Телеграм канал Information Hardening
Практическое применение безопасности
@Li11ian
Поделиться с друзьями:
статистика поднять канал
О чём пишут в канале @informhardening
#офтоп #работа
ЦА ФКУ "Налог-Сервис" ищет консультанта по ИБ. В обязанности входит:
1. Участие в пилотных проектах по развертыванию средств защиты (Kaspersky, MaxPatrol SIEM, БлокХост сеть);
2. Разработка и внедрение стандартов конфигурации (ОС: Windows; СУБД: MS SQL; Active Directory);
3. Координация деятельности подведомственных подразделений на территории РФ в рамках реализации политик ИБ;
Главное требование к специалисту: готовность самостоятельно изучать новые системы, умение проявлять инициативу и
ответственность в ходе реализации проекта. Плюсом будет умение разрабатывать техническую и организационную документацию
(политики, регламенты и процедуры).
З/п 70 т.р. на руки, ДМС, работа 5/2, территориально 10 мин. пешком от м. Октябрьское поле.
Писать на @cybrsht_bot
2018-02-05 12:50:49
Adobe Flash славу получил как плагин небезопасный, густо снабженный уязвимостями и к отключению рекомендуемый. Вот и новая уязвимость в нем найдена - CVE-2018-4878, и хакерами эксплуатируется в wild. Ежели плагином вы пользуетесь, можете просто обновить до версии 28.0.0.137 превышающей, а в случае ином - можно и получше что-то сотворить.
Так как HTML5 потихоньку (или уже и не потихоньку) вытесняет Flash, на мобильных платформах Flash уже и не поддерживается, и вообще, вы мало где можете встретить потребность в нем, самый действенный способ - отключить или удалить его. Если на такое вы пока решиться не готовы, обязательно стоит включить функцию подтверждения запуска содержимого для флеша.
Internet Explorer
Тут у нас флеш установлен по умолчанию.
Чтобы отключить: открываем меню -> "Manage add-ons" -> "All add-ons", находим "Shockwave Flash Object" и жмем "Disable".
Отключаем массово: через групповые политики в User Configuration\Windows Components\Internet Explorer\Security Features\Add-on Management:Turn off Adobe Flash in Internet Explorer and prevent applications from using Internet Explorer technology to instantiate Flash objects
Включаем запрос о запуске: открываем меню -> "Manage add-ons" -> "All add-ons", находим "Shockwave Flash Object", жмакаем пракой кнопкой и "More information". Там есть поле с перечнем разрешенных сайтов, а под ним кнопка "Remove all sites", жмем ее и готово.
Microsoft Edge
Опять же, флеш добавлен по умолчанию.
Отключить: Settings -> "View advanced settings", найти "Use Adobe Flash Player" и отключить.
Отключить массово: с помощью групповой политики Computer Configuration\Policies\Administrative Templates\Windows Components\Microsoft Edge\Allow Adobe Flash
Включаем запрос о запуске: массово с помощью групповой политики Computer Configuration\Policies\Administrative Templates\Windows Components\Microsoft Edge\Configure the Adobe Flash Click-to-Run setting или в реестре HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\Security\:FlashClickToRunMode в значение 1.
Chrome
По умолчанию флеш установлен.
Отключить: открываем chrome://plugins/, находим Adobe Flash Player и кликаем "Отключить".
Включить запрос о запуске: массово с помощью политики Computer Configuration\Administrative Templates\Google\Google Chrome\Content Settings\Default Plugins Setting. Или в Settings -> Show Advanced Settings -> Content settings, находим "Plugins" и выбираем "Let me choose when to run plugin content", а еще под ним проверяем исключения.
Firefox
Флеш не установлен по умолчанию.
Выбрать поведение: Tools -> Addons -> Plugins, находим Flash и выбираем опцию "Ask to activate" или "Never activate".
2018-02-05 11:36:04
На самом деле общесистемный масштаб имеют лишь некоторые функции EMET, а гораздо больших спектр фич применим к процессам конкретных приложений.
