Arquivos da área de trabalho Atenuantes circunstâncias
Wes Miller
Conteúdo
Eu te amo
Rei COM
A dilema unidade flash
O que é o ponto?
O termo atenuar geralmente definido como para "fazer menos graves, grave ou doloroso." Passei um pouco de tempo desta coluna discutindo as tecnologias que podem ser usadas para mitigar os problemas, especialmente aqueles relacionados à segurança. Aumentando o backup, aprendeu muitos proverbs e parables que destinavam-se para ajudar a reforçar bom comportamento — e ainda tenho um grande firmemente em muitos das lições que aprendeu. Meu favorito popular é " uma onça gasto com prevenção pena uma libra de secar. " E meu favorita cotação é por filósofo George Santayana: "são aqueles que não se lembrar passado condemned para repeti-la." Juntos esses fazem um bom trabalho de expressar como gosto de operar — e como eu gostaria de mais tecnologias operadas.
Infelizmente, você e obtêm interagir com tecnologia nível que a maioria das pessoas não obtiver (precise?). Se Embora isso seja grande em forçar nós para aprender a tecnologia, geralmente a tecnologia não comportar da forma deve para se comportar. Quando isso acontece, temos de atenuar contra-lo para garantir que mais danos não acontece como resultado de falha.
Este mês, vou sejam minha coluna em um pouco de uma direção philosophical. Simplesmente lendo as páginas do TechNet Magazine, você já já comprovadas si mesmo para ser algo de um technophile — portanto, que pode ser preaching apenas às pessoas que já concordar com me aqui. Ainda assim, os pontos que exibir na coluna deste mês são importantes o suficiente para sublinhado.
Já mencionei antes que a tecnologia que funcione em (Segurança e whitelisting) é um pouco mais de uma preventiva de é a tecnologia padrão que foi usada para lidar com malware por 25 últimos anos, essencialmente compilado blacklists de assinaturas de malware conhecido. A abordagem preventiva pode ser uma estrada bastante avant-garde para ir para baixo. Mas como eu disse em minha coluna de novembro " Prevenção de perda de dados com o gerenciamento de direitos da empresa"), ele é tudo sobre o seu objetivo real. Se você ficar em uma conversação dizendo "Desejo parar malware" sem explorando outras abordagens, você simplesmente irá seguir o caminho padrão de "encontrar as coisas incorreta e eliminá-lo". Você pode ver facilmente como isso pode se tornar a norma — sem nunca realmente solucionar o problema.
Em vez dessa abordagem padrão, eu prefiro o pragmatic mais "o que é o problema real que ESTOU tentando resolver?" Nesta coluna, vou discutir por que eu acho que isso é útil. Eu examinará alguns eventos aleatórios, incidentes e problemas de tecnologia e mostrar como a abordagem incorreta é considerada muito freqüentemente uma reação a eles.
Eu te amo
Onde foram você em 4 de maio de 2000? Trabalhei em Slate.com—and de um repente, todos importantes-me. Era o dawn de iloveyou.vbs. Esse pequeno gem malware aproveitou de três condições para espalhar virally.
Em primeiro lugar, o malware usado engenharia social para obter os usuários abram a mensagem. Chegou de alguém que você soubesse (você tinha no catálogo de endereços do remetente para que ele seja enviado), portanto, é claro você precisava descobrir se você realmente foram importantes.
Em segundo lugar, ele foi com base nas noções fundamentalmente corretas que os usuários a) não sabe diddly sobre extensões de arquivo; b) não se preocupe para verificar as extensões de arquivo (ora, estão oculto por padrão no Windows); e c) clique em após qualquer aviso-ruindades potencial (para ver o programa bobo, Steve Riley gosta de dizer). Consulte o blog de Steve, Steve Riley sobre segurança, para obter mais informações.
