пятница, 31 октября 2008 г.

Farewell ненадолго…

Так как начинается горячая пора, связанная с подготовкой к Платформе, то я вынужден буду на этот месяц несколько сократить объем публикаций. Собственно, хорошо, если они вообще будут. Чтобы читатель не скучал, дам ссылки на последнее, что остановило мой взгляд за последние несколько дней и заставило что-то почитать, отличное от Design Guide по технологиям, которые я буду представлять на Платформе =)

Вторая часть переведенной мной статьи про свободное место на диске и NTFS:

http://blogs.msdn.com/ntdebugging/archive/2008/10/31/ntfs-misreporting-free-space-part-2.aspx

Переведен на русский язык Windows Server 2008 Security Guide: http://blogs.technet.com/iwalker/archive/2008/10/26/windows-server-2008-wssg.aspx

Выпущен Windows Server 2008 R2 Reviewers Giode: http://download.microsoft.com/download/F/2/1/F2146213-4AC0-4C50-B69A-12428FF0B077/Windows_Server_2008_R2_Reviewers_Guide_(BETA).doc

Началась (а не закончилась ли уже) конференция PDC, на которой представлены Azure, Windows 7 и еще много всего интересного:

http://www.microsoftpdc.com/

Пока хватит, благо, до Платформы осталось не так уж и много времени ;)

Я вернусь. Обязательно. Но пока ждут меня виртуальные машины, Design Guide и Architecture всяких вкусностей. До встречи.

среда, 29 октября 2008 г.

“Ну да, конечно”, или не полагайтесь на средства защиты сверх меры. Часть 10.

UAC

image Один из моментов, в которых я коснусь конкретной технологии. Просто потому, что это та самая технология, шумиха вокруг которой поднята из-за неверного понимания ее предназначения, ее возможностей и сценариев ее использования. Непонимание это, как мы полностью согласились с Вадимсом Подансом, вина целиком и полностью компании Microsoft. Они не смогли донести до общественности простые достаточно истины. Впрочем, и обчественность хороша. Лишь бы обгадить светлое дело коммунизма защиты информации. =) Потому на данный момент сложились два радикальных мнения на UAC:

1)      UAC это то, что необходимо выключить немедля.

2)      UAC защищает от взломов, хулиганов, тайфунов, землетрясений и бородавок, а так же помогает в любви.

Я постараюсь, как всегда, плюнуть посередине, так что получайте мой взгляд. Данный функционал не защищает Ваш компьютер. У него нет такого назначения. Так же, как нет такого назначения у NAP – он не несет с собой никакой активной защиты. Наличие UAC просто-напросто позволяет наиболее удобным пока способом из всех, мне известных, реализовать принцип наименьших привилегий. Плюс к этому даже администратору оно по умолчанию обрезает привилегии (что вовсе не является оправданием работы из-под оного администратора). Плюс к этому наблюдаются некоторые побочные эффекты. Например, на момент публикации вот этого моего сообщения не было известно ни одного руткита, который устанавливался бы при включенном UAC. А если посмотреть на последний бюллетень по безопасности от MS, то выяснится еще такая картинка (кликабельно):image Как видим, уязвимость везде, кроме Vista и Server 2008 оценена как Critical. При чем, если почитать оный бюллетень внимательно, то выяснится, что именно UAC’у Vista и Server 2008 обязаны снижением уровня опасности до Important. Так что штука достаточно полезная и сама по себе.

Однако, в этой серии я взял за правило ругать технологии, а не хвалить их. Продолжаем в том же духе. Итак, недостатки.

1)      если его отключить, он не будет работать. «так это… того… если антивирус отключить, то он тоже не будет работать»,- возразите Вы. Да так-то оно так. Только когда я гуглю название антивируса, то первым выскакивает сайт компании, а в случае с UAC первым идет

image 

дадада, первыми идут разные “взломщики UAC”. На втором месте UAC Step By Step Guide от Microsoft, на третьем информация о том, что UAC создан для того, чтобы раздражать пользователей. На 4м почетном месте та самая моя статья. А дальше в перемешку советы как эту функцию отключить и почему этого делать вроде бы как и нельзя. Учитывая, сколько пользователей попало ко мне на блог по различным сочетаниям слов “Vista”, “UAC” и “отключить”…

Мало того, ативирусы научились быть практически незаметными, а UAC нет. Потому неподготовленному пользователю он якобы мешает, отчего он и начинает попадать на мой блог ;)

2)      в случае, когда UAC работает по стандартной схеме, а не так как предложил Артем Проничкин в одном из комментариев к моему прошлому сообщению на тему UAC, то есть у пользователя есть доступ к учетной записи с административными привилегиями… короче, в этом случае именно пользователь определяет, что разрешить запускать, а что не разрешать. А пользователь, как мы давно уже выяснили, это обычно слабое звено. То есть вполне может решить, что вот именно эту музыкальную открытку в формате .exe ему следует запустить.

3)      Если вредоносная программа уже на компьютере и работает, то, насколько я понял из объяснений того же Артема, ей ничего не стоит влезть в административную сессию с повышенными привилегиями, когда пользователь ее начнет.

Итак, я пока закончил свою серию публикаций про недостаточность многих технических и прочих средств обеспечения безопасности самих по себе. Вроде бы ничего не забыл. Если забыл – дайте знать – исправлюсь. =)

 

Ссылки на публикации серии:

Часть 1: вводная

Часть 2: антивирус

Часть 3: Firewall

Часть 4: SSL

Часть 5: VPN + обновления

Часть 6: процедуры и регламенты + принцип наименьших полномочий

Часть 7: резервное копирование

Часть 8: контроль доступа и биометрия

Часть 9: шифрование

“Ну да, конечно”, или не полагайтесь на средства защиты сверх меры. Часть 9.

Шифрование данных.

image Предположим, что Ваши данные все-таки украли. После этого, если Вас волнует, конечно, конфиденциальность данных больше, чем их доступность, возможны два варианта:

1) Вы зашифровали данные

2) Эти данные перестали быть конфиденциальны.

