File desktopSituazioni di attenuazione

Wes Miller

Contenuto

Ti AMO
COM re
Il problema unità memoria flash
Qual è il punto?

Ridurre il termine alla viene definita in genere come "rendere meno gravi, gravi oppure dolorosa." È stato dedicato piuttosto un po'di tempo in questa colonna discussione tecnologie che possono essere utilizzate per ridurre i problemi, in particolare quelli relativi a protezione.Aumenta i, appreso molti proverbs e parables che dovevano consentono di semplificare il buon funzionamento, e disporre ancora una grande believer in molte di queste lezioni È stato descritto.I Preferiti proverb è "di troy di programmi è opportuno una libbra di cure". Mentre i Preferiti offerta è philosopher Santayana Giorgio: "coloro che non si ricorda passato sono condemned per ripeterla." Insieme questi eseguire un processo buona di esprimere come per il funzionamento, e come Desidero ulteriori tecnologie utilizzare.

Sfortunatamente, ottenere interagire con tecnologia a un livello non ottengono la maggior parte degli utenti e I (disporre?) per.Sebbene sia grande a forzata di apprendere la tecnologia, troppo spesso la tecnologia non funzionano quella che è prevista la comportamento.Quando si verifica, è necessario ridurre contro per assicurarsi che ulteriori danni non verificarsi a causa dell'errore.

Questo mese verrà per rendere la colonna di un bit di una direzione philosophical.Si semplicemente leggendo le pagine di TechNet Magazine, è stato già rivelati manualmente da un un technophile, pertanto potrebbe essere preaching solo agli utenti che già corrispondere a me qui.Tuttavia, sono sufficientemente importanti da carattere di sottolineatura i punti che è possibile visualizzare nell'articolo di mese questo.

HO accennato prima che la tecnologia di che lavoro sullo (protezione e whitelisting) è un po'più di un preventative è la tecnologia standard che è stata utilizzata per gestire malware per ultimi anni 25, che essenzialmente compilato blacklists delle firme di malware noti.L'approccio preventiva può essere una strada piuttosto avant-garde alla verso il basso.Ma come È definito nel mio articolo novembre "Programmi di perdita dei dati con gestione autorizzazioni dell'organizzazione"), è tutte le informazioni quali l'obiettivo reale è.Se entrano in una conversazione pronunciare " desidera malware" senza esplorare altri metodi, è semplicemente verrà seguire il percorso "trovare contenuti non valido e di eliminare " standard.È possibile visualizzare facilmente come questo può diventare la normale, senza mai effettivamente soluzione del problema.

Invece di tale approccio standard, preferisco pragmatic più "che cos'è il problema reale che è tentando di risolvere?" In questo articolo verrà illustrato perché RITENGO che questo è utile.Verrà esaminare alcuni eventi casuali, gratuite e problemi di tecnologia e Mostra come l'approccio errato è considerata troppo spesso come una risposta a essi.

Ti AMO

Fossero in cui in maggio 4 2000?Lavorato a Slate.com—and completa di un all'improvviso, tutti gli utenti loved me.È stato dawn di iloveyou.vbs.Questo piccolo gem malware ha richiesto il vantaggio di tre condizioni per distribuire virally.

In primo luogo, il malware utilizzato social engineering per ottenere agli utenti di aprire il messaggio.Proviene da una persona consapevoli (è necessario essere in Rubrica di indirizzi del mittente in modo che vengano inviati), pertanto, naturalmente era necessario sapere se sono stati effettivamente loved.

In secondo luogo, era basata dopo gli approcci fondamentalmente corretti che gli utenti a) non conosce diddly sulle estensioni di file; b) non doversi per controllare le estensioni di file (heck, è nascosto per impostazione predefinita in Windows); e c) fare clic su oltre qualsiasi avviso di potenziali badness (per verificare pigs dancing, Steve Riley piace pronunciare).Vedere il blog di Steve,Steve Riley sulla protezione, per ulteriori informazioni.

