Архив

Публикации с меткой ‘Безопасность’

Об информационной безопасности в paranoid-режиме

9 ноября 2010

В догонку статьям Об информационной безопасности в нормальных компаниях и Об информационной безопасности в говноконторах кратенько опишу увиденные или опробованные способы обеспечения ИБ в компаниях, где включен режим параноика по умолчанию.

В случаях, когда приходится работать с информацией, составляющей государственную тайну или незапатентованные ноу-хау, в ход пускаются реально экстремальные средства обеспечения информационной безопасности: мониторы со специальной частотой мерцания пикселей, изображение с которых не захватывается фотоаппаратами или видеокамерами, внутренние сотовые сети, работающие на мощностях предприятия, а не сотового оператора, корпоративные мобильные телефоны, изготовляемые под заказ, рамки металлодетекторов и рентгена (!!!) на входе и выходе из здания, тонкие клиенты или терминалы, не имеющие никаких незанятых интерфейсов и прямого выхода в Интернет, клавиатуры и мыши с экранированными кабелями для исключения перехвата через них вводимой информации, почтовые серверы с белыми (БЕЛЫМИ!!! Это когда письмо нельзя отправить никуда, кроме разрешенных ПОШТУЧНО адресов, даже внутри одного домена) списками допустимых адресатов, круглосуточное видеонаблюдение везде, даже в туалете, а также полный запрет на вынос бумажных носителей за пределы стен предприятия (помним про рентген!). Также окна в здании могут быть затонированы (или заложены изнутри кирпичом) и покрыты специальным веществом, гасящим вибрации (чтобы было невозможно восстанавливать звуковую информацию из помещения с помощью лазера, интерпретирующего эти вибрации в звук). А, ну и вряд ли в такую компанию реально устроиться без прохождения тестирования на полиграфе и собеседования с психоаналитиком.

Default , ,

Об информационной безопасности в нормальных компаниях

8 ноября 2010

В компаниях с вменяемым управлением информационной безопасностью занимается не один самодур с группой шестерок-подчиненных, а полноценный отдел, состоящий из специалистов различных компетенций и обладающих различными навыками, в сумме с топ-менеджментом образующие комитет по сокращению или полному избеганию рисков для бизнеса.

Состав службы безопасности в ситуации, приближенной к идеальной, обычно выглядит примерно следующим образом:
1. Разработчик политик. Отвечает за написание корпоративных политик. Должен иметь связи с ключевыми подразделениями компании и входить в функциональные группы, чтобы обсуждать политики с руководителями, юридическим и кадровым отделами. Должен уметь определять, какие политики требуются компании, и обеспечивать их поддержку, особенно на уровне высшего руководства.
2. Архитектор безопасности. На основании требований и нужд бизнеса, проектирует систему безопасности. Должен заниматься связями с поставщиками, отслеживать технологии, продукты и перспективы, принимать решения, когда компания должна переходить на новые технологии обеспечения безопасности, и должна ли вообще.
3. Оператор. Обеспечивает работу инфраструктуры безопасности. Имеет дело с повседневными задачами, например с потерянными или сломанными картами доступа, новыми сотрудниками или подрядчиками, увольнениями из компании. По возможности помогает архитектору в построении инфраструктуры.
4. Аудитор. Может быть членом сторонней консалтинговой группы. Аудитор строит систему проектов и служб проверки безопасности компании на предмет ее соответствия требованиям. В программу тестирования может входить социальная инженерия.
5. Менеджер рисков. Осуществляет техническое руководство со стороны бизнеса. Оценивает технические требования с целью подсчета рисков для компании, связанных с отклонением от стандартов политики.
6. Группа реагирования на происшествия. В большинстве случаев состоит из системных администраторов и сотрудников отдела информационной безопасности. Вступает в дело, когда происходит реальное вторжение или есть подозрение на него. Периодически собирается для обсуждения процедур реагирования на происшествия.

Силами такого СБ устанавливается необходимый предприятию режим информационной безопасности, не препятствующий ведению бизнеса, а способствующий ему. В компаниях такого уровня договоры не лежат на согласовании месяцами, финансовые потоки идут короткими путями с нужной скоростью, а сотрудники не затюканы постоянными допросами и подозрениями в порочных связях, и необходимостью за каждый чих писать служебные записки и объяснительные.

