Tag Archives: fail

Checkpoint jednak (jeszcze) nie migruje do SHA-256

work-in-progress-CC BY-SA 2.0-kevandotorg-on-flickr
CC BY-SA 2.0 https://www.flickr.com/photos/kevandotorg/

Mo偶na si臋 by艂o tego spodziewa膰. O planach Checkpointa dotycz膮cych migracji z SHA-1 do SHA-256 pisa艂em tutaj. M贸j klient otrzyma艂 poprawki na czas na 99% urz膮dze艅, pozosta艂y 1% przejawia艂 problemy natury filozoficznej (nie poddam si臋 aktualizacji i co mi zrobisz) b膮d藕 technicznej (w dniu aktualizacji dysk zdech艂). Najwidoczniej jednak znale藕li si臋 u偶ytkownicy, kt贸rzy pokpili spraw臋. w zwi膮zku z czym Checkpoint migracj臋 certyfikat贸w musia艂 od艂o偶y膰 w czasie. P贸ki co do lutego 2016. 呕r贸d艂o: aktualna tre艣膰 SK103839

鈥淭o proactively enhance the security of our online update services, Check Point is planning to gradually migrate its SHA-1 based certificates to SHA-256 based certificates during February 2016.鈥

Security through obscurity wiecznie 偶ywe

CC BY-NC 2.0 Glen Darrud
CC BY-NC 2.0 Glen Darrud

P.T. Pan Klient za偶膮da艂 dzisiaj, 偶eby zablokowa膰 skanowanie jego system贸w (udost臋pnionych publicznie us艂ug) przez Shodan. Jako 偶e Shodan nawi膮zuj膮c po艂膮czenie niczym szczeg贸lnym si臋 nie wyr贸偶nia, to technicznie nale偶aloby to zrealizowa膰 blokuj膮c ruch z okre艣lonej grupy adres贸w 藕r贸d艂owych (z kt贸rych Shodan dokonuje skanowania). Podej艣cie to ma mas臋 s艂abo艣ci, poczynaj膮c od tego, 偶e Shodan takiej listy nie publikuje, a to co mo偶na znale藕膰 w sieci to zapis pewnego wycinka rzeczywisto艣ci w okre艣lonej chwili, bez gwarancji, 偶e zebrane adresy b臋d膮 niezmienne w przysz艂o艣ci.

In偶ynier, kt贸ry pracowa艂 nad tym zg艂oszeniem, zrobi艂 dobr膮 robot臋, i zasugerowa艂 uszczelnienie polityki firewalla tak, aby tylko rzeczywi艣cie niezb臋dne zasoby by艂y dost臋pne publicznie, a tak偶e regularne testy bezpiecze艅stwa, aplikowanie poprawek i innych rozwi膮za艅 usuwaj膮cych ewentualne podatno艣ci – zamiast blokowania skanera. Pan Klient jednak wie lepiej, p艂aci i wymaga, tak wi臋c koniec ko艅c贸w zaimplementowana zosta艂a regu艂a blokuj膮ca kilkadziesi膮t adres贸w mniej lub bardziej powi膮zanych z Shodanem. Inne ni偶 Shodan skanery, w tym potencjalni atakuj膮cy, mog膮 dalej prowadzi膰 rekonesans ze swoich (lub cudzych) adres贸w. Poniewa偶 rezultatu tych dzia艂a艅 nie b臋dzie wida膰 na shodan.io to Pan Klient b臋dzie spa艂 spokojniej, mo偶e nawet zmniejszy cz臋stotliwo艣膰 test贸w penetracyjnych, a z poczynionych oszcz臋dno艣ci kto艣 przyzna mu premi臋.

A kiedy padn膮 ofiar膮 ataku… winny b臋dzie MSSP, kt贸ry przegra艂 zawody w kopaniu si臋 z koniem.

Zasada czystego biurka – clean desk policy

CC BY-NC-SA 2.0 Tal-Bright
CC BY-NC-SA 2.0 Tal Bright

Przemierza艂em budynek, w聽 kt贸rym obowi膮zuje zasada czystego biurka (clean desk policy), a na 艣cianach co kilka metr贸w wisz膮 plakaty przypominaj膮ce o tym fakcie. Mijaj膮c ma艂膮 sal臋 konferencyjn膮 zobaczy艂em st贸艂 przygotowany dla trzech os贸b, na nim dokumenty, a w promieniu kilku metr贸w nie by艂o 偶ywej duszy. Zdj臋cia brak, bo wykonywanie zdj臋膰 by艂o zabronione (ale jak wiadomo, norma prawna zapisana w art. 278 Kodeksu Karnego nie jest respektowana przez z艂odziei, a intruz niekoniecznie b臋dzie zainteresowany przestrzeganiem polityki bezpiecze艅stwa).

FireEye, FPC, DLP, IPS i inne s艂owa kluczowe dobrze sie sprzedaj膮. Niestety najs艂abszym ogniwem byli i s膮 ludzie, a nie 艣rodki techniczne. Z drugiej strony nie ma lepszej ochrony ni偶 zesp贸艂 dobrze wyszkolonych, inteligentnych os贸b.

Ciekawe jak cz臋sto mo偶na pracownikom przeprowadza膰 szkolenie z podstaw bezpiecze艅stwa – unikaj膮c zm臋czenia materia艂u i mechanicznych odpowiedzi pozbawionych odrobiny refleksji – tak 偶eby ka偶dy cykl szkole艅 zmniejsza艂 liczb臋 klikni臋tych link贸w, otwartych za艂膮cznik贸w w niezamawianej korespondencji elektronicznej, czy te偶 pozostawionych na biurku przedmiot贸w.

W tym temacie: ciekawa decyzja administracyjna dotycz膮ca po艣wiadczenia bezpiecze艅stwa.