Controllo di protezione Rivedere le 10 leggi immutabili della protezione, parte 2
Jesper M. Johansson
Contenuto
Diritto # 4: se si consente a un ragazzo non valido per il caricamento programmi su sito Web, esso non ’s il sito Web più.
Diritto # 5: password debole trump protezione.
Diritto 6: computer è solo protetto l'amministratore è attendibile.
Diritto # 7: i dati crittografati sono solo protezione la chiave di decrittografia.
Conclusione
Nel numero di articolo del mese di TechNet Magazine , Viene avviato disattivare una serie di tre parti rivedere il noto saggio "10 immutabili Leggi di protezione." Mio obiettivo è valutare, otto anni dopo fossero prima postulated e vedere se sono ancora contenere, in altre parole, per verificare se sono effettivamente sono "modificabili". (È possibile trovare la prima parte di questa serie Microsoft.com/technet/archive/community/Columns/Security/essays/10imlaws.mspx.)
HO scoperto che le prime tre Leggi tenere fino piuttosto bene. A questo punto sono pronto per scrutinize quattro più di leggi. Nella dispensa finale del mese successivo, verranno illustrati tre Leggi finale, nonché offrono alcune informazioni sulle nuove che vantaggi dall'otto anni di hindsight.
Diritto # 4: se si consente a un ragazzo non valido per il caricamento programmi su sito Web, non è il sito Web più.
Si potrebbe pensare che suoni un po'strane diritto 4. Dopo tutto, altre leggi sono molto alto livello, non parlare relativi servizi specifici ma funzionalità generali. Prime tre Leggi tutti descrivere scenari in cui il computer non è più computer. Quindi si raggiunge il diritto 4 riguarda informazioni sui siti Web.
Per comprendere 4 diritto, contesto storico è molto importante. Leggi originariamente sono state pubblicate in 2000. Questo era una volta è quando il Web stato ancora piuttosto nuovi e immature. Siti come Amazon ed eBay sono stati ancora sviluppando. E mentre attacchi che potevano essere arbitrari di comandi su siti Web fosse commonplace, le patch non è stato.
Con che appare probabile che Microsoft visto diritto 4 come istruzione pubblica necessaria che è necessario eseguire responsabilità per il sito Web utilizzato. Questo punto è stato determinato casa, sledgehammer stile, nel 2001 settembre quando Nimda contatto. Nimda è un worm di rete multi-vector e uno dei vettori che utilizzarlo per la distribuzione era infettare vulnerabili siti Web e modificarle di eseguire il worm.
Il periodo di tempo che circonda 4 diritto anche è uno dei defacements sito. Attrition.org viene eseguito un mirror di molte il defacements da tale (ora attrition.org/mirror/attrition/Months.HTML). Non vi sono molti di questi defacements spesso dei siti evidente. Protezione anche rilevanti formazione organizzazione Institute SANS era la home page defaced. La figura 1 Mostra il defacement del sito Web Arizona dello stato nel 1998 ottobre.
Nella figura 1 Defacement del sito Web Arizona stato fare clic su Immagine per una visualizzazione ingrandita
Il problema era che, tornare quindi gli utenti sono in genere poco chiaro in gli eventi effettivamente realizzati quando un sito Web è stato defaced. Il consenso era che è ottenuto eliminare la pagina all'origine dell'errore e causa in con vita. Se si dovesse in the ball, si corretti foro utilizzato guys non valido (se è impossibile trovare).
Gli utenti non sono state esaminando l'immagine completa. Diritto 4 è stato progettato per utenti ritiene che sui dati Impossibile accaduti quando defaced un sito Web, non l'azione eseguire.
Sfortunatamente, 4 diritto non completamente riuscita. Malgrado di diritto 4, da 2004 È stato raggiunto weary di rispondere alla domanda: "non è semplicemente rimuovere la pagina Web il pirata informatico inserire i e passare come di consueto con il business?" Non un uomo di alcune parole, si è tentato dispel questi approcci con un articolo " Guida in linea: È attivato illecitamente. Ora quali è possibile fare?" ( sito Web Microsoft.com/italy/technet/ /en-us/library/cc512587.aspx).