Default , ,

Об информационной безопасности в говноконторах

7 ноября 2010

Итак, в один прекрасный день в вашу компанию ООО «Финанс Консалтинг Евро Энтерпрайз Корпорейтед» входит походкой ХОЗЯИНА зрелый мужчина лет 40-50, которого представляют Начальником Службы Безопасности (именно так, с Больших Букв). Секретарша с ресепшн бежит делать ему кофе, а кадровик пропадает в его кабинете на пару часов. Выходит оттуда постаревшим и помятым, а секретарша начинает вызывать к НСБ поочередно разных лиц, волею-неволей имеющих доступ к разного рода конфиденциальной информации и финансовым потокам. К несчастью, среди них будете и вы, ИТ-персонал.

НСБ даже при росте в метр-сорок смотрит на всех, кроме генерального, свысока. ЕГО глаза сверлят черепную коробку, пытаясь проникнуть прямо в мозг, чтобы извлечь оттуда наружу все ваши греховные мысли и коварные планы. ОН знает все, что касается жидо-массонских заговоров, и умеет их пресекать. ОН знает все, что касается корпоративной безопасности, особенно информационной. ОН пришел сюда затем, чтобы ликвидировать ВСЕ пробелы и проблемы. ОН знает, что самое главное — это установить тарификатор на офисную АТС (чтобы быть в курсе, кто куда звонил и сколько денег таким образом выговорил), счетчик трафика на шлюз (чтобы быть в курсе, кто куда в Интернете ходил, какую порнуху смотрел и какими коммерческими тайнами делился с ВРАГОМ), закрыть доступ в Одноклассники, запретить пользоваться аськой и скайпом и заблокировать USB-порты, чтобы никто вдруг не посмел вынести на флешке ТУ-САМУЮ-ТАЙНУ-ЗА-СЕМЬЮ-ПЕЧАТЯМИ, которая кормит генерального, топ-менеджмент, ЕГО, всю-бесполезную-кодлу-других-сотрудников, да и Родину в целом. Он наверняка найдет в Интернете примеры положений об ИБ, слегка их модифицирует и адаптирует (возможно, забыв исправить титульный лист, на котором черным по белому будет указано название другой компании) и заставит всех подписать. ОН обязательно возьмется за трудовую дисциплину и внедрит систему контроля доступа за пару десятков тысяч долларов, чтобы наказывать опозданцев и пресечь попытки выносить ТУ-САМУЮ-ТАЙНУ-ЗА-СЕМЬЮ-ПЕЧАТЯМИ из офиса в нерабочее (неподконтрольное ЕМУ) время. ОН непременно потребует от вас расставить шпионилки (в лучшем случае — RAdmin для режима просмотра, в худшем — кей-логгеры или вообще Camtasia) на компьютеры сотрудников, а заодно попросит доступ к почтовым ящикам их же. ОН точно внедрит (за пару десятков тысяч долларов, помните?) в ваши 40 квадратных метров оупен-спейса видеонаблюдение с 25 ракурсов. ОН однозначно будет проверять историю звонков с корпоративных мобильных телефонов, «пробивать» номера и проводить разъяснительные беседы с теми, кто переговорил лимит на 100 рублей, в том числе требовать объяснительные в письменном виде. ОН стопроцентно будет скрупулезно просматривать вообще любые счета: на ластики и скрепки, на средства производства, на технику, на любого рода услуги от подрядчиков, на корпоративный кофе в общую кухню с целью найти несоответствие цен среднерыночному уровню (который определяется по двум верхним позициям на прайс.ру) и предложить своего «нормального» поставщика («Вася с моего взвода!»). ОН, кстати, совершенно точно при отказе внедрять видеонаблюдение или СКД собственными силами, сочтет и назовет вас некомпетентным (на степени CCNP и MCSE — похуй). И обязательно должит «куда надо».

ОН даже в офисе на 30 рыл умудрится разрастить свой отдел человек до 5-ти (ну а хуле, САМ что-ли делать все будет?… Тут, в первую очередь, компетенций не хватит, во вторую — времени). ОН точно заебет всех и вся своей навязчивостью и дотошностью даже в самых малых вопросах, согласно собственным симпатиям, добьется увольнения нескольких полезных сотрудников.

