Modelowanie zagrożeń w infrastrukturze IT – przewodnik

30 czerwca Microsoft opublikował dokument pod nazwą IT Infrastructure Threat Modeling Guide, który jest wsparciem dla administratorów środowiska IT w zakresie określania zagrożeń i procesu analizy ryzyka.

Dokument w spakowanym archiwum ZIP, po rozpakowaniu zawiera dwa pliki:

  • dokument w formacie docx (34 strony), opisujący takie zagadnienia jak:
    • komponenty infrastuktury IT
    • profil modelu zagrożeń infrastruktury IT
    • przykład procesu modelowania zagrożeń
  • prezentację w formacie pptx (43 slajdy), opisującą takie zagadnienia jak:
    • wprowadzenie i główne cele
    • omówienie ITI TM – procesu modelowania zagrożeń infrastruktury IT
    • linki do materiałów szkoleniowych.

Dokument jest do pobrania z witryny Microsoft Download.

Kaspersky Internet Security 2010 w lipcu

Firma Kaspersky wyda w lipcu kolejną wersję aplikacji antywirusowej. Internet Security 2010 zostanie wzbogacone m.in. o obsługę system zapobiegania włamaniom HIPS (Host-based Intrusion Prevention System).

„Dziesiątki tysięcy nowych niebezpiecznych programów pojawiają się każdego dnia. Cybeprzestępczość stała się wielomilionowym, gwałtownie rozwijającym się przemysłem. Ryzyko stwarzane przez wirusy jest przewyższane przez zagrożenia ze strony sieci komputerów zombie, złożone z milionów maszyn” – tłumaczy szef firmy.

Jego zdaniem duża skala problemu oznacza, że nie jest już możliwe zapewnienie całkowitego bezpieczeństwa przy użyciu wyłącznie konwencjonalnych metod ochrony opartych na sygnaturach wirusów heurystyce – wymagane jest podejście bardziej wszechstronne.

Ma je zapewniać nowe wydanie programu Kaspersky Internet Security. Aplikacja dzięki funkcji Safe Run pozwoli użytkownikowi uruchomić nowy program w izolowanym środowisku – w ten sposób system operacyjny ma być chroniony przed wprowadzeniem w nim niepożądanych zmian. W trybie Safe Run będzie można także przeglądać zasoby Internetu, jak też uruchamiać wiele aplikacji równocześnie.

Inne funkcje programu to m.in. opcja umożliwiająca stworzenie dysku ratunkowego (pomocnego w sytuacji gdy pecet będzie tak zainfekowany, że konieczny będzie „czysty restart” systemu) oraz funkcja bardziej szczegółowej analizy systemu w wypadku podejrzenia o obecność złośliwego software’u.

Rekordowa liczba biuletynów

Microsoft wydał aż dziesięć biuletynów bezpieczeństwa, zawierających aktualizacje swojego oprogramowania. Łączna liczba błędów aplikacji, usuwana przez najnowsze patche, jest najwyższą w sześcioletniej historii comiesięcznego cyklu aktualizacji.

W dziesięciu biuletynach znalazło się łącznie 31 łatek w systemie operacyjnym Windows, przeglądarce Internet Explorer, aplikacjach pakietu biurowego Excel i Word oraz wyszukiwarce Windows Search. 18 z nich miało status błędów krytycznych, 11 – ważnych, a 2 – umiarkowanych.

Jest to największa liczba błędów usuwanych jednorazowo od sierpnia 2006 r., kiedy udostępnił biuletyny zawierające łącznie 26 aktualizacji.

Wśród najnowszych biuletynów na uwagę zasługuje m.in. MS09-019, który usuwa osiem odrębnych luk w przeglądarce Microsoftu (jedna z nich została wykorzystana w marcowym konkursie PWN2OWN do włamania się do komputera).

Oprócz tego poszczególne biuletyny odnoszą się m.in. do luk w kernelu Windows (MS09-025) i zbiorze usług internetowych ISS (MS09-020) – w obu wypadkach grożących podniesieniem uprawnień – oraz błędów w usłudze Active Directory (MS09-018), które cyberprzestępca mógłby wykorzystać do zdalnego uruchomienia niebezpiecznego kodu na atakowanej maszynie.

Aktualizacje można pobrać i zainstalować za pośrednictwem usług Microsoft Update, Windows Update i Windows Server Update Services.

Czerwcowe biuletyny zabezpieczeń

Microsoft w czerwcu wydał dziesięć biuletynów zabezpieczeń, w tym sześć oznaczonych „krytycznym” wskaźnikiem ważności. Pozostałe noszą oznaczenia „ważne” oraz „umiarkowane”.

