Archivos de escritorio Circunstancias atenuantes

Wes Miller

Contenido

Love You
Rey COM
El dilema de la unidad flash
¿Cuál es el punto de?

El término mitigar se define por lo general como "poner menos grave, grave o dolorosa." Ha invertido bastante un poco de tiempo en esta columna discutir las tecnologías que pueden utilizarse para mitigar los problemas, especialmente los relacionados con la seguridad. Creciendo hasta, aprendido muchas proverbs y parables que se pretende ayudar a reforzar buen comportamiento, y estoy siendo un gran partidario en muchos de esas lecciones ha aprendido. Mi refrán favorito es "una Onza de prevención es merece la pena un número de la solución." Y mi favorito oferta es por filósofa George Santayana: "dichos que no recuerda el pasado se condemned repetirlo." Juntos estos hacer un buen trabajo de expresar cómo desea trabajar, y cómo desea las tecnologías más funcionar.

Por desgracia, tú y yo obtener interactuar con la tecnología en un nivel que la mayoría de los usuarios no obtienen (debe?). Aunque esto es muy al forzar nos para obtener información sobre tecnología, con demasiada frecuencia la tecnología no comportan la forma en que se supone que se comportan. Cuando esto ocurre, tenemos que mitigar en él para asegurarse de que aún más daño no ocurre como resultado de error.

Este mes, voy a tomar mi columna en un instante de una dirección filosófico. Simplemente al leer las páginas de TechNet Magazine, ha ya probada usted mismo para ser algo de un technophile, para que sólo se puede preaching a quienes ya acuerdo con la me aquí. No obstante, los puntos que aparezca en la columna de este mes son suficientemente importantes para el carácter de subrayado.

HE mencionado antes de que la tecnología de que trabajo en (seguridad y whitelisting) es un poco más de una preventivas de es la tecnología estándar que se ha utilizado para tratar con software malintencionado durante los últimos años 25, que básicamente se compilan blacklists de firmas de software malintencionado conocido. El enfoque preventivo puede ser una carretera bastante avant-garde para ir hacia abajo. Pero como dice que en mi columna de noviembre " Prevención de pérdidas de datos con Enterprise Rights Management"), es todo acerca de qué su objetivo real. Si proceden en una conversación diciendo "Quiero dejar código malintencionado" sin explorar otros métodos, le siga simplemente la ruta de "buscar el material incorrecto y eliminarlo" estándar. Puede ver fácilmente cómo esto puede ser la norma, sin nunca realmente resolver el problema.

En lugar de dicho enfoque estándar, yo prefiero el pragmático más "¿cuál es el problema real que está intentando solucionar?" En esta columna, voy a explicar por qué CREO que esto es útil. Le observa unos pocos eventos aleatorios, incidentes y problemas de tecnología y mostrar cómo se toma forma también con demasiada frecuencia el enfoque incorrecto como una reacción ante ellos.

Te quiero

¿Donde había en 4 de mayo de 2000? Trabajó en Slate.com—and todo de un repente, todo el mundo loved me. Era el dawn de iloveyou.vbs. Esta pequeña gem malware aprovechó tres condiciones para propagar virally.

En primer lugar, el malware utiliza estratagemas sociales para obtener los usuarios abran el mensaje. Proviene de alguien que sabía (que tenía que ser en Libreta de direcciones la dirección del remitente para el que se envíen), por lo que por supuesto tenía que averiguar si estaban loved realmente.

En segundo lugar, se ha basado en las nociones fundamentalmente correctos que los usuarios a) no sabe diddly sobre las extensiones de archivo; b) no se moleste para comprobar las extensiones de archivo (heck, está oculto de forma predeterminada en Windows); y c) haga clic en más allá de nada advertencia de posibles badness (para ver las pigs dancing, Steve Riley le gusta decir). Consulte el blog de Steve, Steve Riley sobre seguridad, para obtener más información.

