четверг, 28 июня 2012 г.

Желаете подучить криптографию? Я знаю где.

image

Внимание: мой новый RSS-Feed: http://feed.feedcat.net/815939

Измените свою подписку, пожалуйста.

У Вас есть немного свободного времени и Вы желаете знать, как работает шифрование? Какой крипто-алгоритм является самым надежным? И почему λ всегда больше, чем ε… Ну… Последнее, конечно, явные враки. =)
Как бы то ни было, есть место, где можно бесплатно поучиться этому делу (при наличии знания английского языка, увы). Stanford University предоставляет бесплатно курс по криптографии. Найти его можно тут: https://www.coursera.org/#course/crypto. Я всего на второй неделе и уже подделал одно шифрованное сообщение и почти расшифровал второе (“почти” не потому, что это так сложно, а потому что весьма трудоемко, а я ленив занят).

В общем, добро пожаловать в мир знаний Winking smile

понедельник, 25 июня 2012 г.

Looking for a GP object?

image

Внимание: мой новый RSS-Feed: http://feed.feedcat.net/815939

Измените свою подписку, пожалуйста.

Какое-то время назад я писал о поиске конкретных настроек в редакторе групповых политик, что, вне всяких сомнений, полезно. Однако это важно, когда Вы пытаетесь создать новую политику или найти нужную настройку в конкретной одной существующей. Что же делать, если нужно найти все политики в Вашем окружении, в которых такие настройки присутствуют? Ответ существует еще со времен 2003го сервера. Отнюдь не идеальный, но все же лучше, чем ничего.

Итак, нам нужно найти в наших GPO те, которые отвечают за настройки, связанные со, скажем, безопасностью? Поехали:

1) Запускаем консоль GPMC, щелкаем правой кнопкой по нужному домену:

image

После нажатия на пункт “Search…” получаем следующий интерфейс:

image

Скажем, нам нужно найти настройки безопасности в компьютерной части GPO. Ок, давайте добавим этот критерий:

image

image
image

и нажмем кнопку поиска:

image

Как несложно увидеть у нас два объекта содержат такие настройки.

Чудесно! Или нет? Что же, как я и сказал в самом начале, это лучше, чем ничего, однако все еще недостаточно хорошо, чтобы считаться даже близким к идеалу. Что можно было бы улучшить? Ну, например, можно добавить поиск не только объектов, но и линков, чтобы можно было понять, что и на что действует, а так же искать по OU, а не только из корня. Ну или поиск не по разделу, а по имени конкретной политики.

А у читателей есть какие-нибудь идеи?

четверг, 21 июня 2012 г.

Легенды и мифы ИТ #2: PKI edition.

image

Внимание: мой новый RSS-Feed: http://feed.feedcat.net/815939

Измените свою подписку, пожалуйста.

 

Кстати, а знаете ли Вы, что на самом деле делает опция “Allow private key to be exported” или “Prompt the user during enrollment and require user input when the private key is used” в шаблоне сертификата? Делают ли они использвоание сертификата более безопасным или нет?

Я знаю как минимум пару людей, которые точно знают ответ на этот вопрос. К сожалению, я не так давно вышел из пелены невежественности, но лучше ж поздно, чем слишком поздно Winking smile В общем, короткий ответ: нет. CA не имеет ни малейшей возможности заставить клиента вести себя таким образом, как предполагает название этой настройки. В шаблоне содержатся лишь рекомендации клиентской части не экспортировать закрытый ключ.

Потому в Windows 2003 экспортировать такой сертификат через GUI было нельзя, а вот некоторые сторонние утилиты это сделать могли. Впрочем и с помощью стандартных утилит некоторые типы сертификатов были легко экспортируемы, если верить документации. А вот начиная с Windows 2008 (ну или Windows 7) сделали “улучшение” и теперь можно экспортровать неэкспортируемое.

Так что смысла в этой опции мало: только как защита от дурака.

Будьте осторожны и старайтесь задумываться над тем, что порой кажется очевидным. =)

понедельник, 18 июня 2012 г.

Trustworthy computing: SDL освоили, что дальше. Часть 2: некорпоративненькая.

Trustworthy

Вы думаете, что пой предыдущий блог был о корпоративных продуктах потому что только они разрабатываются без учета безопасности применения? Ничего подобного: потребительские продукты абсолютно такие же. Назову лишь один пример: знаменитая в определенных кругах история о Windows Live Mail и SSL. До некоторых пор абсолютно нельзя было использовать с Hotmail их оба сразу. Или общайся с почтовиком без SSL или избавься от удобного клиента. Я был счастлив получить возможность их совместить. И да, мой старенький (но все еще пригодный к работе) HTC HD2 на WM6.5, кажется, так и не получил этой возможности. По крайней мере до тех пор, пока я от него не избавился.