Для приложения можно включить следующие функции:
DEP — реализуется за счет вызова kernel32!SetProcessDEPPolicy в контексте контролируемого процесса
BottomUpASLR — в некотором роде представляет собой ASLR для выделяемых регионов памяти на стеке и в куче (по мере выделения памяти и в старших адресах)
NullPage — защита от эксплуатации MS13-031
MandatoryASLR — принудительно включает ASLR для динамически загружаемых библиотек процесса. Реализуется за счет перехвата функции ntdll!NtMapViewOfSection
HeapSpray — позволяет фиксировать попытки операций выделения большого количества участков памяти с размещением там кода эксплойта
LoadLib — отслеживание операций LoadLibrary с целью предотвращения загрузки библиотеки в память по пути UNC
MemProt — запрет изменения статуса страниц стека на executable
Caller — контроль за тем, чтобы функция была вызвана с помощью call, а не ret, что широко применяется в эксплойтах
SimExecFlow — позволяет обнаруживать ROP-гаджеты после вызова контролируемой EMET функции
StackPivot — позволяет обнаруживать ситуации перемещения регистра стека ESP на нужный для эксплойта адрес
SEHOP — отслеживает попытки эксплуатирования обработчиков SEH
EAF (Export Address Table Access Filtering) — запрещает какие-либо операции обращения к странице памяти, на которой расположена таблица экспорта модуля, кроме доступа легитимного кода
Все эти функции можно настроить в окне Mitigations графического интерфейса. Кроме того, в окне Application Configuration есть еще три дополнительных функции:
Deep Hooks — для защиты критических API EMET будет перехватывать не только сами функции, но и те функции (другие API), которые из них будут вызываться
Anti Detours — блокирует действия эксплойтов, которые пропускают первые байты API (обычно пролог) и передают управление на инструкции, следующие за ними
Banned Functions — запрещает вызов API-функций из специального списка
Каждое отдельно взятое приложение может быть несовместимо с некоторыми защитами EMET, поэтому перед его включением требуется тестирование (или гуглинг данных от тех, кто уже протестировал). Однако в административных шаблонах EMET поставляются уже готовые проверенные политики для ряда приложений.
Включаются они следующими групповыми политиками:
- Computer Configuration\Policies\Administrative Templates\Windows Components\EMET\Default Protections for Internet Explorer
- Computer Configuration\Policies\Administrative Templates\Windows Components\EMET\Default Protections for Recommended Software (включает Adobe Reader, Adobe Acrobat, Java, Microsoft Office, блокнот)
- Computer Configuration\Policies\Administrative Templates\Windows Components\EMET\Default Protections for Popular Software (включает Media Pleer, Skype, Lync, Windows Live, Google Talk, Chrome, Firefox, Thunderbird, Adobe Photoshop, Winamp, Opera, WinRAR, WinZip, VLC, 7-Zip, Safari, iTunes и еще немного)
2018-02-02 11:18:38
#Windows #конфигурация
Для Windows в целях противодействия эксплойтам был разработан EMET (разработан Microsoft, но распространяется бесплатно!). В Windows 10 и Windows Server 2016 его заменили встроенные ProcessMitigations Module и Windows Defender Exploit Guard. Ну а для предыдущих выпусков актуален и рекомендуем EMET.
Для централизованной настройки EMETа доступны готовые административные шаблоны, которые можно найти в папке "\Program Files\EMET\Deployment\Group Policy Files" после установки EMET.
Настройки падают в Computer configuration->Administrative Templates->Windows Components->EMET.
Вот тут то и настраиваются те плюшки, про которые мы говорили вчера.
System ASLR (Address Space Layout Randmization) - включает рандомизацию распределения виртуальной памяти.
System DEP (Data Execution Prevention) - включает предотвращение исполнения данных. Возможные настройки:
- Application Opt-In - DEP включается только для системных файлов Windows
- Application Opt-Out - DEP включается для всех процессов, но можно задать исключения
- Always On - DEP включается для всех процессов без исключений
- Disabled - no comments
Кроме того на уровне защиты системы в целом Microsoft предлагает опцию SEHOP - Structured Exception Handler Overwrite Protection - защиту обработчиков SEH от перезаписи. Возможные настройки - Application Opt-In и Application Opt-Out, смысл по аналогии с DEP. Однако начиная с Windows Vista SP1 эта функция встроена в систему и уже не требует EMET.
2018-02-01 11:07:32
#Linux #Unix #конфигурация
В Linux есть возможность включить рандомизацию распределения виртуальной памяти (ASLR). Это одновременно защищает от эксплуатации всех уязвимостей, связанных с манипуляцией памятью, и не защищает ни от каких. То есть защищает от не очень продвинутых эксплойтов. Ну что ж, есть не просит - не помешает.
