Forensics

Forensics, это, как нам wiki рассказывает, слово латинское и означает "of or before the forum". Т.е. это означало подготовку к публичному выступлению на суде. Сейчас это чаще означает что-то связанное с судом и сбором юридических свидетельств. Хотя может означать форму публичных выступлений.
С точки зрения информационной безопасности интересна наука "Computer forensics"(далее именно это будем именновать forensics), которая является веткой "digital forensic science" и означает сбором и представлением юридических свидетельств с носителей информации и компьютеров вообще - или seize and investigate (захват и исследование) digital evidence (цифровые улики, свидетельства). Причём к цифровым свидетельствам предъявляются опреденные требования, т.к. это  всё-таки нематериальные штуки. Вот требования бринаской Association of Chief Police Officers к цифровым уликам:

• Никакие действия правоохранительных органов не должны привести к изменению данных на на носителях, которые могут быть предъявлены в суде.
• В исключительных случаях, уполномоченное лицо может получить доступ к данным на носителях, если обладает необходимой компетенцией и в последствии сможет объяснить необходимость и последовательность своих действий 
•  Вся последовательность действий с цифровыми свидетельствами должна быть зафиксирована так, чтобы независимая сторона могла их воспроизвести
•  Лицо, ответственное за расследование, полностью отвечает за соблюдения этих принципов.

На русский лад Computer Forensic investigation можно называть "программно-технической экспертизой". Важно упомянуть отличие forensic investigation (действия  по сбору свидетельств инцидента) от incident response (реагирование на инцидент) - сосредоточенность на юридическом аспекте проишествия вообще и сборе улик в частности.

 Есть разные интересные техники проведения forensic investigations (сбор, анализ, отчёт):

1. Cross-drive analysis. Сбор и соспостовление данных на устройствах хранения. Позволяет выявить аномалии.
2. Live analysis. Сбор данных с операционной системы в постоянном режиме. В том числе, этот способ позволяет анализировать содержимое оперативной памяти, пока оно не было стёрто.
3.  Восстановление удаленных данных. Самый распространеный способ - взять при обыске диске, сделать точную побитовую копию и вытаскивать оттуда имеющиеся и удаленные данные. 

Со сбором данных с носителей информации вроде понятно. Берем носитель, делаем побитовую копию (по необходимости используем спец оборудование), а дальше мозгом анализируем данные. А что можно найти с помощью сетевого сканера для live analysis?

1. Следы успешных и безуспешных попыток подбора паролей (по журналам смотрим количество логинов в единицу времени, если очень много - попытка подбора). Конечно, не только для пользователей ОС, но и СУБД, ERP-приложений и др.
2. Наличие в ОС или диске хакерских инструментов.
3. Аномалии в системе аутентификации: пустые пароли, странные $PATH в окружении пользователя, настройки cron и sudoers.
4. Поиск закладок
5. Подозрительные программы в автозагрузке
6. Поиск в истории браузера, списке недавно используемых документов.
7. Поиск в документах пользователя слов типа "Пароль", "Резюме", "Конфиденциально" и т.п.
8. Анализ изменений в таблице маршрутов, VLAN, ARP и др.
9. Анализ изменений критичных файлов путем контроля их целостности
10. Прочие подозрительные изменения в конфигурация информационных систем

Понятно, что большую часть информации, собранной сканером надо анализировать. Многие изменения могут быть авторизованы и не представлять проблем. Но ведь главное, чтобы было что анализировать. Автоматизированное средство здесь поможет выполнить рутинному работу по регулярному сбору данных, хранению их, выводу изменений и всякому поиску  в информации. И даже если вы ленитесь анализировать информацию постоянно, то в случае инцидента у нас будет под рукой сканы, который помогут восстановить картину преступления и собрать доказательства для суда.  Последнее действие и есть Forensic.

