Verteidigung gegen Trojaner Software Distribution
Abwehr gegen diese Art von Angriff in drei Kategorien unterteilt: Sensibilisierung der Nutzer, Verwalter Überprüfung der Integrität und sorgfältig Erprobung neuer Software. Zunächst müssen Sie und Ihr Unternehmen bewusst sein, der Bedrohung. Ohne grundlegende Kenntnisse von dem, was Sie gegen, bist du garantiert zu verlieren. Ihre Politik muss deutlich machen, dass die Nutzer strikt von der Installation nicht autorisierte Programme auf Ihrer Organisation Systeme verboten. Benutzer sollten nicht installieren unerwartete Software-Updates, die in der E-Mail ankommen, egal wie "offizielle" sie zu sein scheinen. Es ist mir egal, wenn dem Paket enthalten das Firmenlogo, sie sollte nie installiert werden. Wenn keine Updates kommen wollen, sollten sie unverzüglich dem Sicherheits-Team weitergeleitet werden. Wenn Sie Benutzer der Systeme aktualisieren müssen, sollten Sie eine formalisierte Planung ankündigen, wie werden Sie die Verteilung von Software auf ihnen. Dieser Plan sollte in Sensibilisierung der Nutzer Materialien aufgenommen werden. Darüber hinaus zusammen eine Sensibilisierungskampagne, lassen Sie Ihre Computer-Anwender und-Administratoren wissen, dass Angreifer manchmal verteilen böse Software über das Internet oder auch per Post. Dress up your Bewusstsein Bemühungen durch die Einrichtung einer Kabine außen eine Cafeteria mit bunten Schildern und Luftballons. Ich nenne dies die Froo-Froo Komponenten eines Security-Awareness-Kampagne, weil es weder tief noch technische's. Dennoch ist die Froo-Froo wichtig, da es die Aufmerksamkeit der Nutzer bekommt. Verteilen Sie einfach Prospekte mit albernen Karikaturen zu Ihrem Kundenstamm, damit sie wissen, wie man das Richtige zu tun. Obwohl eine solide Security Awareness Programm nimmt eine Menge Arbeit, kann es Spaß machen kann. In der Tat, es wird viel effektiver, wenn sie unterhaltsam und voller Froo-Froo's nicht nur die gleichen alten Dröhnen auf über Politik diese bla-bla-bla Politik, bla-bla-bla. Typische Anwender schnell abschalten jeden Dialog die sie nicht verstehen oder es Ihnen egal, aber wenn es kühl Luftballons und Karikaturen hat, könnte sie gerade hören. Ein weiterer wichtiger Bereich für die Verteidigung gegen diese Angriffe beinhaltet Verwaltungsverfahren zur Überprüfung der Integrität der Pakete, die Sie herunterladen. Immer wenn ich ein Software-Tool über das Internet aktualisieren, habe ich immer download Kopien aus mindestens drei verschiedenen Spiegeln. Ich habe dann überprüfen Sie die Integrität der Programme mit einem starken kryptografischen Hash gegen jeden einzelnen Spiegel-Kopie zu machen, dass sie alle übereinstimmen. Sie können einen MD5-Hash, der Art wie ein digitaler Fingerabdruck, für jede Datei mit dem großen md5sum-Programm in den meisten Linux-Distributionen. Unter Windows können Sie den freien md5summer Programm von Luke Pascoe geschrieben, abrufbar unter www.md5summer.org. Da MD5 ist eine Einweg-Hash-Funktion, müsste ein Angreifer es sehr, sehr schwierig, ein Trojanisches Pferd mit der exakt gleichen Hash als legitimes Programm zu erstellen. Durch schwierig, meine ich, dass sie einen Supercomputer läuft seit Tausenden von Jahren zu einem bösen Programm, das exakt die gleichen Hash als gutes Programm hat schaffen müssen. Zumindest ist die Idee, wenn diese Einweg-Algorithmen so gut wie wir hoffen, dass sie sind. Viele Websites, die Software zu verteilen sind eine Datei mit den MD5-Hash der neuesten Version auf der Website selber. Allerdings bin ich unbequem Herunterladen eines Programms von einem einzigen Spiegel und Überprüfung dieser einzigen Hash aus der exakt gleichen Stelle. Denken Sie darüber nach. Wenn Angreifer eine einzelne Website zu gefährden und Trojanize der Software, natürlich könnten sie ändern die Datei mit den Hash auf demselben Webserver. Die Idee hierbei ist, dass ein Angreifer eine schwierigere Zeit Kompromisse mehrere Spiegel des Codes haben, und deshalb werde ich in der Lage sein ihren Verrat durch Beobachtung verschiedenen Versionen auf den Mirrors zu fangen. Durch das Herunterladen von mehreren Spiegeln und Überprüfung der Kohärenz über sie, bekomme ich viel bessere Chancen, dass der Angreifer nicht gefährdet sie alle, und ich werde eine intakte Programm ausgeführt haben. Leider, wenn die Spiegel automatisch von einem zentralen Server aktualisiert, würde ich noch verlieren, wenn der Bösewicht verunreinigt den Code auf der Haupt-Server. Ich habe die Bar etwas durch den Vergleich Hashes über mehrere Spiegel angehoben, aber die bösen Jungs könnten noch in den höheren Bar Sprung. Einige Software-Download-Sites über das hinausgehen, Hashes und verfügen über eine digitale Signatur der Software mittels einer Public Key-Verschlüsselung Paket wie Pretty Good Privacy (PGP). Wenn Sie keine Software herunterladen mit dieser Unterschriften, sollten Sie überprüfen die Unterschriften unter Verwendung eines geeigneten Paket, wie die Open-Source-Klon von PGP namens "Gnu Privacy Guard", kostenlos erhältlich unter www.gnupg.org. Natürlich kann ein Angreifer die digitale Signatur zu ändern oder sogar ersetzen den Schlüssel verwendet werden, um das Paket zu unterzeichnen. Allerdings wäre eine solche Angriffe sehr viel schwieriger sein, und sind daher weit weniger wahrscheinlich. Schließlich sollten Sie immer prüfen neue Werkzeuge vor dem Walzen sie in die Produktion. Ein solcher Test Prozess bietet Ihnen nicht nur eine Chance, die schädliche Software im Voraus erkennen, aber es gibt Ihnen auch wertvolle Zeit für andere, das Problem zu entdecken, bevor Sie setzen blind Code in die Produktion. Ich war mit einer Bank, deren Speck war einfach, weil sie mindestens einen Monat überprüft jede neue Version von Sendmail, bevor sie in Produktion verbringen gespeichert arbeiten. Ich würde gerne sagen, dass sie die Sendmail Backdoor entdeckt, während sie durch das Programm in ihrer Bewertung Netz suchten. Allerdings haben sie ihn nicht finden. Doch während sie die Analyse der neuen Version um sicherzustellen, dass es traf Corporate Anforderungen an die Funktionalität zu machen, hatten andere Leute entdeckt und publiziert die Hintertür im Oktober 2002. Als die Bank über die Entdeckung einer Hintertür in dieser Version von Sendmail hörte, riss sie sie von ihren Testsystemen und rollte ihn nie in Produktion. Die eingebaute Verzögerung ihrer Analyse Prozess sicherlich dazu beigetragen, diese Organisation zu vermeiden Katastrophe. Für kritische Sicherheits-Patches, ist eine schnelle Bereitstellung von entscheidender Bedeutung. Für einfache Upgrades oder neue Funktionen können ein paar Wochen Verzögerung tatsächlich zur Verbesserung der Sicherheit. Verfasst von Greg McKlein
|
|||||
|