View Łukasz Herman's LinkedIn profileView my profile

statystyki www stat.pl

Security

sobota, 06 stycznia 2007

OneCare jest to program Microsoftu, mający zapewnić bezpieczeństwo użytkowników komputerów. Poza funkcjonalnością antywirusa, posiada również zdolność filtrowania ruchu, oraz "przyspieszania" pracy systemu.

Jakiś czas starałem się go testować na Viście (nawet długo, bo ponad dwa miesiące) i sobie wyrobiłem już zdanie na jego temat.

Pomysł by stworzyć takie oprogramowanie był bardzo dobry, ale działanie Microsoft OneCare pozostawia wiele do życzenia.

Największym problemem było tzw. tune-up, czyli przyspieszanie pracy komputera poprzez defragmentację dysków i usunięcie zbędnych plików (tempów, ale i tak nie wszystkich). Wszystko to jest wykonywane w tle, dlatego defragmentacja dysku jest bardzo zwalniana, by nie przeszkadzać w użytkownikowi w obsłudze komputera. I to nawet by było fajnie, tylko że ta defragmentacja w taki sposób trwa i trwa, a nie mam wcale takiego dużego dysku! Nie wiem czy w ogóle kiedyś się dokonała do końca ta defragmentacja.

Funkcji antywirusa nie będę omawiał, bo ją jest trudno u mnie przetestować. Jakoś się nie łapię na wirusy czy różnego rodzaju spyware. Czasem tylko coś może wskoczyć do cache przeglądarki, ale i to nie zdarza się często.

Jedną z dodatkowych cech tego programu, jest wbudowany firewall. Tu muszę przyznać, że jest tak świetny (tak dobrze wszystko blokuje), że nie udało mi się odblokować aplikacji, która mi była potrzebna, pomimo tego, że porty miałem odblokowane.

W ostatecznym rozrachunku po prostu wywaliłem uciążliwego śmiecia, który nie sprawdzał się u mnie pod żadnym kątem.

09:29, hermanluk , Security
Link Komentarze (3) »
wtorek, 28 listopada 2006

Instytut SANS opublikował listę 20 najczęściej atakowanych celów w internecie. Oczywiście, jak nie trudno się domyślić, Microsoft znów w czołówce.

W kategorii systemów operacyjnych zajmuje 5 na 7 pozycji. Czy o czymś to świadczy? Jest popularny. Ciekawe jak długo będziemy czekali jak zaczną się w tych miejscach pojawiać Fedora, Mandrake lub Ubuntu...

W raporcie został również uwzględniona sekcja specjalna, w której znalazły się "Zero Day Attacks and Prevention Strategies".

Pełna lista dostępna jest pod adresem http://www.sans.org/top20/

piątek, 13 października 2006

Tak, to jest niestety po części prawda.

Obydwa systemy pisane było z uwzględnieniem aktualnych potrzeb użytkowników. System kliencki, jako najbardziej narażony na ataki, zawiera sporo różnych mechanizmów poprawiających bezpieczeństwo, takich jak User Account Control, Defender, itd.

A Longhorn...

Konto administratora może pozostać bez hasła, jeżeli administrator go sam nie ustawi. Nie tak jak w Windows Server 2003, gdzie hasło konta administratora podaje się przy instalacji, tu są również ostrzeżenia o tym by ustawic to hasło. A konto bez hasła ma się do bezpieczeństwa...

Od drugiej strony, klienci Longhorna w domenie również nie muszą ustawiać haseł. Już nawet nie ma domyślnego wymuszenia używania silnych haseł (przez co można zwiększyć nieco poziom ogólnego bezpieczeństwa w domenie). Nie ma tego i nie będzie...

Bo to już wersja RC1 wyszła, więc nie mamy co się spodziewać jakichkolwiek zmian.

Apel do wszystkich administratorów: pamiętajcie o hasłach :)

19:09, hermanluk , Security
Link Komentarze (1) »
czwartek, 28 września 2006

Ciekawy artykuł odpowiadający na pytanie dlaczego warto (lub nie) uaktualniać oprogramowanie :)

Creating Passionate Users: Why they don't upgrade (and what to do about it)

Polecam lekturę.

niedziela, 20 sierpnia 2006

Nowa technologia Novella zaprezentowana na konferencji LinuxWorld odbywającej się w San Francisco - AppArmor, zdobyła tytuł „Najlepszego rozwiązania bezpieczeństwa” („Best Security Solution”).

Dlaczego piszę o czymś takim na moim blogu? :)

Wyraźnie widać, że Microsoft uczy się od lepszych. Novell zawsze był o krok naprzód, lecz zaniedbanie w marketingu reklamującym jego markę i produkty spowodowało nieco inne skutki niż przewidywania, że dobra marka rozreklamuje się sama.

AppArmor jest to bardzo ciekawe rozwiązanie dostępne między innymi w SUSE Linux Enterprise Server (SLES), umożliwiające filtrowanie ruchu, nie sieciowego, ale pomiędzy aplikacjami. Bardzo interesujące rozwiązanie. Wiadomo, że serwer jest tak bezpieczny, jak najmniej bezpieczny jego składnik. A co by było gdyby odseparować potencjalnie słabiej zabezpieczone fragmenty od całości? To właśnie wykonuje AppArmor. Jest to taki firewall pomiędzy aplikacjami, gwarantujący, że żadna z aplikacji nie wpłynie niekorzystnie (nieprzewidzianie) na inne kluczowe składniki, programy, usługi.

Pod koniec wpisu Czy Vista będzie bezpieczna? pisałem o usługach ograniczonych (restricted services), listach ACL dla usług, itp.:

Już wcześniej pisałem o zmianach w modelu usług w Viście: Usługi systemowe w Longhornie. Jednak to nie wszystkie zmiany, jakie zostaną zaimplementowane w systemie.