Em terceiro lugar, ele aproveitou uma falha de arquitetura básica, uma falha tão aparente, que ele deve ter sido detectado antes do produto com a falha fornecido. Mas ele não foi detectado — para que o malware pode intrude e, em seguida, se espalhar muito rapidamente. Vírus ILOVEYOU trabalhada por executando o Windows Script Host, coleta o catálogo de endereços do usuário e, em seguida, enviar email para qualquer pessoa no catálogo de endereços da vítima. Desde que as do catálogo de endereços também executou o Microsoft Office Outlook no Windows e retornou para o componente de engenharia social do vírus, o processo de continuação.
Então, qual era a falha? Vamos, faça uma estimativa. Está pronto? A falha foi no Outlook, causado por dois problemas fundamentais. Quando Outlook foi projetado originalmente, como com Internet Explorer 3.0 antes, COM e ActiveX se foram tornando o rage — portanto, você pode reutilizar de forma rápida e fácil componentes de um aplicativo em outro. No Outlook, entanto, foi muito confiável em relação ao que poderia chamar seu modelo de objeto COM. Documentos de entrada, totalmente desprotegidos — permitem que o conteúdo do email sozinho — deveria nunca ser capaz de mesmo de examiná no catálogo de endereços, muito menos colhê-la completamente e, em seguida, enviar email. Claro, existem cenários onde faz sentido para um email de entrada enviar automaticamente uma resposta de email. Mas essa é a exceção — longe da regra.
Segurança no Outlook, subseqüentemente, foi reforçada para que ele solicita agora os usuários quando um aplicativo deseja consultar o endereço livro ou programaticamente enviar email (consulte Personalizar configurações de programação do Outlook 2007). Isso foi uma etapa importante na direção certa. Os usuários também for perguntados se eles desejam conceder permissões para o aplicativo, porque, francamente, todos nós sabemos o que acontece se um usuário realmente deseja ver esses programa bobo.
Você sabe qual foi a atenuação mais probabilidade de ser colocadas em prática enquanto os usuários esperou Outlook ser corrigido? Assassinatos Windows Script Host (WSH). Começando no 2000, como nenhum outro período na minha carreira, uma das perguntas mais freqüentes obtive foi, " Meu cliente deseja remover o WSH do Windows, como pode isso ser feito? " Um estado que sinto muito, uma linguagem de script incrivelmente eficiente foi ameaçada devido a unidade - por malware que estava habilitado por falhas de segurança.
Estou, obviamente, um grande fã do WSH. Eu acho que é uma excelente ferramenta e que o Windows PowerShell, na verdade, tem uma maneiras de passar antes que ele pode substituir o WSH (embora o que é outro tópico da coluna para outro dia). Mas meu ponto é que o WSH no e de si mesmo não é uma brecha de segurança. Eliminar um componente devido as falhas em outro não é uma maneira eficiente de gerenciar itens. Ainda assim, é muito importante que você proteja o sistema operacional, navegador da Web e cliente de email (especialmente se estiver COM habilitado — ahem) para garantir que eles não é possível aproveitar WSH de maneira negativa.
Rei COM
Em 1994, a Microsoft lançou ActiveX e o mundo parecia tenha dois modos de exibição adversárias: ele foi mal puro e poderia causar a downfall da Internet ou ele foi uma ferramenta excelente e eficaz e tornaria o navegador em uma plataforma de real. O ActiveX no e de si mesmo não é uma grande exploração aguardando para acontecer. Na verdade, a Microsoft fez um bom muito trabalho de implementação de segurança para ActiveX no Internet Explorer, no entanto, claro, ele tem sido ainda mais protegido com o passar dos anos como o restante do Windows tem.
No entanto, uma das minhas pesquisas da Web favoritas é "2008 estouro de buffer ActiveX." Vá em frente, experimente. Você pode alterar o ano, se desejar, para ver como cada ano passou. Por que posso encontrar isso interessante? É porque os controles ActiveX e de Internet Explorer Infelizmente tornaram os filhos de cartaz vulnerabilidades de segurança, deserved ou não.