Есть, правда третий вариант – украденный носитель вору интереснее, чем то, что на нем записано. Но нам этот вариант неинтересен, в этом случае потери минимальны.

В данный момент я бы различал три типа средств шифрования:

1) Шифрование отдельных файлов/папок (а-ля EFS).

2) Шифрование всего диска/раздела (BitLocker).

3) Создание зашифрованного виртуального диска внутри ОС (SafeDisk).

В принципе, все три метода имеют свои преимущества и недостатки. Давайте на них взглянем пристальнее.

1) Наши файлы шифруются на индивидуальной основе.

a. +

image i. Файлы, которые не являются конфиденциальными, не подвергаются шифрованию, потому производительность системы затронута по минимуму.

ii. В случае утери ключа данные можно восстановить при помощи агента восстановления (это про EFS, но у других производителей также реализованы свои методы восстановления)

iii. Можно предоставлять общий доступ к данным нескольким пользователям.

iv. Файл от копирования на другой носитель не перестает быть зашифрованным (UPD: В случае EFS это не так, если мы копируем на другую файловую систему. Скажем, FAT. За примечание спасибо Вадимсу Подансу =) ).

v. Если повреждена часть файла, то поврежден только этот файл.

b. –

i. Пользователю необходимо решать, какие данные нуждаются в шифровании. Не всегда он способен это решить правильно.

ii. Если не задан агент восстановления (стандартный случай при отсутствии домена, скажем), то многие простые, казалось бы, ситуации (переустановка Windows, удаление профиля, etc…), грозят утерей данных.

iii. Любой из пользователей, которым предоставлен доступ, может им злоупотребить.

2) Шифрование раздела

a. +

i. Шифруется все. То есть подлезть к конфиденциальным данным путемimage изменения неконфиденциальной части и/или ОС не получится.

ii. Так же есть способы резервирования ключей шифрования. Потеря оных не страшна, если задуматься над ней заранее.

iii. Некоторые технологии позволяют контролировать целостность данных на Вашем винчестере и, в случае попыток подделки просто не дадут Вашему компьютеру загрузиться.

iv. При повреждении кластера на диске пропадет только тот файл, который там записан. Все остальное останется неизменным.

b. –

i. Так как шифруется все, то есть некоторое падение производительности. На деле, с тем же самым BitLocker – обычно не более 5%.

ii. Если не побеспокоиться заранее, то разрушение ключевой информации будет фатальным. Не сможете восстановить ничего.

iii. Файлы, скопированные с такого компьютера на любой носитель, будут расшифрованы.

iv. Требует определенной культуры поведения. Например, Ваш ноутбук должен быть настроен как минимум на режим гибернации при закрытии крышки. И на уход в него же при длительном простое. Просто потому, что защита срабатывает только в том случае, если компьютер выключен.

3) Виртуальный зашифрованный диск

a. +

image i. Шифруется только то, что нужно – падение производительности так же, как и в первом случае, минимальное.

ii. Обычно бывают какие-то решения по хранению ключей, но сказать подробнее не могу, потому виртуально запишем в плюс =)

iii. В некоторых случаях позволяет переносить с одного компьютера на другой весь контейнер целиком.

iv. Не требует особых навыков от пользователя.

b. –

i. В случае повреждения файла контейнера обычно теряется вся информация, содержащаяся в нем.

ii. Пользователь опять же должен решать, что нужно, а что не нужно шифровать.

Плюс к этому есть еще пара общих факторов, влияющих на эффективность шифрования: если пользователь ушел и оставил рабочее место незалоченным, а виртуальный шифрованный диск еще и не размонтированным… Что ж. То же касается вирусов на Вашем компьютере. Если Вы расшифровали файл и используете его, то вирус тоже может его использовать.

Ссылки на публикации серии.
Часть 1: вводная
Часть 2: антивирус
Часть 3: Firewall
Часть 4: SSL
Часть 5: VPN + обновления
Часть 6: процедуры и регламенты + принцип наименьших полномочий
Часть 7: резервное копирование
Часть 8: контроль доступа и биометрия
Часть 9: шифрование
Часть 10: UAC

вторник, 28 октября 2008 г.

Поисковые запросы, PoSh, размер файлов и поиски решения.

Иногда просматриваю поисковые запросы, приводящие на мой блог. Иногда там есть подсказки на небольшие новые темы. Так было и вчера. Поисковый запрос выглядел так: “подсчитать размер всех файлов powershell”.

Собственно, задачка совсем простая и не стал бы я особо даже заморачиваться с написанием статей. Однако, когда я просто интереса ради дописал строчку

Get-ChildItem C:\test -recurse | Measure-Object -property length -sum

я немного задумался и понял, что такой простой вопрос не мог не возникать у кучи людей. И потому вполне может быть (и даже должно) решение давным давно выложено там, где я всегда искал ответы на заре той эпохи, когда я только начинал писать скрипты (я все еще учусь, но уже не по каждому поводу прибегаю к чьей-то помощи. Так… Через раз… Прогресс =) ). Таким местом для меня всегда был и остается Microsoft Script Center, который не подвел и в этот раз, выдав целую статью по искомому поводу.

Почему я решил написать об этом так много букв? Да потому, что до сих пор очень часто вижу запросы на написание каких-то мелких скриптов, когда для их написания достаточно того самого Script Center и спинного мозга. А иногда и просто можно найти ответ прямо там. То есть смело гуглим по сайту http://www.microsoft.com/technet/scriptcenter и находим то, что нужно первой строчкой:

image 

Хотел развернуть эту тему дальше – на то, как собирать скрипты из кусочков (точнее, как это делаю я), но передумал и решил предложить Васе Гусеву развить эту тему. А моралью данной статьи будем считать просто необходимость сначала искать примеры или куски скриптов в наиболее крупных репозиториях, а потом уже по всему интернету =)

“Ну да, конечно”, или не полагайтесь на средства защиты сверх меры. Часть 8.