In terzo luogo, necessario sfruttare al meglio un difetto di architettura fondamentale, un difetto in modo evidente che deve avere stata rilevata prima di spedizione il prodotto con il difetto.Ma non è stata rilevata, in modo che il malware potrebbe intrude e distribuire molto rapidamente.ILOVEYOU lavorato in esecuzione Windows Script Host, harvesting Rubrica dell'utente e quindi Invia posta elettronica a tutti gli utenti nella rubrica la vittima.A condizione che quelli presenti nella Rubrica anche eseguito Microsoft Office Outlook in Windows e che sono per il componente di social engineering del virus, il processo continua.

Pertanto, in cui era il difetto?C'mon, assegnare una stima.Sei pronto?Il difetto era in Outlook, causati da due problemi fondamentali.Quando Outlook è stato originariamente progettato, come con Internet Explorer 3.0 prima, COM e ActiveX sono stati diventare tutti rage, pertanto è impossibile rapidamente e facilmente riutilizzare i componenti di un'applicazione in un altro.In Outlook, tuttavia, è troppo trusting riguardanti che può chiamare il relativo modello a oggetti COM.I documenti in entrata, completamente non protetti, consentire contenuto solo posta elettronica, non dovrebbe essere stato in grado di cercare anche nella Rubrica, molto meno raccolgono completamente e quindi inviare posta elettronica.Certo, esistono scenari in cui è opportuno per un posta elettronica in arrivo inviare automaticamente un messaggio di risposta.Ma questo è l'eccezione, ovvero fino dalla regola.

Protezione in Outlook è stato successivamente rafforzate in modo che richiede ora utenti quando un'applicazione deve richiedere l'indirizzo manuale o a livello di programmazione inviare posta elettronica (vedere laPersonalizza impostazioni di programma in Outlook 2007).Che non è un passaggio importante nella direzione giusta.Agli utenti viene inoltre chiesto se desidera concedere autorizzazioni per l'applicazione, poiché, frankly, tutti sappiamo cosa succede se un utente desideri effettivamente vedere tali pigs dancing.

Che cosa l'attenuazione probabilmente da inserire in posizione è durante l'attesa di utenti per Outlook di correggere?Uccisioni Windows Script Host (WSH).A partire da 2000 come altro tempo nella mia carriera una delle domande più frequenti viene visualizzato era, " il cliente intende rimuovere WSH Windows, come questo può essere eseguita? " Lo stato errato, un incredibilmente potente linguaggio di script è stato threatened dovuto a unità, da malware è stato attivato da difetti di protezione.

È, naturalmente, un grande fan di WSH.RITENGO che è un ottimo strumento e che Windows PowerShell sia effettivamente consentono il prima possibile sostituire WSH (sebbene che un altro argomento di colonna per un altro giorno).Ma il punto è che WSH in e di se stesso non è un problema di protezione.Eliminazione di un componente causa di difetti in un altro non è un metodo efficace per gestire elementi.Tuttavia, è molto importante proteggere il sistema operativo, browser e client di posta elettronica (in particolare se è attivata COM, ahem) per garantire che che non può sfruttare WSH in modo negativo.

COM re

Nel 1994, Microsoft ha rilasciato ActiveX e tutto il mondo sembrava per rendere due visualizzazioni opposti: è stato evil pure e causerebbe downfall di Internet oppure è uno strumento potente, grande e renderebbe il browser in una piattaforma reale.ActiveX in e di se stesso non è un enorme exploit in attesa a verificarsi.Infatti, Microsoft ha un processo piuttosto buona implementazione di protezione per ActiveX in Internet Explorer, tuttavia, naturalmente, è stato ulteriormente protette nel corso degli anni come il resto del Windows.

Tuttavia, uno dei mia ricerca Web preferita è "2008 overflow del buffer ActiveX." Procedere, provare a.Se si desidera, è possibile modificare l'anno, per vedere come è andato ogni anno.Perché posso trovare questo interessante?Di perché i controlli Internet Explorer e ActiveX purtroppo sono diventati i figli di poster eventuali vulnerabilità di protezione, deserved o non.

