Vigilancia de seguridad Visita las diez normas inmutables de seguridad, parte 2
Jesper M. Johansson
Contenido
Ley nº 4: si se permite un chico incorrecto cargar programas en el sitio Web, no ’s su sitio Web ya.
Ley nº 5: las contraseñas trump una seguridad eficaz.
Ley nº 6: un equipo es sólo seguro en la medida su administrador sea de confianza.
Ley 7: datos cifrados es sólo tan seguros como la clave de descifrado.
Conclusión
En número del último mes de TechNet Magazine , Se inició fuera una serie de tres partes visita el ensayo conocido "diez normas inmutables de seguridad." Mi objetivo consiste en evaluar, ocho años después de que fueran primero postulated y ver o no que todavía contienen, en otras palabras, para ver si realmente son "inmutables." (Puede encontrar la primera parte de esta serie en Microsoft.com/technet/archive/community/columns/security/essays/10imlaws.mspx.)
Encontró que las tres primeras leyes mantenga copia bastante bien. Ahora estoy listo para cuatro más de las leyes Examine a fondo. En entrega final de mes siguiente, se enumerarán las tres finales, así como ofrecer algunas una nueva perspectiva que ventajas de ocho años de retrospectiva.
Ley nº 4: si se permite un chico incorrecto cargar programas en el sitio Web, no es el sitio Web ya.
Que es posible que se pensando que 4 ley suena un poco extraño. Después de todo, las otras leyes son muy alto nivel, no hablar sobre servicios específicos pero la funcionalidad general. Las tres primeras leyes todos los describen escenarios donde su equipo ya no es su equipo. A continuación, se alcanzar ley 4, que habla sobre sitios Web.
Para entender ley 4, la capacidad de respuesta de contexto histórico es muy importante. La legislación se publicaron originalmente en 2000. Esto era una vez cuando el Web todavía estuvo bastante nuevas y. Aún se desarrollar sitios como Amazon y en eBay. Y mientras ataques que se ejecutaban comandos arbitrarios en los sitios Web eran commonplace, las revisiones a No.
Con ese texto de fondo, Microsoft es probable que vio 4 ley como una instrucción pública es necesaria que tiene que asumir la responsabilidad para qué sirve el sitio Web. Este punto se por casa, sledgehammer estilo, en de 2001 septiembre cuando atacó Nimda. Nimda estaba un gusano de red multi-vector y uno de los vectores que utiliza para la propagación infectar vulnerables sitios Web y modificar para llevar el gusano.
El marco temporal que rodea a 4 derecho también fue uno de defacements de sitio Web. Attrition.org ejecuta un reflejo de muchas de las defacements desde ese (tiempo attrition.org/Mirror/attrition/Months.HTML). Había muchas de estas defacements, con frecuencia de sitios importantes. Organización de aprendizaje de seguridad notable incluso SANS Institute tenía su página principal defaced. la figura 1 muestra la destrucción del sitio Web de estado de Arizona en octubre de 1998.
La figura 1 Asalto de un del sitio Web de estado de Arizona (haga clic en la imagen de una vista más grande)
El problema se fue de eso, volver a continuación, personas fueron generalmente claras en realidad ¿qué ocurrió cuando un sitio Web se defaced. El consenso era que obtuvo quitar de la página incorrecta y fue en con la vida. Si en la ball, revisarse el agujero que utilizan los malos (si se pudo encontrar,).
Las personas no buscar en la imagen completa. Ley 4 se diseñó para que la gente piense acerca de lo que pudo haber ocurrido cuando un sitio Web se defaced, no lo suceder.
Por desgracia, 4 derecho no tuvo éxito completamente. A pesar de 4 de la ley, 2004 había crecido weary de responder la pregunta: "no se puede se simplemente quitar la Web página el intruso ponen y continúe con nuestro negocio como es habitual?" No es un hombre de pocas palabras, he intentado disipar esos nociones de nuevo con un artículo denominado " Ayuda: recibir atacado. Lo que ahora hay hacer?" ( /en-us/library/cc512587.aspx technet.microsoft.com).