Контроль доступа.

image «Мы установили лучшую систему контроля доступа, самую дорогую систему видеонаблюдения и наняли лучшее охранное агентство для обеспечения физической безопасности»

Вау!!! Круто. Нет, правда. Я тоже хочу такие. Только что толку? Карточки доступа оставляются на рабочих местах, потому что заботливая душа подперла уже давно дверь кирпичом. Охранник курит каждые 10 минут (а курение в офисе запрещено, потому он, как законопослушный гражданин бегает через все здание на улицу…).

А система видеонаблюдения ничего никуда не пишет, увы. И даже не просматривается. Вывод: в лучшем молоке оборудовании не всегда таится лучшая защита.

Биометрия

Сканеры отпечатков пальцев, сетчатки глаза и прочие средства биоаутентификации являются, увы, так же малым утешением. Да, их все труднее и труднее обмануть, но… Есть одно маленькое но. Трудно это сделать, имея крайне ограниченные сроки, нежелание разломать ноутбук, на котором хранятся защищенные данным средством данные и не хочется, чтобы кто-то догадался, что произошел взлом. Короче, от любопытных домочадцев или еще более любопытных сослуживцев. На худой конец, от случайного воришки, для которого ценность самого ноутбука неизмеримо выше, чем стоимость данных на нем. Но от злоумышленника, который целенаправленно «увел» именно Ваш ноутбук (а потому уже давно владеет Вашими отпечатками пальцев – это несложно, если оно ему нужно), обладает определенными временными, финансовыми и техническими ресурсами, а главное – головой…. От такого вора эти технологии не спасут. Просто потому, что ему не нужно будет сохранять целостность устройства, а потому он может обманывать не датчик, который обмануть моет быть и впрямь не просто, а те imageустройства и программы, которые сверяют полученный от устройства сигнал с зашитым образцом. И это уже будет, возможно, намного проще. Я уже не говорю о возможности просто подключиться к винчестеру, если он не зашифрован и просто удалить эту систему защиты нафиг… Или даже просто прочитать данные.

Остается, правда, одна область, в которой биометрия очень даже поможет и указанные мной «уязвимости» ни на что в этой ситуации не влияют – стационарные пункты доступа к информации и/или пропускные пункты – тут уже особо не поразбираешь ничего.

Ссылки на публикации серии.
Часть 1: вводная
Часть 2: антивирус
Часть 3: Firewall
Часть 4: SSL
Часть 5: VPN + обновления
Часть 6: процедуры и регламенты + принцип наименьших полномочий
Часть 7: резервное копирование
Часть 8: контроль доступа и биометрия
Часть 9: шифрование
Часть 10: UAC

понедельник, 27 октября 2008 г.

PBT – правда ли это кранты дамперам?

 image Сегодня ходил на пилотный экзамен 70-113. Можно не бросаться искать в каталоге – там его нет (то ли пока, то ли вообще). Реально это 70-640 с измененным способом тестирования. И это именно пилотный экзамен. Не бета. На деле за этот экзамен не выдадут сертификата, его цель просто понять, как и что нужно делать в Performance Based Testing (PBT), чтобы экзамен действительно оценивал уровень специалиста его сдающего.

Что представлял из себя сам экзамен и каковы мои ощущения от него? Сейчас расскажу. Только прошу учесть, что то, что я видел даже не бета версия, потому и цифры и прочие факты могут в последствии без всяких предупреждений измениться в любую сторону.

Экзамен делится на две части: лабораторные работы и стандартный multiple-choice тест. Про multiple-choice и сказать нечего – абсолютно все стандартно. Стандартный экзамен 70-640 (наверное ;) ) и стандратные “Вопрос - ответы”. А вот лабы… Лабы это то новое, чем собираются пугать дамперов и прочую нечисть… Лабы представляют из себя не привычные многим “симуляшки”, в которых зачастую можно было что-то сделать тольоко одним способом, а виртуальные машины, с созданной предварительно инфраструктурой, сетью, доменами и прочим барахлом. А ко всему этому хозяйству Вам дается несколько заданий. И Вы должны их выполнить, задания эти.

По моим ощущениям я бы предпочел сдавать экзамен, полностью состоящий из такого PBT. Почему? Отвечаю: в этих виртуалках доступен Help And Support Center!!! Нет, Вы только подумайте, есть задание, которое Вы не знаете как делать или забыли, куда конкретно лезть. Проблема? Отнюдь – спокойно идете в помощь, ищете, что нужно и читаете. Времени на это предостаточно, если большинство заданий сделано быстро. По моим наблюдениям, если знать ответы на все задания, что предложены этими лабами, то лаба выполняется за 20-30 минут. Остальное время можно потратить на самоусовершентсвование. В частности, из 18ти заданий лаб я с ходу не смог пройти 3. Итого, на решение двух задач у меня было около получаса, а на решение одной – почти сорок минут. Что не плохо, согласитесь (хотя если бы там еще библиотека TechNet была подмаунчена… Хых… Мечты… =)))) ) В общем, я не знаю, есть ли на свете идиоты, которые имея базовые знания по сдаваемой теме завалят всю лабу. Совсем дамперы без мозгов, наверное, поймаются. Более менее внятные люди должны пройти.

По поводу глюков: хоть происходило все это действие в софте Prometric глюков отмечено решительно не было. Возможно, повезло, возможно, ситуация меняется к лучшему.

И еще немного статистики. Я точно знаю, что она не помогает готовиться, но так же точно знаю, что некоторым помогает просто эмоционально настриться на экзамен:

1) Было две лабы и 37 вопросов в стандартной части теста.

2) На каждую часть выделялось по часу. Итого – три часа. Хватило с лихвой, потратил чуть больше полутора часов и то только потому, что в одном вопросе очень долго не был уверен. image

3) Заданий в первой лабе было 10, во второй – 8.

И последнее. Есть возможность испытать то, о чем я рассказываю самим. Регистрация на пилотную серию открыта до 17 декабря. Для этого нужно просто зарегистрироваться на экзамен 70-113 с промо-кодом H640. Зачем Вам это нужно? Ну, во-первых, интересно. А во вторых – первые 3000 кандидатов получат по три ваучера на бесплатные экзамены ;) На сей раз нормальные. Так что торопитесь =)

P.S. исходную информацию забыл: http://blogs.technet.com/mslcommunity/archive/2008/10/25/braindumps-schmaindumps.aspx

пятница, 24 октября 2008 г.

