Уважающий себя администратор
системы безопасности некоторую долю своего рабочего времени (и причем немалую) уделяет изучению содержимого log-файла. Он дает объективную картину
о том как работает сеть а также кто и в каких целях ее использует. В основном
для подавляющего числа администраторов интерес представляют именно входящие
соединения, и блокировать их если в таковых нет особой надобности просто
является первостепенной задачей. Это конечно правильно, и все было бы замечательно
если не одно на первый взгляд маленькое "НО". При такой заботе о защите периметра
сети зачастую из области контроля ускользают исходящие соединения. Нет,
конечно, доверять сотрудникам своей компании надо. НО очень часто пользователь
просто не знает, что в действительности на его компьютере происходит. Его
поле зрение ограничено офисным пакетом, почтовым клиентом и Web-брроузером,
а о таких вещах как системные процессы он и слышать даже не хочет. Ему
и неведомо что на его компьютере может функционировать целый ряд приложений
самого различного характера, некоторые из которых могут нанести серьезный
урон системе безопасности.
Если попробовать дать самое простое
определение Back Channels, то наверно оно будет выглядеть следующим образом
"Соединение установленное неким программным обеспечением между хостом находящимся
в защищенном сегменте корпоративной сети и сервером (хостом) во внешней
сети". Соединение могут играть различную роль. Одни из них выполняют действительно
полезные функции, другие носят явно деструктивный характер а вот роль которую
играют третьи так однозначно не определить.
К явно полезным Back Channels
можно отнести например соединения устанавливаемые агентом BackWeb. Он периодически
инициирует защищенное соединение по 443 порту HTTPS с сервером WatchGuard
LiveSecurity и проверяет наличие новых сообщений по теме безопасности и
если таковые имеются, то доставляет их рабочую станцию администратора межсетевого
экрана WatchGuard
Firebox System. Таким образом администратор получает уведомления о
выходе новых версий программного обеспечения межсетевого экрана и советы
по его настройке, предупреждения о появлении новых вирусов и методах борьбы
с ними, сообщения о вновь обнаруженных дырах в ПО и различные новости из
области компьютерной безопасности. Другой полезный Back Channel позволяет
удаленно администрировать межсетевые экраны через защищенное соединение
по 8200 порту TCP инициируемое GoToMyPC. Данное приложение, разработанное
ExpertCity, каждые 15 секунд проверяет заданный Вами хост на предмет выполнения
на нем администраторских функций. к этому же разряду можно и отнести Back
Channel организуемый с целью оповестить пользователя о имеющихся обновлениях
каких-либо программ.
Множество различных бесплатно
и условно бесплатных программ распространяемых через Internet имеют в своем
составе рекламные приложения самостоятельно обновляющие банеры что с точки
зрения безопасности уже само по себе не хорошо. Но ряд программ так же
собирает имеющуюся и доступную информацию о деятельности компании, сотрудниках
и т.д. Наиболее ярко это выражено в продукции Comet
Cursor, Radiate,
CyDoor,
DoubleClick,
Colonize.
Хотя все они в один голос утверждают что их ПО никакого вреда системе безопасности
не наносят. Может быть и так. Но неизвестно для каких целей собранная информация
о Вашей компании используется и каким образом к ней ограничен несанкционированный
доступ. В общем вопросов к такого рода Back Channel гораздо больше чем
ответов.
Про деструктивные Back Channels
сказано уже много и многие из них хорошо известны читателям наше рассылки
(в хорошем смысле этого слова). Такие известные программы как Back
Orifice или NetBus
позволяют злоумышленнику получить исчерпывающую информацию о паролях и
других жизненно важных параметрах Вашей сети. Деятельность некоторых из
них можно легко опознать по внешним признакам их функционирования. Тогда
как остальные маскируются под видом вполне безобидных приложений.
Именно по этому очень важно для
безопасности контролировать какие приложения функционируют в Вашей сети.