Abbiamo affrontare problemi alquanto simili nel mondo del software whitelisting.Che è possibile tentare di proteggere un sistema consentendo solo l'esecuzione di codice che è già nel PC, ma si supponga che esistono attacchi in codice?È possibile ottenere proprietà nonché solo come se non si dispone di alcun software di protezione sul sistema.Come per gli overflow del buffer, controlli che erroneamente contrassegnati come "attendibili per script" diventano fori enorme per i pirati informatici di sfruttare.

Perché si è possibile visualizzare l'aspetto di overflow del buffer?Perché questo problema generato una risposta simile al comportamento di WSH e Outlook indicato in precedenza.Invece di incolpare come allegare ai fornitori per non eseguire rischio decent modellazione e l'overflow del buffer rilevamento e per contrassegnare in modo non corretto un controllo come protezione per script, ActiveX stesso è diventato il colpevole.

Forse è notevole.Se Microsoft ha implementato una sandbox migliore (come è stata prestata a un livello in Windows Vista tramite la modalità protetta di) o Microsoft semplicemente era non consentito protezione per script, abbiamo non avrebbe questi problemi.E ActiveX probabilmente potrebbe essere più ampiamente distribuito, o almeno più ampiamente tolerated.

Sfortunatamente, abbiamo questi problemi, e Kill +++ ActiveX-bit (vedere la Figura 1 ) ha qualcosa con cui amministratori dimestichezza tutti troppo.Vedere"Come interrompere un controllo ActiveX di eseguire in Internet Explorer"per una descrizione della modalità a livello di programmazione arrestare qualsiasi controllo ActiveX che percepito come una minaccia.Controlli verificare questa voce del Registro di sistema prima della creazione di istanze per verificare se possono eseguire.

Figura 1 che è possibile impedire a un controllo ActiveX esecuzione impostando il killbit in modo che il controllo non viene chiamato da Internet Explorer

La realtà è che se si desidera eseguire determinate attività da Internet Explorer, ad esempio query una chiave del Registro di sistema, l'interazione con l'hardware o da un'altra applicazione o l'interazione con i dati utente in un PC Windows, in sostanza avere non desiderato, ad eccezione di un controllo ActiveX.E la creazione di un controllo, progettato correttamente, rischio modellata, sviluppato, test e firmati (whew), può essere un'attività foreboding piuttosto.Ma honestly non dovrebbe essere visualizzare come un elemento non valido o un problema di protezione enorme (non ignorare o ignorare i passaggi).AH e sulla protezione per script, ovvero se si sta sviluppando un controllo e avere consentire non sicuro per la creazione di script.In realtà.Non a meno che non sia nessun altra scelta.

Ciò detto, come ridurre da controlli ActiveX non validi?Ventole di altri browser gleefully comunicherà "il browser non hanno i tipi di attacchi", ma naive.Internet Explorer in Windows è progettato molto bene, ma è difetti.Tutto il software è difetti.Browser Web B viene avviato perché si ritiene che browser A include difetti viene in genere grounded in zeal, non nella protezione effettivo.Sono stati trovati in tutti i principali browser e in ogni controllo ActiveX principale difetti di protezione.La risposta?

• Mantenere aggiornati i sistemi.
• Eseguire applicazioni antimalware e gli strumenti antivirus, tra cui ilStrumento di rimozione malware per Microsoft.
• Utilizzare bit kill per disattivare i controlli ActiveX che dispongono di vulnerabilità e riattivare i controlli quando sono modificabili.Il sitoultimatewindowssecurity.com/killbit.ASPoffre una procedura utile sull'utilizzo dei criteri di gruppo per push uscita bit kill.

Il upshot è che se è possibile disattivare i controlli ActiveX e il punto non eseguono (vedere la Figura 2 ), esiste ancora attacchi, anche se si utilizza un altro browser Web.È necessario apprendere la superficie di attacco di qualsiasi software che si desidera eseguire.Semplicemente evitando di Internet Explorer non rende prova malware, ma solo rende si difficoltoso al malware che le destinazioni, Internet Explorer.