Из жизни. SQL, Mirror & все-все-все.

Многие, думаю, знают, что такое зеркалирование в MS SQL Server. Я тоже в курсе, мало того, часто приходится с этой технологией работать. Спасает она меня регулярно, но и подводные камни иной раз подставляет такие, что мама не горюй.

Например, в какой-то момент случилась такая вот оказия:

Перестает отвечать сервер principal. Мы его перезагрузили, но переключение зеркала не произошло, хотя и присутствовал witness. Мало того, после перезагрузки основного сервера у меня на руках оказалось два Principal… Да-да. Именно так мне и писалось. Увы, скриншот снять не догадался – не до того было ;)

Но на одном хосте состояние всех баз было “Principal, Disconnected”, а на втором “Principal, Disconnected/In Recovery” , по-моему.

Ужасная ситуация. Я начал с одной самой маленькой базы – удалил ее с основного хоста и стал восстанавливать зеркало. Восстановил базу на сервер с NORECOVERY и попытался запустить зеркало. Мастер Configure Security отработал на ура, но при попытке запустить зеркалирование я получил ошибку…

image_4

Опа… Какие-такие endpoints… Не брал. И Астрахань-то с Казанью вместе не брал, а уж endpoints… И вовсе не трогал. Начинаем ковыряться и находим статейку, с помощью которой видим, что все отлично работает:

image

Совсем упс… Пинговаться все пингуется, никаких внезапных файрволлов между узлами за те несколько минут, что все лежит тоже не появилось… Ужас. Совершенно непонятная ситуация, а время идет. Дальнейшее расследование нужного результата не давала. Даже нужный порт слушался на обоих серверах. Все было бессмысленным, надежда на премию таяла… И тут где-то промелькнула мысль, что, о ужас, строка, показанная на предыдущем скриншоте, может выдавать неверную информацию не только в случае, указанном в разделе Using The Error Log File For Diagnosis в последней ссылке. Итак, срочно запускаем

alter endpoint mirror state = started

на обоих серверах и – вуаля! Как только я это сделал, все старые базы просто-напросто заработали в штатном режиме зеркала, а та, где я успел убить зеркало дала его восстановить.

Глубинные причины происшедшего мне непонятны пока – расследование все еще ведется, но сам результат уже почти устраивает ;)

“Ну да, конечно”, или не полагайтесь на средства защиты сверх меры. Часть 7.

Резервное копирование.

image Как говорится – последняя надежда. Да, если Вас взломали, уничтожили серверную или просто пользователь легким движением руки отправил важные для бизнеса документы в утиль («совершенно случайно нажал shift и delete одновременно сразу после ctrl+A…» (c)), то остается один шанс – резервная копия, она же уже прочно вошедшее в нашу лексику слово бекап. Казалось бы, чего проще, залил раз в неделю (в месяц, в день, в час, в 15 минут…) резервную копию на ленту, CD, DVD, винчестер и живи спокойно. Однако и тут выясняется, что есть над чем подумать – неправильная стратегия может привести к тому, что последняя надежда может оказаться кладбищем самой себя. Прямо таки скажем, могилой. Как? Легко!

Пример 1: Вы просто заливаете бекапы, не проверяя их, и забываете на своем рабочем столе. В итоге, в момент, когда приходит час «Ч» Ваши носители оказываются залиты кофе или потеряны. А еще на них нет меток что и на чем записано, и, пока Вы перетряхиваете их содержимое, Ваш бизнес медленно, но верно умирает вместе с надеждами встретить старость на этом теплом месте. =(

Пример 2: Вы ни разу не пытались произвести тестовое восстановление систем. А когда пришло время восстанавливать их «в бою» выяснилось, что:

1) нужной копии нет под рукой, и никто не знает, как ее найти.

2) Когда копия находится, Вы понимаете, что никогда не читали «disaster recovery guide» к этой системе и уж точно никто не написал инструкцию.

3) И как только нужный документ проштудирован (а время идет…) становится ясно, что именно нужная копия либо испорчена кофе, или имеет ошибки записи, или бекап производился по схеме, которая не дает возможности отката на нужное время.image

Пример 3: Ваши бекапы украдены (ага, с того самого стола). И только после обнаружения пропажи выясняется, что копирование производилось без шифрования. А то и вовсе пропажа не обнаружится. А что может сделать злоумышленник с резервной копией Вашего контроллера домена, рассказать может Саша Станкевич.

Ссылки на публикации серии.
Часть 1: вводная
Часть 2: антивирус
Часть 3: Firewall
Часть 4: SSL
Часть 5: VPN + обновления
Часть 6: процедуры и регламенты + принцип наименьших полномочий
Часть 7: резервное копирование
Часть 8: контроль доступа и биометрия
Часть 9: шифрование
Часть 10: UAC

среда, 22 октября 2008 г.

“Ну да, конечно”, или не полагайтесь на средства защиты сверх меры. Часть 6.

Очередное продолжение нескончаемой серии…

Процедуры и регламенты.

"если запретить пользователям все плохое, то сеть станет неуязвимой". Ага. Прямо сразу. Вот только носки погладит... Что, Ваша сеть не умеет гладить носки? Ну так и неуязвимой она тоже быть не умеет. И в любом случае, запреты сами по себе ничего не решают. У нас запрещено нарушать правила дорожного движения, и что? =(

Правила, запреты, регламенты и прочая бумажная белибердень очень важны. Без них не может быть безопасности. Пусть они не всегда оформлены в виде документов (что на самом деле хорошо бы), но там где нет правил - там нет безопасности. Однако и сказать, что наличие правил от чего-то защищает само по себе - тоже ерунда. Правила нужно:

  1. Написать (еще здорово бы хорошо написать, но это тема отдельного разговора).