Wprowadzone zostanie również koncepcja "restricted services", dzięki czemu większość uruchomianych usług będzie działać z jak najmniejszymi uprawnieniami, uniemożliwiając uszkodzenie systemu użytkownika przez skompromitowane, bądź źle działające usługi. Nowy firewall będzie blisko powiązany z platformą Windows Service Hardening, która umożliwia wprowadzenie restrykcji ruchu wychodzącego, przychodzącego i protokołów dla operacji sieciowych. W dodatku poszczególne usługi będą mogły być niezależnie identyfikowane, umożliwiając tworzenie list ACL per-service. W ten sposób będzie możliwe umożliwianie usłudze zapisywanie danych tylko w określonym miejscu na dysku, rejestrze, lub innym zasobie systemowym. Mechanizm ten ma zabezpieczyć przed zmienianiem ważnych ustawień konfiguracyjnych przez skompromitowane usługi. Standardowe usługi Visty będą pogrupowane w profilach usług, definiujących poziom przywilejów w systemie, reguł dostępu do zasobów systemu, oraz numery portów ruchu przychodzącego i wychodzącego z jakich będą mogły korzystać.

Jest to bardzo analogiczne rozwiązanie jak AppArmor, lecz mimo wszystko nieco uboższe (przynajmniej na dzień dzisiejszy). U Novella dotyczy ono wszystkich aplikacji, w Viscie/Longhornie na razie wiadomo tylko o zabezpieczaniu w ten sposób usług. 

Skoro Novell tak dobrze zaimplementował takie rozwiązanie, to czy Microsoft również dobrze to wykona, zwiększając możliwości zabezpieczania kluczowych elementów systemu?

piątek, 11 sierpnia 2006

Na blogu Virtualization.info autor, Alessandro Perilli, przeprowadził wywiad z Anthony Liguori, Software Engineer at IBM Linux Technology Center (który jest hackerem od testowania technologii wirtualizacji Xen). Tematem przewodnim jest technologia Blue Pill zaprezentowana przez Joannę Rutkowską na ostatniej konferencji Black Hat.

W skrócie Blue Pill jest oprogramowaniem typu malware, które nie wykorzystuje żadnego błędu w systemie do działania! Wszystko jest możliwe dzięki technologii wirtualizacji od AMD - SVM. Pisałem o tym w notce: Czy system operacyjny może być bezpieczny?

Dzięki Blue Pill jest możliwe odseparowanie systemu od sprzętu fizycznego poprzez warstwę wirtualizacji. Systemowi wydaje się, że widzi maszynę fizyczną i się z nią normalnie komunikuje. Tymczasem tak naprawdę jest to tylko mechanizm wirtualizacji, który pełni funkcję dodatkowej warstwy pomiędzy systemem i sprzętem. Jeżeli ktoś ma kontrolę nad tą warstwą wirtualizacji, ma kontrolę nad wszystkim na poziomie sprzętowym! 

Zaprezentowana przez Joannę Rutkowską technika pozwala zrobić WSZYSTKO z KAŻDYM systemem operacyjnym. Musi tylko wprowadzić tam swojego rootkita. Co akurat jest malutkim problemem w skali tego co ten rootkit jest w stanie zrobić.

Platforma wirtualizacji to nie tylko podatność na różne ataki, ale również duża funkcjonalność. Na przykład uruchomienie kilku systemów operacyjnych.
Więcej o wirtualizacji w wykonaniu AMD zobaczyć można w prezentacji opisującej korzyści tej technologii: http://enterprise.amd.com/us-en/_/movies/en/Virtualization_web/start.html

AMD deklaruje przeznaczenie swojej technologii wirtualizacji Pacifica (SVN) natywnie do przyspieszenia działania systemów Windows, Linux i Solaria. Ale również każdy inny system który zostanie portowany na tą platformę będzie podatny na ten atak. Więc to również dotyczy takich systemów jak NetBSD, FreeBSD, i innych UNIXów.

Polecam przeczytanie wywiad, wart jest tego ;)

Anthony Liguori mówi między innymi dlaczego Blue Pill tak naprawdę jest oprogramowaniem które można wykryć (Rutkowska twierdzi że jest to oprogramowanie w 100% niewykrywalne), oraz dlaczego Blue Pill jest dużym zagrożeniem dla bezpieczeństwa korporacji.

Liguori podjął również temat o możliwości stworzenia oprogramowania anti-malware, oferującego wykrycie każdego niechcianego oprogramowania. Według niego jest to możliwe dzięki attestation.

Attestation jest to zdolność do sprawdzenia w systemie tego, że jest aktualnie uruchomione tylko to oprogramowanie, które ma być uruchomione.

Dzisiaj oprogramowanie anti-malware sprawdza tylko widoczne wątki w systemie. Attestation jest czymś dużo silniejszym, pozwalając na sprawdzenie czy w systemie nie ma ukrytych wątków. Dzięki temu jest możliwe stworzenie oprogramowania anti-malware które nie będzie musiało być uaktualniane.

08:51, hermanluk , Security
Link Komentarze (1) »
środa, 02 sierpnia 2006

W ostatniej notce napisałem o kilku nowych/zmodyfikowanych rzeczach w Viście, których zadaniem jest poprawa bezpieczeństwa systemu. Jeszcze wcześniej pisałem o rootkitach, czym są i dlaczego są groźne.

Czy system operacyjny może być bezpieczny, biorąc pod uwagę dostępne środki crackerów?

Po pierwsze należy zdefiniować, czym jest bezpieczeństwo? Czy bezpieczny system to taki, który ma zaimplementowane mnóstwo technik wykrywania niebezpieczeństw (1400 w Viście)? Czy bezpieczny system to taki, którego nikt nie używa, nie jest rozwijany, i nikt nie szuka w nim błędów? Czy bezpieczny system to taki, o którym nie słychać w raportach zabezpieczeń różnych instytucji? Nie.