Enfrentamos problemas um pouco semelhantes no mundo do software whitelisting. Se você pode tentar proteger um sistema, permitindo apenas a execução de código que já está no PC, mas suponha que há explorações em que código? Você pode obter propriedade tão bem como se você não tivesse nenhum software de segurança no sistema. Assim como com estouros de buffer, controles que incorretamente foram marcados como "seguro para scripts" farão buracos gigante para que hackers aproveitar.
Por que abrir o aspecto de estouro de buffer aqui? Porque esse problema gerou uma resposta semelhante ao comportamento do WSH/Outlook observado anteriormente. Em vez de blame anexar a fornecedores para não executar detecção de modelagem e estouro de buffer de ameaça decente e incorretamente marcando um controle como seguro para scripts, ActiveX se tornou-se o culpado.
Talvez é razoável. Se o Microsoft tinha implementado uma proteção melhor (como foi feito em um grau no Windows Vista por meio do modo protegido) ou se Microsoft tinha simplesmente não permitido seguro para scripts, nós não teria esses problemas. E espalhar ActiveX seria provavelmente mais amplamente se — ou pelo menos mais amplamente tolerated.
Infelizmente, temos esses problemas — e o bit de eliminação ActiveX (veja a Figura 1 ) tornou algo com que administradores são muito familiarizados. Consulte" Como parar um controle ActiveX seja executado no Internet Explorer"para obter uma descrição das como programaticamente eliminar qualquer controle ActiveX que é percebida como uma ameaça. Controles verificar essa entrada do Registro antes de instanciação para ver se eles podem ser executados.
Figura 1 você pode impedir que um controle ActiveX seja executado, definindo o killbit para que o controle não seja chamado pelo Internet Explorer
A realidade é que, se desejar executar determinadas tarefas de dentro do Internet Explorer, como consultar uma chave de registro, interagir com o hardware ou em outro aplicativo, ou não interagir com dados do usuário em um PC do Windows, basicamente que nenhuma opção, exceto de um controle ActiveX. E criar um controle — projetados, ameaça modelado, desenvolvidos, testados e assinado (Uau) — pode ser uma tarefa foreboding em vez disso. Mas ele Honestamente não deve ser exibido como algo ruim ou como uma brecha de segurança giant (a menos que você ignorar ou curto-circuito essas etapas). AH e sobre como seguro para script — se você está desenvolvendo um controle, e você precisará fazer com que ele seguro para script, não. Na verdade. Não, a menos que você tenha nenhuma outra opção.
Dito isso, como atenuar contra incorretos controles ActiveX? Os fãs de outros navegadores gleefully informará "Meu navegador não tiver esses tipos de explorações", mas isso naive. Internet Explorer no Windows foi projetado muito bem, mas ele apresenta falhas. Todos os softwares tem falhas. Executando o navegador da Web B porque você acredita navegador A apresenta falhas normalmente com aterramento em zeal — não na segurança real. Houve falhas de segurança encontradas em cada navegador principal e em cada controle ActiveX principal. A resposta?
- Manter os sistemas atualizados.
- Executar anti-malware e ferramentas antivírus — incluindo o Ferramenta de remoção de software mal-intencionado da Microsoft.
- Use kill-bits para desativar os controles ActiveX que tenham as vulnerabilidades e reativar os controles quando eles são corrigidos. O site ultimatewindowssecurity.com/killbit.ASP oferece um como úteis sobre como usar Diretiva de grupo para envio out bits de eliminação.
O upshot é que embora você pode desativar os controles ActiveX o ponto de que eles não serão executados (veja a Figura 2 ), será ainda haver explorações — mesmo se você utilizar outro navegador da Web. Você precisa saber a superfície de ataque de qualquer software que você decidir executar. Simplesmente evitar o Internet Explorer não faz você prova de malware; ele apenas torna você resistente a malwares que destinos do Internet Explorer.
