![[info]](http://l-stat.livejournal.com/img/userinfo.gif){kind=small}
gal-sec
Feb. 15th, 2006
12:33 pm - Windows file ACL too complicated?
"Popular apps have mismanaged security" says recent research by a Princeton University team. What this reminds me is that the more complex software is the more security problems there are - both in terms of programming errors and configuration. (And by the way I always wondered why I just cannot turn off RPC service on my windows workstation).
http://www.networkworld.com/news/2006/0
http://www.schneier.com/blog/archives/2
Original paper: http://www.cs.princeton.edu/~sudhakar/p
Feb. 8th, 2006
04:38 pm - IT systems weaknesses
IT systems have an interesting feature that properties of actual implementation may differ from design expectations. Here is another example of this: weakness due to inappropriate cryptographic key generation in theoretically secure system.
http://www.theregister.co.uk/2006/0
http://www.schneier.com/blog/archives/2
Nov. 9th, 2005
09:02 pm - Менять законодательство?
Необходимо ли менять законодательство для эффективного противодействия компьютерным преступлениям? Для того, чтобы это выяснить, необходимо понять, действительно ли компьютерные преступления (или скорее преступления в области высоких технологий) это что-то принципиально новое? Я придерживаюсь мнения, что компьютеры (и компьютерные сети) выступают только в качестве нового способа совершить старые преступления:
* Если произошла утечка информации, то насколько важно произошла ли она при помощи компьютера, либо преступник просто сделал ксерокопии необходимых ему документов? Разница только в инструменте преступления (и его эффективности).
* Если информация была несанкционированно изменена, какая разница как это было сделано?
* Чем DoS отличается от хулиганства? А если преступник повредит силовой кабель, идущий до дата центра?
* Чем написание неприличного слова на витрине престижного магазина отличается от web defacing?
* Вопросы privacy актуальны независимо от того, где и как хранится персональная информация.
* Identity theft? Но ведь это часть большого преступления под названием мошенничество.
Что же все-таки нуждается в "модернизации"? Собственно, что отличает компьютерные преступления от остальных? Это скорость, автоматизация и действие на расстоянии. Собственно как показывает практика, наиболее тяжелыми для правосудия являются международные преступления. Довольно тяжело поймать преступника из Зимбабве, взломавшего московский банк...
Oct. 23rd, 2005
10:55 am - Подслушать пароль
Исследование ученых из университета Беркли показало, что по аудиозаписи нажимаемых клавиш на клавиатуре можно определять набираемый текст. В том числе и пароли (см. ссылки ниже). Для проведения такого анализа может быть достаточно 10-минутной записи.
Невероятный результат, из которого лично я делаю два вывода:
* Развитие современных способов атак (причем не всегда связанное с развитием технологий - как и в этом случае) все теснее связывает физическую безопасность с компьютерной.
* Пора пересмотреть многие "классические" схемы защиты информации. Как сказал руководитель проекта Дуг Тигар, профессор вычислительной техники и управления информацией Калифорнийского университета в Беркли: "Primarily this is a message to the security community saying we need to change our thinking on authentication. This is not very exotic attack in that the equipment used is dirt cheap and the software is readily available."
http://securityfocus.com/news/11318
http://keyboard-emanations.org/, http://www.cs.berkeley.edu/~tygar/paper
http://www.securitylab.ru/news/240372.p
Aug. 28th, 2005
11:16 pm - Мотивация безопасности
Хотим мы того или нет, но финансовые вопросы сильно влияют на ИТ безопасность. Задумайтесь на секунду, что было бы, если бы производителей программного обеспечения заставили бы законодательно нести ответственность за качество их приложений (операционных систем, серверного ПО и т.д.)? Когда я покупаю новую машину, то я не думаю, что она не будет ломаться. Но я знаю, что если она сломалась в течение какого-то времени с момента покупки, то мне ее починят по гарантии. В мире программного обеспечения это не действует. Что может простимулировать лучше, чем финансовые мотивы? Если я отвечаю за качество ПО, то мне выгодно делать его более качественным.
Когда внутренние интересы какой-то компании конфликтуют с "общим благом", компания выберет внутренние интересы - если нет внешнего фактора, который сможет сместить акценты. Сделает ли нас безопаснее возможность безнаказанного дизассемблирования и анализа кода? Думаю да. К примеру, EULA (End User License Agreement) у Cisco явно запрещает дизассемблирование и анализ собственного кода. На кого это оказывает влияние? Крекерам ведь наплевать на такие "условности". А исследователи безопасности могу задуматься над возможными последствиями для себя. Таким образом, первые получают ничем не оправданное преимущество.
http://securityfocus.com/columnists/3
10:46 pm - Недостаток финансирования?
Вы считаете, что служба ИБ в вашей организации не получает достаточного финансирования? Задумайтесь об этом еще раз. Считаете ли вы, что не можете из-за недофинансирования закупить необходимые технические средства обеспечения информационной безопасности? Если ответ положительный, то дела совсем плохи. Но задумайтесь еще над одним аспектом - представьте, что у вас имеется достаточно средств для приобретения всех необходимых технических средств. Достаточно ли этого?
