Одминский блог

Шифрованный носитель Check Point Abra

Дали потестить одну из последних новинок компании Check Point, продукт под названием Abra. Решение представляет собой флеш носитель, емкостью 4 и 8Gb, с поддержкой аппаратного шифрования 256-битным AES. Но поскольку аппаратным шифрованием сейчас можно удивить только какого либо человека, очень далекого от безопасности и it вообще, то основной фишкой решения является то, что оно организует Secure virtual workspace, а проще говоря запускает защищенную, виртуальную копию установленной операционной системы Windows, которая работает как независимая система, отгороженная от имеющейся на машине комплексом безопасности, включающем в себя антивирус, фаервол и систему предотвращения вторжений. Abra поддерживает такие операционные системы как Windows 7/Vista/XP, пока правда только 32хитные версии. При старте системы Abra проверяет имеется ли в системе антивирус, какие актуальные патчи установлены и после этого сканирует операционную память на предмет обнаружения работы злонамеренного программного обеспечения. После этого, запускается диалог доступа к данным, заключающийся в воде пароля устанавливаемого при первичной инициализации устройства и если пароль введен корректно, то запускается виртуальное пространство, которое разрешает доступ только к определенным, установленной политикой, программам. Для ввода пароля используется виртуальная клавиатура, которая тем самым предотвращает перехват пароля кейлоггерами.Из запущенного пространства уже можно установить IPSec VPN соединение со своим шлюзом, и работать через него в своей сети. После установления VPN соединения клиент Abra подтягивает со шлюза политики локального фаервола и ips, которые будут использованы по умолчанию при следующем запуске системы. Также при установлении VPN соединения обновляется локальный антивирус Abra. В дополнение к этому клиент получает список разрешенного для использования программного обеспечения, но для использования это ПО должно быть установлено на машине, на которой запускается Abra. Эта политика версия-независима, то есть разрешив Microsoft office мы дадим пользователю возможность пользоваться любым, имеющимся в наличии офисом.

При работе пользователю блокируется доступ к локальному диску, так что пользоваться он может только файлами, хранящимися на флеш-носителе, или полученными по сети. Использование оперативной памяти разделено с компьютером, поэтому вирусы и другое злонамеренное ПО не способно проникнуть внутрь виртуальной системы, что предохраняет от угрозы заражения как сами файлы пользователя, так и его корпоративную сеть, с которой он установит защищенное соединение. И главное этот механизм работы не требует дополнительных лицензий, как например стандартная виртуальная машина, как для операционной системы, так и для используемого ПО. Во время работы виртуальное окружение создает защищенный канал доступа к установленному на компьютере ПО, организуя безопасную работу пользователя с разрешенным политиками безопасности программами.Принцип работы таков, что после успешного логина, в виртуальном окружении, запускается новая оболочка explorer.exe  и все остальные процессы запускаются по отношению к этому процессу как к родительскому, что и позволяет Abra контролировать выполнение приложений с безопасной среде. Все вызовы к приложениям перенаправляются к флеш драйву, то есть все приложения запускаемые внутри виртуальной системы работают внутри виртуальной файловой системы и реестра, находящихся на флеш-носителе, где они шифруются сразу в процессе записи на носитель.

Благодаря устройству Abra пользователь может получить доступ к своим файлам и корпоративной сети практически с любой машины, подпадающей под определение не доверенных узлов, не боясь нанести урон своей сети или данным хранимым на носителе. Также в случае потери, данные не станут доступны похитителям или людям, случайно нашедшим утерянный флеш-носитель, а ведь не секрет, что большинство громких утечек данных на западе были вызваны кражей или потерей ноутбуков. Более того, данное решение позволяет пользователю отказаться от стандартного ноутбука, который постоянно приходится носить с собой и который свои фактом присутствия, уже является целью для воров. С Abra весь функционала ноутбука помещается к кармане рубашки или джинсов, позволяя использовать мощности любого доступного пользователю компьютера, не задумываясь при этом о потенциальных угрозах которые может нести сторонний компьютер не подпадающий под используемые в компании политики безопасности. И тем самым для нас, это еще один лишний довод перед начальством за то, чтобы работать удаленно- из-за домашнего компьютера.