Biuletyn MS09-018 dotyczy problemu w usłudze Active Directory w MS Windows. MS09-022 opisuje problem w Windows Print Spooler. MS09-027 opisuje błąd w aplikacji Office Word. MS09-019 to skumulowana poprawka zabezpieczeń dla przeglądarki Internet Explorer, MS09-021 dotyczy problemu w aplikacji Office Excel. Ostatni z krytycznych biuletynów, MS09-024, dotyczy pakietu Microsoft Works.

Trzy spośród ważnych biuletynów dotyczą ataku typu „podniesienie uprawnień”. MS09-026 w protokole Remote Procedure Call (RPC) i MS09-025 w jądrze Windows. Poświęcony kwestii elewacji uprawnień jest także trzeci biuletyn MS09-020 i dotyczy serwera Internet Information Services (IIS). Ostatni biuletyn dotyczy możliwego ujawnienia informacji w silniku Windows Search. Jego poziom ważności to „umiarkowany”.

Więcej informacji na:

Microsoft TechNet: Microsoft Security Bulletin Summary for June 2009

TechNet Webcast: Information About Microsoft June Security Bulletins (Level 200)

Poniżej znajdują się dokładne informacje na temat poszczególnych biuletynów:

Biuletyny oznaczone „krytycznym” wskaźnikiem ważności:

  • Identyfikator biuletynu: MS09-018
  • Tytuł biuletynu: Vulnerabilities in Active Directory Could Allow Remote Code Execution (971055)
  • Wskaźnik ważności: Krytyczny
  • Rodzaj usterki: Zdalne wykonanie kodu
  • Wymóg restartu: Wymaga restartu
  • Zagrożone oprogramowanie: Microsoft Windows
  • Identyfikator biuletynu: MS09-022
  • Tytuł biuletynu: Vulnerabilities in Windows Print Spooler Could Allow Remote Code Execution (961501)
  • Wskaźnik ważności: Krytyczny
  • Rodzaj usterki: Zdalne wykonanie kodu
  • Wymóg restartu: Wymaga restartu
  • Zagrożone oprogramowanie: Microsoft Windows
  • Identyfikator biuletynu: MS09-019
  • Tytuł biuletynu: Cumulative Security Update for Internet Explorer (969897)
  • Wskaźnik ważności: Krytyczny
  • Rodzaj usterki: Zdalne wykonanie kodu
  • Wymóg restartu: Wymaga restartu
  • Zagrożone oprogramowanie: Microsoft Windows, Internet Explorer
  • Identyfikator biuletynu: MS09-027
  • Tytuł biuletynu: Vulnerabilities in Microsoft Office Word Could Allow Remote Code Execution (969514)
  • Wskaźnik ważności: Krytyczny
  • Rodzaj usterki: Zdalne wykonanie kodu
  • Wymóg restartu: Może wymagać restartu
  • Zagrożone oprogramowanie: Microsoft Office
  • Identyfikator biuletynu: MS09-021
  • Tytuł biuletynu: Vulnerabilities in Microsoft Office Excel Could Allow Remote Code Execution (969462)
  • Wskaźnik ważności: Krytyczny
  • Rodzaj usterki: Zdalne wykonanie kodu
  • Wymóg restartu: Może wymagać restartu
  • Zagrożone oprogramowanie: Microsoft Office
  • Identyfikator biuletynu: MS09-024
  • Tytuł biuletynu: Vulnerability in Microsoft Works Converters Could Allow Remote Code Execution (957632)
  • Wskaźnik ważności: Krytyczny
  • Rodzaj usterki: Zdalne wykonanie kodu
  • Wymóg restartu: Może wymagać restartu
  • Zagrożone oprogramowanie: Microsoft Office

Biuletyny oznaczone „ważnym” wskaźnikiem ważności:

  • Identyfikator biuletynu: MS09-026
  • Tytuł biuletynu: Vulnerability in RPC Could Allow Elevation of Privilege (970238)
  • Wskaźnik ważności: Ważny
  • Rodzaj usterki: Podniesienie uprawnień
  • Wymóg restartu: Wymaga restartu
  • Zagrożone oprogramowanie: Microsoft Windows
  • Identyfikator biuletynu: MS09-025
  • Tytuł biuletynu: Vulnerabilities in Windows Kernel Could Allow Elevation of Privilege (968537)
  • Wskaźnik ważności: Ważny
  • Rodzaj usterki: Podniesienie uprawnień
  • Wymóg restartu: Wymaga restartu
  • Zagrożone oprogramowanie: Microsoft Windows
  • Identyfikator biuletynu: MS09-020
  • Tytuł biuletynu: Vulnerabilities in Internet Information Services (IIS) Could Allow Elevation of Privilege (970483)
  • Wskaźnik ważności: Ważny
  • Rodzaj usterki: Podniesienie uprawnień
  • Wymóg restartu: Wymaga restartu
  • Zagrożone oprogramowanie: Microsoft Windows