Итого, имеем великолепные продукты, которые сами по себе фиг сломаешь в большинстве случаев, и которые, однако, не имеют необходимого функциионала (или он не работает), чтобы их можно было безопасно использовать в безопасном окружении. Что-то латается, что-то нет, но я думаю, что бОльшую часть этих проблем можно устранить до релиза, то есть до момента, когда я или кто-то иной наткнется на эти прелести в своей сети.

Я рад, что MS уже 10 лет на твердом пути улучшения безопасности своих продуктов, нополагаю, что можно сделать и надежнее Winking smile

А Вы сталкивались со случаями, подобными описанным мной?

четверг, 14 июня 2012 г.

Trustworthy Computing. SDL освоили, что дальше?

image

Внимание: мой новый RSS-Feed: http://feed.feedcat.net/815939

Измените свою подписку, пожалуйста.

 

Наконец-то, наступила и моя очередь ругать Microsoft. Я не особый поклонник такого способа раскрутки, однако, я полагаю, что единственный путь двигаться вперед, это воспринимать, обрабатывать конструктивную критику и отвечать на нее. Так что приступим (Многа букав):

Несколько лет назад MS огласило свою широко известную инициативу Trustworthy Computing (совсем недавно они отмечали 10тилетие этой инициативы). Думаю, что мне не нужно напоминать Вам ни цели этой программы, ни средства, которые предполагалось использовать для их достижения. Интересующиеся вполне могут найти эту информацию самостоятельно. Ну и всяко, это «открытое письмо» не задумывалось, как тщательный анализ, после которого я должен был бы воскликнуть «люди, MS нам лжет!». Скорее, наоборот, просто легкая попытка показать, что, по моему скромному мнению, можно было достичь еще большего.

Я IT Pro с более, чем десятилетним стажем и этот факт, безусловно, влияет на то, как я вижу наш мир, ИТ безопасность и корпорацию Microsoft в аспектах, касающихся и того и другого. При этом моё видение Trustworthy Computing выглядит как-то так:

«SDL! SDL это! SDL то! SDL всё и повсюду!!!».

Не поймите меня неправильно, SDL это прекрасно даже с точки зрения системного администратора, который почти не умеет кодить. Нет, правда, лично у меня есть ощущение, что код от MS стал более безопасным. Большая часть актуальных уязвимостей для их реализации требует от меня либо отключения включенных по умолчанию средств защиты (DEP, UAC) или выставления совершенно незащищенного сервера в открытый интернет. Как следствие, я чувствую себя много лучше защищенным, чем, скажем, десять лет назад (впрочем, это может быть промывка мозгов, не так ли? =) ).

И все же в текущей ситуации есть приметы, которые заставляют меня полагать, что текущему SDL недостает чего-то жизненно важного. Чего же, спросите вы? Ну хотя бы тестирования продуктов в среде, соответствующей Best Practices от безопасности. То есть не только создание как можно менее уязвимого кода, но и предоставить возможность внедрить стандартные контролы для повышения безопасности решений. Хотя бы просто внедрить, если уж не без плясок с бубном. Я говорю о таких вещах, как работа с многофакторной аутентификацией, разделение ролей или делегирование полномочий. Все это должно быть включено в «Trustworthy» продукт из коробки, чтобы обеспечить сколько-нибудь безопасное окружение. Грош цена абсолютно не ломаемому (ну фантастика, ну и что) с точки зрения кода приложению, если пароли от него можно прослушать в сети банальным анализатором сетевого трафика или если любой имеет в этом приложении одинаковые полномочия. Или если для банальнейших операций с с базой данных нужно предоставить дежурному администратору права SA.

На протяжении последних нескольких лет я наблюдал различные ситуации, которые заставили меня думать, что эти материи не были в фокусе продуктовых групп в последнее время. Чтобы не быть голословным, я приведу несколько наиболее ярких примеров.

1) Когда мы только приступили к работе с MOSS 2007, тогда еще только RTM, мы наткнулись на невозможность индексировать порталы, доступ к которым предоставлялся с помощью CKD и HTTPS. Проблема, вроде бы решалась расширением таких порталов на HTTP, тогда индексация проходила, но поиск не выдавал результатов. Обходным маневром этой «by design» ситуации было создание сначала HTTP-приложения и расширения его с помощью HTTPS. Ерунда, казалось бы, и в последующих SP ситуация была исправлена, однако, это могло быть выявлено стандартным тестированием в соответствующем окружении.