Рубрика: Check Point, IT безопасность, Обзоры | Ваш отзыв »

Устанавливаем Splunk

Собственно о системе Splunk я писал буквально в предыдущем посте, так что добавить ничего не могу, кроме того что это система управления инцидентами и событиями информационной безопасности. Ставить систему будем на FreeBSD 6.4, ибо она вся такая для меня приятная.
Итак поехали, ибо создатели пакета обещают что ставится она на раз-два-три:

# wget ‘http://www.splunk.com/index.php/download_track?file=4.1.4/freebsd/splunk-4.1.4-82143-FreeBSD-i386.tgz&ac=&wget=true&name=wget&typed=releases’
# tar -xzvf splunk-4.1.4-82143-FreeBSD-i386.tgz

Поскольку, как оказалось, пакет пришел нам в уже собранном виде, то оправляем его по месту постоянного жительства:
# cp -R splunk /usr/local/

Перед запуском системы необходимо внести изменения в конфигурационные файлы:

/boot/loader.conf
kern.maxdsiz=”2147483648″ # 2GB
kern.dfldsiz=”2147483648″ # 2GB
machdep.hlt_cpus=0

/etc/sysctl.conf
vm.max_proc_mmap=2147483647

После этого перегружаем сервер для того чтобы изменения вступили в силу. При желании можем создать ручками пользователя от которого будет работать splunk, а также и его группу, но мне что то сегодня в ломы. Поэтому запускаем сервис: перед первым запуском сервера необходимо согласиться с лицензионным соглашением, для этого стартуем:
# $SPLUNK_HOME/bin/splunk start –accept-license

После некоторого диалога, сервер сообщит, что он теперь запущен на http://our_server_hostname:8000 хотя зайти можно и по адресу http://our_server_IP:8000. В данном случае 8000 это дефолтный порт нашего веб сервера.

Теперь переходим к настройке сервера.
Логин и пароль по умолчанию для входа в web-консоль:
username: admin
password: changeme

В верхнем правом углу белеет на темном фоне кнопочка Manager, нажав на которую мы попадаем в общирное меню, позволяющее нам настроить наш сервер в разделе System configurations, а также добавить необходимые модули Apps, собития, поиски и прочая в разделе Apps and knowledge.

В System settings задается хостнейм и настраиваются веб-морда сервера, а также параметры индексирования. Также настраивается отправка алертов по почте и всевозможные уровни логирования, которых доступно шесть вариантов: DEBUG, INFO, WARN, ERROR, CRIT, FATAL.

На сегодня хватит, на днях распишу больше- но по сути настройка системы заканчивается именно на этом разделе- дальше идет уже тюнинг, причем интерфейс интуитивно понятен и прост.

Рубрика: FreeBSD, IT безопасность, Дела Одминские | Ваш отзыв »

Новый подарок для форточек: эксплоит ярлыков

В опубликованном Мелкомягкими Security Advisory 2286198, на прошлой неделе, появилась инфа о том, что они в данный момент трудятся над закрытием критической уязвимости основанной на некорректном парсинге системой иконки ярлыка, так что злоумышленник подсунув системе специально сконфигурированную иконку может уязвить машину, путем запуска злонамеренного кода, не имея на то необходимых привилегий и в обход политик UAC и контроля безопасности Windows 7.  так что эксплоит .lnk это как раз то, чего нам так давно не хватало.

По утверждению Microsoft уязвимости больше всего подвержены машины через использование внешних томов, но при этом в случае отключения функции автозапуска, пользователь должен сам запустить ярлык из необходимой папки, для того чтобы система была уязвлена.  Для систем Windows 7 функция автозапуска с внешних томов отключена по умолчанию.

И хотя в данный момент мелкомягкие ведут работы по устранению этой пакостной дырки безопасности, тем не менее для систем Win2Yk и XP SP2, уже снятых с поддержки , ожидать каких либо обновлений безопасности не следует. В этой связи рекомендуется запретить винде выводить иконки для любых ярлыков, а также запретить сервис WebClient для предотвращения атаки через протокол WebDAV.