La cuestión, sin embargo, es si ley 4 mantiene actualmente. ¿Un chico incorrecto realmente propietario del sitio si puede cargar un programa a la misma? ¿Más granularly, propietario del sitio, o los visitantes o ambos? Ley 4 no es realmente borrar como a que hace referencia, por lo que le analizar ambos.
Con respecto al propietario del sitio, la respuesta es sí. El chico incorrecto posee su sitio si deja que puede colocar programas en el (hay, sin embargo, unas pocas excepciones que examinará en un momento). Con un sitio Web típico, hay dos cosas que puede hacer el chico incorrecto por cargar programas y hay una implicación muy grande en el hecho de que es capaz de cargar en su sitio.
Lo primero que el chico incorrecto puede hacer es hacer que su sitio satisfacer sus necesidades. ¿Si alguien está interesado en atender contenido ilegal, como pornografía infantil, mejor lo coloque para ello que en un sitio que no puede rastrearse nuevo para el intruso su propia? Los criminales tendría mucho en su lugar sirven ese tipo de contenido de sitio Web que fuera su propio.
El segundo lo que el chico incorrecto puede hacer al cargar un programa en el sitio es tomar control del sistema subyacente del sitio. Esto, por supuesto, depende si realmente puede ejecutar el programa en el servidor Web. Tener simplemente el programa se sin él hacer algo no se va a ayudar a. Sin embargo, si el chico incorrecto puede ejecutar el programa, definitivamente es propietario del sitio y ahora no sólo puede realizar se ajusten a sus propias necesidades pero también utilizarlo para asumir otras cosas.
La implicación a la que hace referencia es incluso más importante que los detalles. En el artículo "Ayuda: recibir atacado", el punto de que se ha intentando realizar estaba que no sabe exactamente qué la mala chico que han hecho después de que entró en. Si administra un chico incorrecto colocar su propio contenido en su sitio, a continuación, debe pedir lo que otro podría ha hecho.
La respuesta podría ser potencialmente muchas cosas. Es la parte realmente fundamental de este rompecabezas. Si un chico incorrecto puede ejecutar programas en un servidor de sitio Web, completamente posee dicho sitio y lo que hace. No realmente es el sitio Web ya.
Con respecto a poner en peligro los visitantes al sitio, que pregunta es más difícil para responder a. Los exploradores se riddled con agujeros de seguridad en el tiempo de ejecución los 90. Alrededor de 2004, la situación mejora drásticamente. Principales exploradores hoy, Internet Explorer y Firefox, son muy sólido en términos de seguridad. De hecho, en comparación con lo que tuvimos en el de los 90, los exploradores de hoy son bastions veritable de seguridad.
Si un chico incorrecto puede comprometer los visitantes del depende muy dos cosas. ¿En primer lugar, hay perforaciones, en los exploradores que puede aprovechar? Puede haber, pero hay no casi como máximo se se utilizan se. ¿Y en segundo lugar, puede el chico incorrecto persuadirle los usuarios puedan poner en peligro a sí mismos? La respuesta, inquietantemente a menudo, es Sí.
Ahora demasiados usuarios instalará lo que indica a un sitio Web para instalar. Esto es un problema grave, como se no se puede resolver este otro con la tecnología. En julio, agosto y septiembre de 2008 partes de vigilancia de seguridad, describen este problema. Con respecto a 4 de la ley, Desafortunadamente significa que el chico incorrecto tiene una muy buena oportunidad de poder comprometer los visitantes del.
Las excepciones que se ha mencionado anteriormente deberían ser evidente. Los sitios Web hacer muchas cosas hoy en día que no se han foreseen en el tiempo de ejecución los 90. Por ejemplo, sitios de colaboración interna, tales como Microsoft SharePoint, son comunes. Cualquier usuario con permisos adecuados puede cargar un programa en dicho sitio, pero significa que el sitio, ni cualquier usuario que va a él, se vea comprometida también. Que es simplemente lo que el sitio está diseñado para. Los usuarios se consideran de confianza, en cierta medida, simplemente en virtud de tener los permisos necesarios tener acceso al sitio.