  2. Донести до пользователей и научить, как их выполнять (легко сказать "каждый пользователь должен менять пароль раз в месяц", но баба Клава может не знать, как это делается).

  3. Проследить за выполнением, а еще лучше, обеспечить выполнение техническими средствами.

Вот после этого комплекса мероприятий политика безопасности, если она была написана разумно, будет работать на благо безопасности Ваших данных.

Принцип наименьших полномочий.

"А вот мы пользователю админских прав не дадим и можно антивирус даже не ставить"... Защититься от дурака - можно. От изобретательного дурака - тоже, но на порядки сложнее. Защиты от пользователя, имеющего полный физический доступ к своему компьютеру задачи архисложная. И лучше уж и права ограничить и антивирус поставить и вообще не расслабляться. Для компьютеров, на которых обрабатывается суперважная информация, можно и нужно еще и отдельный контроль надо всем и вся, а вот за обычными порой так пристально не следят.

Ссылки на публикации серии.

Часть 1: вводная

Часть 2: антивирус

Часть 3: Firewall

Часть 4: SSL

Часть 5: VPN + обновления

Часть 6: процедуры и регламенты + принцип наименьших полномочий

Часть 7: резервное копирование

Часть 8: контроль доступа и биометрия

Часть 9: шифрование

Часть 10: UAC

вторник, 21 октября 2008 г.

“Ну да, конечно”, или не полагайтесь на средства защиты сверх меры. Часть 5.

Продолжение серии. Итак...
VPN.
Еще одна мегаполезная штука. Обеспечивает защиту данных при транзите. Отличная вещь и, при правильной реализации почти наверняка не подкопаешься. Однако, защищает только от того, чо я уже сказал: от перехвата и подделки данных в транзите. Если у Вас скомпрометирован один из узлов, участвующих в обмене, то в транзите данные будут в безопасности, но, как только они придут в пункт назначения, то тут же уйдут дальше - куда не надо. А еще, если лежит или заDOSен канал, то данные просто не передать, так что вопросы доступности эта технология так же не решает.

Обновления.
Есть радикальное мнение, что обновления - фигня. Сами Вы... =) впрочем, обратное мнение, что, мол, ставьте обновления сразу, как только они выходят и никто Вас не взломает... Увы, это тоже очевидная ересь и глупость. Во-первых, установка обновлений без тестирования на хоть сколько-нибудь значимое число компьютеров рано или поздно приведет к вполне предсказуемым (и неприятным, если кто не понял) последствиям. А во-вторых цикл разработки обновлений безопасности начинается (Вы не поверите) с того, что кто-то нашел уязвимость. И совсем не факт, что этот кто-то не ломает сейчас чью-то запатченную по самое не былуйся систему. Впрочем, таких талантов немного, к счастью для пользователей, потому обновления все-таки существенно снижают шансы на взлом.

Ссылки на публикации серии.

Часть 1: вводная

Часть 2: антивирус

Часть 3: Firewall

Часть 4: SSL

Часть 5: VPN + обновления

Часть 6: процедуры и регламенты + принцип наименьших полномочий

Часть 7: резервное копирование

Часть 8: контроль доступа и биометрия

Часть 9: шифрование

Часть 10: UAC

понедельник, 20 октября 2008 г.

“Ну да, конечно”, или не полагайтесь на средства защиты сверх меры. Часть 4.

Продолжаем разговор.
SSL
Обалденно нужная вещь, но мало кто представляет, что она реально из себя представляет. Мы видим сверху в браузере адрес, высвеченный зеленым и мы в безопасности.


Ага. Щаз. Аж три раза. Валидность сертификата для пользователя означает только четыре вещи:
1) Срок действия сертификата не истек
2) Сертификат или выдан доверенным СА (коих по умолчанию настроено несколько) или помещен в список доверенных.
3) Имя, на которое выписан сертификат, совпадает с именем сайта, на который пользовтель зашел.
4) Трафик между пользователем и сайтом шифруется.
"Здорово!", скажете Вы, "чего еще желать?". И будете неправы. Видно ли хоть одно указание на то, что этот сайт именно тот, на который Вы желали попасть? Чтобы было яснее, приведу пример. Допустим, купил я сертификат у какого-нибудь VerySign на имя sitybank.com (имею право? имею. А правильное имя: Citybank). Забабахал сайт один в один как у Ситибанка и... Что происходит дальше? Правильно, при попадании на мой сайт Вы обнаружите, что ССЛ обеспечит только безопасную передачу Ваших "очень важных данных" данных мне.
Ну и не стоит забывать, что даже если сайт тот, что надо и сертификат виден, то это не отменяет вероятности того, что сайт был взломан и его контента или времен или ворует данные. Но это, к счастью, происходит относительно редко.

Ссылки на публикации серии.

Часть 1: вводная

Часть 2: антивирус

Часть 3: Firewall

Часть 4: SSL

Часть 5: VPN + обновления

Часть 6: процедуры и регламенты + принцип наименьших полномочий

Часть 7: резервное копирование

Часть 8: контроль доступа и биометрия

Часть 9: шифрование

Часть 10: UAC

Мелочи. VMWare & Vista – счастливы вместе?

Что-то я совсем в “мысли вслух” и прочее балабольство ударился… Давайте разбавим это дело техническими мелочами… Ну и просто забавным =)

Представляете, ставите Вы Vista на VMWare. Ну поставили и поставили. По-умолчанию, без всяких изысков. А через некоторое время видите, что она в состоянии Suspended.

image

Хммм… Обойдя всех, что мог это сделать и получив в ответ “сам дурак – нам делать больше нечего, как туда ходить” Вы начинаете подозревать всех в мировом заговоре (Нет? Вы умнее? Вы давно про эту фишку знаете??? Ну… А я только сегодня сподобился. =) ), строить планы изощренной мести и… В общем, когда Вас, собравшись всем скопом все-таки убеждают, что никто никаких гадостей Вам не делал остается только думать – что же происходит в системе… Логи просто говорят, что вот, мол, перевожу в Suspended режим.