En tercer lugar, aprovechó un defecto de arquitectura fundamental, un defecto tan evidente que debe ha ha detectado antes de que el producto con el defecto enviada. Pero no se ha detectado, por lo que el malware podría intrude y, a continuación, propagar muy rápidamente. ILOVEYOU trabajado por que ejecuta Windows Script Host, harvesting Libreta de direcciones del usuario y, a continuación, enviar correo electrónico a todos los miembros de la Libreta de direcciones de la víctima. Siempre y cuando también los de la Libreta de direcciones ejecutaban Microsoft Office Outlook en Windows y sean para el componente de ingeniería social del virus, el proceso continúa.

¿Así que fue el defecto? Vamos, asígnele una estimación. ¿Está listo? El defecto estaba en Outlook, debido a dos problemas fundamentales. Cuando Outlook se diseñó originalmente, como con Internet Explorer 3.0 antes de que, COM y ActiveX se convertirse todo el tipo, para volver podría rápida y fácilmente a componentes de una aplicación en otro. Sin embargo, Outlook, era demasiado confianza con respecto a que podría llamar a su modelo de objetos COM. Documentos entrantes y no totalmente seguras, permitir que el contenido de correo electrónico únicamente, no debería nunca ha sido capaz incluso buscar en la Libreta de direcciones, mucho menos la reunir completamente y, a continuación, enviar correo electrónico. Sí, hay situaciones donde tiene sentido para un correo electrónico entrante enviar automáticamente una respuesta de correo electrónico. Pero eso es la excepción, lejos de la regla.

Seguridad en Outlook posteriormente, se ha mejorado para que pedirá ahora especifique usuarios cuando una aplicación desea consultar la dirección de libro o mediante programación envían correo electrónico (consulte la Personalizar configuración mediante programación en Outlook 2007). Fue un paso importante en la dirección correcta. También se preguntará a los usuarios si desean conceder permisos para la aplicación, ya que, francamente, todos sabemos lo que ocurre si un usuario realmente desea ver dichos pigs dancing.

¿Sabe cuál era la mitigación más probable que pueden poner en marcha mientras usuarios esperado para que Outlook ser fijos? Asesinatos Windows Script Host (WSH). A partir de 2000, como no otra vez en mi carrera, una de las preguntas más frecuentes que obtuvo fue, " Mi cliente desea quitar WSH de Windows, cómo Esto puede realizarse? " Qué un estado lo siento, un lenguaje de secuencias de comandos increíblemente eficaz se amenazado debido a la unidad, por malware que se ha habilitado por defectos de seguridad.

Estoy, por supuesto, un ventilador grande de WSH. CREO que es una herramienta excelente y que Windows PowerShell tiene realmente una formas para ir antes de que puede reemplazar WSH (aunque eso es otro tema de columna para otro día). Pero mi punto es que WSH en y de sí mismo no es un problema de seguridad. Eliminando un componente debido a los defectos en otro de no es una forma eficaz de administrar elementos. No obstante, es muy importante proteger el sistema operativo, explorador Web y cliente de correo electrónico (especialmente si es COM habilitado, ahem) para asegurarse de que no pueden beneficiarse de WSH de forma negativa.

Rey COM

En 1994, Microsoft lanzó ActiveX y el mundo parecía tomar dos vistas opuestas: estaba mal puro y provocaría la downfall de Internet, o era una herramienta excelente y eficaces y haría que el explorador en una plataforma real. ActiveX en y de sí mismo no es un ataque enorme en espera de ocurrir. De hecho, Microsoft hizo un trabajo bastante buena de implementar la seguridad de ActiveX en Internet Explorer; sin embargo, por supuesto, se ha más reforzado a lo largo de los años que el resto de Windows.

No obstante, uno de mis favoritas búsquedas Web es "2008 desbordamiento del búfer ActiveX." Continuar, Pruébelo. Puede cambiar el año, si lo desea, para ver cómo ha ido cada año. ¿Por qué se encuentra este interesante? Es porque los controles ActiveX y de Internet Explorer Desafortunadamente han convertido en los secundarios de póster para descubrir vulnerabilidades de seguridad, deserved o no.