Y, a continuación, hay shareware sitios. Mientras ha malware contabilizado a ellas en el pasado, se han diseñado para compartir el software. Que en y de sí mismo no significa que cualquier usuario se pone en peligro. En resumen, todos estos sitios tener medidas de seguridad para asegurarse de que permanecen seguros y que los usuarios no están en automáticamente peligro si va a ellos. Tenerse en cuenta que la excepción que confirma la regla. Por lo tanto, 4 de la ley, al menos en espíritu, mantiene, a pesar de algunos sitios que están diseñados para permitir personas, incorrecta y una buena idea, cargar programas en ellos.
Ley nº 5: las contraseñas trump una seguridad eficaz.
Las contraseñas han sido una pasión de mío durante muchos años. Las contraseñas o, por lo general, los secretos compartidos son ideales para autenticar los asuntos. Hay sólo un problema menor con ellos: quedan hacia abajo por completo en la cara de naturaleza humana.
Nuevo en los halcyon días de la informática cuando time-sharing informática se primero inventó, la necesidad de un modo distinguir entre los usuarios se hizo evidente. El sistema necesitaba una manera para distinguir entre datos de Alice y datos de Bob. Lo ideal sería que Luis debe poder evitar que Alicia leer sus datos, aunque esto era un requisito no estricta.
La solución consistió cuentas de usuario y contraseñas. Utilizamos para tener una cuenta en un equipo. Y nos por lo general, una contraseña, que normalmente es uno de los procedimientos siguientes:
- El nombre de uno de los elementos secundarios
- Nombre del cónyuge
- Nombre de su mascota
- "Dios" (si fuera el superusuario)
Avanzar de manera rápida es así o 30 años. Ahora tenemos cientos de cuentas, en sitios Web todo a través de Internet y en varios equipos. Cada uno de los sistemas que nos indica que no se debe utilizar la misma contraseña en cualquier otro sistema. Se recomienda para que sea seguro, no escribirla y cambiarla cada 30 a 60 días.
Debido a los usuarios normales no se pueden cambiar contraseñas cuatro un día y realmente recordar cualquiera de ellos, el resultado neto es que se, desafortunadamente, utilice la misma contraseña en todos los sistemas (o, posiblemente, dos contraseñas diferentes). Y normalmente se elegido de la siguiente lista de posibilidades:
- El nombre de uno de los elementos secundarios con el número 1 anexada al mismo
- Nombre del cónyuge con el número 1 anexada al mismo
- Nombre de su mascota con el número 1 anexada al mismo
- "GodGod11" (sólo si es el superusuario)
No se ha avanzado casi lo que uno haría espero en los años 30 intermedios. Investigadores aún están buscando contraseñas un área fruitful de investigación; para obtener más información, vea el artículo de PC World "demasiado muchas contraseñas o no lo suficientemente Brainpower" (en pcworld.com/businesscenter/article/150874/too_many_passwords_or_not_enough_brain_power.HTML).
Claramente, contraseñas, como que se utilizan normalmente, son un tipo débil muy de seguridad. Aún hay formas de utilizar contraseñas de forma segura. Por ejemplo, puede generar las contraseñas seguras y los anote, realmente hay nada malo en que. Sin embargo, las personas por lo que se desbordado con consejos de seguridad incorrecta desde siempre y todos los usuarios que los usuarios realmente creas es preferible utilizar la misma contraseña en cualquier lugar al anotar sus contraseñas que.
El hecho es que todo mucha seguridad boils hasta un punto débil. Veamos el acceso de red privada virtual (VPN) corporativo, por ejemplo. Han sido en numerosos discusiones acerca de diversas tecnologías VPN; evaluaciones de proveedor que elija los proveedores fuera de las virtudes de sus extremadamente segura y extremadamente lento, criptografía; cómo girarán las claves de cifrado para asegurarse de que un atacante no puede rastreo de paquetes y cryptanalyze ellos.
