Protégez-vous contre les menaces externes

Dans une chronique précédente, j'ai révélé comment la grande majorité des menaces de sécurité informatique auxquelles votre environnement est confronté se trouvent du côté client et nécessitent la participation de l'utilisateur final. Les utilisateurs doivent être socialement conçus pour cliquer sur un élément de leur bureau (un e-mail, une pièce jointe, une URL ou une application) qu'ils ne devraient pas avoir. Cela ne veut pas dire que les exploits vraiment distants ne sont pas une menace. Elles sont.

[ La chronique de Roger Grimes est maintenant un blog! Recevez les dernières nouvelles en matière de sécurité informatique sur le blog Security Adviser. ]

Le débordement de la mémoire tampon à distance et les attaques DoS restent une menace sérieuse contre les ordinateurs sous votre contrôle. Bien qu'elles soient moins répandues que les attaques côté client, l'idée qu'un attaquant distant puisse lancer une série d'octets contre vos ordinateurs, puis en prendre le contrôle, suscite toujours la plus grande peur pour les administrateurs et capture les plus gros titres. Mais il existe également d'autres types d'attaques à distance contre les services d'écoute et les démons.

Un gant d'exploits à distance

De nombreux services et démons sont soumis aux attaques MitM (man in the middle) et aux écoutes clandestines. Beaucoup trop de services ne nécessitent pas d'authentification du point final ou n'utilisent pas de chiffrement. Grâce à l'écoute clandestine, les parties non autorisées peuvent obtenir des informations de connexion ou des informations confidentielles.

La divulgation d'informations inappropriées est une autre menace. Il suffit d'un peu de piratage Google pour vous effrayer. Vous trouverez les identifiants de connexion bien visibles, et il ne vous faudra pas longtemps avant de trouver de vrais documents top-secrets et confidentiels.

De nombreux services et démons sont souvent mal configurés, permettant un accès privilégié anonyme depuis Internet. L'année dernière, alors que j'enseignais à un cours sur le piratage de Google, j'ai trouvé la base de données de santé et de protection sociale de tout un État (américain) accessible sur Internet, aucune information de connexion requise. Il comprenait des noms, des numéros de sécurité sociale, des numéros de téléphone et des adresses - tout ce dont un voleur d'identité aurait besoin pour réussir.

De nombreux services et démons restent non corrigés, mais exposés à Internet. La semaine dernière, l'expert en sécurité des bases de données, David Litchfield, a trouvé sur Internet des centaines à des milliers de bases de données Microsoft SQL Server et Oracle non corrigées, non protégées par un pare-feu. Certains n'avaient pas de correctifs pour les vulnérabilités corrigées il y a plus de trois ans. Certains nouveaux systèmes d'exploitation sont sciemment publiés avec des bibliothèques obsolètes et des binaires vulnérables. Vous pouvez télécharger tous les correctifs proposés par le fournisseur et vous êtes toujours exploitable.

Que pouvez-vous faire?

* Faites l'inventaire de votre réseau et obtenez une liste de tous les services d'écoute et démons fonctionnant sur chaque ordinateur. 

* Désactivez et supprimez les services inutiles. Je n'ai pas encore analysé un réseau qui n'exécutait pas des tonnes de services inutiles (et souvent malveillants, ou du moins potentiellement dangereux) que l'équipe de support informatique ne connaissait pas.

Commencez par des actifs à haut risque et de grande valeur. Si le service ou le démon n'est pas nécessaire, désactivez-le. En cas de doute, faites des recherches. Il existe de nombreuses ressources et guides utiles disponibles gratuitement sur Internet. Si vous ne trouvez pas de réponse définitive, contactez le fournisseur. Si vous n'êtes toujours pas sûr, désactivez le programme et restaurez-le si quelque chose finit par être cassé.

* Assurez-vous que tous vos systèmes sont entièrement corrigés, à la fois le système d'exploitation et les applications. Cette étape unique réduira considérablement le nombre de services correctement configurés pouvant être exploités. La plupart des administrateurs font un excellent travail pour appliquer les correctifs du système d'exploitation, mais ils ne font pas aussi bien de s'assurer que les applications sont correctes. Dans cette colonne particulière, je ne suis préoccupé que par la correction des applications qui exécutent des services d'écoute.

* Assurez-vous que les services et démons restants s'exécutent dans le contexte le moins privilégié. L'époque de l'exécution de tous vos services en tant qu'administrateur racine ou de domaine devrait toucher à sa fin. Créez et utilisez des comptes de service plus limités. Sous Windows, si vous devez utiliser un compte hautement privilégié, utilisez LocalSystem au lieu de l'administrateur de domaine. Contrairement à la croyance populaire, exécuter un service sous LocalSystem est moins risqué que de l'exécuter en tant qu'administrateur de domaine. LocalSystem ne possède pas de mot de passe pouvant être récupéré et utilisé dans la forêt Active Directory.

* Exiger que tous les comptes de service / démon utilisent des mots de passe forts. Cela signifie long et / ou complexe - 15 caractères ou plus. Si vous utilisez des mots de passe forts, vous devrez les changer moins fréquemment et vous n'aurez pas besoin de verrouillage de compte (car les pirates ne réussiront jamais).

* Google piratez votre propre réseau. Il ne fait jamais de mal de savoir si votre réseau publie des informations sensibles. L'un de mes outils préférés est Site Digger de Foundstone. Il automatise essentiellement le processus de piratage de Google et ajoute de nombreuses vérifications de Foundstone.

* Installer les services sur les ports non par défaut s'ils ne sont pas absolument nécessaires sur les ports par défaut; c'est l'une de mes recommandations préférées. Mettez SSH sur autre chose que le port 22. Mettez RDP sur autre chose que 3389. À l'exception de FTP, j'ai pu exécuter la plupart des services (qui ne sont pas nécessaires au grand public) sur des ports non par défaut, où les pirates sont rarement les trouver.

Bien sûr, pensez à tester votre réseau avec un scanner d'analyse de vulnérabilité, qu'il soit gratuit ou commercial. Il y en a beaucoup d'excellents qui trouvent le fruit à portée de main. Ayez toujours d'abord l'autorisation de gestion, testez pendant les heures creuses et acceptez le risque que vous mettiez probablement hors ligne certains services importants pendant l'analyse. Si vous êtes vraiment paranoïaque et que vous voulez dépasser les vulnérabilités révélées publiquement, utilisez un fuzzer pour rechercher des exploits zero day non divulgués. J'ai joué avec un commercial ces jours-ci (gardez un œil sur le centre de test pour mon examen) contre divers appareils de sécurité, et le fuzzer trouve des choses que je soupçonne que les vendeurs ne savent pas.

Et bien sûr, n'oubliez pas que votre risque d'exploits malveillants provient principalement d'attaques côté client.