Хотя большая часть Back Channels вроде и не несут в себе никаких деструктивных
действий, однако все равно оказывают отрицательное влияние на систему сетевой
безопасности. Также необходимо учитывать что Back Channels занимают какую-то
часть сетевого трафика, в случае небольших сетей это не критично, а если
хостов много и на них запущено несколько таких приложений? Меры борьбы
с Back Channels можно разделить на две составляющие. Первая как обычно
организационная. До пользователей необходимо довести необходимую информацию
о том какие программы можно устанавливать на своем компьютере (в идеале,
конечно лучше бы такие действия вообще запретить, но будем реалистами в
данном вопросе и лучше этот процесс организовывать и управлять им, чем
загонять его в подполье), как настроить Web браузер, для анонимной работы
в Internet. Очень неплохо чтобы у наиболее опытных пользователей были обучены
Spychecker
или OptOut, позволяющие контролировать
какие приложения инициируют Back Channels. И вторая часть мер борьбы с
Back Channels реализуется на межсетевом экране. Для этого необходимо запретить
любые исходящие соединения не описываемые правилами для этого например
в WatchGuard Firebox System достаточно удалить один сервис Outgoing. Создавайте
новые сервиса только если они действительно необходимы для работы сотрудников
Вашей компании.
Еще одним путем решение проблемы
Back Channels является контроль всего исходящего трафика, хотя это трудоемкий
и тяжелый труд но данный метод позволит вам иметь полную картину всех соединений.
Наберите статистику Back Channels и модифицируйте правила на межсетевом
экране с тем чтобы свести деятельность приложений их инициирующих на нет.
Наиболее полный список приложений создающих
нежелательные Back Channels можно скачать с сайта AdCop.org.
Ознакомьте сотрудников своей компании с ним как можно скорее.
Это ВАША сеть и управлять ей должны только ВЫ
и никто другой.
Windows
2000 Service Pack 2
На днях компания Microsoft анонсировала
выход Service
Pack 2 к операционной системе Windows 2000. По заявлению представителей
самой компании данное обновление оно позволит пользователям применять для
защиты данных в стандартных реализациях Kerberos, Encrypting File System,
RAS, RPC, SSL/TLS, CryptoAPI, Terminal Services RDP, и IPSec применять
криптографию с длиной ключа 128 бит. Однако в данном релизе ни слова не
упомянуто что также данным SP устраняется дыра в защите позволявшая пользователю
завершать некоторые процессы без соответствующих на то прав.
Вирусы
30 мая в обнаружен новый
вирус под названием MADONNA, заражающий исполняемые файлы. Длина вируса
61,952 байта. При заражении модифицирует ключ реестра
После инфицирования компьютера отображает на экране
монитора два файла MADONNA.HTM и ERROR.HTM следующего содержания:
“CHARGEMENT EN COURS....” “LOADING....”
“ERREUR DE CHARGEMENT” “LOADING ERROR....”
“Please close this window,now”“Fermer cette fenetre, maintenant”
и модифицирует заголовки окон:
Win32.I hate Madonna has take the power into your PC!!!!
Когда системное время инфицированного компьютера
становится равным 23.00 данный вирус производит самостоятельное выключение
системы перед этим продемонстрировав на экране дисплея текст:
Hey man, you see now that your PC is infected by me Just
now, you see that I HATE Madonna
В случае, если текущая дата совпадает с пятницей
13-го, то он форматирует жесткий диск Вашего компьютера перед этим продемонстрировав
на экране циничную надпись:
Ha Ha Ha Ha!!!, Madonna Virus is in your computer… and
time is occurred to destroy your PC!!!!!! Thanks to ZeMacroKiller98!!
Однако при его написании автор допустил одну драматическую
ошибку. По его замыслу данный вирус должен был автоматически рассылать
себя через e-mail, используя записи адресной книги. Однако в коде вируса
допущена ошибка выполняющая не корректную обработку записей адресной книги.
Таким образом он может распространяться только в очень ограниченном количестве
случаев.
Приводим список 10 наиболее часто встречающихся
вирусов в "диком" виде
TROJ_BADTRANS.A
PE_MAGISTR.A
TROJ_HYBRIS.B
VBS_KAKWORM.A
PE_MAGISTR.DAM
JOKE_SCROLL.A
VBS_HOMEPAGE.A
TROJ_BYMER
TROJ_MTX.A
VBS_VBSWG.Z
Дополнительную информацию можно получить, направив
запрос автору рассылки