2) Во втором случае мы никак не могли заставить работать определенные функции MOSS, связанные с WebDAV при использовании смарт-карт. Классная технология, но попробуйте безопасно опубликовать WebDAV-сайт через ISA и потребуйте аутентификации через смарт-карты… И вот она – Ваша проблема.

3) Вообще говоря, поддержка смарт-карт кажется слабым местом ребят из Рэдмонда. Я обожаю UC-продукты от MS, но попробуйте подружить со смарт-картой некоторые режимы работы Outlook или использовать их при работе с Lync/Communicator… Будет работать? Черта с два! Устанавливайте VPN-соединение или настраивайте DA, а потом используйте свои ненаглядные объединенные коммуникации.

4) Data Protection Manager. Я очень люблю этот продукт. Его чрезвычайная простота в эксплуатации в сочетании с вполне приличной мощью очень привлекательны. И все-таки первые три релиза у нас не было практически ни намека на разделение полномочий (за исключением нескольких немаловажных, но все-таки частных случаев). Все или ничего. Полный доступ или никакого доступа. Самый последний релиз наконец предоставил нам RBAC, но предыдущие пять лет без него малообъяснимы.

5) SQL сервер. Мы проверяли на 2005-2008R2. Может выстрелить в случае использования SQL Mirroring. Попробуйте с правами, меньшими, чем sysadmin выполнить операцию ALTER DATABASE на базе в режиме recovery. Мало того, что ничего не получится, так еще и дамп сгенерится по умолчанию, чем, при определенной настойчивости, можно и сервер положить =) А это, между прочим, стандартная операция для баз в зеркале.

Все, указанные выше проблемы (разрешенные и нет) вполне могли бы быть найдены при тестировании, если бы кто-то ставил перед собой задачу тестировать продукты в средах, построенных с применением основных принципов безопасности. Те возможности, которые просто отсутствовали, когда они были так нужны, так же могли бы быть предоставлены продуктами значительно раньше, если бы «там» задумывались не только о качестве самого кода.

К сожалению, мой опыт приводит к мысли, что об этом задумывался мало кто из имеющих влияние на ситуацию. Я бы мог подумать, что это лишь случайные недоразумения, однако если всего один человек встрял в такое количество ситуаций за несколько лет (а это, поверьте мне, не все), то, я скорее склонюсь к выводу, что это просто результат подхода в PG к разработке и концепции Trustworthy Computing.

понедельник, 11 июня 2012 г.

И снова MVP! + чуть-чуть халявы в качестве извинения.

MVP_FullColor_ForScreen

Внимание: мой новый RSS-Feed: http://feed.feedcat.net/815939. Измените свою подписку, пожалуйста.

 

Ага, еще раз, хотя я откровенно предал читателей в последнее время, покинув свой блог на месяцы. И все же я получил награду (еще в апреле). Несмотря на то, что она вручается за былые заслуги, я, получая ее, каждый раз даю себе торжественное обещание “в следующем году вести себя лучше”. Этот раз вовсе не исключение, так что, несмотря на всякие резкие и не очень изменения в жизни, я обещаю вернуться и продолжить вести блог. Возможно он не будет настолько техническим, как прежде, но он будет, и я надеюсь, он будет интересным.

А в качестве извинения, пара книжек:

1) Отрекламированная уже всеми книжка про грядущий Windows Server 2012. Книга доступна в 4х форматах, качаем или покупаем. И читаем.
2) Security and Privacy for Microsoft Office 2010 User. Замечательно написанная книга. Никого, как обычно, ничемму не научит, но если бы пользователи ее все-таки прочитали, то безопасникам было бы много проще и беднее жить Winking smile 

И снова MVP! + чуть-чуть халявы в качестве извинения.

MVP_FullColor_ForScreenАга, еще раз, хотя я откровенно предал читателей в последнее время, покинув свой блог на месяцы. И все же я получил награду (еще в апреле). Несмотря на то, что она вручается за былые заслуги, я, получая ее, каждый раз даю себе торжественное обещание “в следующем году вести себя лучше”. Этот раз вовсе не исключение, так что, несмотря на всякие резкие и не очень изменения в жизни, я обещаю вернуться и продолжить вести блог. Возможно он не будет настолько техническим, как прежде, но он будет, и я надеюсь, он будет интересным.

А в качестве извинения, пара книжек:

1) Отрекламированная уже всеми книжка про грядущий Windows Server 2012. Книга доступна в 4х форматах, качаем или покупаем. И читаем.
2) Security and Privacy for Microsoft Office 2010 User. Замечательно написанная книга. Никого, как обычно, ничемму не научит, но если бы пользователи ее все-таки прочитали, то безопасникам было бы много проще и беднее жить Winking smile 

четверг, 7 июня 2012 г.