Żaden system nie może być nazwany bezpiecznym, ponieważ nie jest możliwe napisanie kodu, który nie będzie posiadał jakiegokolwiek zagrożenia. To że w jakimś systemie nie znaleziono żadnego błędu krytycznego, nie oznacza że go nie odnajdzie się w przyszłości, a co za tym idzie nie można powiedzieć że jest to na 100% bezpieczny system.

A co będzie w przyszłości? Prawdopodobnie już niedługo pojawią się zagrożenia działające niezależne od zainstalowanego systemu operacyjnego. Niezależne od programistów. Niezależne od chęci i umiejętności użytkownika. Już niedługo mogą zacząć pojawiać się techniki takie jak Blue Pill. Nawet jeżeli będą publicznie znane i dostępne, nikt nie będzie w stanie ich powstrzymać.

Blue Pill jest to projekt Joanny Rutkowskiej, specjalistki od szkodliwego oprogramowania. Stworzyła ona coś, co zainstaluje się bez restartu systemu. Coś, co będzie mogło kontrolować cały system, bez jego wiedzy. Coś, co wykorzystując wirtualizację będzie w stanie operować ponad system, przezroczyście do wszystkiego. Coś, co być może będzie zagrożeniem z którym nikt nie będzie mógł sobie poradzić.

Kto zawinił? Jak to możliwe, że powstanie oprogramowanie w 100% niewykrywalne? Można powiedzieć że to rozwój techniki pociągnął za sobą te zagrożenia. Poprzez nową technologię AMD - SVM/Pacifica, możliwe jest stworzenie oprogramowania widmo. Lecz będącego bardzo dużym zagrożeniem.

Tym akcentem zachęcam wszystkich do wyłączenia komputera i odpoczęcia od kontaktu z jakąkolwiek formą techniki :)

14:59, hermanluk , Security
Link Komentarze (3) »
sobota, 29 lipca 2006

Każdy system musi być dzisiaj bezpieczny. Musi być również rozszerzalny i niezawodny. W myśl idei Trustworthy Computing powstaje dzisiaj wiele aplikacji, programów, czy usług. Czy Vista będzie systemem bezpiecznym?

Dużo osób już pewnie wie, że w Viście zostaną zaimplementowane takie technologie jak:

  1. Windows Defender
  2. Nowy firewall, który będzie rownież nadzorował ruch wychodzący
  3. Windows BitLocker™ Drive Encryption
  4. Network Access Protection
  5. User Account Control
  6. Microsoft Internet Explorer® 7 (który notabene będzie super bezpieczny)

Ale STOP. Dość tej papki marketingowej. Tak naprawdę to te elementy wcale nie powinny być najważniejsze. Nie one sprawiają, że Vista ma być systemem, który będzie wybierany jako platforma oferująca odpowiedni poziom bezpieczeństwa dla sieci, organizacji, a przede wszystkim dla użytkowników.

Oczywiście te wymienione elementy mają wpływ na bezpieczeństwo, ale chcę również zwrócić uwagę, że bezpieczeństwo to nie tylko dodanie kilku nowych funkcji!

System nie może tylko i wyłącznie zabezpieczać użytkownika przed dzisiaj znanymi zagrożeniami. Technika wciąż idzie naprzód, i to w zastraszającym tempie. Dlatego patrząc na system powinniśmy w nim widzieć również rozwiązania zaimplementowane "pod maską". To one są tak naprawdę ważne!

Security Development Lifecycle - jest to proces mający pomóc grupom inżynierów w Microsofcie tworzenie bardziej bezpiecznych produktów. Ten rygorystyczny proces bezpiecznego projektowania, kodowania, testowania i przeglądu oprogramowania ma zapewnić zmniejszenie powierzchni ryzyka na ataki. Został on wdrożony w 2003 r. Vista będzie pierwszym systemem, który od początku do końca utworzony zostanie zgodnie z tymi wytycznymi.

Ponad 1400 modeli wątków mających zapewnić identyfikację zagrożenia wymagającego uśmierzenia zostało zaimplementowanych w Viście.

No eXecute (NX). Jednym ze sposobów na wykonanie własnego kodu, wykorzystywany przez szkodliwe oprogramowanie, jest przepełnienie bufora. Poprzez umieszczenie kodu w obszarze pamięci przeznaczonej do przechowywania danych przez aplikację, szkodliwe oprogramowanie może wykonać swój własny kod (tą drogą mogą się również instalować rootkity).

Aby zmniejszyć wpływ podatności aplikacji na to zagrożenie, najlepszym wyjściem jest wykorzystanie technologii NX na poziomie sprzętowym (wiele procesorów dostępnych dzisiaj posiada zaimplementowane rożne formy NX). Technologia ta polega na oznaczani przestrzeni pamięci jako No Execute, zabezpieczając ssytem przed wykonaniem kodu zawartego w tym bloku pamięci. Microsoft zapewnił wsparcie dla tych technologii już w SP2 dla Windows XP, poprzez Data Execution Prevention. W systemach 32-bitowych standardowo poprzez NX chroniony jest tylko system operacyjny. W Viście pole wykorzystania zwiększa się znacząco, ponieważ programiści otrzymują możliwość wykorzystania sprzętowej ochrony NX we własnym oprogramowaniu niezależnie od narzucanej ochrony systemu, zmniejszającym tym samym powierzchnię podatną na atak.

Address Space Layout Randomization (ASLR). Jest to kolejna zdolność obrony systemu mającym utrudnić szkodliwemu oprogramowaniu exploitowanie funkcji systemu. Jak to działa? Jest to w miarę prosty mechanizm. Podczas uruchamiania systemu, ASLR przypisuje plikom DLL i EXE losowo wybrane (jedno z 256) miejsce w pamięci, przez co trudniej jest exploitowi namierzyć miejsce w pamięci podatne na atak. (Address Space Layout Randomization in Windows Vista) Dotychczas wszystkie elementy systemu zajmowały stałe miejsce w pamięci!