Pero todo eso pierde completamente el punto. Un atacante no se va a intentar cryptanalyze una secuencia de paquetes que se llevaría años de 10 millones para romper con la tecnología informática disponible actualmente. ¿Hay realmente ningún valor en ralentizar la red mediante una orden de magnitud para obtener la criptografía se llevaría años de 100 millones para romper? Honestly, especialmente no cuidado si alguien millones de 100 años desde este momento (o incluso años de 10 millones de ahora) algún modo administra descifrar el correo electrónico de trabajo.
¿Es la criptografía realmente la débil interesante punto? El atacante es mucho más probable que aprovechar la vulnerabilidad sencilla, el hecho de que las contraseñas de usuario son a menudo una de las contraseñas sólo muestran.
Criptografía extremadamente segura no importa mucho si todos los usuarios elegir una contraseña seis o ocho caracteres. Por lo tanto, se va a ahora mover hacia el uso de formularios más seguras de autenticación de, como las tarjetas inteligentes y los generadores de código PIN únicos.
Estos ofrecen una gran mejora, pero no siempre mejorar la seguridad. Las tarjetas inteligentes, por ejemplo, son muy fáciles de perder o dejar en casa. Y los generadores de código PIN únicos caben perfectamente en el titular de tarjeta, que parece una gran dependencia alrededor del del cuello. La próxima vez que estés fuera para tomar un café en la tienda a través de la calle, vea si puede detectar el chico examina su NIP actual único, leer el nombre de usuario fuera de la tarjeta y intenta adivinar el dato pequeño poco aleatoriedad que es todo ahora necesita para conectarse como a la red corporativa.
5 Derecho más ciertamente mantiene hoy en día, y continuará almacenar en el futuro. Sin embargo, creo que puede ser considerablemente general. Las contraseñas más sólo poco seguras trump una seguridad eficaz. Por lo general, puede decir "autenticación débil" o incluso "puntos débiles" trump una seguridad eficaz.
Los profesionales de seguridad de TI de gran tamaño son guilty de no ejecución paso a paso volver y examina la imagen más amplia. Nos tienden a centrarse en una parte pequeña del problema, que se pueden resolver cómodamente con las tecnologías de alta seguridad. Con demasiada frecuencia, no da cuenta de que no hay sistema puntos débiles que no se mitigarse, o incluso pensamos, que representan todos los la tecnología que se poner en lugar moot.
Por ejemplo, considere cómo muchas organizaciones intentan regular los dispositivos extraíbles que los usuarios pueden utilizar, pero permitir salientes Secure Shell (SSH) y las conexiones de correo electrónico cifrados. ¿Cuánto pérdida de datos realmente se mitigado limitando dispositivos extraíbles si se permiten datos se transmiten con cifrado por lo que incluso no puede ver los datos? Éste es uno de los principales problemas que los profesionales de la seguridad debe resolver si nos sobrevivir y prosper.
Ley nº 6: un equipo es sólo seguro en la medida su administrador sea de confianza.
Estoy amazed que, incluso en la actualidad, nos mantener ver informes de ataques que sólo funcionan frente a los administradores, aún peor, aprovecha ese trabajo sólo si ya es un administrador. Como estoy escribiendo esta estoy sentado en un aeropuerto en la forma de la conferencia negro Hat 2008. Incluso hay detecta una presentación que inició la salida con la premisa de que "si tiene acceso de raíz, aquí es cómo puede tomar sobre el sistema".
Por un lado, es gratificante para saber que algunas personas pueden proponer lo peor es cómo modificar el sistema, aunque un poco más stealthily, si ya tienen el derecho a modificar el sistema. Por otro lado, buscar lo frustrating que personas no parecen ver cómo inútil que es y mantener intentando inventar nuevas maneras de hacerlo, más importante de deshechos hora valioso y energía de protección contra el.
El hecho es bastante sencillo: cualquier usuario que es un administrador (o raíz o superusuario o cualquier otra cosa que puede llamar a la función) es omnipotent en el mundo de ese sistema. Dicho usuario tiene la capacidad nada!
No hay ciertamente noisier, así como subtler formas de hacer lo que es que un usuario malintencionado de este tipo desea realizar. Pero el hecho fundamental permanece exactamente el mismo: eficazmente no puede detectar de todo lo que un administrador malintencionado no desea detectar. Tal un usuario tiene los medios para ocultar su realiza el seguimiento y hacer nada parece hacerse por otra persona.