Nella figura 2 controlli ActiveX di gestione di Internet Explorer

Il problema unità memoria flash

Molti clienti avere problemi notevole sull'unità memoria flash USB, pertanto una, a qualsiasi altra tecnologia.Perché?È possibile comunicare con clienti, viene ricavato a due problemi.In primo luogo, le unità memoria flash USB sono destinazioni semplice per social engineering o eventuali altri mezzi, tenta di ottenere malware su computer (realmente verrà applicata alla destinazione malware, il tipo non rilevare software visual audio tradizionale finché non è troppo in ritardo).In secondo luogo, è tutti troppo semplice dei dati riservati esaminare fuori sede su un'unità USB piccola.Che di perché sono un grande fan di Information Rights Management (IRM) e altre tecniche di DRM (Digital Rights Management) che effettivamente impedire perdite di dati.Chiaramente il problema reale non è l'unità memoria flash USB stessa; è il modo che queste unità possono essere utilizzate.

Pertanto, anziché epoxy per associare il USB porte chiusura della sessione di lavoro (HO effettivamente sentito di che venga eseguito) o tenta di bloccare l'hardware tramite Criteri di gruppo o software di terzi, ciò che può essere è eseguita?Arresto malware di destinazione è difficile, un'operazione è possibile effettivamente solo approccio tramite criteri restrizione software dei Criteri di gruppo, whitelisting o altri mezzi di restrizione del codice per eseguire solo da unità di sistema, unità di rete o simili.

Ad interruzione perdita di dati, che probabilmente verranno comportano qualche forma di IRM e DRM.Comunque, ogni volta che È necessario parlare ai clienti le unità memoria flash USB (o qualsiasi tipo di malware parimenti) tende a offerta mio primo articolo TechNet Magazine "Ridurre il rischio: 10 regole di protezione per Live per"), " L'organizzazione è solo protezione gli utenti di tecnici almeno e la maggior parte delle". Da che intendo che un utente finale che davvero si desidera eseguire un componente software troverà un modo, esattamente come un utente finale che davvero si desidera condividere le informazioni riservate anche verranno individuati un modo per farlo.

Mark Russinovich sulla protezione

Circumventing dei criteri di gruppo come amministratore

Circumventing dei criteri di gruppo come utente con limitazioni

Defeating limiti di alimentazione utenti

Qual è il punto?

Anni fa, quando ha lavorato in Winternals, Mark Russinovich researched e blogged su tre argomenti pertinenti per questa discussione: defeating dei criteri di gruppo (entrambi come amministratore e un utente con limitazioni e l'elevazione di privilegi come un utente di alimentazione.

La barra laterale "Mark Russinovich su protezione" consentiranno di post di blog.Questi sono grande esempi che illustrano solo quanto sia semplice per l'utente interruzione privo di vincoli di criteri o protezione.Vuoi gli utenti spesso reagiscono da bloccate da eventualmente da disposti violano i vincoli, se basato software, hardware o dei criteri.

I tre problemi a cui fa riferimento l'intestazione laterale sono stati problemi per un certo periodo di tempo.Sono rappresentante dei tipi di problemi che tutti dobbiamo risolvere nel nostro lives giornaliero in un ecosistema di Windows.Il problema è che attenuazione contro vulnerabilità, difetti e imperfections software richiede oltre reazione.È necessario pragmatic pensato problema reale, in genere implica una buona padronanza di modellazione dei rischi e un desiderio di accettare che short-circuiting il problema immediato potrebbe causare un incendio maggiore rispetto se gestiti con il problema reale dall'inizio.

Una quantità idea migliore consiste nell'approccio ogni situazione con una tenere aperta e, sapendo che non vi siano problemi con cui si prevede di dover limitare, eseguire un passaggio indietro e ritiene sulla quale la radice problema effettivamente anziché solo reazione in maniera sighted breve.

Wes Millerè un Senior Technical Product Manager inCoreTracein ad Austin, Texas.Ha ha lavorato in precedenza Winternals Software e come un Program Manager presso Microsoft.È possibile contattarlo all'indirizzo technet@getwired.com.