Zaktualizowany został również system szyfrowania plików - Encrypting File System (EFS). Przede wszystkim zostanie umożliwione przechowywanie kluczy na karcie inteligentnej (smart card). Jeżeli karta taka jest również wykorzystywane do logowania, EFS pracuje w trybie Single Sign On, w którym użytkownik nie musi wprowadzać numeru PIN aby dostać się do swoich zaszyfrowanych plików. Za pomocą GPO będzie również możliwość szyfrowania pliku stronicowania. Będzie również dostępna możliwość szyfrowania Client Side Cache, który przechowuje offlinowe kopie plików z serwerów zdalnych. Przez GPO będzie również można wymusić szyfrowanie folderu Documents użytkownika. Niestety EFS dostępny będzie tylko w wersjach Windows Vista Business, Enterprise i Ultimate, oraz w Windows Server "Longhorn".

Już wcześniej pisałem o zmianach w modelu usług w Viście: Usługi systemowe w Longhornie. Jednak to nie wszystkie zmiany, jakie zostaną zaimplementowane w systemie.

Wprowadzone zostanie również koncepcja "restricted services", dzięki czemu większość uruchomianych usług będzie działać z jak najmniejszymi uprawnieniami, uniemożliwiając uszkodzenie systemu użytkownika przez skompromitowane, bądź źle działające usługi. Nowy firewall będzie blisko powiązany z platformą Windows Service Hardening, która umożliwia wprowadzenie restrykcji ruchu wychodzącego, przychodzącego i protokołów dla operacji sieciowych. W dodatku poszczególne usługi będą mogły być niezależnie identyfikowane, umożliwiając tworzenie list ACL per-service. W ten sposób będzie możliwe umożliwianie usłudze zapisywanie danych tylko w określonym miejscu na dysku, rejestrze, lub innym zasobie systemowym. Mechanizm ten ma zabezpieczyć przed zmienianiem ważnych ustawień konfiguracyjnych przez skompromitowane usługi. Standardowe usługi Visty będą pogrupowane w profilach usług, definiujących poziom przywilejów w systemie, reguł dostępu do zasobów systemu, oraz numery portów ruchu przychodzącego i wychodzącego z jakich będą mogły korzystać.

21:48, hermanluk , Security
Link Komentarze (5) »
wtorek, 11 lipca 2006

User Account Control jest to nowa funkcjonalność dostępna w Windows Vista. Jej celem jest praca z jak najniższymi uprawnieniami dla użytkownika.

Przez lata Microsoft był atakowany o udostępnianie użytkownikom standardowo konta administratora z wszystkimi możliwymi uprawnieniami. Czym to się kończyło dla nie zaawansowanych użytkowników systemu chyba każdy widzi. Wystarczy spojrzeć na fora internetowa z ogromną ilością wątków opisujących sposoby pozbywania się niechcianego oprogramowania - spyware, wirusów, trojanów.

W linuksach korzysta się standardowo z konta zwykłego użytkownika, a najczęściej za pomocą su, lub logując się na konto roota, wykonuje się zadania administracyjne wymagające odpowiednio wyższych uprawnień dla użytkownika.

W Windowsach od zawsze korzystało się z konta administratora, i pewnie niektórzy wciąż będą zawiedzeni, ponieważ w Viście użytkownik również będzie standardowo administratorem systemu. Ale tu właśnie pojawia się User Account Control (UAC). Jest to nowa funkcja w systemie pozwalająca skierowanie się w stronę udostępnienia użytkownikowi jak najmniejszych uprawnień. Skierowanie dlatego, ponieważ użytkownik jest wciąż administratorem, ale zmienia się już to w dobrą stronę (w aspekcie bezpieczeństwa).

Na początku UAC może być bardzo uciążliwy. Włączamy panel sterownia, a on się nas pyta o zgodę. I tak niemalże dla każdego okna. Na pierwszy rzut oka wydaje się to pomysł nietrafiony. Przecież użytkownicy albo wyłączą kontrolę nad swoimi (lub częściej szkodliwego oprogramowania) poczynaniami, bądź wytworzą w sobie nawyk automatycznego klikania w zezwalaj w każdy nowo otwartym komunikacie, bez jego czytania. To drugie rozwiązanie jest najgorsze, więc powinniśmy wyłączyć UAC?

Nie, pod żadnym pozorem nie powinniśmy tego robić. Najprostszy przykład. Ile osób spotkało się z mnóstwem śmieci, robaków, wirusów na komputerze na którym użytkownicy korzystali wyłącznie z konta zwykłego użytkownika? Jeżeli jest osoba która się z czymś takim spotkała chętnie bym ją poznał :) To tak samo jak w uniksach korzystanie z konta roota tylko w ostateczności! A widział ktoś oprogramowanie malware na systemach uniksowych? Jak ktoś sądzi, że takiego oprogramowania niema, to radzę zmienić koncepcję patrzenia na oprogramowanie przez siebie wykorzystywane. Takie oprogramowanie istnieje, tylko nie jest spopularyzowane ze względu na korzystanie z uprawnień administracyjnych tylko gdy jest to potrzebne.

Wracając do UAC, jest to dosyć innowacyjne podejście do bezpieczeństwa. Po bliższym przyjrzeniu się można dojść do wniosku, że jest to możliwość wykorzystywania konta administratora, tak naprawdę bez uprawnień administracyjnych. Niemalże na wszystko jawnie musimy się zgadzać.

Komunikaty od UAC są może uciążliwe, ale czy podczas codziennego korzystania z systemu zmieniamy znacząco funkcjonalność naszego systemu? Bo większość zmian administracyjnych polega właśnie na skonfigurowaniu funkcjonalności pod użytkownika. Ja twierdzę że nie wykonujemy takich czynności na co dzień. Na początku może się pownerwiamy na wyskakujące okienka, ale w codziennym użytkowaniu systemu nie powinny nam one przeszkadzać.

Dzięki User Account Control oprogramowanie uruchamiane przez konto z uprawnieniami administratora tak naprawdę nie posiada takich uprawnień jak użytkownik, co miało miejsce w Windows XP. Dzięki temu również zmniejsza się znacząco podatność na szkodliwe oprogramowanie.

