Verdediging tegen Trojaanse Software Distribution
Verdediging tegen dit soort aanvallen vallen in drie categorieën: bewustmaking van gebruikers, beheerder integriteit controles, en zorgvuldig testen van nieuwe software. Ten eerste moet u en uw organisatie zich bewust zijn van de dreiging. Zonder fundamentele kennis van wat je tegen, bent u gegarandeerd verliezen. Uw beleid moet duidelijk aangeven dat de gebruikers strikt verboden installeren ongeautoriseerde programma's op de systemen van uw organisatie. Gebruikers moeten niet installeren onverwachte software-updates die aankomen in de post, geen kwestie hoe "officiële" ze lijken te zijn. Kan me niet schelen als het pakket opgenomen logo van het bedrijf, het mag nooit worden geïnstalleerd. Als er updates niet komt, moeten zij onmiddellijk worden toegezonden aan de security team. Als je de systemen van gebruikers te werken, moet u beschikken over een formeel plan aankondigt hoe je zult de distributie van software voor hen. Dit plan moet worden opgenomen in materialen bewustmaking van gebruikers. Bovendien samen een bewustmakingscampagne te laten op uw computer gebruikers en beheerders weten dat aanvallers soms vervelende software te verspreiden via het internet of zelfs via de post. Verkleed je bewustzijn inspanningen door het opzetten van een kraam buiten een cafetaria met kleurrijke borden en ballonnen. Ik noem dit de froo-froo onderdelen van een security awareness campagne, omdat het geen diepe noch technisch. Toch is de froo-froo belangrijk, omdat het de aandacht krijgt van de gebruikers. Verdeel eenvoudige pamfletten met silly cartoons om uw basis van gebruikers om hen te laten weten hoe het juiste te doen. Hoewel een solide beveiliging bewustwordingsprogramma veel werk is, kan het leuk zijn. In feite zal het veel effectiever als het onderhoudend en vol froo-froo plaats van alleen de oude dreunende op over het beleid van deze bla-bla-bla beleid dat bla-bla-bla. Typische gebruikers snel afstemmen elke dialoog die ze niet begrijpen of zorg over, maar als het koel ballonnen en cartoons, maar ze zouden luisteren. Een ander belangrijk gebied voor de verdediging tegen deze aanvallen betreft de administratieve procedures voor het controleren van de integriteit van de pakketten die u downloadt. Telkens wanneer ik een upgrade van een software tool over het internet, heb ik altijd kopieën gedownload van ten minste drie verschillende spiegels. Ik controleer de integriteit van de programma's met behulp van een cryptografisch sterk mengelmoesje tegen kopiëren elke spiegel om te controleren of ze allemaal overeenkomen. U kunt een MD5 hash, als een soort digitale vingerafdruk, voor elk bestand met de grote md5sum programma opgenomen in de meeste Linux-distributies. In Windows kunt u gebruik maken van de gratis md5summer programma geschreven door Lucas Pascoe, beschikbaar op www.md5summer.org. Omdat MD5 is een one-way hash-functie, een aanvaller zou vinden het erg, erg moeilijk om een Trojaans paard met exact dezelfde hash als de legitieme programma te maken. Door moeilijk, bedoel ik dat ze een supercomputer draait duizenden jaren zou vergen om een kwaad programma dat het exact dezelfde hash als je goed programma te creëren. Tenminste, dat is het idee als deze one-way algoritmen zijn zo goed als we hopen dat ze zijn. Veel websites die software te distribueren over een bestand met de MD5 hash van de nieuwste versie op de site zelf. Echter, ik ben ongemakkelijk downloaden van een programma van slechts een enkele spiegel en controle van deze single hash van exact dezelfde site. Think about it. Als compromis zou kunnen aanvallers een website en Trojanize de software, natuurlijk konden ze het bestand met de hash op dezelfde webserver te wijzigen. Het idee is hier dat een aanvaller een moeilijke tijd afbreuk te doen aan verschillende spiegels van de code zou hebben, en daarom zal ik in staat zijn hun verraad vangen door het observeren van verschillende versies op de spiegels. Door het downloaden van meerdere spiegels en het controleren op consistentie tussen hen, ik krijg veel betere kans dat de aanvaller niet heeft aangetast hen allen, en ik heb een intact programma te draaien. Helaas, als de spiegels zijn automatisch bijgewerkt vanaf een centrale server, dan zou ik nog steeds verliezen als de bad guy de code op de belangrijkste server besmet. Ik heb de lat wat door het vergelijken van hashes over meerdere spiegels, maar de slechteriken nog kon sprong over de hogere bar. Sommige software download sites verder dan hashes en bevatten een digitale handtekening van de software, met behulp van een public key-encryptie pakket zoals Pretty Good Privacy (PGP). Als u software met deze handtekeningen te downloaden, moet u controleren of deze handtekeningen met een geschikt pakket, zoals het open-source kloon van PGP de naam "Gnu Privacy Guard", gratis beschikbaar op www.gnupg.org. Natuurlijk kan een aanvaller wijzigen van de digitale handtekening of zelfs vervanging van de sleutel gebruikt voor het ondertekenen van het pakket. Toch zou een dergelijke aanvallen veel moeilijker, en zijn daarom veel minder waarschijnlijk. Tot slot moet u altijd het testen van nieuwe instrumenten voor het werpen ze in productie. Een dergelijk testproces geeft u niet alleen een kans om de schadelijke software te detecteren van tevoren, maar ook geeft u enkele kostbare tijd voor anderen om het probleem te ontdekken voordat u blindelings gebracht code in productie. Ik werkte bij een bank waarvan de spek was gered, louter omdat zij besteden ten minste een maand herziening van een nieuwe versie van Sendmail voordat het in productie genomen. Ik zou graag vertellen dat ontdekten ze de Sendmail achterdeur, terwijl ze zocht via het programma in hun beoordeling netwerk. Toch hebben ze niet vinden. Toch, terwijl ze het analyseren van de nieuwe release om zeker te zijn voldaan zakelijke functionaliteit eisen, hadden andere mensen ontdekt en publiceerde de achterdeur in oktober 2002. Toen de bank gehoord over de ontdekking van een achterdeur in deze versie van Sendmail, rukte ze het uit hun test systemen en rolde het nooit in productie genomen. De ingebouwde vertraging van hun analyse proces zeker geholpen deze organisatie te voorkomen ramp. Voor kritieke beveiligingspatches, is een snelle inzet van cruciaal belang. Voor eenvoudige upgrades of nieuwe functies, een paar weken vertraging daadwerkelijk kan helpen de veiligheid te verbeteren. een artikel afkomstig van Greg McKlein
|
|||||
|