Tuttavia, la domanda è se diritto 4 contiene ancora oggi. È un ragazzo non valido effettivamente proprietario del sito se è possibile caricare un programma? Più granularly è proprietario del sito o entrambi i visitatori del Diritto 4 non è effettivamente deselezionare come a cui fa riferimento, pertanto È necessario analizzare entrambi.
Rispetto al proprietario del sito, la risposta è Sì. Ragazzo non valido proprietario del sito se si ti lui inserire programmi in esso (Esistono, tuttavia, alcune eccezioni che saranno in un momento). Un tipico sito Web, esistono due operazioni ragazzo errato può caricando programmi ed è un implicitamente molto grande dal fatto che si è in grado di caricare il sito.
La prima cosa che ragazzo non valido per procedere è rendere il sito suo esigenze. Se qualcuno è interessa del contenuto non valido, ad esempio pornografia figlio, ciò che meglio posizionare a tale scopo a in un sito che non può essere individuato nuovamente da hacker si? Criminali sarebbe molto piuttosto servono tale tipo di contenuto disattivato il sito Web più disattivato i propri.
La cosa seconda che ragazzo errato scopo è possibile caricare un programma del sito è assumere il controllo del sistema dietro il sito. Questo, ovviamente, dipende se ha effettivamente possibile eseguire il programma sul server Web. Semplicemente con il programma senza eseguire qualsiasi operazione non verrà per. Tuttavia, se ragazzo non valido è possibile eseguire il programma, ha in modo definito proprietario del sito e può ora non solo renderla proprio esigenze ma anche utilizzarlo da eseguire su altre operazioni.
Implicitamente a cui È definito è ancora più importante più specifiche. Nell'articolo "Guida in linea: È attivato illecitamente", il punto che stava tentando di creare è che non si conosce esattamente quali le cattive ragazzo può effettuata dopo che è stato interrotto da ha operazione in. Se un errato ragazzo gestisce inserire il proprio contenuto nel sito, è necessario chiedere cos'altro è Impossibile eseguite.
La risposta potrebbe essere potenzialmente numerose operazioni. Che è la parte effettivamente critica di questo puzzle. Se un ragazzo non valido è possibile eseguire programmi su un server dietro il sito Web, ha completamente dispone del sito e le operazioni eseguite. Non veramente è il sito Web più.
Rispetto a compromettere i visitatori del sito, tale domanda è più difficile per rispondere. I browser sono stati riddled con falle nella 1990s in ritardo. Intorno a 2004, la situazione migliorato enormemente. Principali browser oggi, Internet Explorer e Firefox, sono entrambi piuttosto a tinta unita in termini di protezione. In effetti, rispetto a avevamo nel 1990s, i browser attuali sono veritable bastions di protezione.
Se un ragazzo errato può compromettere ai visitatori del tuo dipende altamente due operazioni. In primo luogo, esistono vulnerabilità nei browser che è possibile sfruttare? Potrebbero essere, ma è non quasi anche presenti sono utilizzato per da. E in secondo luogo, può persuade agli utenti di compromettere stessi ragazzo non valido? La risposta disturbingly spesso è Sì.
Troppo numerosi utenti installerà aspetti che indica a un sito Web per installare. Si tratta di un problema grave, poiché è impossibile risolvere l'uno con tecnologia. Descritti in luglio e agosto, settembre 2008 rate del controllo di protezione, il problema. Relativamente a 4 diritto, purtroppo significa che il ragazzo errato perciò ottima di essere in grado di danneggiare i visitatori del.
Le eccezioni indicato in precedenza devono essere evidente. Siti Web eseguire molte operazioni oggi che non sono stati foreseen in 1990s in ritardo. Siti di collaborazione interno, ad esempio Microsoft SharePoint, ad esempio, sono comuni. Chiunque disponga di autorizzazioni appropriate possibile caricare un programma in un sito, ma ciò significa che il sito, né qualsiasi utente che rimandi a, verrà essere compromessa. È sufficiente ciò che il sito è destinato. Gli utenti sono considerati attendibili, in alcuni misura semplicemente per virtù di con le autorizzazioni necessarie accedere al sito.
