этом доступа к исходному коду начальной
системы, содержащей уязвимости, у них, вероятно, нет, что лишает их
возможности устранить ошибки безопасности. По оценкам экспертов Positive
Technologies, доля этих систем составляет более 90% сегмента рынка
устройств такого класса. Подобные устройства используются в системах
безопасности преимущественно малым и средним бизнесом, а также частными
лицами (например, для того чтобы присматривать за своей квартирой через
интернет).
Большое количество уязвимых систем можно обнаружить в интернете с
помощью обычных поисковых систем. На данный момент поисковики
проиндексировали около 500 тыс. подобных устройств, получить полный
доступ к которым не составит для злоумышленника никакого труда.
Коалиция из интернет-компаний и общественных организаций подписала
открытое письмо в администрацию Обамы с призывом провести проверку
полномочий, которые имеются у американских спецслужб в части массовой
слежки за гражданским населением.
Подписанты открытого письма призывают Конгресс создать комиссию вроде комиссии Чёрча,
образованной после Уотергейтского скандала в 70-е годы для изучения
разведывательных операций ФБР и ЦРУ. Её цель — проверка, действительно
ли разведчики используют только законные методы, не превышают ли они
свои полномочия, скрывая преступления за грифом секретности.
Ещё одна цель открытого письма — стимулировать реформы в области
законодательной защиты прав и свобод граждан, гарантированной защиты
приватности пользователей.
От Конгресса требуют немедленно остановить программу слежки за
населением и предоставить полный публичный отчёт о механизмах сбора
данных со стороны АНБ и ФБР. Кроме того, Конгресс должен немедленно и
публично:
- Инициировать реформы в секции 215 закона USA PATRIOT Act и в законе
- Создать специальный комитет для расследования, отчёта и раскрытия
- Привлечь к ответу должностных лиц, которые виновны в организации неконституционной слежки за населением.
FISA Amendments Act, чтобы ясно и сформулировать строгий запрет на сбор
данных об интернет-активности и телефонных переговорах любого резидента
США, а нарушения этого запрета будут преследоваться в судебном порядке.
для общественности степени шпионажа на территории США. Комитет должен
выдвинуть конкретные рекомендации для юридической и нормативной реформы,
которая в будущем эффективно предотвратит неконституционную слежку за
гражданами.
Открытое письмо подписали такие известные компании и организации, как
Фонд электронных рубежей (EFF), Фонд свободного программного обеспечения
(Free Software Foundation) Mozilla, Reddit, 4Chan, Internet Archive,
DuckDuckGo, Greenpeace и Американский союз защиты гражданских свобод
(American Civil Liberties Union, ACLU). Кстати, ACLU с 500 тыс.
зарегистрированных членов считается очень авторитетной организацией, и
её участие уже помогло осуществить некоторые изменения в конституционном
праве США.
Полный текст письма размещён на сайте кампании Stopwatching.us. Это глобальная петиция, поставить подпись под которой может любой гражданин интернета.
«Пришло время Конгрессу действовать. Нас не устроит маленькая поправка в
PATRIOT Act, нам нужен полный публичный отчёт того, как Соединённые
Штаты используют изощрённые шпионские технологии для слежки за своими
собственными гражданами, мы требуем подотчётности со стороны должностных
лиц и полного пересмотра законодательства для надёжной гарантии, что
такое не повторится больше никогда», — говорит Марк Рамолд (Mark Rumold), один из штатных юристов Фонда электронных рубежей.
Ему вторит Алекс Фаулер (Alex Fowler), руководитель Mozilla по вопросам
приватности и политики: «Mozilla верит в интернет, в котором нам не
нужно бояться, что каждое наше действие отслеживается, регистрируется и
записывается компаниями или правительствами. И мы верим в государство,
чьи действия открыты, прозрачны и подотчётны.