MS SIR #12

like_a_sir Что ж, лучше поздно, чем слишком поздно. Я, наконец-таки добрался до недавнего Microsoft Security Intelligence Report. Хотя обычно там не сликом много сюрпризов, в этот раз я был практически шокирован первой секцией документа. Полагаю, тому есть резон, посскольку эта секция называется…

How Conflicker CONTINUES to propagate.

То есть “как закалялась сталь как продолжает распространяться Conflicker”.

Conflicker! Малварь с трехлетним стажем! ПРОДОЛЖАЕТ быть УГРОЗОЙ!

Мир сошел с ума, не правда ли? =)

60% людей, которые могли бы получить сейчас такой подарок (если бы не антивирус) имеют слабый пароль администратора на своих компьютерах. От 17 до 42% компьютеров, куда попытался пролезть этот зверь (XP Only) все еще не пропатчены от уязвимости, используемой им. Три года спустя после его выхода…

Просто-таки феерично, мне кажется, друзья. =)

Все остальное в отчете не такое волнительное, как это. Меня заинтересовали следующие места:

1) Эксплойты для HTML/JavaScript на подъеме.

2) Кажется, использование для распространения малвари уязвимостей в различных документах и их обработчиках тоже растет. Возможно, не за горами антивирусы для eBook’ов. Winking smile

3) SPAM, напротив, по статистике МС падает в объемах. Точнее, падает количество заблокированных спам-сообщений, но в случае MS я подозреваю, что эти цифры хорошо коррелируют. Что меня удивило, так это то, что основным содержанием спама является реклама лекарств без сексуального подтекста. То есть не виагры всякие, а вполне себе аспирин и около того. Впрочем, раньше я на эту секцию особого интереса не обращал, может, оно и раньше так было. Все равно приятно узнать, что здоровье людей беспокоит больше, чем какой нибудь “enlarging someone’s manhood” =) Или наоборот – такие больные, что manhood на втором плане? С этой статистикой никогда не знаешь =(

4) Ну и вовсе не стало сюрпризом то, что большая часть Top-10 малвари требует участия пользователя в своей установке на компьютер. Впрочем, Conflicker на шестом месте… Но об этом мы уже говорили.

Ждем следующего отчета.

понедельник, 4 июня 2012 г.

Даже если ты параноик, это не значит, что за тобой не следят.

Что ж, для меня очевидно, что Google наконец-то официально превратилась в Империю Зла. Не то чтобы они вели себя как-то по другому последние несколько лет… Тем более я не слишком-то верю, что другие компании не собирают мои данные. И все же, ни одна другая компания не оказалась пока настолько наглой, что просто заявила, что все мои данные – ее данные и нечего тут жаловаться.

Так что, раз уже Google перешла на темную сторону, я решил попробовать стать Google-free. Для меня это сложно, но не так, чтобы невозможно. вот, что мне для этого предстоит сделать:

  • Этот блог размещен на BlogSpot. Так как он уже давно на моем личном доменном имени, то я просто смигрирую его на другой хостинг – вовсе не проблема. 
  • Мои RSS ленты размещены на FeedBurner. Это будет сложно, так как я могу в одночасье потерять всех своих подписчиков. Однако, я надеюсь, они читают этот пост и смогут изменить подписку. Новый адрес после переезда будет http://rublog.alex-trofimov.com/feed/. Возможно, потом я воспользуюсь какой-то еще онлайн службой, но пока только изучаю этот вариант.
  • Gmail. Хых… Я, на самом деле, доволен, что что-то заставило меня покинуть эту обитель. Он хорош и все такое, но я был слишком озабочен в свое время доставлением всего, что мне казалось интересным, в свой почтовый ящик. Свой новый адрес я уже разослал всем, кого вспомнил, остальные смогут найти меня через блог. У меня все еще будут проблемы с заворачиванием некоторых почтовых потоков в мой новый ящик, но…
  • Google analytics: Использую редко, в основном для получения статистики для программы MVP. Ну и ищу ссылки, по которым меня нашли. Теперь будет чуть посложнее, но я что-нибудь придумаю.
  • Chrome. Единственное, для чего я его использовал, это игрушки. Совершенно могу прожить без этого, раз уже вышли Jagged Alliance 3 и Diablo III =)
  • Google search. Наиболее сложное, пожалуй. Я все еще не нашел подходящую замену для поиска англояззычного контента, но опять-таки: будем искать. Может быть, дам еще один шанс BING’у. =)

Ну и потом я удалю свой аккаунт. Пока, Google (ну если только они меня не наймут, конечно Winking smile)