Проблема Windows для разделения прав пользователей

Вот представьте себе такую задачу. Вам нужно считать конфигурацию операционной системы, скажем для контроля настроек. Поскольку это сбор, т.е. чтение информации, вы скорее всего захотите сделать это без прав администратора, чтобы не напрягать владельца ОС (чтобы ничего не сломалось). Получится ли считать всю информацию о настройках Windows без прав администратора? Неа, не получиться. На Unix\Linux получиться - там есть механизм разделения полномочий RBAC. Для на счёт Windows поддержка Microsoft отвечает: "by design, что вы хотите от системы, спроектированной 20 лет назад". Тогда ведь о безопасности особо не пеклись.

Lsa*InformationPolicy APIs were never designed (almost 20 years ago)
for remoting, and were designed to require administrative rights.  These APIs manage the policy that the security subsystem enforces and it’s easy to effectively make someone an admin via policy, without regards to group membership.”, т.е. с точки зрения архитектуры системы аудита подразумевается локальное использование и права администратора.

«Some parts of security policy can be delegated on certain releases,
e.g. with auditpol.exe you can set the DACL on audit policy and delegate it to others; or you can assign SeSecurityPrivilege.», т.е. можно использовать возможность делегирования полномочий через auditpol.exe (DACL на политики аудитора) или назначение привилегии SeSecurityPrivilege.

Ссылка на документацию по LSA: Managing Policy Information
  (“The LSA
provides functions that administrators can use to query and set global policy
information for the local computer and the domain”) и Security Management
  (“The LSA
Policy API, the Password Filter API, the Safer API, and the Service Security
Attachments API are intended for use by developers of applications that enable
administrators to manage and secure their systems”). Т.е код, который
использует LSA функции, должен выполняться в контексте учетной записи
администратора.

Ссылка на документацию по LSA: Managing Policy Information
  (“The LSA provides functions that administrators can use to query and set global policy information for the local computer and the domain”) и Security Management   (“The LSA Policy API, the Password Filter API, the Safer API, and the Service Security Attachments API are intended for use by developers of applications that enable administrators to manage and secure their systems”). Т.е код, который использует LSA функции, должен выполняться в контексте учетной записи администратора.

Единственное, что остается писать в Microsoft Connect просьбу когда-нибудь вспомнить о безопасности и принципе наименьших привилегий

Подробнее, что нельзя получить без прав админа:

Шифрование дисков общих ноутбуков

Вот есть ноутбуки для выездов: парочка на несколько человек. А ведь информацию на них надо защищать от утери, кражи и прочих неприятностей.  Первая мысль о TrueCrypt, но там нет поддержки токена, т.е. нет нормальной двухфакторной авторизации. Можно файлик ключевой на флешки закинуть, но это не круто. Да и с шифрованием системного диска проблемы есть. Единственным решением, где можно шифровать системный диск и использовать токен оказался Secret Disk от Aladdin. Там ещё можно купить корпоративное решение, чтобы у каждого пользователя был свой токен, а админ разрешает использовать этот токен для указанных ноутбуков. Но и здесь не всё гладко: Secret Disk только Windows поддерживает. Поэтому если используется несколько систем, то, наверное, лучше использовать TrueCrypt, но не хранить на системном диске ничего ценного.  