A continuación, es obvio, que ley 6 aún aplica, al menos en algún nivel. Si una persona que se ha concedido a través de un equipo poderes omnipotent incorrecta, en realidad, realmente, no es el equipo ya. En un sentido muy real, el equipo sólo es seguro en la medida el administrador sea de confianza.
Hay algunos puntos adicionales que tener en cuenta, sin embargo. En primer lugar, la noción de administrador, desde la perspectiva del equipo, incluye no sólo la persona o personas concedidas esa función. También incluye cualquier software que se ejecuta en el contexto de seguridad de esa función. Y por extensión, a continuación, la función de administrador también incluye cualquier autor de cualquier software.
Esto es un punto crítico. Cuando ley 6 indica que el equipo sólo es seguro en la medida el administrador sea de confianza, el significado es mucho más amplio que parece en primer lugar. No olvide que, lo que respecta al equipo, el administrador significa cualquier proceso que se ejecuta en el contexto de seguridad de un usuario administrativo. Si ese usuario pretende ejecutar realmente que el fragmento de código o pretende dañar con él es irrelevante.
Esto es un punto crítico porque sólo recientemente es que un usuario promedio feasibly puede funcionar un equipo basado en Windows como no administrador. Esto es un objetivo principal de usuario cuenta control (UAC) en Windows Vista. Incluso entonces, no es ningún límite de seguridad entre contexto administrativo y el contexto sin derechos administrativo de un usuario. Por lo tanto, 6 derecho se aplica a cualquier usuario que tiene el potencial para convertirse en un administrador, no sólo los que son administradores en el momento.
Como resultado, el único no que sujeta a derecho 6 consiste en realmente no sea un administrador, pero en su lugar funcionar como un usuario estándar es true. Por desgracia, no es el valor predeterminado incluso en Windows Vista y muchos fabricantes de equipos originales (OEM) realmente deshabilitar UAC totalmente.
UAC, sin embargo, sugiere un poco en el futuro por llegar. La característica más visible de UAC es el proceso de elevación, que se muestra en la figura 2 . Sin embargo, la ventaja estratégica más importante no es elevación a un administrador pero la capacidad de trabajar con eficacia un equipo sin tener un administrador en primer lugar. Windows Vista incluye varias mejoras para hacer sea posible. Por ejemplo, forma contraria a las versiones anteriores de Windows, puede cambiar la zona horaria sin ser administrador, lo que permite los viajeros que sean administradores. Más adelante, probablemente habrá más de los tipos de mejoras.
La Figura 2 la característica más visible y posiblemente leastimportant de UAC es la elevación (haga clic en la imagen de una vista más grande)
6 De la ley contiene hoy en día y continuará contener. Sin embargo, el modificador hacia un mundo donde los usuarios pueden funcionar sus equipos como no administrador es uno de dos factores de moderating principales en 6 de la ley. El segundo factor no es muy nuevo: sistemas de control de acceso obligatorio.
En sistemas de control de acceso obligatorio, objetos tienen rótulos y hay reglas estrictas para cómo se pueden relabeled objetos. Software aplica seguridad a un objeto coherente con su etiqueta, fuera del control inmediato del administrador. En realidad, en las implementaciones actuales, el administrador normalmente puede realizar varios pasos ilegítimos para reemplazar estos controles.
Sin embargo, el principio es prometedora y es posible un día limitar lo que los administradores pueden hacer. Pero incluso si tuviéramos que obtener restricciones para limitar lo que puede hacer los administradores, podría seguir argumentar que los usuarios ya no sería los administradores en el sentido real del término. Por lo tanto, 6 de la ley es decidedly inmutable.
Ley 7: datos cifrados es sólo tan seguros como la clave de descifrado.
Ley 7 es, posiblemente, el menos controvertidos de todas las leyes. Cifrado mucho con demasiada frecuencia se considera la panacea para muchos problemas de seguridad. La verdad, sin embargo, es que aunque cifrado es una herramienta valiosa en el mundo de la seguridad, no es y nunca será, una solución independiente para la mayoría de los problemas se enfrentan de.