Включается ASLR в файле /etc/sysctl.conf с помощью следующей строки:
kernel.randomize_va_space = 2
В семействе Red Hat есть еще фича по защите буферов с данными, текстовых и прочие попытки пресечь переполнение буфера, зовется ExecShield. Включается в том же /etc/sysctl.conf с помощью строки:
kernel.exec-shield = 1
Похожая функция есть в Solaris, только называется Stack Protection и настраивается в файле /etc/system следующей строкой:
set noexec_user_stack=1
ASLR тоже имеется, включается так (необходимо, чтобы активная зона была global):
sxadm delcust aslr
В AIX нет функций ASLR и защиты стека.
В HP-UX можно включить защиту стека следующей командой, после которой потребуется ребут:
kctune executable_stack=0
2018-01-31 11:47:07
Ну раз уж мы установили шаблоны MSS, посмотрим, что еще в них есть полезного. Неспроста же это дополнительный пак шаблонов для безопасности.
AutoAdminLogon - позволяет включить функцию автологона по сохраненным в реестре учетным данным при запуске системы. По умолчанию (если политика не задана) выключено, как и рекомендуется.
AutoReboot - просто определяет, будет ли система автоматически перезагружаться после сбоя. Если ничего не менять - то будет.
AutoShareWks - дает возможность отключить административные шары на рабочей станции (типа ADMIN$, C$, IPC$). Но сие действо может привести к проблемам в работе софта или администрировании, так что даже стандарты по безопасности не требуют удалять административные шары.
DisableSavePassword - позволяет отключить возможность сохранения пароля для dial-up и VPN-подключений. Безопасники рекомендуют.
Hidden - компьютер перестает вещать о своих ресурсах. Что не особо смутит хакера, а для юзверей может быть неудобно.
NoDefaultExempt - определяет к каким типам трафика не применяются фильтры IPSec. Рекомендуется оставлять только IKE.
NoDriveTypeAutoRun - можно отключить автозапуск. Конечно, отключим! на всех, пожалуйста!
NoNameReleaseOnDemand - включить, чтобы защититься от спуфинга по NBT-NS. Но мы уже отключали NBT-NS, так что мало что изменится.
NtfsDisable8dot3NameCreation - возможность отключить использование имен файлов в стиле 8.3 (типа блабла~.doc). Рекомендуется отключить (т.е. поставить политику в Enabled), т.к. хакер порой может воспользоваться упрощенными наименованиями.
SafeDllSearchMode - определяет порядок поиска загружаемых библиотек. Значение Enabled определенно безопаснее.
ScreenSaverGracePeriod - фигня какая-то, определяет срок, когда экранная заставка может быть сброшена без пароля. Безопасники рекомендуют ставить 0, но вроде это ничего особо не меняет.
WarningLevel - полезен для предупреждения о заполнении лога безопасности, если в нем не настроена перезапись при заполнении.
EnableDeadGWDetect - контролирует переключение на запасной дефолтный гейтвэй. Для безопасников бесполезна.
PerformRouterDiscovery - включает автоматический поиск шлюза по протоколу IRDP. Обязательно отключаем!
SynAttackProtect - понижает тайм-ауты в условиях SYN-флуда, полезно.
TcpMaxConnectResponseRetransmissions - количество попыток отправить SYN для установки сессии. Для нормально работающих сетей просто оставить как есть.
TcpMaxDataRetransmissions - количество попыток передачи датаграмм TCP. Рекомендуется 3, по умолчанию 5, так что разница невелика.
2018-01-30 11:19:57
Доступ к контенту (документы, аудио, видео, изображения) возможен только в приложении Телеграм.
2018-01-29 15:44:54
Винда, конечно, тоже требует настройки всех этих сетевых параметров, про которые мы говорили. Но у нее почему то не предусмотрено легкого пути и многие настройки даже отсутствуют в стандартных административных шаблонах.
Отключаем роутинг:
Роутинг отключается в ключе реестра HKLM\System\CurrentControlSet\Services\Tcpip\Parameters IPEnableRouter (REG_DWORD) путем установки значения 0. Прикладываю для него административный шаблон.
Отключаем редиректы:
Тут нам поможет пак дополнительных политик для Windows MSS. Скачать его версию можно тут: https://msdnshared.blob.core.windows.net/media/2016/10/MSS-legacy.zip. После добавления шаблонов появится раздел Computer->Administrative Templates->MSS (Legacy).
В нем есть пункт EnableICMPRedirect, связанный со значением реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters:EnableICMPRedirect и позволяющий легко отключить редиректы.
Отключаем маршруты из опций IP:
В тех же шаблонах MSS нас интересуют опции DisableIPSourceRouting и DisableIPSourceRouting IPv6, обе ставим в значение "Highest protection". В реестре это устанавливается в ключах HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters:DisableIPSourceRouting и HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip6\Parameters:DisableIPSourceRouting и соответствует значению 2.