21:50, hermanluk , Security
Link Komentarze (1) »
środa, 05 lipca 2006

Spyware, rootkits, adware, keylogger, trojan, malware, hijackers - zagrożeń jest mnóstwo. Niemalże na każdym kroku, czy to w internecie, czy poza nim, spotykamy się z wieloma ostrzeżeniami o niebezpieczeństwie. Raz po raz wielkie korporacje ostrzegają nas przed nowym rodzajem zagrożenia. A z tych wszystkich zagrożeń rootkity są najbardziej niebezpieczne. Są niebezpieczne, ponieważ najczęściej nikt nie zdaje sobie sprawy, że może posiadać takie "coś" u siebie.

Co to jest rootkit?

Rootkit jest to kod (aplikacja) działający w systemie operacyjnym bez wiedzy (zezwolenia) użytkownika. Do instalacji wykorzystuje czasem exploity na znane luki w systemie, może zostać dolepiony do jakiegoś pliku wykonywalnego, lub nawet sterownika. Jest tym bardziej groźny, ponieważ jego pole działania jest bardzo szerokie. Każdy system może być podatny na rootkity i na to nie ma żadnej ochrony.

Rootkity dzieli się na dwie grupy. Pierwsza grupa to tzw. Persistent rootkits, czyli kod działający pomimo ponownego uruchomienia komputera. Tego typu rootkitu są łatwiejsze to znalezienia, ponieważ wymagają od twórcy dodatkowego ukrywania ich startu wraz z systemem. Drugą grupą są in-memory rootkits, po załadowaniu rezydujące tylko w pamięci komputera.

Jak to się dzieje, że rootkity są niewykrywalne?

Po pierwsze z niewykrywalnością jest różnie. Często da się je znaleźć w systemie dzięki różnego rodzaju programom. Cała działalność rootkitów polega na wykorzystaniu haków (ang. hooks) w systemie umożliwiających im ukrycie się. W każdym systemie jest wiele haków, ponieważ z założenia oprogramowanie ma być elastyczne, rozszerzalne, oraz zgodne z wcześniejszymi wersjami.

W systemie Windows istnieje kilka, często wykorzystywanych haków:

  • Import Address Table - jest to obszar pliku DLL odpowiedzialny za wskazywanie funkcji biblioteki oraz innych bibliotek DLL. Modyfikując jedną z bibliotek systemowych, kod startowy rootkita nadpisuje jedną z często używanych funkcji. Taki rootkit uruchamia się zamiast podanej funkcji, po czym dla niepoznaki zwraca wyniki, które powinna zwrócić żądana funkcja. Najbardziej zagrożonymi bibliotekami są: Kernel32.dll, User32.dll, Gdi32.dll i Advapi32.dll
  • System Service Descriptor Table (system call table) - przechowuje adresy aktualnych funkcji systemu operacyjnego, które odwołują się do funkcji NtXXX w pliku Ntoskrnl.exe. Ta technika jest lepsza od IAT, ponieważ działa na cały system, a nie na pojedynczy program (funkcję/bibliotekę). Taki rootkit może na przykład "shakować" funkcję NtQueryDirectoryFile aby ukryć pliki i foldery w systemie plików.
  • Direct Kernel Object Manipulation (DKOM) - system operacyjny tworzy obiekty kernela odpowiadające za logowanie i audytowanie. Modyfikując te obiekty rootkit może okłamywać system (na przykład o istnieniu konkretnego procesu) zwracając mu fałszywe informacje.

Jak się bronić?

Do odnajdywania rootkitów istnieje cały szereg narzędzi. Korzystają one z różnych technik wyszukiwania, ale nikt nie da gwarancji, że jego technika jest idealna. Dla zwiększenia możliwości wyszukiwania rootkitów, czasem korzysta się jednocześnie nawet z kilku metod w jednym programie.

Przykładem oprogramowania wyszukującego rootkity są:

  • VICE
  • Patchfinder
  • Rootkit Revealer
  • Klister
  • Blacklight
  • System Virginity Verifier

Istnieją również rozwiązania sprzętowe. Przykładem jest Copilot, posiadający własny procesor i techniki zabezpieczeń, dzięki czemu jest uodporniony od rootkitów (w pewnym stopniu, nie można powiedzieć nigdy, że coś jest bezpieczne w 100 procentach).

Na koniec zostawiłem sobie narzędzie, które przydatne będzie nie tylko w obronie przed rootkitami, ale również innymi zagrożeniami. Tripwire jest to narzędzie tworzące bazę hashy wszystkich plików na dysku. Jeżeli chcemy sprawdzić po jakimś czasie czy wszystko jest w dobrym stanie, program przeliczy wszystkie hashe i poinformuje o niezgodności jeżeli takie się pojawią. Oczywiście po każdym uaktualnieniu systemu należy utworzyć nową bazę hashy.

Mamy przed czym się bronić. Mamy czym się bronić. Tylko czy to wystarczy?

czwartek, 15 czerwca 2006

Jeżeli napiszemy w notatniku jakąkolwiek kombinację liter w postaci 4-3-3-5 (np. 'AAAA BBB CCC DDDDD'), zapisany plik zostanie przekształcony do formatu Unicode, przez co będzie raczej nieczytelny po otwarciu ;)

Ciekawe czy Microsoft to kiedyś naprawi?

wtorek, 23 maja 2006

Już cały świat zdążyła obiec informacja o tym, jak to najpierw firma Blue Frog zawiesiła działalność. Następnie został jeszcze przeprowadzony na nią atak spamerów, czego "żaba" już nie wytrzymała. Niestety.