И хотя винда с отключенным рендерингом иконок выглядит более чем убого, тем не менее если вы решите отключить эту, одну их основных, фич винюка, то необходимо открыть редактор реестра regedit.exe и пройти в ветвь реестра HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler. Экспортируем данную ветку, для того чтобы зарезервировать её, после чего очищаем значение.

Также Microsoft настоятельно рекомендует ограничить пути запуска программ, сократив их до необходимых системных папок типо C:\, C:\Windows, C:\Program Files. Для этого лезем в оснастку «Локальная политика безопасности», которая находится по следующему маршруту  Пуск -> Настройка  -> Панель управления -> Администрирование. Там выбираем раздел Политики ограниченного использования программ, и так как они не определены по умолчанию, выбираем Действие -> Создать политики ограниченного использования программ, после чего выбираем дополнительные правила и в правом поле щелкаем правой клавишей мышки, выбирая Создать правило для пути. там же можно запрещать запуск программ как по их пути, так и по хэшу исполняемого файла. Также можно перечислить приложения в ключе реестра: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun, правда я не пробовал можно ли там открыть доступ к целой папке.

Ну и естественно использовать хостовые ips, фаерволы и антивирусы, на которых своевременно поддерживать актуальные обновления.

Рубрика: IT безопасность, Windows | Отзывов: 2 »

Коды разблокировки порнобаннеров от винлокеров

Столкнулся с очередным винлокером, который лочит винду и не дает ничего делать, требуя прислать бабла на определенный номер. Причем написан гораздо веселее чем все предыдущие которые мне довелось повстречать, ибо не выпадает в ошибку от  хаотичного нажатия клавиш в начале загрузки. Также заблокированы диспетчер задач и вход в безопасный режим. Как говорится- шибко заколдован. Самое веселое то, что человек ко мне обратившийся с этой проблемой сначала с неделю пытался починить сам, ибо баннер который вывешивает локер ссылается на пидовскую порнушку, так что когда я пришел и загрузил компьютер- мне стоило больших сил сдержаться.

Собственно починяется подобная вещь либо вводом кода, который я приведу ниже, либо нехитрыми пассами с Live CD. То есть мы грузим систему с сидюка, после чего заходим в файловую систему системного диска и чистим все директории временных файлов, temp и содержимое темпов Documents and Settings/%username% , после чего система загружается нормально и загрузив её, разлочиваем все функции с помощью avz -> восстановление системы и перегружаемся в безопасный режим. Там прогоняем систему антивирусами и антишпионами. Поскольку эта процедура долгая и муторная, то можно сделать все в разы быстрее, если ввести запрашиваемый код и после этого начать сразу с восстановления системы.

Список кодов разблокировки различных порнобаннеров и винлокеров:

(more…)

Рубрика: IT безопасность | Отзывов: 2 »

Несколько фактов об утечке информации

В очередной раз занимаюсь по работе совершенно дебильным занятием: сдаю экзамены за партнеров, с тем чтобы они ласковые наши могли получить авторизацию по определенным линейкам оборудования и наслаждаться этими самыми решениями.  Запарило это занятие до безобразия, ибо за последние полгода сдал уже более 200 тестов, но все таки иногда становится довольно интересно- если вдруг удается вчитаться в мануалы и презентухи по продуктам.

Вот и сегодня встретил в он-лайн презентации, посвященной некоей Network DLP довольно интересную статистику по утечкам информации:

80% CISO рассматривают сотрудников как основной источник утечки информации
73% утечек информации происходит через внутренние ресурсы компании
77% компаний не имеют возможности (технической или финансовой) проанализировать, постфактум, причины утечки и те финансовые потери, которая она нанесла компании и это при том, что по устаревшей статистике- убытки от утечек информации в период с 2006 года по 2007 возросли с $4.8 миллиардов до $6.3
Каждые 53 секунды в мире теряется или крадется один ноутбук- в кафешках, ресторанах, метро, вокзалах и прочее.
По данным ФБР среднестатистический ноут имеет 1 из 10 шансов быть украденным в этом году, и при этом с вероятностью 97% эта информация будет утеряна навсегда.
Всего 20% утечек данных происходит в результате действия злонамеренного кода, т.е. внешнего вторжения или вирусной атаки, при этом 92% компаний используют имаил (email) для пересылки конфиденциальной информации, не прибегая к каким либо дополнительным способам защиты пересылаемой информации; в 52% конфиденциальная информация уходит из офиса на портативных-переносных устройствах- ноуты, флешки и прочее.
Более 80% наиболее дорогостоящих утечек информации происходило по причинам выноса, вполне законопослушными сотрудниками, информации из вне организаций.

