Uudestående servere og andre oprørere: Antisec vs. Booz Allen Hamilton

Den lette anvendelse af nye servere, især gennem virtualisering, betyder, at mange butikker har flere Windows- eller Linux-tilfælde for at beskytte mod ondsindet angreb. Dette gælder trods det faktum, at den nuværende hardware er hurtigere; hurtigere hardware ville ellers betyde færre OS-forekomster, der understøtter et større antal applikationer og brugere.

Tidligere denne måned blev forsvarsentreprenør Booz Allen Hamilton (BAH er den 16. største forsvarsentreprenør med $ 3, 7B i Uncle Sam-indtægter i 2010) angrebet af den løst organiserede hacktivistgruppe "Anonym" i navnet #Antisec. Det brudte system var angiveligt vært for et læringsstyringssystem og data fra Defense Acquisition University. I følge ArsTechnica omfattede de udskrevne data så mange som 67.000 e-mail-adresser til militært personel plus adgangskoder, inklusive mere end 50.000 adresser på .mil-domæner. Andre stjålne data inkluderede sandsynligvis e-mail-adresser fra andre forsvarsentreprenører. Anonym postede e-mail-adresserne sammen med deres hash. Nogle analytikere mener, at fordi BAH brugte en forholdsvis svag SHA-hash, og adgangskoderne tilsyneladende ikke var "saltet" med pseudo-tilfældige strenge, kan mange af adgangskoderne blive udsat for Ed. Antisec hævdede i deres tweet-meddelelse om udnyttelsen, at BAH brugte usaltet MD5-hash. Mange af disse 67.000 brugere får sandsynligvis besked på at ændre deres adgangskoder - i det mindste.

Defender lektioner

Hvilke defensive foranstaltninger skulle BAH have truffet? Den fulde historie fortælles ikke, så det, der følger, er spekulation - men forhåbentlig ikke ledige spekulation.

(1) Sikkerhed på applikationsniveau - I dette tilfælde, tilsyneladende for Learning Management System, skulle de have gennemgået en eller flere sikkerhedsanmeldelser. Eventuelle anmeldelser kunne have været iscenesat på implementeringstidspunktet eller, for nye applikationer, som en del af udviklingsprocessen. Nogle aspekter af sådanne anmeldelser kunne have været manuelle, da brug af regnbue-tabeller er en kendt sårbarhed for nogle kodeordskrypteringsplaner, hvad enten LM hash, MD5 eller SHA1. Udviklere kunne have fået besked på at bruge kodeordbiblioteker, der saltede krypteringsprocesser. Efter sandsynlighed var dette en LMS, der var blevet indsat et andet sted. Andre havde haft lignende sikkerhedsmæssige problemer og kan have løsninger. F.eks. Er open source LMS Moodle vært for en diskussion om kodeordsaltning for sin MD5-adgangskode-hash.

(2) Overvågning af bevægelsen af ​​data, især inklusive indre netværkstrafik (gennem værktøjer som open source-projekt Immunity El Jefe), kunne have opdaget dimensioner af det første angreb eller af ekstraktion i større skala (mere end 130 MB blev sendt af hacktivisterne).

(3) Penetrationstest, såsom med Andrew Gabins OpenDLP, kan afsløre svagheder. Da Gavin formanede lyttere på en nylig konference, "Har du domæneadministrator til et par tusind Windows-systemer? Har du en time til overs? Stjål følsomme data fra alle disse systemer samtidig på under en time."

(4) Organisatorisk disciplin, såsom BAHs egen anbefaling af CMMI Cyber ​​Operations Maturity Model eller træningsprogrammer, kan øge bevidstheden om drifts-, ledelses- og software engineering sikkerhed. En bredere rækkevidde af sådanne programmer kan have advaret LMS-managementteamet om risiciene.

(5) Automatiserede patch-administrationssystemer er de mest indlysende løsninger til servere, der mangler sikkerhedssanering. Der er kommercielle løsninger og nogle open source-initiativer. F.eks. Samarbejder Shavlik med Spiceworks-teamet for at give patch management med sidstnævnte annonce-understøttede tilbud. Som den modne systemadministrator ved, er patch management-automatisering imidlertid langt fra en magisk kugle. Nogle programrettelser installeres ikke hurtigt eller installeres ikke korrekt. Arbejdsstationsfejl såsom Adobe Flash-sårbarheder kan være vanskelige at administrere rettidigt. Endelig vil nogle programrettelser ødelægge applikationer, hvilket fører til konsekvenser på arbejdspladsen mere øjeblikkelige, sandsynlige og alvorlige end risikoen for cyberangreb. Som Secunia skriver i en nylig rapport, har virksomheder ikke råd til at afhjælpe enhver mangel.

(6) Life Cycle Management er et koncept, der undertiden anvendes i større organisationer, men det har en tendens til at blive overset i hasten med at implementere applikationer. Ideen om, at applikationer og deres platforme oplever en form for ældre af økosystemer, er en, der muligvis tilskynder til planlagt pensionering af mindre velholdte systemer, før der sker noget dårligt.

(7) Som jeg har skrevet i denne spalte tidligere, kommer ekspertise i risikostyring på problemet fra en anden vinkel. Disse specialister accepterer påstanden om, at forretningskrav kan føre til behovet for at implementere applikationer hurtigt. Deres idé er at acceptere denne risiko, når det er fornuftigt, at styre både omkostninger og risiko inden for det berørte projekt- eller produktteam og, i det omfang det er praktisk muligt, i de underliggende teknologier, der er tilgængelige inden for berørte konfigurationer.

Ingen sikkerhed i antal

"Anonym" overlever muligvis ikke retshåndhævende handlinger mod nogle af dets medlemmer for angiveligt angreb Paypal, Mastercard og Visa i kølvandet på institutionel tilbageslag til WikiLeaks. Ikke desto mindre vil sådanne angreb sandsynligvis fortsætte.

Det gamle ordsprog om, at der er sikkerhed i antal, gælder kun for de mest homogene og nøje overvågede serverfarme. Odds er, det er ikke din butik.

Relateret læsning:

  • Anonym, LulzSec vs. PayPal: eBay's kontante ko i krydset (ZDNet)
  • LulzSec-talsmand arrestation kunne tilskynde til flere cyberangreb (ZDNet)
  • Det britiske politi siger, at de har arresteret LulzSecs 'Topiary' (CNET News)

© Copyright 2021 | mobilegn.com