I en tidligere kolonne avslørte jeg hvordan de aller fleste datamaskinsikkerhetstrusler som miljøet ditt står overfor bor på klientsiden og krever sluttbrukerinvolvering. Brukere må være sosialt konstruert for å klikke på et element på skrivebordet (en e-post, et vedlegg til filen, en URL eller et program) som de ikke burde ha. Dette er ikke å si at virkelig ekstern utnyttelse ikke er en trussel. De er.
[RogerGrimes kolonne er nå en blogg! Få de siste IT-sikkerhetsnyhetene fra Security Adviser-bloggen. ]
Ekstern bufferoverløp og DoS-angrep forblir en alvorlig trussel mot datamaskinene du har kontroll over. Selv om de er mindre vanlige enn angrep på klientsiden, gir ideen om at en ekstern angriper kan starte en serie byte mot datamaskinene dine, og får kontroll over dem alltid den største frykten for administratorer og fanger de største overskriftene. Men det er også andre slags eksterne angrep mot lyttetjenester og demoner.
En hanske av eksterne utnyttelser
Mange tjenester og demoner er underlagt MitM (mann i midten) angrep og avlytting. Alt for mange tjenester krever ikke godkjenning av sluttpunkt eller bruker kryptering. Ved avlytting kan uautoriserte parter lære påloggingsinformasjon eller konfidensiell informasjon.
Upassende informasjon er en annen trussel. Det tar bare litt Google-hacking å skremme dritten av deg. Du finner påloggingsinformasjon i vanlig visning, og det vil ikke vare lenger før du finner ekte topphemmelige og konfidensielle dokumenter.
Mange tjenester og demoner er ofte feilkonfigurert, noe som gir anonym privilegert tilgang fra Internett. I fjor mens jeg underviste i en klasse om Google-hacking, fant jeg en hel (amerikansk) stats helse- og sosialdatabase tilgjengelig på Internett, uten påloggingsinformasjon nødvendig. Den inkluderte navn, personnummer, telefonnumre og adresser - alt en identitetstyv ville trenge for å lykkes.
Mange tjenester og demoner forblir upakkede, men utsatt for Internett. Bare i forrige uke fant databasesikkerhetsekspert David Litchfield hundrevis til tusenvis av ikke-patchede Microsoft SQL Server- og Oracle-databaser på Internett ubeskyttet av en brannmur. Noen hadde ikke oppdateringer for sårbarheter som var løst for mer enn tre år siden. Noen nye operativsystemer blir bevisst gitt ut med utdaterte biblioteker og sårbare binærfiler. Du kan laste ned alle oppdateringer som leverandøren har å tilby, og du kan fortsatt utnytte den.
Hva kan du gjøre?
* Behold nettverket ditt og få en liste over alle lyttetjenester og demoner som kjører på hver datamaskin.
* Deaktiver og fjern unødvendige tjenester. Jeg har ennå ikke skannet et nettverk som ikke kjørte tonnevis av unødvendige (og ofte ondsinnede eller i det minste potensielt farlige) tjenester IT-supportteamet ikke visste om.
Start med eiendeler med høy risiko og høy verdi. Hvis tjenesten eller demonen ikke er nødvendig, må du slå den av. Når du er i tvil, undersøk det. Det er mange nyttige ressurser og guider tilgjengelig gratis på Internett. Hvis du ikke finner et definitivt svar, kan du kontakte leverandøren. Hvis du fortsatt ikke er sikker, deaktiver programmet og gjenopprett det hvis noe ender med å være ødelagt.
* Sørg for at alle systemene dine er fullstendig lappet, både operativsystem og applikasjoner. Dette enkle trinnet vil redusere antall riktig konfigurerte tjenester som kan utnyttes betydelig. De fleste administratorer gjør en utmerket jobb med å bruke OS-oppdateringer, men de gjør det ikke så bra for å sikre at applikasjoner er lappet. I denne kolonnen er jeg bare bekymret for å lappe applikasjoner som kjører lyttetjenester.
* Sørg for at gjenværende tjenester og demoner kjører i en minst privilegert sammenheng. Dagene for å kjøre alle tjenestene dine som root- eller domeneadministrator, bør nærme seg slutten. Opprett og bruk mer begrensede tjenestekontoer. I Windows, hvis du må bruke en svært privilegert konto, gå med LocalSystem i stedet for domeneadministrator. I motsetning til hva mange tror, er det mindre risikabelt å kjøre en tjeneste under LocalSystem enn å kjøre den som en domeneadministrator. LocalSystem har ikke et passord som kan hentes og brukes over Active Directory-skogen.
* Krev at alle service / daemon-kontoer bruker sterke passord. Dette betyr lang og / eller kompleks - 15 tegn eller mer. Hvis du bruker sterke passord, må du endre dem sjeldnere, og du trenger ikke kontolås (fordi hackerne aldri vil lykkes).
* Google-hack ditt eget nettverk. Det gjør aldri vondt å finne ut om nettverket ditt gir ut sensitiv informasjon. Et av favorittverktøyene mine er Foundstone's Site Digger. Det automatiserer i hovedsak Google-hackingsprosessen og legger til mange av Foundstones egne sjekker.
* Installer tjenester på ikke-standardporter hvis de ikke er absolutt nødvendige på standardportene; dette er en av mine favorittanbefalinger. Sett SSH på noe annet enn port 22. Sett RDP på noe annet enn 3389. Med unntak av FTP, har jeg klart å kjøre de fleste tjenester (som ikke er nødvendig av allmennheten) på ikke-standardporter, der hackere sjelden Finn dem.
Vurder selvfølgelig å teste nettverket ditt med en sårbarhetsanalyseskanner, enten den gratis eller kommersielle varianten. Det er mange gode som finner den lavthengende frukten. Ha alltid ledertillatelse først, test i åpningstider, og godta risikoen for at du sannsynligvis vil slå noen viktige tjenester frakoblet under skanningen. Hvis du er veldig paranoid og vil gå forbi offentliggjorte sårbarheter, bruk en fuzzer for å lete etter ukjent null dagers utnyttelse. Jeg har lekt med en reklame i disse dager (hold et øye med testsenteret for min anmeldelse) mot forskjellige sikkerhetsapparater, og fuzzer finner ting jeg mistenker at leverandørene ikke vet om.
Og selvfølgelig, ikke glem at risikoen for skadelig utnyttelse hovedsakelig kommer fra angrep på klientsiden.