El cifrado es siempre que se activa. En Windows, cifrado se utiliza para las contraseñas, para los archivos, para explorar el Web y para la autenticación. Cifrado no todo está diseñado para ser reversible, pero algunos de los ejemplos más importantes de cifrado reversible son el sistema de archivos cifrado (EFS) y la caché de credenciales utilizado para las contraseñas almacenadas y nombres de usuario, como se muestra en la figura 3 .
La figura 3 la caché de credenciales en Windows Vista se protegen mediante cifrado (haga clic en la imagen de una vista más grande)
Tanto EFS y la caché de credenciales están protegidos por una clave de cifrado derivada de la contraseña del usuario. Esto tiene varias implicaciones. En primer lugar, si se restablece la contraseña del usuario (establecida en una nueva contraseña sin escribir la uno antiguo), todos los datos almacenados en estas ubicaciones serán perdido a menos que haya una clave de recuperación designada.
Pero aún más importante para nuestra explicación, mientras que el cifrado de sí mismo utiliza muy seguras claves y los protocolos, la seguridad de la clave es dependiente de la contraseña del usuario. En otras palabras, los datos son no más seguros que la contraseña es segura. La contraseña, de hecho, es una clave de descifrado aunque, en este caso particular, es una clave de descifrado secundario, lo que significa que descifra otra clave de descifrado.
Esto es crucial. Estos tipos de cadenas de dependencia siempre se en el mundo de TI. Hace años, alguien ejecuta un ataque de ingeniería social contra VeriSign y obtener dos certificados de firma de código en el nombre de Microsoft. Un certificado de firma de código con eficacia es una clave de descifrado, que se utiliza para comprobar que la entidad denominada en el certificado tiene la clave de cifrado.
Sin embargo, en este caso, la persona que solicita el certificado no era la entidad denominada en el certificado. En otras palabras, el atacante ahora tenía las claves de firma en el nombre de otra persona. Es posible que han seguras las claves, pero una vez que analizar el resto de la cadena de dependencias, descubre el defecto grave.
Todo esto sirve para demostrar un punto: la clave de descifrado es esencial para la seguridad de datos, pero la clave de descifrado sí puede ser protegidos secretos por mucho más débiles. He visto demasiados sistemas donde los implementadores había integrada en el cifrado más seguro thinkable y proteger la clave de descifrado con alguna otra medida de seguridad pero no darse cuenta que esta segunda capa tenía un problema importante. Al implementar cualquier cifrado, debe asegurarse de analizar la cadena completa de protección. Simplemente se cifra por sí mismo que los datos sean seguros.
Ley 7 mantiene a continuación. Es más indestructible de las diez. De hecho, es el más cercano, obtenemos una ley de physics en esta empresa. También deben servir como una lección a todos nosotros, recordando nos para analizar la cadena de protección completa de nuestros datos confidenciales. Por lo tanto, es aceptable para tener claves que no tienen la protección más segura posible, pero es importante que esas teclas sólo deben utilizarse para cifrar datos que simplemente exige que menor nivel de protección.
Conclusión
Hasta ahora, las normas inmutables de seguridad son 7 de 7. Cada una de las leyes que han revisado todavía contiene true estos muchos años más tarde y parece poco probable que se va considerablemente disproven pronto en cualquier momento.
De hecho, la legislación haya demostrado un poco impresionante foresight. El único que parece fuera de lugar hasta ahora es número 4, pero, como mencionado anteriormente, incluso de que uno debe seguir considerándose inmutable.
Próximo mes le incluyo hasta esta serie con una mirada a leyes 8, 9 y 10. Y le donde la legislación no puede cubrir todos los aspectos de seguridad.
Jesper M. Johansson es un arquitecto de software trabaja en el software de seguridad y es un redactor a TechNet Magazine. Contiene un pH.d. en sistemas de administración de información, tiene más de 20 años experiencia en seguridad y es más valiosos Professional (MVP de Microsoft) en la seguridad empresarial. Su último libro es The Windows Server 2008 Security Resource Kit.