2018-01-29 15:44:23
А что у нас на эту тему могут предложить Юниксы?
Solaris:
Отключаем роутинг:
routeadm -d ipv4-forwarding -d ipv4-routing
routeadm -d ipv6-forwarding -d ipv6-routing
routeadm -u
Отключаем редиректы:
ipadm set-prop -p _ignore_redirect=1 ipv4
ipadm set-prop -p _ignore_redirect=1 ipv6
ipadm set-prop -p send_redirects=off ipv4
ipadm set-prop -p send_redirects=off ipv6
Отключаем маршруты из опций IP:
ipadm set-prop -p _rev_src_routes=0 tcp
Отключаем ответы на ICMP броадкаст и мультикаст запросы:
ipadm set-prop -p _respond_to_timestamp_broadcast=0 ip
ipadm set-prop -p _respond_to_address_mask_broadcast=0 ip
ipadm set-prop -p _respond_to_echo_broadcast=0 ip
ipadm set-prop -p _respond_to_echo_multicast=0 ipv4
ipadm set-prop -p _respond_to_echo_multicast=0 ipv6
AIX:
Отключаем роутинг:
no -p -o ipforwarding=0
Отключаем редиректы:
no -p -o ipignoreredirects=1
Отключаем маршруты из опций IP:
no -p -o ipsrcrouterecv=0
Отключаем ответы на ICMP броадкаст запросы:
no -p -o bcastping=0
Включаем защиту от внедрения поддельных TCP-пакетов:
no -p -o tcp_tcpsecure=7
HP-UX:
Отключаем роутинг:
ndd -set /dev/ip ip_forwarding 0
С редиректами тут паршиво, только с помощью фаервола:
Добавляем строку block in quick proto icmp from any to any icmp-type redir в таблицу правил в файле /etc/opt/ipf/ipf.conf
ipf -Fa -A -f /etc/opt/ipf/ipf.conf
Отключаем маршруты из опций IP:
ndd -set /dev/ip ip_forward_src_routed 0
Отключаем ответы на ICMP броадкаст запросы:
ndd -set /dev/ip ip_respond_to_echo_broadcast 0
ndd -set /dev/ip ip_respond_to_timestamp_broadcast 0
2018-01-26 11:07:04
Как это так вышло, что мы до сих пор не подкрутили сетевые настроечки Linux?! Срочно, срочно...
Править будем файл модифицируемых в процессе работы настроек ядра /etc/sysctl.conf.
Первым делом отключаем роутинг, добавляем строку:
net.ipv4.ip_forward = 0
Отключаем ICMP- и IPv6-редиректы, чтобы нам не подменили роутер:
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.all.secure_redirects = 0
net.ipv4.conf.default.secure_redirects = 0
net.ipv6.conf.all.accept_redirect = 0
net.ipv6.conf.default.accept_redirect = 0
И сами их не шлем, мы же приличные люди:
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
Отключаем прием маршрутов из опций IP-протокола, чтобы нас не обманули:
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0
net.ipv6.conf.all.accept_ra = 0
net.ipv6.conf.default.accept_ra = 0
Отключаем ответы на броадкаст и мультикаст ICMP-запросы, защита от атаки Smurf:
net.ipv4.icmp_echo_ignore_broadcasts = 1
Включаем поддержку SYN-cookies, чтобы валидные сессии в случае SYN-флуда продолжали работать:
net.ipv4.tcp_syncookies = 1
Отключаем реакцию на пакеты, нарушающие RFC-1122, чтобы не допустить переполнения логов:
net.ipv4.icmp_ignore_bogus_error_responses = 1
Включаем проверку обратного маршрута, чтобы защититься от спуфинга (не включаем, если в сети несимметричная маршрутизация):
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1
А эта настройка позволит логировать пакеты с недоступным адресом отправителя, чтобы заметить попытки спуфинга. Включаем только если действительно интересно, иначе - бережем логи:
net.ipv4.conf.all.log_martians = 1
net.ipv4.conf.default.log_martians = 1
Если не используем IPv6, можно запросто его отключить и избавиться от кучи потенциальных проблем:
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 = 1
Вона скока настроили! Применяем:
/sbin/sysctl -w net.ipv4.route.flush=1
/sbin/sysctl -w net.ipv6.route.flush=1
/sbin/sysctl -p
Теперь у нас приличные сетевые настройки =)
2018-01-25 10:48:00