У НЕГО короткая стрижка и неплохая осанка. ОН однозначно служил в армии или ментовке, причем, лет 10-20.

ОН, кстати, долбоеб.

Навеяно парой проектов, многочисленными повествованиями коллег и собственным давним опытом.

Default , , , , ,

Сокрытие программы в списке «Установка и удаление программ»

28 марта 2010

Иногда бывает полезно скрыть программу от глаз и рук пользователя, особенно ее деинсталлятор. Чтобы программа пропала из списка «Установка и удаление программ», необходимо сделать следующее:

1. Открыть редактор реестра, пройти в ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
2. Отыскать в списке нужную программу
3. Переименовать строковый параметр DisplayName в QuietDisplayName.

Default ,

Группы безопасности Windows

14 февраля 2010

Все нижеописанное относится к Windows 2003, являющейся членом домена Active Directory. Итак, по умолчанию в ней существуют следующие группы безопасности:

1) Administrators (Администраторы) — члены группы обладают полным доступом ко всем ресурсам системы. По умолчанию содержит встроенную учетную запись Administrator.

2) Backup Operators (Операторы архива) — члены этой группы имеют право архивировать и восстанавливать файлы в системе независимо от того, какими правами эти файлы защищены. Backup Operators могут входить в систему и завершать ее работу, но они не имеют права изменять настройки безопасности. По умолчанию пуста.

3) Guests (Гости) — эта группа позволяет выполнить регистрацию пользователя с помощью учетной записи Guest и получить ограниченные права на доступ к ресурсам системы. Члены этой группы могут завершать работу системы. По умолчанию содержит пользователя Guest.

4) Power Users (Опытные пользователи) — члены этой группы могут создавать учетные записи пользователей, но они имеют право модифицировать настройки безопасности только для созданных ими учетных записей. Кроме того, они могут создавать локальные группы и модифицировать состав членов созданных ими групп. То же самое они могут делать с группами Users, Guests и Power Users. По умолчанию пуста.

5) Replicator (Репликатор) — членом группы Replicator должна быть только учетная запись, с помощью которой можно зарегистрироваться в службе репликации контроллера домена. Ее членами не следует делать рабочие учетные записи. По умолчанию пуста.

6) Users (Пользователи) — члены этой группы могут выполнять большинство пользовательских функций. Могут создавать локальные группы и регулировать состав их членов. Они не могут получить доступ к общему каталогу или создать локальный принтер. По умолчанию содержит служебные учетные записи NT AUTHORITYAuthenticated Users (S-1-5-11) и NT AUTHORITYINTERACTIVE (S-1-5-4).

7) Network Configuration Operators (Операторы настройки сети) — группа, члены которой имеют некоторые права по настройке сетевых служб и параметров. По умолчанию пуста.

8) Remote Desktop Users (Удаленные пользователи рабочего стола) — эта группа содержит имена пользователей, которым разрешен удаленный доступ к рабочему столу.

9) HelpSenicesGroup (Группа служб поддержки) — группа для поддержки справочной службы Help and Support Service. По умолчанию содержит учетную запись SUPPORT_388945aO.

10) Performance Log Users (Пользователи журналов производительности) — члены этой группы могут просматривать журналы производительности. По умолчанию содержит служебную учетную запись NT AUTHORITYNETWORK SERVICE (S-l-5-20).

11) Performance Monitor Users (Пользователи системного монитора) — группа, члены которой могут выполнять мониторинг производительности системы. По умолчанию пуста.

12) Print Operators (Операторы принтеров) — члены этой группы могут администрировать принтеры в домене. По умолчанию пуста.

13) TelnetClients (Клиенты telnet) — группа, члены которой имеют доступ к службе Telnet Server на данном компьютере. По умолчанию пуста.