A Figura 2 gerenciamento ActiveX no Internet Explorer
A dilema unidade flash
Muitos clientes estiver enorme preocupado com as unidades flash USB, portanto, mais do que quase qualquer outra tecnologia. Por quê? Quando falarei para nossos clientes, ele vem até dois problemas. Primeiro, as unidades flash USB são alvos fáceis de engenharia social, ou outros meios, tentar obter malware em computadores (isso realmente se aplica a malware de destino, o tipo que tradicional software visual áudio não pode capturar até que ele é muito tarde). Em segundo lugar, é tudo muito fácil para dados confidenciais movimentar fora do escritório em uma pequena unidade USB. Que é por que eu sou um fã grande de IRM (gerenciamento de direitos de informações e outras técnicas de gerenciamento de direitos digitais (DRM) que podem realmente evitar a perda de dados. Claramente o problema real não é a unidade flash USB propriamente dito; essa é a maneira que essas unidades podem ser usadas.
Portanto, em vez de usar epoxy para colar o USB portas desligamento (na verdade, ouvi do que seja feito) ou tentar bloquear o hardware por meio de diretiva de grupo ou um software de terceiros, o que pode fazer? Interromper o malware de destino é difícil, algo pode realmente abordagem somente por meio de diretivas de restrição de software de diretiva de grupo, whitelisting ou outros meios de restringir o código para executar a somente a partir da unidade do sistema, unidade de rede ou similares.
Para interromper a perda de dados, que provavelmente envolverá alguma forma de IRM/DRM. Ainda assim, sempre que TENHO que conversar com os clientes sobre USB unidades flash (ou qualquer tipo de malware, nisso) tendem a cotação meu primeiro artigo TechNet Magazine " Reduzir O risco: 10 regras de segurança para o Live por"), "Sua empresa só é tão segura como os usuários técnicos pelo menos e a maioria dos." Por que QUERO dizer que um usuário final que realmente deseja executar uma parte do software encontrarão uma maneira, assim como um usuário final que realmente deseja compartilhar informações confidenciais também encontrarão uma maneira fazê-lo.
Mark Russinovich sobre segurança
Ignorando a diretiva de grupo como administrador
Ignorando a diretiva de grupo como um usuário limitado
Invalidando as limitações de usuários avançados
O que é o ponto?
Anos atrás, quando trabalhou na Winternals, Mark Russinovich pesquisadas e publicou no blog anteriormente nos três tópicos relevantes para essa discussão: invalidando a diretiva de grupo (tanto como um administrador como usuário limitado) e elevar privilégios como um usuário avançado.
A barra lateral "Mark Russinovich em segurança" direcionará você para as postagens de blog. Estes são exemplos excelentes que demonstram como é fácil para um usuário quebrar sem restrições de diretiva ou segurança. Usuários frustrados geralmente reagem a que está sendo bloqueado por, eventualmente, sendo dispostas a violar restrições — se software, hardware ou diretiva baseada.
Os três problemas mencionados na barra lateral foram preocupações de algum tempo. Eles são representa os tipos de problemas que todos nós tem que trabalhar em torno em nossas vidas diárias em um ecossistema do Windows. O problema é que mitigação contra as vulnerabilidades, falhas e imperfections de software requer que mais do que apenas reação. Ele requer pragmatic pensou sobre o problema real, que geralmente envolve um bom entendimento de modelagem de ameaças e uma disposição para aceitar que short-circuiting o problema imediato pode causar um incêndio maior do que se você lidado com o verdadeiro problema desde o início.
Uma idéia muito melhor é abordar cada situação com uma mente aberta e, saber o que há problemas em que for necessário reduzir, executar uma etapa fazer e considerado sobre a raiz problema, na verdade, em vez de apenas reagir de maneira cego curto.
Wes Miller é técnico do gerente sênior em CoreTraceem Austin, Texas. Anteriormente, ele trabalhou na Winternals Software e como gerente de programas da Microsoft. Wes pode ser contatado pelo technet@getwired.com.