E sono disponibili i siti shareware. Quando è stato registrato in precedenza malware, sono progettate per condividere software. In che di se stesso non significa che qualsiasi utente è compromessa. In breve, tutti questi siti disporre misure di protezione per poter verificare rimanere sicuri e che gli utenti non vengono automaticamente compromesso passando a essi. È possibile considerare che l'eccezione che conferma la regola. Di conseguenza, 4 diritto, almeno in spirito, contiene ancora, malgrado di alcuni siti sono progettati per consentono di utenti, non valido e valida caricare programmi.
Diritto # 5: password debole trump protezione.
Le password stati un interesse del mio per molti anni. Le password oppure, in genere, i segreti condivisi sono un ottimo metodo per autenticare gli oggetti. Di un solo problema secondario con loro: sono compresi verso il basso completamente nel caso di natura umane.
Tornare in giorni halcyon dell'informatica quando è stato prima inventato l'elaborazione time-sharing, la necessità di un modo per distinguere tra gli utenti è diventato evidente. Il sistema è necessario un modo per distinguere tra i dati di Alice e dati Roberto. In teoria, Roberto dovrebbe essere impedire la lettura dei suoi dati, anche se questo è un requisito separato di Alice.
La soluzione è l'account utente e password. Viene utilizzato per disporre di un account su un computer. E viene in genere una password, che in genere è uno dei seguenti:
- Il nome di uno dei minori
- Nome del coniuge
- Nome del domestico
- "Caso" (se l'utente principale)
L'avanzamento rapido così o 30 anni. Si dispone ora centinaia di conti, nei siti Web tutto tramite Internet e in computer diversi. Ogni uno di questi sistemi indica che è non deve utilizzare la stessa password in qualsiasi altro sistema. Sono consiglia di rendere sicuri non annotarla e per modificarlo ogni giorni 30 e 60.
Poiché gli utenti standard non possono cambiare password quattro un giorno ed effettivamente ricordare i loro, il risultato finale è che, sfortunatamente, utilizzino la stessa password in tutti i sistemi (o probabilmente due password diverse). E sono in genere vengono scelti dal seguente elenco di possibilità:
- Il nome di uno dei minori con il numero 1 aggiunta
- Nome del coniuge con il numero 1 aggiunta
- Nome del domestico con il numero 1 aggiunta
- "GodGod11" (solo caso l'utente principale)
Abbiamo non sono avanzati quasi quanto una sarebbe auguriamo nei 30 anni intermedi. Ricercatori sono ancora ricerca password un'area fruitful di ricerca; per ulteriori informazioni, vedere l'articolo di PC World "troppo numero password o non sufficientemente Brainpower" (in pcworld.com/businesscenter/article/150874/too_many_passwords_or_not_enough_brain_power.HTML).
Chiaramente, password, vengono in genere utilizzati, sono una forma debole molto di protezione. Ancora non esistono modi per utilizzare le password in modo sicuro. Ad esempio, è possibile generare le password complesse e scriverli verso il basso, è effettivamente è nulla errato con. Tuttavia, gli utenti sono così inundated con avviso di protezione non valido da ovunque e in tutti gli utenti ritiene effettivamente che è preferibile utilizzare la stessa password ovunque a scrivere le proprie password al.
Il fatto è che molto di protezione boils a un punto debole. Richiedere l'accesso VPN (Virtual Private Network) aziendale, ad esempio. Stati numerose discussioni sulle diverse tecnologie VPN in; valutazioni fornitore in cui i fornitori scegliere out virtues della loro incredibilmente sicuro e incredibilmente lenta, crittografia; come vengono ruotati le chiavi di crittografia per assicurarsi che un utente malintenzionato non analizzano i pacchetti e cryptanalyze li.
Ma tutto ciò completamente perde il punto. Un utente malintenzionato non verrà per tentare di cryptanalyze un flusso di pacchetto che avrà 10 milioni anni per interrompere utilizzando la tecnologia elaborazione attualmente disponibile. È presente realmente qualsiasi valore di rallentare la rete da un ordine di grandezza per ottenere la crittografia che avrà milioni di 100 anni per interrompere? Honestly, è possibile non particolare attenzione se qualcuno milioni di 100 anni da adesso (o anche milioni di 10 anni da adesso) qualche modo gestisce decrittografare la posta elettronica lavoro.