Default , ,

Безопасное удаленное администрирование Windows

13 февраля 2010

Одна из самых непротиворечивых концепций безопасности гласит, что без крайней необходимости работать под учетной записью администратора не следует. Особенно под учетной записью администратора домена. Однако, решение административных задач, требующих повышенных привилегий, эта концепция не отменяет. Удаленный доступ к серверу через Remote Desktop – это лишние телодвижения, да и, опять же, небезопасно. Наиболее подходящий путь – локальный запуск нужных оснасток управления с использованием команды RunAs, которая позволяет администратору выполнять любые задачи в системе, зарегистрировавшись в ней с использованием учетной записи рядового пользователя.

Для управления удаленными серверами Windows я использую пакеты Administrative Tools для своей клиентской ОС. Они доступны для загрузки с сайта Microsoft:

Windows Server 2003 Administration Tools Pack: http://www.microsoft.com/downloads/details.aspx?FamilyID=c16ae515-c8f4-47ef-a1e4-a8dcbacff8e3&displaylang=en

Microsoft Remote Server Administration Tools for Windows Vista: http://www.microsoft.com/downloads/details.aspx?FamilyId=9FF6E897-23CE-4A36-B7FC-D52065DE9960&displaylang=en

Remote Server Administration Tools for Windows 7: http://www.microsoft.com/downloads/details.aspx?FamilyID=7D2F6AD7-656B-4313-A005-4E344E43997D&displaylang=en

Установив соответствующий вашей системе пакет администрирования, вы получите доступ прямо со своего компьютера к большинству оснасток управления серверами, таких как Active Directory Domains and Trusts, Active Directory Sites and Services, Active Directory Users and Computers, Distributed File System, DNS, Group Policy Editor, DHCP и пр.

Для запуска любой из оснасток с привилегиями доменного администратора, применим команду RunAs. Например, запустим оснастку Active Directory Users and Computers от имени пользователя admin, принадлежащего к домену domain.ru:

runas /netonly /user:domain.ru\admin “mmc dsa.msc”

Синтаксис RunAs достаточно прост, чаще всего с ней используются следующие ключи:

1) /user – имя пользователя;

2) /netonly – использование полномочий только для доступа к удаленным ресурсам;

3) /env – использование текущего окружения, без создания окружения, характерного для указанного ключем /user пользователя;

4) /profile – загрузка профиля пользователя;

5) /noprofile – загрузка профиля пользователя не будет осуществляться.

По аналогии можно запускать любую из оснасток, входящих в состав Administration Tools:

Active Directory Domains and Trusts — domain.msc

Active Directory Sites and Services — dssite.msc

Active Directory Users and Computers — dsa.msc

Computer Management — compmgmt.msc

Distributed File System — dfsgui.msc

DNS — dnsmgmt.msc

DHCP – dhcpmgmt.msc

Group Policy Editor — gpedit.msc

Local Security Settings — secpol.msc

Routing and Remote Access — rrasmgmt.msc

Само собой, оснастки для управления локальными ресурсами, которые по умолчанию установлены в любой Windows-системе, начиная с Windows XP, можно использовать и для администрирования удаленных систем. Приведу список самых используемых:

Services – services.msc

Device Manager — devmgmt.msc

Disk Management — diskmgmt.msc

Local Users and Groups — lusrmgr.msc

Shared Folders — fsmgmt.msc

Напоследок напомню, что для работы RunAs необходимо, чтобы была запущена служба Secondary Logon.

Default , , ,

Путь параноика

9 сентября 2009

Я достаточно давно занимаюсь Windows-системами. Около 10 лет назад мне впервые довелось столкнуться с вирусами. Это была практически безвредная программа, плодящая в каждом каталоге на всех локальных дисках текстовый файл, содержащий сообщение о том, что система заражена, и что мне следует более серьезно относиться к вопросам безопасности. Этот фэйк глубоко засел мне в душу, и тогда я заселил на свой компьютер первый антивирус. Dr. Web.

Со следующим вирусом я столкнулся через пару лет, и он нанес мне куда более заметный ущерб, чем его предшественник: уничтожил все exe-файлы на всех разделах. На дворе стоял бородатый год, и Интернет был медленный и дорогой. Поэтому холимый и лелеемый архив ПО, выкачанный за много ночей (потому что Интернет ночью был дешевле), был похерен раз и навсегда. Это было неприятно. Dr. Web, лицензионный и регулярно обновляемый, тоже был похерен, но уже мной лично. Такого я ему простить не мог. Как и мириться с создавшимся положением. Положением беззащитности. Рядом с антивирусом появился брандмауэр. Чуть позже семейство моих охранителей было дополнено еще и охранителем от adware. Тогда мне показалось, что моя миссия построения оборонительных редутов выполнена. Я ошибался.