Se enfrentan problemas similares algo en el mundo del software whitelisting. ¿Asegurarse de que puede intentar proteger un sistema permitiendo sólo que se ejecute código que ya se encuentra en el equipo, pero supongamos que hay puntos débiles en ese código? Puede obtener propiedad tan bien como si no tuviera ningún software de seguridad en el sistema. Se convierten al igual que con desbordamientos de búfer, controles que mal sido marcados como "seguros para scripting" en agujeros gigante los piratas informáticos aprovechar las ventajas de.

¿Por qué obtendrá el aspecto de desbordamiento de búfer aquí? Puesto que este problema genera una respuesta el comportamiento de WSH y Outlook que se ha indicado anteriormente es parecida al. En lugar de culpar adjuntar a los proveedores para no realizar modelado y desbordamiento de búfer detección de amenaza decente y incorrectamente marcar un control como seguro para secuencias de comandos, ActiveX, sí se convirtió el culpable.

Quizás es considerable. Si Microsoft tenía implementó una mejor recinto de seguridad (como se ha realizado en un grado de Windows Vista mediante el modo protegido) o si Microsoft tenía simplemente no permitido seguros para secuencias de comandos, no tiene estos problemas. Y ActiveX probablemente se debe propagar más ampliamente, o al menos más ampliamente permitido.

Desgraciadamente, tienen estos problemas, y se la interrupción de ActiveX de bits (consulte la figura 1 ) se hacen algo con el que están familiarizados todos demasiado administradores. Vea" Cómo detener un control ActiveX de la ejecución de Internet Explorer"para una descripción de cómo eliminar mediante programación cualquier control ActiveX que se percibe como una amenaza. Los controles compruebe esta entrada del registro antes de creación de instancias para ver si tienen permiso para ejecutar.

fig01.gif

Figura 1 se puede impedir que un control ActiveX de ejecución mediante el establecimiento del killbit para que el control no se denomina por Internet Explorer

La realidad es que si desea realizar ciertas tareas de en Internet Explorer, como consultar una clave del registro, interactuar con el hardware o en otra aplicación, o no interactuar con datos de usuario en un equipo de Windows, básicamente tiene ninguna opción salvo un control ActiveX. Y la creación de un control, diseñado correctamente, amenazas modelado, desarrollado, probado y firmado (whew), puede ser una tarea de foreboding en su lugar. Pero lo honestly no debería ser como algo incorrecto o como un agujero de seguridad gigante (a menos que vaya o short-circuit esos pasos). AH y sobre seguridad de las secuencias de comandos, si está desarrollando un control, y debe que no seguros para secuencias de comandos. Realmente. No a menos que haya ninguna otra opción.

¿Dicho esto, cómo que mitigar contra controles ActiveX incorrectos? Los ventiladores de otros exploradores gleefully indicará el explorador no tiene los tipos de ataques, pero que libreta. Internet Explorer en Windows se ha diseñado muy bien, pero tiene errores. Todo el software tiene errores. Ejecución explorador Web B, ya que cree que el explorador de Web A tiene errores normalmente si en zeal, no de seguridad real. Ha habido defectos de seguridad encontrados en cada explorador principal y en cada control ActiveX principal. ¿La respuesta?

  • Mantener actualizados sus sistemas.
  • Ejecutar herramientas antivirus y de protección contra software malintencionado, incluido el Herramienta de software malintencionado eliminación.
  • Utilice la interrupción de bits para deshabilitar los controles de ActiveX que tienen las vulnerabilidades y volver a habilitar los controles cuando son fijos. El sitio ultimatewindowssecurity.com/killbit.ASP ofrece un procedimientos útiles en el uso de directivas de grupo para extraer la interrupción de bits.