Бесплатное решение для шифрования и подписи электронной почты

Ведь удобно шифровать (чтобы враги не прочитали) и подписывать (чтобы удостовериться в истинном авторстве письма) письма - в один клик. Для Outlook это можно настроить бесплатно, используя сервис от Comodo: Free Secure Email Certificate
Примерный порядок действий:
1. Настраивать удобнее из Internet Explorer, временно сделав его браузером по умолчанию. Тогда необходимы настройки делаются в несколько кликов
2. Чтобы проверить, что сертификат установлен правильно, надо открыть Internet Explorer, в свойствах обозревателя выбрать меню «Содержимое» и убедиться, что в личных сертификатах появился сертификат с электронным адресом, указанном при создании
3.Дальше надо убедиться, что установленный сертификат электронной почты доступен в клиенте электронной почты. Для этого в настройках Outlook надо открыть «Центр управления безопасностью »(Файл->Параметры), затем вкладку «Защита электронной почты».
4.  Дальнейшие настройки заключаются в настройке удобного меню Outlook для подписи и шифрования электронных писем. Для этого в настройках ленты надо выбрать «Основные вкладки» и во вкладке «Создать сообщение» создать новую группу, которую назвать, например, «Безопасность». В эту группу нужно добавить команды «Подписать» и «Шифровать».
Можно включить опцию автоматической подписи всех исходящих сообщений. Для этого надо активировать опцию «Добавлять цифровую подпись к исходящим сообщениям» в настройках центра управления безопасностью (Файл->Параметры).
5. Если сертификат электронной почты будет утерян, то прочитать зашифрованные письма будет невозможно. Чтобы избежать это неприятной ситуации, нужно создать и хранить в надежном месте копию личного сертификата. Для экспорта сертификата надо открыть свойства браузера Internet Explorer и открыть окно «Сертификаты». Далее надо выбрать личный  сертификат для электронной почты, нажать кнопку «Экспорт» и сохранить сертификат, используя стойкий пароль.  ЭТО ВАЖНО!
Если архивировать всё-таки забыли и потеряли сертификат и пароли отзыва, например, при переустановке ОС, то остается только отозвать старый сертификат на свой адрес электронной почты (через техподдержку Comodo) и получить новый сертификат. При этом письма зашифрованные старым сертификатом прочитать не получиться.

И напомню, что для того, чтобы отправить зашифрованное письмо адресату, надо сначала получить от адресата его открытый ключ. Для этого достаточно получить электоронное письмо от автора с его электронной подписью (иногда требуется ещё и  сохранить контакт в адресной книге Outlook).    

Портал обмена данными для организации

Как можно безопасно обменяться файлами с партнёрами:

• Отправить зашифрованный архив по почте или на флешке. Но: файлы больших объемов не пролезут по почте, а флешка - это оффлайн решение. К тому же надо выбрать стойкий пароль и механизм шифрования.
• Воспользоваться публичными файлобменниками, типа narod.ru, что не особо безопасно.

• Использовать корпоративные файлобменники. Но использовать готовое решение или разработать свой? Имхо, своя разработка простого и надежного как топор файобменника - лучший вариант.

Чем меньше заложить функций в свой файлобменник, тем лучше:

• Вся передаваемая информация шифруется (TSL).
• Авторизоваться на сайте могут только сотрудники собственной компании
• Авторизованные пользователи имеют доступ только к файлам и папкам в собственном корневом каталоге.
• Внутри корневого каталога авторизованный пользователь имеет полный доступ ко всем папкам и файлам.
• Авторизованные пользователи могут дать ссылку, позволяющую загрузить файл в каталог другого пользователя. Т.е. в каталог, доступа к которому не имеет.
• Любой пользователь, в т.ч. анонимный, может скачать файл, если знает уникальную ссылку для скачивания.
• Любой пользователь, в т.ч. анонимный, может закачать файл, если знает уникальную ссылку для закачки.
• Анонимный пользователь после загрузки файла не может получить к нему доступ, но знает ID загруженного им файла.
• Файлы удаляются автоматически через заданный период. Период до удаления можно изменить.
• Авторизованный пользователь может в пределах своего корневого каталога создавать каталоги, перемещать файлы в каталоги, удалять файлы, изменять время до автоматического удаления файла.
• Авторизованный пользователь может генерировать ссылки на скачивание файла и ссылки для загрузки файла.
• Должна быть возможность предоставить ссылку для загрузки нескольких файлов.
• Авторизованный пользователь может предоставить доступ к своему каталогу другому авторизованному пользователю.
• Все действия по скачиванию и загрузке файлов регистрируются в журнале.

Рейтинг Gartner сканеров безопасности

Пока не вышла свежая статья 2012 года от Гартнер по инструментам для оценки защищенности, можно почитать статью 2011 года: http://www.gartner.com/technology/media-products/reprints/qualys/article1/article1.html