Megbízható Megbízható számítástechnikaszámítástechnika

Kollár László szolgáltatási üzletágvezetőKollár László szolgáltatási üzletágvezetőMicrosoft MagyarországMicrosoft Magyarország

IDC IT Biztonsági KonferenciaIDC IT Biztonsági KonferenciaBudapestBudapest

2003. Február 13.2003. Február 13.

NapirendNapirend

A Microsoft (és az egész iparág) előtt álló A Microsoft (és az egész iparág) előtt álló probléma: biztonsággal kapcsolatos probléma: biztonsággal kapcsolatos kételyekkételyekA Microsoft válasza ezen problémáraA Microsoft válasza ezen problémára– Rövid távonRövid távon– Hosszú távonHosszú távon

Mit tehet a Vevő?Mit tehet a Vevő?ÖsszefoglalóÖsszefoglalóStatisztikai adatok és információforrások Statisztikai adatok és információforrások

A problémaA probléma

Fast-Spreading Worm Exploits Microsoft IIS Flaw

‘Code Red’ virus infects Web - White House target of worm that attacked about 225,000 Web servers

IT bugs out over IIS security:

Microsoft's platform flaws

have users mulling switch to

rival Web servers

Confusing MS security bulletin aided IIS worm

A biztonság az egész iparág A biztonság az egész iparág problémája, nem csak a Microsoftéproblémája, nem csak a Microsofté

Security AdvisoSecurity Advisory számokry számok 20022002

Source: Company web sitesSource: Company web sites

TrustixTrustix1.51.5

DebianDebianEnGarde EnGarde SunSun(OS)(OS)

Mandrake Mandrake 8.x8.x

00

2020

4040

6060

8080

100100

120120

RedHatRedHat7.27.2

WindowsWindows20002000

WindowsWindowsXPXP

33 34 37

51

67

86 86 87

124

SuSESuSE00 101022 44 66 88 1212

MicrosoftMicrosoft(OS)(OS)

55

RedhatRedhat(OS)(OS)

SolarisSolaris 1212

CERT AdvisorCERT Advisory-ky-k op. rendszerenkéntop. rendszerenként - 2002 - 2002

1212

SecureSecureWindowsWindowsInitiativeInitiative

Trustworthy Trustworthy ComputingComputing

Strategic TechnologyStrategic TechnologyProtection ProgramProtection Program

Security Security PushPush

Megbízható számítástechnikaMegbízható számítástechnikaHogyan érdemeljük ki ügyfeleink bizalmátHogyan érdemeljük ki ügyfeleink bizalmát??

EseményEsemény

TanulságTanulság

CélCél

Windows Windows 20002000

OS OS biztonsági biztonsági funkciókfunkciók

A funkciók A funkciók önma-önma-gukban gukban

nem nem elegen-elegen-

dőekdőek

Secure Secure Windows Windows InitiativeInitiative

A kódbázis A kódbázis biztonsá-biztonsá-

gossá gossá tételetétele

Kötelező Kötelező feladat feladat minden minden

fejlesztőnekfejlesztőnek

Secure Secure Technology Technology Protection Protection ProgramProgram

A bevezetés A bevezetés biztonságá-biztonságá-

nak nak fokozásafokozása

Eszközökre Eszközökre van van

szükségszükség

TWC TWC SecuritySecurity

PushPush

Skálázható Skálázható megközelítés megközelítés a folyamatos a folyamatos fejlődéshezfejlődéshez

Biztonság Biztonság központú központú

kultúra kultúra megteremtésemegteremtése

Code Red Nimda2000 Február2000 Február MaMa

Windows Security PushWindows Security Push

Átmeneti stop minden termékfejlesztési munkáraÁtmeneti stop minden termékfejlesztési munkára

Kötelező biztonsági trainingKötelező biztonsági training– A teljesA teljes Windows Division Windows Division (több, mint 8500 fejlesztő) számára (több, mint 8500 fejlesztő) számára

A Windows kódbázis minden soránakA Windows kódbázis minden sorának– Ellenőrzése lehetséges biztonsági problémák szempontjábólEllenőrzése lehetséges biztonsági problémák szempontjából– A hibák felelőshöz rendeléseA hibák felelőshöz rendelése– A kijavított hibák aláírása felelős vezető általA kijavított hibák aláírása felelős vezető által

Kritikus javítások az alábbi rendszerekbenKritikus javítások az alábbi rendszerekben– Windows NT 4.0Windows NT 4.0– Windows 2000Windows 2000– Windows XP SP1Windows XP SP1– Windows .NET Server 2003Windows .NET Server 2003

A biztonság elérésének elemeiA biztonság elérésének elemei

Elkötelezettség a biztonság irántElkötelezettség a biztonság iránt Részvétel a biztonsági szervezetekbenRészvétel a biztonsági szervezetekben Microsoft Security Response Center Microsoft Security Response Center

Biztonságos architektúraBiztonságos architektúra Veszély modellezésVeszély modellezés A bizt. rések kiküszöbölése a kódbanA bizt. rések kiküszöbölése a kódban