Думаю нет. Безопасность - это сложный и комплексный процесс, и только техническими средствами здесь не обойтись. Также необходима административная поддержка и поддержка со стороны пользователей. Причем последнее обеспечивается исключительно их обучением, и представляет собой еще одну статью затрат. Необходимость такого обучения подтверждают и последние аналитические исследования, и особенно то, что большая часть инцидентов относятся на долю инсайдеров.
Обучение персонала имеет две основные составляющие - обучение службы ИТ (в частности администраторов), и обучение остальных пользователей. И обе они весьма важны для поддержания нужного уровня безопасности и, что также немаловажно, для раннего обнаружения возможных проблем.
http://www.securityfocus.com/column
Aug. 25th, 2005
09:11 pm - And again
И еще: некоторые технологии могут существенно повысить полезность идеи Honeypot/Honeynet.
And again: some new technologies can dramatically improve Honetpot/Honeynet research value.
http://research.microsoft.com/HoneyMonk
09:03 pm - Small addition
Немного запоздало, но вдогонку к предыдущему посту:
In addition to previous post:
http://securitylab.ru/news/215911.p
http://www.crime-research.ru/news/1
http://www.webplanet.ru/news/security/2
Aug. 7th, 2005
05:55 pm - Is there any HONEY in this POT?
Идея создания Honeypot-ов имеет большое число приверженцев, как и проект “Know your enemy”. Он позволил получить огромное количество реальной информации о black hats (или попросту кракерах) и их методах. Несмотря на то, что я считаю этот проект весьма полезным и перспективным, сегодня хочется отметить один его недостаток, или скорее ограничение. Но начну с другой стороны.
В последнее время многих «безопасников» все больше волнует проблема возможных «направленных» атак. Например, на некую компанию поступает «заказ». Злоумышленник(и) пишет уникальный, не светившийся ранее перед антивирусными и anti-spyware компаниями, вредоносный код. Он внедряется на пользовательские рабочие станции компании-жертвы, где и выполняет основную работу. Идея не нова – возможность реализации такого была всегда, но в связи с все большим вовлечением криминала в «киберпространство», вероятность осуществления таких атак увеличивается, о чем свидетельствует и просачивающаяся в публикации информация. Некоторые аудиторы компьютерной безопасности также успешно используют схожие техники.
Honeypot отличная идея того, что я бы назвал «независимый и объективный опрос кракеров». Смотря на результаты, как и с любым другим опросом, следует обращать внимание на репрезентативность выборки респондентов. Выборка проекта “Know your enemy” вполне репрезентативна, если вас интересует средний кракер. Но ситуация меняется, если вы озабочены методами криминальных структур, используемыми при организации направленных атак.
Отличная цитата из «Искусства войны» Сунь Цзы:
«Поэтому сказано, что тот, кто знает врага и знает себя, не окажется в опасности и в ста сражениях. Тот, кто не знает врага, но знает себя, будет то побеждать, то проигрывать. Тот, кто не знает ни врага, ни себя, неизбежно будет разбит в каждом сражении».
А кого считаете основным врагом ВЫ?
The idea of Honeypots is very popular, as is “Know Your Enemy” project. It allowed us to gain huge amount of actual information about black hats and their methods. I think the project is very important and promising. But today I wanted to point out one of its deficiencies, or better a limitation. I’ll start from the other side.
Many of the “security people” are worried by directed attacks. For example someone gets contract to breach into your company’s network. He (or they) writes unique malicious code that is not recognized by any antivirus and antispyware software. This code is then injected to users workstations of victim company and does its job. There’s nothing new in such an attack, its possibility have always been there. But probability of such attacks increases as more and more crime is involved in cyberspace. And more and more information about such incidents is appearing in mass media. Also some of the computer security auditors are successfully using similar techniques.
Honeypot is a great idea of what I would call “independent and objective black hat survey”. So, while reading the results, take into consideration representativeness of the respondent sampling. “Know your enemy” project gives us a good sampling of “mean black hat”. But results are not quite precise if you are interested in methods, used by organized crime to perform direct attacks.
There’s a great quote from Sun Tzu “On the art of war”:
“Hence the saying: If you know the enemy and know yourself, you need not fear the result of a hundred battles. If you know yourself but not the enemy, for every victory gained you will also suffer a defeat. If you know neither the enemy nor yourself, you will succumb in every battle.”
And who is YOUR primary enemy?
Aug. 5th, 2005
11:27 am - How to "meet the minds"
Сегодня хочу поделиться своим печальным опытом общения с консультантами. Все это навеяно (но не связано) статьей: http://securityfocus.com/columnists/3
- Какие порты надо открыть?
- Надо открыть порты [a], [b] и [c].
- А куда?
- На сервера [D], [E] и [F].