È la crittografia realmente debole interessanti scegliere? L'autore dell'attacco è molto più probabile sfruttare vulnerabilità semplice, ovvero il fatto che le password utente sono spesso una delle password appena elencati.
Crittografia incredibilmente sicuro effettivamente non Importa molto se tutti gli utenti selezionare una password di sei o otto caratteri. Di conseguenza, è ora spostano verso l'utilizzo di moduli più complessa dell'autenticazione di, ad esempio le smart card e unica generatori di codice PIN.
Questi offrono un notevole miglioramento, ma non sempre migliorare la protezione. Smart card, ad esempio, sono molto facile da perdita o lasciare a casa. E i generatori di codice PIN occasionali adattare perfettamente il titolare di badge, ricerca grande sporgente attorno il collo. La volta successiva che si visita da ottenere un caffè al reparto produttivo attraverso la via, vedere se è possibile identificare il ragazzo esaminando il PIN occasionale corrente, la lettura il nome utente disattivato del badge e il tentativo di indovinare la porzione di piccola piccola di casualità di tutte è ora necessario per connettersi come alla rete azienda.
Diritto 5 più certamente contiene oggi e continuerà a tenere nel futuro. Tuttavia, RITENGO che può essere generalizzata notevolmente. Più semplicemente password trump protezione. In genere, è possibile pronunciare "autenticazione debole" o anche "punti deboli" trump protezione.
Professionisti della protezione IT a grandi sono guilty non l'esecuzione passo indietro e osservando l'immagine più ampia. Si tende a concentrarsi una piccola porzione del problema, che è possibile risolvere un livello con tecnologie di protezione. Troppo spesso è Impossibile realizzare che non esistono sistematica punti debole che è non sono attenuato, o anche pensato, che il rendering di tutte la tecnologia è sono inserire nella posizione moot.
Considerare ad esempio, come in molte organizzazioni provare a regolare i dispositivi rimovibili che gli utenti possono utilizzare, ma consentire connessioni di posta elettronica crittografati e in uscita Secure Shell (SSH) che. Quanto perdita di dati effettivamente è attenuato limitando dispositivi rimovibili se consentire i dati da trasmettere con la crittografia in modo che non possono vedere anche i dati? Questo è uno dei principali problemi che i professionisti di protezione è necessario risolvere se viene superano e prosper.
Diritto 6: computer è solo protetto l'amministratore è attendibile.
Mi amazed che, anche oggi, è mantenere visualizzare i report di attacchi che funzionano solo con gli amministratori, anche peggio ancora, sfrutta questo lavoro solo se già dispone dei privilegi di amministratore. Come Scrivo questa l'trova in un aeroporto sul mio modo nuovamente dalla conferenza nero HAT 2008. È anche rilevata una presentazione procedura stata avviata con il presupposto che "se si dispone dell'accesso principale, in questo campo è come è possibile eseguire tramite il sistema".
D'una parte, è comforting sapere che la cosa peggiore alcune persone possono proporre è come modificare il sistema, anche se un po'più stealthily se hanno già il diritto di modificare il sistema. Al contrario, è possibile trovare è frustrating che gli utenti non sembrano per vedere come pointless che è e mantenere cercando di inventare nuovi modi per farlo e l'ora prezioso più importante, rifiuto ed energia sulla protezione contro è.
Il fatto è abbastanza semplice: qualsiasi utente che è un amministratore, ovvero principale o qualsiasi altro utente principale è possibile chiamare il ruolo è omnipotent all'interno del mondo di tale sistema. Tale utente è in grado eseguire alcuna operazione.
Esistono certamente noisier nonché subtler consentono di eseguire qualsiasi elemento cui è che un utente malintenzionato di questo tipo desideri di eseguire. Ma il fatto fondamentale rimane esattamente la stessa: è impossibile rilevare in modo efficace tutto ciò che un amministratore dannoso non desidera è possibile rilevare. Tale un utente dispone i mezzi per nascondere suo tracce e verificare qualsiasi sembra essere completata da altro utente.