Biuletyny oznaczone „umiarkowanym” wskaźnikiem ważności:

  • Identyfikator biuletynu: MS09-023
  • Tytuł biuletynu: Vulnerability in Windows Search Could Allow Information Disclosure (963093)
  • Wskaźnik ważności: Umiarkowany
  • Rodzaj usterki: Ujawnienie informacji
  • Wymóg restartu: Wymaga restartu
  • Zagrożone oprogramowanie: Microsoft Windows

.org pierwszym rejestrem zabezpieczonym przez DNSSEC

Operator domeny .org (organizacynej) – Public Interest Registry, poinformował, że domena jest pierwszym gTLD, objętym mechanizmem Domain Name Security Extensions (DNSSEC).

Jak na razie strefa .org jest największą domeną, w której wprowadzone zostały nowe zabezpieczenia.

Według zwolenników tej technologii, DNSSEC ma być przyszłością systemu DNS. Mechanizm umożliwia bezbłędne weryfikowanie tożsamości witryn WWW, a co za tym idzie internauci będą pewni z jakiej witryny korzystają. Wprowadzenie DNSSEC ma być skuteczną metoda w walce z pharmingiem jak również przekierowaniami DNS.

Inicjatywa została zaaprobowana przez radę ICANN i jej Komitet Bezpieczeństwa i Stabilności. W sierpniu wprowadzono Koalicję Przemysłową DNSSEC. Stworzono plan wdrożeniowy i pozyskano kolejnych partnerów: Afiliasa- operatora gTLD .info.

Rady od Kaspersky’ego

Na rynku antywirusowych aplikacji wiele się zmienia. Tym razem jednak Kaspersky postanowił sprawdzić komputery użytkowników, co na nich jest zapisywane (pod względem bezpieczeństwa danych), przechowywanych haseł, plików oraz prywatnych danych dostępowych).

Poniżej znajduje się lista opublikowana przez Kaspersky Lab, w której producent zachęca użytkowników publicznych komputerów do:

  • wylogowywania po zakończeniu pracy z danym programem lub w serwisie/usłudze internetowej,
  • korzystania z WebGadu zamiast standardowego programu,
  • usuwania ściągniętych z sieci plików, z których korzystaliśmy ponieważ  mogą one dostarczyć informacji o naszej tożsamości,
  • usuwania danych prywatnych z przeglądarek,
  • skanowania pamięci przenośnych, jeśli z  nich korzystaliśmy.

Pełny artykuł można znaleźć w Encyklopedii Wirusów VirusList.pl prowadzonej przez Kaspersky Lab.

Norton Online Backup

Rynek aplikacji przeznaczonych do zapewniania kompleksowego bezpieczeństwa naszym komputerom szybko się rozwija. Norton wydał właśnie nowe narzędzie o nazwie Norton Online Backup. Jak łatwo po nazwie aplikacji wywnioskować do automatycznego tworzenia kopii zapasowych najważniejszych danych w komputerze i bezpiecznego przechowywania ich na serwerze w Sieci. Jest to również pierwsza w pełni internetowa usługa adresowana do użytkowników indywidualnych.

Niestety tego typu usługi nie należą do tanich, ale coś za coś. Nie ma bowiem bezpieczniejszego sposobu na przechowywanie ważnych dla nas plików. Jedyny konkurencyjny dla backupu on-line sposobem jest regularne wypalanie kopii na nośnikach CD, DVD lub Blu-ray.

Luka w DirectX

Microsoft poinformował o wykryciu krytycznej luki w DirectX. Błąd umożliwia hakerowi zdalne wykonanie dowolnego kodu, jeżeli użytkownik otworzy specjalnie spreparowany plik QuickTime.

Lukę można wykorzystać w następujących systemach operacyjnych: Windows 2000, Windows XP oraz Windows 2003. Użytkowników Visty i Windows Server 2008 luka nie dotyczy. Problem, zgodnie z Microsoft Security Advisory leży w QuickTime Movie Parser Filter, który DirectShow wykorzystuje do przetwarzania plików w tym formacie. Atak można przeprowadzić za pomocą spreparowanej strony internetowej otwartej w dowolnej przeglądarce. Na komputerze ofiary nie musi być niestety zainstalowane oprogramowanie QuickTime.

Anti Trojan Elite (ATE) 4.5.1

Anti Trojan EliteISecSoft, Inc. wydał nową wersję aplikacji do zwalczającej szkodliwe oprogramowanie typu: malware, robaków, koni trojańskich, keylogerów z pamięci i dysku. Aplikacja posiada moduły: Network Manager, Process Manager, moduł przeznaczony do naprawy rejestru i przeglądarki IE.

Program niestety nie jest darmowy. Jego darmowa wersja to wersja demontracyjna.