HARD CORE SECURITY LAB

Od wielu lat użytkownicy oraz administratorzy najróżniejszych systemów operacyjnych toczą ze sobą nieustanny spór. Chodzi oczywiście o to, które z dostępnych komercyjnych i niekomercyjnych rozwiązań jest najbardziej bezpieczne. Prowadzenie tego typu polemiki nie ma jednak moim zdaniem najmniejszego sensu, gdyż bezpieczeństwo systemu operacyjnego ma niewiele wspólnego z jego rodzajem. Wykonanie skutecznego włamania do nieodpowiednio zabezpieczonego systemu Windows 7 zajmuje tylko kilka minut, jednak w równie prosty sposób przejmiemy zdalną kontrolę nad fatalnie zabezpieczonym Linuksem. Stąd nasuwa się prosty wniosek, że o bezpieczeństwie systemu operacyjnego nie decyduje jego rodzaj, lecz odpowiednie jego skonfigurowanie i zabezpieczenie, tak by nie był on podatny przynajmniej na znane w danej chwili rodzaje ataków. Okazuje się, że w przypadku Windowsów, Microsoft udostępnia całą gamę świetnych i darmowych narzędzi, przydatnych do skutecznego zabezpieczania Okienek. Problem w tym, że niewielu użytkowników i administratorów wie w ogóle o ich istnieniu lub chce z nich skorzystać...

Większość udanych ataków na stacje robocze oraz serwery pracujące pod kontrolą systemów z rodziny Windows jest wynikiem braku ważnych poprawek bezpieczeństwa lub obecności kardynalnych błędów konfiguracyjnych. W obronie przed tego typu zagrożeniami bardzo skutecznie może nam pomóc narzędzie o nazwie Microsoft Baseline Security Analyzer.

MBSA jest łatwym w użyciu narzędziem, które pomoże nam w określeniu podstawowego stanu zabezpieczeń wszystkich systemów z rodziny Windows i w razie potrzeby zaoferuje konkretne wskazówki naprawcze. Spójrzmy więc na przykładzie Windows 7, w jaki sposób MBSA może pomóc nam w zamknięciu wielu ważnych luk.

Użycie narzędzia jest bardzo proste. Wystarczy wykonać lokalne skanowanie (możliwe jest też skanowanie zdalnych maszyn należących do danej domeny lub też określonych pewnym zakresem adresów IP) komputera:
W przypadku testowego systemu Windows 7, MBSA wykrył szereg krytycznych luk w zabezpieczeniach systemu:
Narzędzie zwróciło naszą uwagę między innymi na:

• brak ważnych aktualizacji bezpieczeństwa,
• zbyt proste hasła kilku lokalnych użytkowników,
• korzystanie z potencjalnie niebezpiecznej opcji Hasło nigdy nie wygasa,

Oprócz wskazania poważnych luk obecnych w danym systemie, otrzymamy również szereg wpisów informacyjnych, które mogą pozwolić nam na znaczne podniesienie ogólnego poziomu bezpieczeństwa. Przykładowo MBSA w tym konkretnym przypadku zalecił skonfigurowanie audytu zdarzeń bezpieczeństwa (takich jak np. udane i nieudane próby logowania), co może w praktyce pozwolić nam na skuteczne i szybkie wykrywanie zaistniałych incydentów.

Microsoft Baseline Security Analyzer oprócz konfiguracji samego systemu, sprawdzi również ustawienia usług systemowych, serwerów IIS i/lub SQL Server/MSDE, a także wypowie się na temat bezpieczeństwa Internet Explorera, systemowego firewalla, a nawet pakietu Microsoft Office. Jest to więc z pewnością podstawowe narzędzie dla każdego administratora dbającego o bezpieczeństwo Windowsów. Co prawda Microsoft stworzył MBSA z myślą o profesjonalistach, myślę jednak, że również domowi użytkownicy powinni się z nim zapoznać i poradzą sobie bez problemu z jego obsługą.

Microsoft Baseline Security Analyzer pomoże nam obronić nasz system przed typowymi atakami, takimi jak exploity starające się wykorzystać znane i załatane już od pewnego czasu luki, czy też wspomniane już zagrożenia związane z wykorzystaniem słabych haseł administracyjnych. Okazuje się jednak, że inne darmowe narzędzie z Redmond pomoże nam zabezpieczyć się przed atakami wykorzystującymi nawet luki typu Zero Day.

Jednym ze skuteczniejszych sposobów na obronę przed atakiem wykorzystującym lukę typu Zero Day jest obecnie skorzystanie z dobrodziejstw technologii takich jak DEP oraz ASLR. Technologie te co prawda nie chronią nas w jakiś magiczny sposób przed błędami w samych aplikacjach, ich zadaniem jest jedynie utrudnienie wykorzystania luki obecnej w danym programie do skutecznego uruchomienia złośliwego kodu. Jednak, żeby w ogóle z nich skorzystać, dany program musi w sposób świadomy zostać do tego przystosowany. Tutaj pojawia się poważny problem.

Większość aplikacji z firmy Microsoft rzeczywiście poprawnie korzysta z obu rozwiązań, jednak jak się okazuje inni znani producenci często w ogóle nie korzystają z obu technologii! Tutaj może nam jednak przyjść z pomocą inne darmowe narzędzie z Redmond. Mam tu na myśli Enhanced Mitigation Experience Toolkit (EMET), który niedawno ukazał się w wersji 2.0.

Zadaniem narzędzia EMET jest umożliwienie włączania różnorakich mechanizmów ochronnych w programach wykonywalnych, nawet jeśli kod źródłowy programu nie jest dostępny i pierwotnie nie przewiduje wykorzystania danej technologii. EMET może uniemożliwiać albo utrudniać stosowanie wielu metod używanych w exploitach, dzięki:

• Structured Exception Handler Overwrite Protection (SEHOP), który blokuje możliwość nadpisywania nagłówka Structured Exception Handler (SEH) na stosie albo w segmencie danych,
• Dynamic DEP (DDEP), który pozwala włączać i wyłączać blokadę wykonywania danych nawet w trakcie działania aplikacji,
• Adress Space Layout Randomisation (ASLR), który ma za zadanie uniemożliwienie intruzowi zlokalizowania adresu odpowiedniego do wykonania własnego kodu,
• Export Address Table Access Filtering (EAF), służący do blokowania dostępu do wybranych API.