È deselezionata, quindi, che 6 diritto comunque applicato, almeno un livello. Se un utente ha ottenuto le potenze omnipotent su un computer diventa non valido, in realtà, effettivamente, non il computer più. In un certo senso molto reale, il computer è solo protetto l'amministratore è attendibile.
Esistono alcuni ulteriori punti da prendere in considerazione, tuttavia. In primo luogo, il concetto di amministratore, dal punto di vista del computer, include non solo la persona o il persone concesse questo ruolo. Inoltre, include il software viene eseguito nel contesto di protezione di tale ruolo. E per estensione, quindi, il ruolo di amministratore include anche qualsiasi autore di tale software.
Questo è un punto critico. Quando diritto 6 indica che il computer solo è protetto l'amministratore è attendibile, il significato è molto più ampio rispetto sembra prima. Non dimenticare che, quanto riguarda il computer, amministratore indica qualsiasi processo in esecuzione nel contesto di protezione dell'utente con privilegi amministrativi. Se tale utente intende eseguire effettivamente che la parte di codice o intende danneggiare con esso è irrilevante.
Questo è un punto critico perché è solo di recente che un utente medio concretamente può operare un computer basato su Windows come non amministratori. Si tratta di un obiettivo primario dell'account controllo utente (UAC) in Windows Vista. Inoltre, non è Nessun limite di protezione tra contesto amministrativo un utente e il contesto non amministrativo. Di conseguenza, 6 diritto all'qualsiasi utente che è in grado di diventa un amministratore, non solo quelli che sono amministratori al momento.
Di conseguenza, il solo non per essere soggetto a 6 diritto consiste nell'veramente non essere un amministratore, ma piuttosto operare come un utente standard true. Sfortunatamente, questo non è l'impostazione predefinita anche in Windows Vista, e molti Manufacturers di hardware originale (OEM) effettivamente disattivare completamente.
Controllo dell'account utente, tuttavia, hints leggermente in futuro portare. La funzionalità più visibile di controllo dell'account utente è il processo di elevazione dei privilegi, illustrato nella Figura 2 . Tuttavia, i più importanti vantaggi strategico non elevazione dei privilegi di amministratore ma la possibilità di funzionare in modo efficiente un computer senza da un amministratore in primo luogo. Windows Vista include numerosi miglioramenti per che rendono possibili. Ad esempio, contrariamente alle versioni precedenti di Windows, puoi modificare il fuso orario senza essere l'amministratore consentire viaggiatori non amministratori. Passare, probabilmente sarà presente più di tali tipi di miglioramenti.
Nella figura 2 la funzionalità più visibile e probabilmente leastimportant di controllo dell'account utente è elevazione dei privilegi fare clic su Immagine per una visualizzazione ingrandita
Diritto 6 contiene oggi e continuerà a contenere. Tuttavia, l'opzione verso un mondo in cui gli utenti possono operare computer come un amministratore non è uno dei due fattori principali moderating su 6 diritto. Il secondo fattore non è molto nuovo: sistemi di controllo di accesso obbligatorio.
Nei sistemi di controllo di accesso obbligatorio, oggetti hanno etichette ed esistono regole rigorose per come è possono relabeled oggetti. Software all'oggetto coerente con la relativa etichetta, all'esterno del controllo immediato dell'amministratore di protezione. Senso stretto, in implementazioni correnti, l'amministratore può in genere eseguire una vari illegitimate procedura eseguire l'override di questi controlli.
Tuttavia, il principio è promessa d ', e può essere possibile un giorno per limitare gli amministratori operazioni eseguibili. Ma anche se si deve ottenere restrizioni per limitare le operazioni che gli amministratori Impossibile eseguire, si può comunque affermare che gli utenti non sia gli amministratori in senso reale del termine di. Di conseguenza, diritto 6 decidedly non è modificabile.
Diritto # 7: i dati crittografati sono solo protezione la chiave di decrittografia.
Diritto 7 è probabilmente l'almeno controversial di tutte le leggi. Crittografia troppo spesso viene considerato come panacea per molti problemi di protezione. La verità, tuttavia, è che mentre crittografia è un utile strumento nel mondo di protezione, non e non sarà, una soluzione autonoma per la maggior parte dei problemi che si faccia in.