- Эти сервера выполняют разные функции, неужели один набор портов на все?
- Да.
- А порт [a] не слушается на сервере [E], зачем его открывать?
- Мы рекомендуем вообще тут трафик не фильтровать.
- ???
Возможно это мое субъективное ощущение. Возможно уровень информационной безопасности по стране таков, что люди чуть ли не впервые сталкиваются с ситуацией, когда им вообще предъявляют требования по безопасности? Маловероятно что это так. Не хочу, чтобы сложилось впечатление, что я ругаю всех подряд, но общее впечатление именно такое. Может мы пока не научились технике «Meeting of the minds»? :)
Today’s post is about my experience of dealing with external consultants (thoughts flowed from, but not directly related to http://securityfocus.com/columnists/3
- What network ports should we open?
- You should open ports [a], [b] and [c].
- And for what hosts?
- For hosts [D], [E] and [F].
- But these hosts serve different functions, are port numbers the same?
- Yes.
- But there is no service on port [a] on host [E], why should we open it?
- We would recommend no filtering at all.
- ???
Maybe it’s my subjective feeling. Or information security level in Russia is so low, that it is uncommon to have security requirements along with functional requirements. I don’t think this is the case. I’m not talking about all and every consulting agency, but overall level seems to be low. Did we come across the problem of “Meeting of the minds”? :)
Aug. 3rd, 2005
04:59 pm - Interview, that is not boring
http://securityfocus.com/columnists/3
На удивление чтение этого интервью не было нудным :). Хочется обратить внимание на несколько мыслей (что-то добавлено от себя):
* Сегодняшние угрозы компьютерной безопасности это уже давно не "kid looking for fun", а деятельность преступных группировок.
* Безопасность стала частью PR, поэтому просто сравнивать количество обнаруженных в программных системах уязвимостей с учетом их рейтинга не имеет большого смысла. Более того, это вредно – тогда компании будут занижать присваиваемый уязвимостям рейтинг в стремлении выглядеть лучше. Как минимум нужны единые критерии.
* Еще не известно, что из двух крайностей лучше: не ставить вообще никаких систем безопасности или поставить все что можно. Особенно если учесть количество уязвимостей в самих системах безопасности. «I don't know, installing every vendor's local security agents on top of their operating systems? Now, I'll grant that if someone was insane enough to do this, their system would indeed collapse of its own weight.»
http://securityfocus.com/columnists/3
Surprisingly reading this interview was not boring :). I’d like to point out interesting moments (with some my additions):
* Modern threats to computer security are more a result of organized computer crime rather than "kid looking for fun".
* Security has become a part of PR. And there is no sense in comparing number and vendor-assigned severity of vulnerabilities found in software. Moreover, doing so will lead to side effect of vendors reducing severity rating for their vulnerabilities for better comparison results. At least we need standardized criteria for this.
* I cannot say what the best is: to have no security products installed on your system or to have all possible security systems. Here is the quote: «I don't know, installing every vendor's local security agents on top of their operating systems? Now, I'll grant that if someone was insane enough to do this, their system would indeed collapse of its own weight.»
Jul. 28th, 2005
12:38 pm - When functionality and security are in contradiction?
Я не отношу себя к людям, которые считают, что безопасность и функциональность несовместимы. Разумная безопасность и функциональность вполне могут сосуществовать. Но, естественно, есть и исключения. Больше всего меня волнуют "передовые" технологии туннелирования, такие как RPC over HTTP. В таком варианте некий трафик, который может быть запрещен технически и политикой безопасности, маскируется под вполне безобидный. Однозначно не могу признать такую ситуацию нормальной - политика безопасности должна быть централизована. Если какой-то функционал необходим, он должен быть разрешен и соответствующим образом защищен. Если он запрещен, то существование способов обхода несет серьезную угрозу. Только архитекторы таких систем в упор не хотят этого понимать.
На ту же тему: http://www.schneier.com/blog/archives/2
I don't think that functionality and security are mutually exclusive. Reasonable security and functionality can coexist fairly well. There are exceptions, however. Most troubles are caused by "progressive" tunneling technologies, such as RPC over HTTP. With them some traffic, that is prohibited by security policy and by technical means, is tunneled into legitimate protocols (in other words masked). This situation is certainly not normal - if you have a security policy it should be centralized. If some functionality is necessary it should be secured and permitted. Otherwise it should be disabled and/or prohibited and tools to circumvent it are a serious threat. But designers of such systems are not willing to see this point.
See also: http://www.schneier.com/blog/archives/2
Jul. 20th, 2005
05:25 pm - This journal description
Данный журнал по возможности будет посвящен вопросам информационной безопасности, с которыми я сталкиваюсь по работе и которые мне интересны.
This journal will be devoted to information security problems that I regularly encounter at work and that are of interest to me.
12:41 pm - Welcome
Добро пожаловать, дорогой друг.
Ну что еще можно написать в качестве первой записи :)
Welcome dear friend.
What else could I say in my first record :)