Les défenses contre la distribution de logiciel de Trojan

Share

|

Les défenses contre ce type d'attaque entrent dans trois catégories : conscience d'utilisateur, logiciel de contrôles d'intégrité d'administrateur, et soigneusement d'essai nouveau. D'abord, vous et votre organisation devez vous rendre compte de la menace. Sans connaissance fondamentale contre de ce que vous êtes vers le haut, vous êtes garanti pour perdre. Vos politiques doivent clairement déclarer qu'on interdit strictement des utilisateurs des programmes non autorisés d'installation sur les systèmes de votre organisation. Les utilisateurs ne devraient installer aucune mises à jour inattendues de logiciel qui arrivent dans le courrier, n'importe comment le "fonctionnaire" elles semblent être. Je ne m'inquiète pas si le paquet incluait le logo de compagnie ; il devrait ne jamais être installé. Si des mises à jour arrivent, elles devraient immédiatement être expédiées à l'équipe de sécurité. Si vous avez besoin des systèmes d'utilisateurs de mise à jour, vous devriez avoir un plan formalisé annonçant comment vous distribuerez le logiciel à eux. Ce plan devrait être inclus en matériaux de conscience d'utilisateur.

En outre, remonté une campagne de conscience faites vos utilisateurs et administrateurs d'ordinateur savoir que les attaquants distribuent parfois le logiciel méchant par l'intermédiaire de l'Internet ou même par l'intermédiaire du snail mail. Habillez vers le haut de vos efforts de conscience en installant une cabine en dehors de d'un cafétéria avec les signes et les ballons colorés. J'appelle ceci les composants de froo-froo d'une campagne de conscience de sécurité, parce qu'elle n'est ni profonde ni technique. Toujours, le froo-froo est important, car il obtient l'attention des utilisateurs. Distribuez les brochures simples avec les dessins animés idiots à votre utilisateur que la base les a faits savoir à faites la bonne chose. Bien qu'un programme plein de conscience de sécurité prenne beaucoup de travail, ce peut être amusement. En fait, il sera plus efficace bien s'il est amusant et plein du froo-froo plutôt que juste de même vieux bourdonner sur environ la politique cette politique de blah-blah-blah qui blah-blah-blah. Les utilisateurs typiques accordent rapidement hors de n'importe quel dialogue qu'ils ne comprennent pas ou soin environ, mais s'il a les ballons et les dessins animés frais, ils juste pourraient écouter.

Un autre domaine important pour défendre contre ces attaques implique des procédures administratives pour vérifier l'intégrité des paquets que vous téléchargez. Toutes les fois que j'améliore un outil de logiciel à travers l'Internet, je télécharge toujours des copies au moins de trois miroirs différents. Je vérifie alors l'intégrité des programmes en utilisant des informations parasites cryptographically fortes contre la copie de chaque miroir pour s'assurer ils toute l'allumette. Vous pouvez créer MD5 des informations parasites, genre de comme empreinte digitale numérique, pour n'importe quel dossier en utilisant le grand programme de md5sum inclus dans la plupart des distributions de Linux. Sur Windows, vous pouvez employer le programme libre de md5summer écrit par Luc Pascoe, disponible à www.md5summer.org. Puisque MD5 est une fonction à sens unique d'informations parasites, un attaquant la trouverait très, très difficile de créer un Trojan Horse avec l'exact les mêmes informations parasites que le programme légitime. Par difficile, je veux dire qu'ils exigeraient un ordinateur géant fonctionnant pour des milliers d'années pour créer un programme mauvais qui a l'exact les mêmes informations parasites que votre bon programme. Au moins, c'est l'idée si ces algorithmes à sens unique sont aussi bons que nous espérons qu'ils sont.

Beaucoup d'emplacements de Web qui distribuent le logiciel incluent un dossier contenant MD5 les informations parasites de la dernière version sur l'emplacement lui-même. Cependant, je suis inconfortable téléchargeant un programme juste d'un miroir simple et vérifiant ces informations parasites simples de l'exact le même emplacement. Pensez cela. Si les attaquants pourraient compromettre un emplacement et un Trojanize simples de Web le logiciel, naturellement ils pourraient changer le dossier contenant les informations parasites sur ce même serveur de Web. L'idée ici est qu'un attaquant aurait un temps plus difficile compromettre plusieurs miroirs du code, et donc je pourrai attraper leur trahison en observant différentes versions sur les miroirs. Par le téléchargement des miroirs multiples et la vérification l'uniformité à travers eux, j'obtiens une chance bien meilleure que l'attaquant ne les a pas compromises toutes, et j'aurai un programme intact à courir. Malheureusement, si les miroirs sont automatiquement mis à jour d'un serveur central simple, j'immobile perdrais si le mauvais type souille le code sur le serveur principal. J'ai soulevé la barre qu'une partie en comparant hache à travers les miroirs multiples, mais les mauvais types pourraient saut immobile au-dessus de la barre plus haute.

Quelques emplacements de téléchargement de logiciel vont au delà de hache et inclut une signature numérique du logiciel, en utilisant un paquet principal public de chiffrage tel que l'intimité plutôt bonne (PGP). Si vous téléchargez n'importe quel logiciel avec de telles signatures, vous devriez vérifier ces signatures en utilisant un paquet approprié, tel que le clone ouvert de source "de la garde d'intimité de gnu appelée par PGP," disponible pour libre à www.gnupg.org. Naturellement, un attaquant pourrait modifier la signature numérique ou même remplacer la clef signait le paquet. Cependant, de telles attaques seraient beaucoup plus difficiles, et sont donc loin moins probables.

En conclusion, vous devriez toujours examiner de nouveaux outils avant le roulement ils dans la production. Un tel processus d'essai vous donne non seulement une chance de détecter le logiciel malveillant à l'avance, mais il vous donne également un certain temps précieux pour d'autres pour découvrir le problème avant que vous mettiez aveugle le code dans la production. Je travaillais avec une banque dont le lard a été sauvé simplement parce qu'ils passent au moins un mois passant en revue n'importe quel nouveau dégagement de Sendmail avant de le mettre dans la production. J'aimerais vous dire qu'ils ont découvert le Sendmail secret tandis qu'ils regardaient par le programme dans leur réseau d'évaluation. Cependant, ils ne l'ont pas trouvé. Toujours, alors qu'ils analysaient le nouveau dégagement pour s'assurer il a répondu à des exigences de corporation de fonctionnalité, d'autres gens avaient découvert et avaient donné de la publicité au secret en octobre 2002. Quand la banque a entendu parler de la découverte d'un secret dans cette version de Sendmail, ils l'ont tirée de leurs systèmes d'essai et ne l'ont jamais roulée d'un coup sec dans la production. Le retard intégré de leur processus d'analyse a certainement aidé cette organisation pour éviter la catastrophe. Pour les pièces rapportées critiques de sécurité, l'déploiement rapide est crucial. Pour des mises à niveau simples ou de nouveaux dispositifs, le retard de quelques semaines peut réellement aider à améliorer la sécurité.