O tym co się tak naprawdę stało z firmą, jak przeprowadzony został atak DNS amplification przeczytać możemy pod adresem Cała prawda o upadku Blue Security

Czym była firma Blue Frog, że spamerzy przeprowadzili atak paraliżujący dużą część sieci?

http://7thguard.net/news.php?id=5079

Na szczęście powstaje już następca błękitnej żaby - http://www.okopipi.org/. Miejmy nadzieję, że jego losy potoczą się dużo lepiej w walce za spamem.

środa, 03 maja 2006

Pod tytułem "Deconstructing Common Security Myths" w najnowszym majowo - czerwcowym TechNet Magazine pokazał się ciekawy artykuł, którego autorami są Jesper Johansson i Steve Riley. Osoby, ktorych już raczej nie powinno sie nikomu przedstawiać. Kazdemu te nazwiska powinny się kojarzyć z bezpieczeństwem.

W artykule możemy przeczytać:

  • Dlaczego wyłączanie uwierzytelniania metodą NTLM nie jest dobrym pomysłem.
  • Kiedy można zrezygnować z oprogramowania antymalware.
  • Kiedy filtrowanie ruchu wychodzącego ma sens.
  • Albo czy aby hasło było silne musi spełniać warunki złożoności (nie musi).

Na te i inne kwestie obaj panowie przedstawiają swoje zdanie. A niektóre kwestie naprawdę bywają zaskakujące!

Deconstructing Common Security Myths

wtorek, 18 kwietnia 2006

Chiny wciąż walcząc z obywatelami.. eee, hakerami :) postanowiły wprowadzić nowe prawo blokujące całkowicie serwery pocztowe, które nie otrzymają koncesji od rządu. Ma to zapobiec rozprzestrzenianiu się spamu na masową skalę, korzystając z serwerów ulokowanych na terytorium Chin.

"E-mail Service Providers" muszą się zarejestrować i otrzymać koncesję, aby legalnie wykorzystywać swoje serwery pocztowe.

Póki co prawo nie jest jeszcze egzekwowane, jednakże jest to bardzo precedensowe posunięcie. Odtąd każde przedsiębiorstwo działające na terenie Chin i mające własny serwer pocztowy, będzie musiało go zarejestrować i dostać koncesję, lub co jest bardziej realne, przenieść serwery poza granice Chin.

Dodatkowo każdy ESP będzie musiał logować przez 60 dni wszystkie przychodzące i wychodzące maile, a każdy Open Relay będzie nielegalny.

Co do Open Relay to jest to posunięcie, które na pewno zmniejszy ilość spamu, często wysyłanego bez wiedzy administratora serwera, ale już logowanie aktywność korespondencyjnej nasuwa tylko jeden wniosek.

wtorek, 04 kwietnia 2006

Pod takim tytułem w serwisie SearchSecurity.com pojawiły się materiały dotyczące tematyki zabezpieczania naszych sieci bezprzewodowych. Całość składa się z czterech webcastów (dostępnych "na żądanie") omawiających podstawowe zagadnienia z zakresu bezpieczeństwa sieci bezprzewodowych. Czas trwania tych webcastów to ok. 20 minut każdy, dzięki czemu będziemy mogli je obejrzeć na przykład w przerwie na lunch. Do każdego z webcastów dołączone zostały najważniejsze wskazówki, omawiające zagadnienia z jakimi możemy się spotkać zabezpieczając naszą sieć bezprzewodową.

SearchSecurity.com

   Lesson 1: How to counter wireless threats and vulnerabilities
   Lesson 2: How to build a secure wireless infrastructure
   Lesson 3: How to implement secure access
   Lesson 4: How to use wireless IDS/IPS

W tipsach dołączonych do tych lekcji/webcastów możemy przeczytać między innymi o roli połączeń VPN w korporacyjnej sieci bezprzewodowej, atakach jakie mogą spotkać naszą sieć (w tym nawet "AP Theft" :)). Nie zabrakło również omówienia sposobów na bezpieczeństwo mając ograniczony budżet, czyli między innymi WPA (który udostępniają na dzisiaj już chyba wszystkie popularne urządzenia wifi), Radius i certyfikaty.

czwartek, 09 marca 2006

Po tym jak BBC przedstawiło informację, że rząd Wielskiej Brytani jest w trakcie rozmów z Microsoftem, o czym już pisałem wcześniej, dzisiaj już możemy powiedzieć nieco więcej.

Rząd Wielkiej Brytanii nie dostanie możliwości podejrzenia danych zaszyfrowanych na dysku (dyskach), co będą oferowały biznesowe wersje systemu Windows Vista, który ma się pojawić pod koniec tego roku. Rozmowy Microsoftu z agencjami rządowymi miały na celu wywarcie wpływu na potentacie, aby ten wsparł narzucenia prawne agencji rządowych Wielkiej Brytanii, i również USA. Wszystko rozchodzi się o dostęp do informacji zaszyfrowanych za pomocą BitLocker Drive Encryption. Agencje rządowe chciały mieć dostęp do wszystkich dysków, nawet tych zabezpieczonych fizycznie poprzez TPM (chip na płycie głównej generujący klucz, jakim zostanie zaszyfrowana zawartość).

Cała sprawa była głośno komentowana nie tylko przez media, ale również pracowników Microsoftu. Między innymi Neils Ferguson, zajmujący się w Microsoft kryptografią napisał w swoim blogu: "Po moim trupie", sprzeciwiając się jakiemukolwiek zaimplementowaniu tylnych furtek w systemie, o których się ostatnio dużo mówi. Zapewnia również, że takie działanie nie byłoby zgodne z polityką firmy. 

"Windows Vista została stworzona jako najbezpieczniejsza wersja systemu jaka dotychczas się ukazała". Tymi słowami Microsoft wskazuje kierunek, w którym zmierza. Oczywiście nie ma mowy o pominięciu używalności i kompfortu z korzystania z systemu, bez czego żaden system nie osiągnie komercyjnego sukcesu, który jest podstawą działalności Microsoftu.