На моем первом месте работы, где Windows-систем было много, я узнал, что в корпоративной среде привычные правила не действуют. Во-первых, антивирусы почти на всех компьютерах стояли разные. Во-вторых, у большинства они и обновлялись кое-как, а то и были установлены уже на зараженную систему. В-третьих, компьютеров было так много, что осуществление мониторинга работы антивирусов отняло бы у меня большую часть рабочего времени. Собственно, через 2 недели после начала моей карьеры в той организации, разгул вредоносцев достиг своего апогея: у нас перестала отсылаться электронная почта. Звонок провайдеру все разрешил: они заблокировали нам весь исходящий SMTP-трафик, т.к. с нашего IP-адреса совершались массовые рассылки спама. Это был первый ботнет, с которым я боролся.
Победа далась дорого. Зато я узнал о существовании антивирусов для корпоративной среды с централизованным управлением и intranet-сервером обновлений.

К сожалению, тенденция такова, что сперва появляется вирус, а уже потом антивирусы приобретают навык его ловить. Это правило сыграло со мной злую шутку еще несколько раз. Каждый раз я формулировал для себя новые концепции безопасности. Например, взял за правило регулярно устанавливать обновления для системы и ПО, следить за bug-traq’ами, не работать под учетной записью с правами администратора, когда в этом нет необходимости, устанавливать строгие разрешения NTFS, тестировать новое ПО на виртуальной машине, детально настраивать брандмауэры и периодически проводить резервное копирование критически важных данных.

Да, у меня есть ИБП. И я задумываюсь над автоматической системой пожаротушения, а может и о дизель-генераторе в подвале.

Как же страшно становится жить!…

Default ,

Управление удаленным FreeBSD-сервером с оглядкой на безопасность

22 апреля 2009

Я уже давно приучил себя к мысли, что выполнять любые операции с системой, для которых не требуются привилегии администратора, необходимо под учетной записью обычного пользователя. Применительно к UNIX, это вообще стандарт де-факто, идея-фикс, канон, догма и так далее. А когда речь идет об удаленной машине, имеет смысл вовсе запретить логиниться на нее root’ом. Но права root’а иногда все-таки нужны, а FreeBSD — система консервативная, не слишком быстро реагирующая на перемены в мире, и, скажем, распространенной в среде Linux команде sudo не обучена. Зато в числе групп безопасности FreeBSD имеется группа wheel, которой делегированы права выполнять команду su (от SuperUser — команда, повышающая привилегии пользователя до уровня root). Сложив вышеназванные факты воедино, приходим к следующему решению:

Создаем нового пользователя:

# adduser

Система спросит имя пользователя, логин, домашний каталог и пр. В рассматриваемом примере предположим, что мы создали пользователя webadmin.

Добавляем его в группу wheel. Для этого необходимо отредактировать строку в файле /etc/group, добавив нужного пользователя через запятую после root:

wheel:*:0:root,fedoseyev,webadmin

Запрещаем root’у логиниться по ssh. Для этого правим конфигурационный файл демона ssh — /etc/ssh/sshd_config. Нас интересуют 2 параметра:

PermitRootLogin no
PasswordAuthentication yes

Осталась самая малость. Перезапускаем демон ssh:

# /etc/rc.d/sshd restart

Готово. Самое время проверить результаты работы. Для начала стукнемся root’ом:

login as: root
Using keyboard-interactive authentication.
Password:
Access denied

Нельзя, что нам и требовалось. Логинимся созданным пользователем и повышаем привилегии до суперадминистратора (когда в ответ на команду su система спросит пароль, она, само собой, будет иметь ввиду пароль root’а):

login as: webadmin
Using keyboard-interactive authentication.
Password:
Last login: Wed Apr 22 20:03:18 2009 from x.x.x.x

[20:23] webadmin@SAN [/home/webadmin] > su
Password:
[20:23] webadmin@SAN [/home/webadmin] #

Вуаля.

Default , , ,