Мдя… Пренеприятнейшая ситуация и, похоже, что, если это и есть чья-то злая воля, то отнюдь не сослуживцев. Впору начинать верить в высшие силы. =)

А разгадка оказалась достаточно простой. Дело в том, что Vista по-умолчанию уходит через некоторое время в спячку. При этом VMWare отлавливает это событие и делает виртуалке Suspend. Так что, когда я пошел в котрольную панель и включил режим High Performance в Power Options… Что ж… Расследование могло занять и больше 20 минут =)

image Итог: если Ваша виртуальная машина самостоятельно уходит в режим Suspended, то проверьте настройки электропитания гостевой системы.

пятница, 17 октября 2008 г.

“Ну да, конечно”, или не полагайтесь на средства защиты сверх меры. Часть 3.

Перейдем теперь к….image

FireWall, Brandmauer, межсетевой экран.

При этих словах любой безопасник млеет и пускает слюну потирает руки: «сейчас я тут понастраиваю!!!». Увы, совсем не каждый умеет это делать. А неправильно настроенный файрволл это распахнутые врата в Вашу систему. Впрочем, это касается не только сетевых экранов. По статистике до 95% всех внешних проникновений в системы являются следствием неправильных настроек систем безопасности. И лишь 5% это различные уязвимости, не устраненные на момент взлома и прочие факторы. Вернемся тем временем к файрволлам: они должны быть настроены. Есть файрволлы, которые достаточно правильно настроены по-умолчанию, то есть допускают все (или только от соответствующих приложений) соединения наружу и никаких - внутрь. Здорово, если бы можно было оставить их в таком состоянии, но… мы ставим программы, которые нуждаются в сетевом доступе и мы работаем под администратором, позволяя установиться различным вредоносам… А зараженный компьютер не спасти экраном. Так же как не защитит нас и firewall, больше похожий на маасдам, чем на китайскую неприступную стену.

image Кстати, а Ваш файрволл защищает от атак уровня приложений? А то ведь просто позакрывать порты – не выход. А разные умные вещи типа stateful inspection он умеет? А это реально честный inspection или он просто придуривается, отслеживая соединение только по паре сокетов? А IDS у Вас есть, или Вы узнаете, что Вас атакуют только по звонкам пользователей, у которых «интернет кончился»? В общем, сам по себе сетевой экран не панацея.

Ссылки на публикации серии.

Часть 1: вводная

Часть 2: антивирус

Часть 3: Firewall

Часть 4: SSL

Часть 5: VPN + обновления

Часть 6: процедуры и регламенты + принцип наименьших полномочий

Часть 7: резервное копирование

Часть 8: контроль доступа и биометрия

Часть 9: шифрование

Часть 10: UAC

Еще более бесплатный Second Shot.

Те из Вас, мои читатели, кто сертифицирован, наверняка знают, что бывает такое явление, как Second Shot – бесплатная пересдача, если в первый раз провалился. И те, кто регистрировались на него, наверняка испытывали то же чувство, что где-то нам что-то недодали, в случае, если экзамен сдавался с первого раза. Ну как же… Вот те, кто не сдал – получают аж целую бесплатную попытку сдать еще раз, а я, такой умный и красивый, сдавший с первого раза на 1000 баллов – и не получил никакого бонуса. ОБМАН!!! =)

Корпорация Microsoft, видимо, телепатически догадалась о такой этической и психологической проблеме и предприняла шаги для исправления. Теперь это выглядит так (кликабельно):

image

Для еще большей наглядностью распишу словами:

1) Вы регистрируетесь на Second Shot до 31 декабря 2008.

2) Если Вы проваливаете свой экзамен, то можете сдать его бесплатно второй раз до 30 Июня 2009.

3) Если же Вы его сдали, то имеете 25% скидку на следующий экзамен, только использовать этот шанс нужно до 28 Февраля 2009.

Источник здесь.

четверг, 16 октября 2008 г.

“Ну да, конечно”, или не полагайтесь на средства защиты сверх меры. Часть 2.

Продолжаем разговор

Антивирус (сюда же отнесем различные antimalware и иже с ними).

О, да, мне ли говорить о том, что антивирус не панацея… Тем не менее, антивирус не является абсолютной защитой даже от вирусов, не говоря уже о том, что он просто даже теоретически не может защитить от других угроз. Почему он может оказаться неэффективным против вирусов? Да потому что антивирус до сих пор защищает в основном от уже известных вредоносов. От новых он спасает крайне слабо (иначе уже давно бы закончились вирусные эпидемии) или вовсе не спасает. Потому что современные эвристические алгоритмы вынуждены балансировать между определением как можно большего числа неизвестных вирусов и минимальным числом ложных срабатываний. Больше ловим кода, который не вшит напрямую в базу данных => больше ловим ложных срабатываний. Из сказанного следует, что вероятность поймать что-то новенькое или эксклюзивное существует и она не так уж и мала. Я иногда наблюдаю вирусы, еще не опознанные ни одним из ряда широко известных антивирусов. Вывод: даже если открытка в исполняемом формате, пришедшая из неизвестного источника не вызывает немедленной вирусной тревоги, это не означает, что можно расслабиться – дайте ей вылежаться пару дней или отошлите подозрительное тело на e-mail, который отвечает за сбор всякой мрази в компании, антивирусом которой Вы пользуетесь (например, newvirus[at]Kaspersky[dot]com).antivirus.gif

Кстати, а еще я много где видел, что пользователи имеют возможность отключать или деинсталлировать свои антивирусы…

Ссылки на публикации серии.

Часть 1: вводная

Часть 2: антивирус

Часть 3: Firewall

Часть 4: SSL

Часть 5: VPN + обновления

Часть 6: процедуры и регламенты + принцип наименьших полномочий

Часть 7: резервное копирование

Часть 8: контроль доступа и биометрия

Часть 9: шифрование

Часть 10: UAC

среда, 15 октября 2008 г.

“Ну да, конечно”, или не полагайтесь на средства защиты сверх меры. Часть 1.