A támadási felület csökkentéseA támadási felület csökkentése A nem használt funkciók kikapcsolvaA nem használt funkciók kikapcsolva A minimálisan kellő jogosultságA minimálisan kellő jogosultság

Kezdeti védelem, a támadás érzékelése, Kezdeti védelem, a támadás érzékelése, beavatkozás, helyreállítás, beavatkozás, helyreállítás, folyamatkoordinációfolyamatkoordináció

Architektúra tervezési segédletek + trainingArchitektúra tervezési segédletek + training

„„SDSD33 + Communications + Communications””

Secure by Secure by DesignDesign

Secure by Secure by DefaultDefault

Secure in Secure in DeploymentDeployment

CommunicationsCommunications

A biztonság fenntartásaA biztonság fenntartása KezdetiKezdetivédelemvédelem

A táma-A táma-dás érzé-dás érzé-

kelésekelése

KoordinációKoordináció

Megfelelő konfigurációMegfelelő konfiguráció PlPl:  Patch:  Patch-ek-ek, ACL, ACL-ek-ek, Port, Port tiltások tiltások, Protocol , Protocol szűrőkszűrők

Monitoring: Monitoring: behatolási kísérletek, szokatlan viselkedésbehatolási kísérletek, szokatlan viselkedés PlPl: : többszöri sikertelen belépés, jogosulatlan többszöri sikertelen belépés, jogosulatlan

hozzáférési próbálkozásokhozzáférési próbálkozások

Beavat-Beavat-kozáskozás

Az elfogott behatolók elleni intézkedésekAz elfogott behatolók elleni intézkedések PlPl: : Portok lezárása, rosszalkodó felhasználó IP Portok lezárása, rosszalkodó felhasználó IP

címének és vagy felhasználói fiókjának tiltásacímének és vagy felhasználói fiókjának tiltása

HelyreállításHelyreállítás A rendszerek/adatok támadás előtti állapotba A rendszerek/adatok támadás előtti állapotba

hozatalahozatala Pl.Pl.: System restore : System restore

Biztonsági policy a kezdeti védelem, érzékelés, Biztonsági policy a kezdeti védelem, érzékelés, beavatkozás, helyreállítás elemekrebeavatkozás, helyreállítás elemekre

Pl.Pl.: Wireless : Wireless ++ VPN VPN hozzáférési policyhozzáférési policy, , engedélyezésen alapuló hozzáférés kontrollengedélyezésen alapuló hozzáférés kontroll

Mérhető eredményekMérhető eredményekAhogy az ügyfelek átélikAhogy az ügyfelek átélik

Divine Managed SystemsDivine Managed Systems– 1,200 s1,200 szzervererverrere 99.3% 99.3% pontossággalpontossággal– Divine 99.95% Divine 99.95% rendelkezésre állást rendelkezésre állást

tartott fenn atartott fenn a Code Red Code Red támadás alatt támadás alatthttp://www.microsoft.com/smserver/evaluation/casestudies/20/divine.asphttp://www.microsoft.com/smserver/evaluation/casestudies/20/divine.asp

PatchPatchtelepítéstelepítés

Szem előtt Szem előtt levő web site levő web site

elleni elleni támadástámadás

MSNBC.COM MSNBC.COM Téli OlimpiaTéli Olimpia– 30M30M lapletöltés lapletöltés– KözelKözel 5 5MM felhasználó napontafelhasználó naponta– 35,00035,000 konkurrens felhasználó konkurrens felhasználó– 8 direkt hacker támadást hárított el az Olimipa 17 napja 8 direkt hacker támadást hárított el az Olimipa 17 napja

alattalatthttp://www.microsoft.com/resources/casestudies/casestudy.asp?casestudyid=13422http://www.microsoft.com/resources/casestudies/casestudy.asp?casestudyid=13422

Windows 2000Windows 2000$162 $162 M USDM USD & 500 & 500 emberév csak a emberév csak a megbízhatóság növeléséremegbízhatóság növeléséreMért uptime:Mért uptime: 99.964% (Aberdeen) 99.964% (Aberdeen)Az iparág vezető erőivel való partnerség a Az iparág vezető erőivel való partnerség a magas rendelkezésreállás eléréséremagas rendelkezésreállás elérésére

Windows Server 2003Windows Server 2003

A megbízhatóság a legfontosabb szempont volt A megbízhatóság a legfontosabb szempont volt már a tervezéskormár a tervezéskor

Mérhető eredmények - megbízhatóságMérhető eredmények - megbízhatóság

Windows Windows megbízhatóságának megbízhatóságának növelésenövelése– Megbízhatósági értékelő eszközök Megbízhatósági értékelő eszközök

(Baseline Security Analyser, (Baseline Security Analyser, Healthnetcheck, IIS Lockdown)Healthnetcheck, IIS Lockdown)

– Termék továbbfejlesztésekTermék továbbfejlesztések– A fejlesztési processz átalakítása A fejlesztési processz átalakítása

