Kicsit csönd van mostanában az IT-biztonság offenzív oldalán, a BlackHat DC-ről még nem írtek ide a hírek (leszámítva talán a Stuxnettel kapcsolatos állításokat, melyekre ennél több szót nem kellene vesztegetni), védelmi fronton viszont akad néhány újdonság.

A Microsoft biztonságos fejlesztésért dolgozó csoportja kiadta az Attack Surface Analyzer nevű szoftver béta változatát, melynek segítségével a telepített alkamazások hatását vizsgálhatjuk a Windows operációs rendszer támadási felületére. Hogy mit értünk támadási felület alatt, azt ez a tanulmány definiálja: A lista számba veszi többek között a nyitott portokat, RPC végpontokat, az operációs rendszer beállításait, ACL-eket illetve a különböző tartalomtípus-alkalmazás összerendeléseket. A program pillanatképeket készít a rendszer állapotáról, a szakértő pedig a pillanatképek különbségeinek áttekintésével értékelheti, hogy mekkora kockázatot jelent egy adott alkalmazás (adott módon történő) telepítése, illetve hogy egy incidens bekövetkeztéhez mely legitim komponensek járulhattak hozzá. Ezt az eszközt használják a Microsoft belső terméktesztjeihez is, kár, hogy Windows 7-nél korábbi rendszerekre nem települ :(

Ha már itt tartunk, érdemes lenne megemlékezni az EMET-ről is, de az külön blogposztot érdemelne, melynek megírására kommentben lehet ösztökélni :)

A másik eszköz amit meg szeretnék említeni, egy hoszt monitorozó szoftver, az Immunity által készített El Jefe, melynek nem rég adták ki első nyilvános változatát. Meg kell jegyeznem, hogy nem vagyok naprakész a monitorozás területén, így nem tudom megmondani (de kommenteket szívesen fogadok), hogy hasonló megoldást készített-e már más, és hogy milyen minőségben. Amit tudok, az az, hogy az eszköz GPLv3 licensz alatt szabadon elérhető, és egy igen egyszerű, de frappáns ötleten alapszik, ami általában jót jelent.

Az El Jefe userspace-ben hookolja a CreateProcess() API-t, és továbbítja a folyamatok létrejöttével kapcsolatos információkat - lenyomat, szülőprocessz, argumentumok, stb. - egy központi SQL adatbázisnak. Nagy vonalakban ennyi. A feltevés az, hogy az új folyamatok létrejötte normál körülmények között viszonylag ritka, a jószándékú felhasználók szokásai pedig ebben a kontextusban általában könnyen modellezhetők, előrejelezhetők, így viszonylag releváns és jól szűrhető (bányászható) adatokat kapunk. A gyakorlatban természetesen előfordulhat (bár nem jellemző), hogy egy támadó nem indít új folyamatokat, a releváns adatok kinyerése ebben az esetben is nagy szakértelmet, a védendő szervezet részletes ismeretét, és gondos tervezést igényel, az események száma pedig még mindig magas maradhat - ma sem találták fel a csodaszert. De a puding próbája, mint tudjuk az evés, egy próbát szerintem megér a dolog, azoknak pedig, akik nem merülnének bele a tesztelésbe, még mindig ajánlanám a szoftver bétájának bejelentését követő levelezés végigolvasását, tanulságos megoldásokkal, és álláspontokkal lehet megismerkedni!