Лекция в лингвистическом университете:

- В русском языке двойное отрицание может означать утверждение, но ни в одном языке мира двойное утверждение не может означать отрицание.
Голос из зала:
- Ну да, конечно

(с) Анекдот

Тут на меня недавно нападали за то, что я недостаточно серьезно подхожу к вопросам безопасности и, местами, забываю сказать в своих статьях/инструкциях о том, что различные технические средства защиты могут внушать ложное чувство защищенности. «Что ж», подумал я и решил восполнить этот пробел. Начнем с азов: нет абсолютной защиты. Ничто, никто и ни за какие деньги не сможет построить абсолютно неуязвимую защиту. Считайте это аксиомой. Если кто-то обещает Вам построить абсолютно неуязвимую систему, то он или мошенник или дурак необразованный. И в том и в другом случае нет совершенно никакого смысла что-то у этого кого-то покупать.

Покончив с лирикой, приступим к физике: попробуем раскрыть тему первого абзаца примерами. Сначала о наиболее общих сентенциях:

1) человеку свойственно ошибаться

2) несмотря на то, что «ломать – не строить, это уметь надо» (с), желающих поломать чужой труд (и, возможно, получить за это прибыль) всегда было предостаточно.

3) человеку не свойственно останавливаться перед препятствиями и…

Раскрывая содержание этих пунктов мы получим

1) программы с ошибками. Черт, некоторые даже программу вычисления корней квадратного уравнения не способны написать без уязвимостей, что уж говорить о современных огромных системах.

2) Без комментариев. Вне зависимости от причин, побуждающих человека к взлому и проникновению все заканчивается именно попыткой что-то поломать. Меняются только техническая и интеллектуальная оснащенность «хакера», а также результативность акции как для него самого, так и для жертвы.

3) Люди, желающие положить руку на Ваши данные, не остановятся, пока не достигнут предела своих возможностей, не будут пойманы или не добьются успеха. Первый случай редок, так как самомнение у таких особей редко заурядное. Второй случай так же редок, поскольку часто это самомнение как минимум частично обоснованное, а методы противодействия и поиска… Увы. Да и если даже его поймают, второй пункт не даст делу борьбы за правое дело Ваши данные затухнуть. В третьем же случае комментарии излишни.

А в следующих выпусках давайте пройдемся по некоторым технологиям, которые призваны защитить Ваши данные.

Ссылки на публикации серии.

Часть 2: антивирус

Часть 3: Firewall

Часть 4: SSL

Часть 5: VPN + обновления

Часть 6: процедуры и регламенты + принцип наименьших полномочий

Часть 7: резервное копирование

Часть 8: контроль доступа и биометрия

Часть 9: шифрование

Часть 10: UAC

понедельник, 13 октября 2008 г.

“Письма к несчастью” или еще один пример письма, которое не настоящее.

ist2_4558028-handshake Артем Проничкин прислал мне тут интересный паззл (за что огромное ему спасибо): письмо, которое он считает вредоносным… Естественно, Артем прав, а мы с Вами сейчас попробуем разобраться, в чем тут собака порылась. Вот, собственно, само письмо (извините, но придется цитировать целиком, увы…):

From: Microsoft Update Center [mailto:securityassurance@microsoft.com]

Sent: Saturday, October 11, 2008 5:29 AM

To: Артём Александрович Проничкин

Subject: Security Update for OS Microsoft Windows

Dear Microsoft Customer,

Please notice that Microsoft company has recently issued a Security Update for OS Microsoft Windows. The update applies to the following OS versions: Microsoft Windows 98, Microsoft Windows 2000, Microsoft Windows Millenium, Microsoft Windows XP, Microsoft Windows Vista.

Please notice, that present update applies to high-priority updates category. In order to help protect your computer against security threats and performance problems, we strongly recommend you to install this update.

Since public distribution of this Update through the official website http://www.microsoft.com would have result in efficient creation of a malicious software, we made a decision to issue an experimental private version of an update for all Microsoft Windows OS users.

As your computer is set to receive notifications when new updates are available, you have received this notice.

In order to start the update, please follow the step-by-step instruction:

1. Run the file, that you have received along with this message.

2. Carefully follow all the instructions you see on the screen.

If nothing changes after you have run the file, probably in the settings of your OS you have an indication to run all the updates at a background routine. In that case, at this point the upgrade of your OS will be finished.

We apologize for any inconvenience this back order may be causing you.

Thank you,

Steve Lipner

Director of Security Assurance

Microsoft Corp.

А еще в письме был аттачмент.

“Ну и что”,- скажете Вы - “письмо, как письмо”. И ошибетесь – письмо-то липовое!!! Нет, оно не было накарябано на липовой коре, оно просто поддельное. ;) И сделав, как оно предлагает, Вы в лучшем случае получите антивирусную тревогу (если Ваши антивирусные базы уже знают о таком вирусе), а в худшем посадите себе вирус.

Почему я так решил? Ну… Давайте начнем анализ. На первый взгляд, письмо как письмо и даже подписано реально существующим человеком (не стал возиться с PGP подписью, но подозреваю, что она тоже может показывать что-то осмысленное). Мало того, если бы такие письма рассылались, то он мог бы их и подписывать. Проблема одна – такие письма никогда не были бы и не будут высылаться. Причины для столь резких заявлений? Легко.

Причина 1.

virus В этом письме есть аттачмент. Ни одна, повторяю, ни одна крупная компания в здравом уме и трезвой памяти не станет сейчас рассылать что-либо из обновлений по e-mail. Тем более обновления безопасности. Это аксиома. Если Вам пришло обновление по почте – выкиньте его. Даже если сильно нужно. Лучше найдите его на сайте производителя. Этот сайт могут взломать, конечно, но это сложнее, чем отправить Вам такое письмо.

Причина 2.