Rozmowy polegały również na pokazaniu zalet Visty, oraz BitLockera. Zamiast implementacji tylnych furtek w Viście, Microsoft zapewni pomoc agencjom rządowym odpowiedzialnym za egzekwowanie prawa w poznaniu jak system działa, i jak znaleźć klucze szyfrujące BitLocker'a chociażby na dyskach USB. Szyfrowania może się odbywać bowiem z wykorzystanie klucza wygenerowanego przez TPM, klucza przechowywanego na pamięci USB, lub z wykorzystaniem obydwu możliwości.

Oczywiście są to tylko (a może aż), słowa Microsoftu, który zrobi to co zechce, a mówić i gwarantować może zupełnie coś innego. Wszystko zależy od tego, na ile ufamy potentatowi. Dla przykładu Chiny, znane z licznego łamania praw, nie tylko człowieka, nie chcą dekodować tajnych danych oprogramowaniem amerykańskim. W ostatnich latach starali się opracować własny chip, zastępujący TPM (Trusted Platform Module), co im się udało. Chip ten został stworzony przez Lenovo i został zatwierdzony przez władze Chińskie. Moduł bezpieczeństwa wyszedł do produkcji w już zeszłym roku(!) i jest aktualnie montowany w większości komputerach firmy Lenovo sprzedawanych na terenie Chin.

BitLocker jest to odpowiedź Microsoftu na rosnące potrzeby zabezpieczania danych. Wcześniej był znany pod nazwą kodową Palladium. Uniemożliwia on złodziejowi uruchomienie komputera z innego systemu, lub uruchamiając oprogramowanie służące uszkodzeniu plików, uniemożliwiając spreparowanie lub dostęp do podglądu plików przechowywanych na dysku. Jest to rozszerzenie szyfrowania sprzętowego całego dysku umożliwiające łatwe zwiększenie ochrony danych. Opcjonalne wykorzystanie Trusted Platform Module (TPM) 1.2 do ochrony danych użytkownika zapewnienia, że Windows Vista nie został skompromitowany kiedy był wyłączony.

  • BitLocker wykorzystuje do szyfrowania algorytm AES z kluczem o długości 128 lub 256 bitów, co będziemy mogli skonfigurować korzystając z Zasad Grupy (GPO).
  • Jest możliwość również dodania kolejnej warstwy zabezpieczeń typu PIN lub klucz USB.
  • BitLocker będzie realizował szyfrowanie wolumenu systemowego, włączając w to pliki systemowe i plik hibernacji.
  • EFS będzie oczywiście nadal dostępny, umożliwiając dodanie kolejnej warstwy zabezpieczeń.
  • Klucze BitLockera będą mogły być przechowywane w Active Directory, i/lub na pamięciach USB.
  • Sprawdzanie integralności spowoduje błąd, jeżeli BIOS, MBR, boot sector, boot manager lub inny komponent wczesnej fazy uruchamiania zostanie zmieniony bez autoryzacji.
środa, 15 lutego 2006

Rząd Wielkiej Brytani jest właśnie w trakcie rozmów z Microsoftem na temat implementacji backdoora.

W Viście ma być zaimplementowane szyfrowanie całego dysku, korzystając z BitLocker Drive Encryption poprzez chip na płycie głównej zwany TPM (Trusted Platform Module). Dysk twardy będzie szyfrowany kluczem, który zna tylko Microsoft. A trzymając się szczegółów to TPM zna ten kod, w końcu go generuje, i będzie mógł zostać odszyfrowany tylko z tą płytą główną (albo raczej z tym chipem, niewiadomo czy ktoś nie wymyśli przenoszenia go pomiędzy komputerami). Dzięki temu będą zabezpieczone przed kradzieżą dysku. A co jeżeli będziemy chcieli sobie iść do kogoś z dyskiem żeby poprzegrywać jakieś dane? No to chyba będzie zonk ;) I dlatego rząd w kraju w którym ciągle pada deszcz chce mieć tylną furtkę do danych użytkowników. A co z prywatnością? Tego pewnie się niedługo dowiemy. Celem rządu UK jest ustaleniu z MS kluczy dostępnych dla agencji aby mogły przeglądać zawartość dysków. Ma to pomóc w dostaniu się do dysków piratów w celu wyciąganiu dowodów przestępstwa.

Aktualnie nie wiadomo nawet czy Microsoft zgodzi się na to. Chociaż ciekawe co się stanie jak włączy się do tego Komisja Europejska? Każą korzystać z systemu plików FAT16 bo NTFS jest za bezpieczny i dodatkowo umożliwia szyfrowanie danych na dysku, które może odzyskać tylko użytkownik który je zaszyfrował*?

Ale już nie wpadając w takie dywagacje, jestem ciekaw w jaki sposób rząd UK wyobrażam sobie udostępnienie takiego klucza (lub mechanizmu), tak, aby nie dostał się on w niepowołane ręce. Czynnik ludzi niestety nie jest sprzymierzeńcem zachowania w tajności takich kluczy i pewnie nawet najlepszy system zabezpieczeń temu nie zaradzi...

(*) Dotyczy użytkownika domowego, który nie wyeksportował certyfikatu. W innym wypadku, lub w środowisku domenowym, gdzie administrator domeny  jest agentem odzyskiwania, pliki takie można odzyskać.

sobota, 11 lutego 2006

Jak informuje Mike Friedman na IEBlog'u, IE w wersji 7 będzie zaopatrzone w "Protected Mode" - funkcja techniki defense-in-depth. Polega to na rozłożeniu bezpieczeństwa na warstwy, co przy ataku w jednej warstwie nie da dostępu do pozostałych warstw. Protected Mode zawiera 3 nowe kluczowe technologie modelu bezpieczeństwa kurczaczka ;) (lub jak kto woli Windows Visty):