Довольно интересная информация, которая заставляет серьезно задуматься о том, как и с помощью чего необходимо хранить свои конфиденциальные данные.

Рубрика: IT безопасность | Ваш отзыв »

Чистим бродилку от всплывающего окошка megaclip.biz

Пока лечил хвосты за 1сником, попутно поковырялся в машинке одного довольно известного кинорежиссера, который не смотря на то, что ежедневно общается с толпами обворожительных молодых актрис не чужд ничего человеческого и потому любит лазить попорнушке. Ну и естественно цеплять всякую мразь из инета.

Мне правда повезло и достались уже хвосты от его умельцев, которые ему убивали табличку требовавшую смску за разлочку экрана, но оставшиеся хвосты, тем не менее не давали ему снова насладиться всей прелестью порнушки, поскольку в полэкрана бродилки вылезала надпись “not found 404, nginx”- при ближнем рассмотрении эта надпись оказалась неработоспособным фреймом, ссылающимся на неработающий в данный момент сайтик megaclip.biz. То естьэтакое левое поле в нижнем правом углу- ничего особенного, но раздражает.

Итак убивалось в Firefox:
Открываем Инструменты -> Дополнения -> Расширения. Там отключаем все подозрительные дополнения, которые не устанавливали сами, после чего перегружаем бродилку. После этого можно включить нужные, которые были, но после нашей процедуры пропали. Вычленив врага- прощаемся с ним, и нажимает там же кнопочку удалить.

В Internet Explorer делается несколько иначе:
Идем в Сервис -> Надстройки.  В списке надстроек ищем те, что ссылаются на файл с названием ***lib.dll (вначале может идти любая комбинация букаф). Выделяем надстройку и в нижнем меню говорим  Отключить. Закрываем бродилку, после чего открываем проводник и идем в нашу излюбленную папку C:\Windows\System32\  где ищем тот самый файл ***lib.dll, после чего его удаляем. Также желательно почистить реестр от хвостов надстройки, путем нажатия клавиш <Win>+<R> -> regedit -> <Ctrl>+F в открывшееся поле вводим имя надстройки, после чего говорим поиск и удаляем все найденные ключи. Перегружаем компьютер, запускаем эксплорер, видим что ничего не изменилось, повторяем всю процедуру снова

Попрошу заметить, что после чистки Firefox ничего перегружать не надо, что нам еще раз лишний раз доказывает тот факт, что Firefox рулит!!!!

Рубрика: IT безопасность, Интернет | Ваш отзыв »

Обновители 1С как всадники апокалипсиса

Вот реально, иногда хочется адынсникам и гарантам, точнее представителям компаний “интеграторов” которые шарахаются по клиентам с целью обновления баз, форм и прочее; просто поотрывать к чертовой матери руки, а флешки их адовы засунуть туда, откуда достать их бывает не так просто, как могло бы подуматься. Имея двух клиентов, с поддерживаемой в актуальном состоянии 1С, имею также и перманентный аврал через день -два после визита специалиста обновляющего базу. Каждый раз на компьютере оказывается какой то зоопарк состоящий из 3-4 разновидностей троянов. Пока ума не приложу, как быть и что с этим делать, поскольку антивирус в любом случае это дело просыпает, а в результате работы, оказывается зараженной не только администраторская машина, с которой происходит обновление, но и все машины, которые в последствии начинают работать с базами. Сейчас так вообще столкнулся с вирем, прописавшимся в папочку 1С- а что, крайне удобно.

В пору делать все самому, но тогда придется чаще наносить незапланированные визиты, а это конечно не очень здорово.

Рубрика: IT безопасность | Отзывов: 2 »