На самом деле мне бы хватило и первой причины, чтобы отправить письмо в утиль. Но, может Вы мне тоже не доверяете? =) Ок, может это и не совсем причина, но обновление, которое в одном флаконе правит “Microsoft Windows 98, Microsoft Windows 2000, Microsoft Windows Millenium, Microsoft Windows XP, Microsoft Windows Vista” и при этом, судя по отсутствию намеков на x64, для всех платформ… Размером меньше в 30кб… НЕ ВЕРЮ! =) Не говоря уже о том, что не приведена ни KB, которая описывает проблему безопасности лечимую этим обновлением ни вообще каких-либо сведений об уязвимости. Но и это еще не все. Перейдем к

Причина 3.

Received: from ppp-58-9-13-229.revip2.asianet.co.th ([58.9.13.229]) by mail.winextreme.org with Microsoft SMTPSVC(6.0.3790.3959);

Sat, 11 Oct 2008 05:28:42 +0400

Received: from [58.9.13.229] by mx2.hotmail.com; Sat, 11 Oct 2008 08:28:39 +0700

Message-ID: <01c92b7b$5c859580$e50d093a@2J82WF>

From: "Microsoft Update Center" <securityassurance@microsoft.com>

To: <***@*****.***>

Subject: Security Update for OS Microsoft Windows

Date: Sat, 11 Oct 2008 08:28:39 +0700

MIME-Version: 1.0

Content-Type: multipart/mixed;

boundary="----=_NextPart_000_0006_01C92B7B.5C859580"

X-Priority: 3

X-MSMail-Priority: Normal

X-Mailer: Microsoft Outlook Express 6.00.2900.2670

X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2670

Return-Path: 2J82WF@hotmail.com

Да-да-да. Заголовки. Поле To: я целенаправленно забипал, чтобы не кормить спамботов. Что в заголовках нас может не устраивать и подталкивать к мысли о том, что где-то нас хотят наколоть? Честно? Мало что. На самом деле только два факта, которые, на самом деле, один.

“Received: from [58.9.13.229] by mx2.hotmail.com; Sat, 11 Oct 2008 08:28:39 +0700

Return-Path: 2J82WF@hotmail.com

Эти две строчки говорят о том, что письмо было отправлено через хотмейл, да еще и имя пользователя в HotMail было явно совершенно бессмысленным. Первый факт не говорит ни о чем, пока не вдуматься, что письмо должно быть как-бы официальным. А второй просто говорит, что отправлено оно было с аккаунта однодневки. И пусть Вас ни в коей мере не смущает, что HotMail – собственность MSFT. Если у меня в собственности есть домен komatozo.ru, то это не значит, что уведомления пользователям своей компании я буду отсылать с него.

Причина 4.

Ну и конечно же, сам аттачмент, который, если вспомнить мои невредные советы, покажет Вам вот такую вот ерунду:

image

А так да… Абсолютно нормальное письмо ;)

пятница, 10 октября 2008 г.

http://platforma2009.ru

Platforma_Offline2 Платформа 2009 приближается, голосование продолжается. Так как себя я прорекламировал (проселочной дорогой BTW, спасибо голосующим за меня ;) ), то считаю своим долгом порекламировать людей, которых знаю или лично или онлайн и чьи выступения считаю достойными прозвучать и интересными послушать. Я то знаю, что они хороши, но то я. Потому не поделиться сокровенным было бы нехорошо. =)

Итак… Две мегазвезды мирового масштаба (я думаю, что они и без голосования выступят, но мало ли), доклады которых заслуживают твердой “9”:

Марк Руссинович

Дэвид Чеппел

Если первого представлять не надо и сходить на его доклады это просто Must Do для любого околовиндового ITшника, то второго человека послушать может быть интересно не всем… А зря. Мегачеловечище, о котором говорит уже то, что это один из немногих людей, не имеющих никакого отношения к MS, которого, тем не менее приглашают на многие мероприятия означенной компании.

Другие люди, которых я рекомендую к голосованию:

Александр Елкин – MCS, огого-профессионал и доклад интересный.

Александр СтанкевичMVP, толковый парень и доклад опять-таки замечательный. Научит защититься от взлома Domain Controller стопудово. =)

Александр Шаповал – Всегда замечательные доклады.

Андрей Бешков – я думаю, без комментариев. Человек, неизменно помогающий нам в работе MCP Club, выступающий на различных MS мероприятиях, просто отличный человек. Евангелист, одним словом =) Рекомендую, думаю, будет интересно.

Бари Муртазин – просто без комментариев. Когда мне что-нибудь надо будет выяснить про UC (а, кстати, и надо), я обращусь к нему.

Василий Гусев – MVP, знаток PoSh. Правда, я не шучу. По экспрессивности до Димы Сотникова не дотягивает, но людям, начинающим знакомиться с PoSh – очень рекомендую.

Владимир Елисеев – также выступающий с длинным послужным списком. Желаете узнать про виртуализацию? К нему =)

Дмитрий Сотников – MVP и … Да!!! Это он, человек ломающий стены мощью своей харизмы. А так же наш Гуру по PowerShell. Так как про стены я загнул не для красного словца (на одном из его выступлений собралось столько народа, что одна из стен просто рухнула), то приходите и смотрите (надеюсь в этот раз ему выделят зал или большего размера или с более крепкими стенами ;) )

Игорь Лейко – MVP, один из старейшин IT Pro MVP движения в России. Я думаю, что нужно прийти на его доклад просто, чтобы посмотреть на легенду, но сам доклад тоже заслуживает.

Максим Войцеховский - Лично я постараюсь его поймать и потерзать по MOSS. Да и Вам рекомендую.

Максим Гауфман – Вы любите SCOM? Вы не любите его, потому что не умеете готовить? Вам голосовать за этого человека! Стопудово. =)Platforma_Offline

Павел Нагаев – MVP, отлично разбирается в Exchange. Его блог зачастую становится местом нешуточных баталий и отличных решений. Рекомендация есть =)

На самом деле, там еще много докладчиков и еще больше докладов. Просто я перечислил тех, кого знаю лично или по блогам и кого могу рекомендовать безоговорочно. Если забыл кого – звыняйте =)

Иконки пока заманьячил сам из тех, что есть на сайте Платформы. Надеюсь, что пойду все-таки вживую, а не в онлайн =)