  • User Account Control (UAC) - implementacja tylko najniższych podstawowych uprawnień. UAC umożliwia użytkownikom uruchomienie systemu bez wymagania poświadczeń administratora. Administratorzy mogą uruchomić większość aplikacji z limitowanymi poświadczeniami, ale mają możliwość zwiększenia uprawnień dla specyficznych zadań administracyjnych wymagających tych uprawnień.
  • Mandatory Integrity Control (MIC), w skrócie jest to model odpowiadające za zapobieganie ingerencji aplikacji z jednego poziomu, do danych aplikacji w innym poziomie. Są 4 poziomy Low, Medium, High, i System. Każdemu procesowi przy starcie zostaje przyporządkowany odpowiedni poziom w żetonie dostępowym. Pliki i klucze rejestru posiadają nowe obowiązkowe wpisy kontroli dostępu (mandatory ACE) w systemowych listach kontroli dostępu (SACL).
  • User Interface Privilege Isolation (UIPI) blokuje procesy niższych poziomów przed dostępem do procesów wyższych poziomów. Na przykład proces niższego rzędu nie może wysłać wiadomości, zaczepienia do procesu posiadającego wyższy priorytet. Dzięki temu jeden proces nie może wykonać kodu z uprawnieniami innego procesu.


W Protection Mode IE7 czyta/zapisuje specjalne wersje cache/temp/cookies i historii w:

  • Cache: %userprofile%\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low
  • Temp: %userprofile%\AppData\Local\Temp\Low
  • Cookies: %userprofile%\AppData\Roaming\Microsoft\Windows\Cookies\Low
  • History: %userprofile%\AppData\Local\Microsoft\Windows\History\Low

Wyższe poziomy nie mogą uruchamiać danych z tego poziomu, co na pewno wpływa na bezpieczeństwo.

Jedną z ciekawych rzeczy jest również "wirtualizacja" plików które podlegają zmianie. Pliki zostają najpierw przekopiowane do odpowiedniej lokalizacji, a następnie zmieniane, przez co ścieżka do pliku znajdującego się w profilu użytkownika będzie tak naprawdę miała adres docelowy: %userprofile%\AppData\Local\Microsoft\Windows\Temporary Internet Files\Virtualized\{system drive letter}\Users\{username}. Podobnie jest z rejestrem systemowym: HKCU\Software to HKCU\Software\Microsoft\Internet Explorer\InternetRegistry\REGISTRY\USER\{SID}\Software. Dzięki temu dana zmiana pliku nie będzie miała wpływu na ten właściwy plik. Oczywiście nie bedzie to działało do plików chronionych przez system operacyjny, dla których dostęp będzie od razu blokowany.

sobota, 21 stycznia 2006

Właśnie przeczytałem, o pewnym błędzie, jaki możemy napotkać korzystając z konta pocztowego Gmail. Jeżeli mamy zarejestrowane konto powiedzmy "moje.konto", to jeżeli ktoś sobie zarejestruje w późniejszym czasie "mojekonto" to jego wiadomości będą trafiały do tego pierwszego konta. Prawda że ciekawe? Wszystko rozchodzi się o to że system Gmail nie rozpoznaje kropek w nazwie użytkownika. Na szczęście logowanie użytkownika "mojekonto" nie da dostępu do konta użytkownika "moje.konto". Ale zawsze ten drugi użytkownik zostanie postawiony w sytuacji gdy ktoś inny odbiera jego maile, a on na to nic nie poradzi...


Może warto to wziąć pod uwagę zanim założymy podobne konto do już istniejącego?

Ars Technica

piątek, 20 stycznia 2006

Zbudowane z białek i kwasów nukleinowych twory organiczne nie posiadające struktury komórkowej, zdolne do rozmnażania przez infekowanie żywych komórek. Bezwzględne pasożyty wewnątrzkomórkowe, namnażające się dzięki wykorzystaniu aparatu kopiującego zawartego w komórkach. Zawierają materiał genetyczny w postaci RNA lub DNA, wykazują jednak zarówno cechy komórkowych organizmów żywych, jak i materii nieożywionej.

O czym mowa? O wirusach. Wprawdzie nie o tych biologiczny, tylko komputerowych, ale i jedne i drugie nie są mile widziane.

To już 20 lat minęło od powstania pierwszego programu, który "w sposób celowy powiela się bez zgody użytkownika. Wirus komputerowy w przeciwieństwie do robaka komputerowego do swojej działalności wymaga nosiciela w postaci programu komputerowego, poczty elektronicznej itp. Wirusy wykorzystują słabość zabezpieczeń systemów komputerowych lub właściwości systemów oraz niedoświadczenie i beztroskę użytkowników." Uznaję się że pierwszym wirusem był "Brain", a został on napisany przez braci Basita i Amjada Farooq Alviego, a jego zadaniem była ochrona napisanej przez nich gry.

http://www.f-secure.com/v-descs/brain.shtml

niedziela, 15 stycznia 2006

Wszystko rozchodzi się o głośny ostatnio błąd w Windows MetaFile. Po tym jak wykryto tą lukę, umożliwiającą uzyskanie prawa System przez atakującego, jeżeli kod zostanie wykonany na koncie użytkownika z uprawnieniami administracyjnymi.

MS wypuścił już poprawkę na ten błąd, mimo wszystko dwie osoby postanowiły bliżej przyjrzeć się problemowi, przez co odkryły szokującą informację. Informację, która na pewno nigdy nie powinna zostać ujawniona. Leo Laporte oraz Steve Gibson po dogłębnych analizach, stwierdzili że błąd ten został zaimplementowany specjalnie, jako tylnia furtka w systemie, umożliwiająca zdalne wykonanie kodu. Niestety nie dowiemy się czy błąd ten został włączony do systemu na polecenie kierownictwa, czy poprzez jednego/kilku pracowników którzy chcieli w ten sposób uzyskać w przyszłości jakąś korzyść majątkową.

W szczególnych przypadkach exploity wykorzystujące tą lukę mogły być blokowane poprzez funkcję DEP w systemie Windows, oraz korzystając z Firefoxa jako głównej przeglądarki możemy odmówić uruchomienia "Windows Picture and Fax Viewer" poprzez który kod zostanie wykonany.