La crittografia è ovunque che si attiva. In Windows, la crittografia viene utilizzato per le password, per i file per l'esplorazione del Web e per l'autenticazione. Crittografia non tutti i è stata progettata da reversibile, ma alcuni degli esempi più importanti di crittografia reversibile includono crittografia file System (EFS) e la cache delle credenziali utilizzato per le password memorizzate e nomi utente, come illustrato nella Figura 3 .
Nella figura 3 la cache delle credenziali in Windows Vista è protetti da crittografia fare clic su Immagine per una visualizzazione ingrandita
Sia EFS e la cache delle credenziali siano protetti da una chiave di crittografia derivata da password dell'utente. Questo ha implicazioni diversi. Primo, se viene reimpostata la password dell'utente (impostata su una nuova password senza immettere quello precedente), tutti i dati memorizzati in queste posizioni andranno persi a meno che vi sia una chiave di ripristino designata.
Ma ancora più importante per la discussione, mentre la crittografia stessa utilizza chiavi estremamente complesse e protocolli, la protezione della chiave è dipenda la password dell'utente. In altre parole, i dati sono più protetti più sicuro la password. La password è in effetti, una chiave di decrittografia anche se in questo caso particolare, è una chiave di decrittografia secondario, ovvero si decrittografa un'altra chiave di decrittografia.
Questo è fondamentale. Questi tipi di catene di dipendenze sono ovunque nel mondo IT. Anni fa, è stato eseguito un attacco social engineering VeriSign e ottenuta due certificati di firma del codice il nome di Microsoft. Un certificato di firma codice in modo efficiente è una chiave di decrittografia, viene utilizzata per verificare che l'entità denominata nel certificato ha la chiave di crittografia.
Tuttavia, in questo caso, l'utente richiede il certificato non era l'entità denominata nel certificato. In altre parole, l'intruso era ora le chiavi di firma nel nome di un altro utente. I tasti potrebbe non essere stato protetti, ma quando si analizza il resto della catena di dipendenza, si scopre difetto irreversibile.
Tutte queste consente di provare un punto: la chiave di decrittografia è fondamentale per la protezione dei dati, ma la chiave di decrittografia potrebbe essere protetti i segreti di gran lunga più vulnerabili. HO visto un numero eccessivo di sistemi in cui i responsabili dell'implementazione incluse nella crittografia alto thinkable e protetta la chiave di decrittografia con altre misura di protezione ma non riuscita realizzare che il secondo livello ha un problema significativo. Quando si implementa qualsiasi crittografia, è necessario assicurarsi che analizzare l'intera catena di protezione. Semplicemente crittografato non autonomamente rendere i dati protetta.
Diritto 7 contiene ancora quindi. È uno dei più unassailable di Leggi 10. Infatti, è il più vicino è ottenere una legge di fisica in questa business. È necessario anche fungere da una lezione a tutti i ci, ricordare di analizzare la catena di protezione di tutto dei dati riservati. Pertanto, risulta accettabile dispongono di chiavi che non dispongono della protezione di alto possibile, ma è importante che tali chiavi devono essere utilizzati solo per crittografare i dati che richiede semplicemente che minore livello di protezione.
Conclusione
Finora, leggi immutabili della protezione sono 7 per 7. Ognuna delle leggi che hanno esaminato ancora contiene true questi molti anni in seguito e sembra improbabile che verrà essere notevolmente disproven qualsiasi data breve.
In realtà, leggi sono illustrati un po'eccezionale di foresight. L'unico che sembra finora all'esterno di risorsa è numero 4, ma, come tali in precedenza, anche che uno deve ancora essere considerato non modificabile.
Mese successivo verrà disposto questa serie con uno sguardo Leggi 8, 9 e 10. E verrà commentare di in cui le leggi potrebbero coprire non tutti gli aspetti di protezione.
Jesper Johansson m è un Software Architect utilizza software di protezione ed è di consulente redattore di TechNet Magazine. Contiene un Ph.d in Management Information Systems, ha oltre 20 anni esperienza nella protezione di ed è un Microsoft Most Valuable Professional (MVP) nella protezione dell'organizzazione. Il suo ultimo libro è The Windows Server 2008 Security Resource Kit.