La conclusión es que aunque se pueden deshabilitar controles ActiveX en el punto de que no ejecuta (consulte la figura 2 ), hay se sigue puntos débiles, incluso si utiliza otro explorador Web. Se necesitan aprender la superficie de ataque del cualquier software decide ejecutar. Simplemente evitar Internet Explorer no sea la prueba de software malintencionado; sólo pone se resisten a software malintencionado que los destinos de Internet Explorer.

fig02.gif

La Figura 2 controles ActiveX de administración de Internet Explorer

El dilema de la unidad flash

Muchos clientes tienen las preocupaciones de enormes acerca de las unidades flash USB, de la más así a casi cualquier otra tecnología. ¿Por qué? Cuando hable con nuestros clientes, lo que respecta hacia abajo a dos problemas. En primer lugar, las unidades flash USB son objetivos fáciles de ingeniería social o otros medios, intenta obtener malware en equipos (esto realmente se aplica a software malintencionado de destino, el tipo que no se puede detectar tradicional de software visual audio hasta que se es demasiado tarde). En segundo lugar, es muy fácil para datos confidenciales recorrer fuera de la oficina en una unidad USB pequeña. Que es por qué estoy un ventilador grande de Information Rights Management (IRM) y otras técnicas de administración de derechos digitales (DRM) que puede realmente evitar la pérdida de datos. Claramente el problema real no es la unidad flash USB propio; es la manera que se pueden utilizar estas unidades.

¿Por lo que en vez de utilizar epoxy para pegar el USB puertos cierre (he realmente oído de que se realice) o intentar bloquear el hardware mediante directivas de grupo o software de otros fabricantes, lo que puede que hace usted? Detener dirigido contra software malintencionado es difícil, algo puede realmente sólo enfoque mediante directivas de restricción de grupo Directiva de software, whitelisting o otros medios de restringir el código para ejecutar sólo desde la unidad del sistema, unidad de red o similares.

Como para detener la pérdida de datos, que probablemente implicará alguna forma de IRM y DRM. Aún así, siempre se debe comunicarse con los clientes acerca de las unidades flash USB (o cualquier tipo de malware, para que) tienden a cotización mi primer artículo TechNet Magazine " Reducir el riesgo: reglas de seguridad de 10 A Live por"), "La empresa sólo es tan segura como los usuarios técnicos mínimo y la mayoría de los". Con la que quiero decir que un usuario final que realmente desea ejecutar una parte del software se encontrar la forma, igual que un usuario final que realmente desea compartir la información confidencial se encontrará también la forma de hacerlo.

Mark Russinovich en la seguridad

Sortear la directiva de grupo como administrador

Sortear la directiva de grupo como un usuario limitado

Romper las limitaciones de los usuarios avanzados

¿Cuál es el punto de?

Hace años, cuando trabajó en Winternals, Mark Russinovich investigado y blogged en tres temas pertinentes para esta explicación: romper la directiva de grupo (ambos como administrador y como usuario limitado) y elevación de privilegios como un usuario de energía.

La barra lateral "Mark Russinovich en seguridad de" le dirigirá a las entradas de blog. Estos son ejemplos grandes que demuestran fácil es un usuario romper libre de restricciones de seguridad o la directiva. Frustrado a los usuarios a menudo reaccionan ante está bloqueado de forma que finalmente se dispuesto a infringen las restricciones, si basa software, hardware o la directiva.

Los tres problemas que se hace referencia en la barra lateral han sido preocupaciones respecto a algún tiempo. Son representativos de los tipos de problemas que todos tenemos para solucionar en nuestras vidas diarias en un ecosistema de Windows. El problema es que mitigar contra puntos vulnerables, errores y imperfections software requiere algo más que reacción. Se requiere pragmático pensado sobre el problema real, lo que normalmente implica una buena explicación de los modelos de amenazas y una voluntad de Aceptar que short-circuiting el problema inmediato puede causar un incendio más grande que si tratan con el problema real desde el principio.

Mucho mejor es enfocar cada situación con una cuenta de abrir y, saber que hay problemas con que se va a debe atenuar, realizar un paso realizar seguridad y pensar acerca de la raíz de qué problema realmente se en lugar de simplemente reaccionar de forma corta de observa.

Wes Miller es un director de producto técnico en CoreTraceen Austin, Texas. Anteriormente, trabajó en Winternals Software y como administrador de programas de Microsoft. Wes puede ponerse en TechNet@getwired.com.