(Threat modelling)(Threat modelling)– OEM gyártókkal és ISV_kel való OEM gyártókkal és ISV_kel való

partneri kapcsolatpartneri kapcsolat– Ügyfelek „best practice”-einek Ügyfelek „best practice”-einek

publikálásapublikálása

Windows UpdateWindows Update– Mérföldkő a szoftveriparban a Mérföldkő a szoftveriparban a

sokmilliós nagyságrendű SOHO sokmilliós nagyságrendű SOHO installált bázis szinten tartásárainstallált bázis szinten tartására

Office XPOffice XP– Alkalmazás és dokumentum Alkalmazás és dokumentum

helyreállításhelyreállítás

“In addition to significant improvements in reliability, Windows Server 2003 provides several new features designed to minimize the impact that server maintenance and unexpected failures have on users . . . we plan on going from 200 Windows-based servers down to approximately 160, resulting in significantly lower hardware, licensing, and administrative costs.”

Thomas LinkManager of European IT ProjectsGE Capital Information Technology Solutions Europe

Online Online hibabejelentéshibabejelentés A visszajelzések felhasználása a szoftverfejlesztések soránA visszajelzések felhasználása a szoftverfejlesztések során

Direkt kapcsolat a felhasználókkalDirekt kapcsolat a felhasználókkal– 450 450 cég fér hozzá a hiba adatbázishoz (cég fér hozzá a hiba adatbázishoz (ER ER

DBDB))

A kiértékelt ERDB-t felhasználjuk a A kiértékelt ERDB-t felhasználjuk a javításokhoz:javításokhoz:– A A Windows XP-SP1 Windows XP-SP1 a problémáka problémák 33% 33%-t, az-t, az– Office XP-SP1 Office XP-SP1 az összeomlások az összeomlások 38%38%-t kezelte-t kezelte

Ös

sze

om

lás

ok

Ös

sze

om

lás

ok

HibákHibák200200 400400 600600

A hibák A hibák 1%1%-a-a = = az összeomlások az összeomlások 50%50%--aa – Ezen 1 % 75%-a hibás eszközmeghajtó Ezen 1 % 75%-a hibás eszközmeghajtó

szoftver miatt szoftver miatt

Mi a helyzet a korábbi Mi a helyzet a korábbi termékekkel?termékekkel?

Windows NT 4.0: „Fix backporting” – a Windows NT 4.0: „Fix backporting” – a későbbi verziókban talált biztonsági rések későbbi verziókban talált biztonsági rések ellenőrzése és javításaellenőrzése és javítása

Windows 9xWindows 9x– A Win9x biztonsági rendszerét 1992-ben A Win9x biztonsági rendszerét 1992-ben

terveztéktervezték– A futtató (és a támadáshoz használt) A futtató (és a támadáshoz használt)

gépkapacitás azóta több tízszeresére nőttgépkapacitás azóta több tízszeresére nőtt

Hosszú menetelésHosszú menetelés . . . . . .

JövőképünJövőképünkk

ReakcióReakció

Kulcsszempont Kulcsszempont a megbízha-a megbízha-tóság a kód tóság a kód

írásakorírásakor

Kulcsszempont Kulcsszempont a megbízható a megbízható

ság az ság az architekúra architekúra

tervezésekortervezésekor

Windows XP SP1, Windows Server 2003,Windows XP SP1, Windows Server 2003,WWebebSServiceervice szabványokszabványok

Megbízható számítástechnika (Megbízható számítástechnika (TWCTWC))

’’0101 ’’0202 ’’0303 ’’0404 ’’0505 ’’0606 ’’0707 ’’0808 ’’0909 ’’1010IdőIdő

Bill Gates memo,Bill Gates memo,a fejlesztési stopa fejlesztési stop

Longhorn,Longhorn,(A Windows desktop következő kiadása)(A Windows desktop következő kiadása)

A Microsoft által javasolt eszközökA Microsoft által javasolt eszközök„Secure in deployment”„Secure in deployment”

IIS Lockdown IIS Lockdown Wizard Wizard ++ URLscan URLscan

Microsoft Baseline Microsoft Baseline Security AnalyzerSecurity Analyzer

Windows UpdateWindows Update Software UpdateSoftware Update

ServiceService SMS + Feature PackSMS + Feature Pack ISA + Feature PackISA + Feature Pack

Mit tehet a Vevő?Mit tehet a Vevő?

Az Üzemeltetés dedikált szakembere legyen rajta az MS Az Üzemeltetés dedikált szakembere legyen rajta az MS Security Bulletin DL-enSecurity Bulletin DL-enhttp://www.microsoft.com/technet/security/bulletin/notify.asphttp://www.microsoft.com/technet/security/bulletin/notify.asp

Az MBSA (Microsoft Baseline Security Analyser)Az MBSA (Microsoft Baseline Security Analyser)http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/Toolhttp://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/Tools/MBSAhome.asps/MBSAhome.asp

Ismerje az MS Security Response elemeit (pl. no patch Ismerje az MS Security Response elemeit (pl. no patch in e-mail) in e-mail) http://www.microsoft.com/technet/security/policy/policy.asp?frame=truehttp://www.microsoft.com/technet/security/policy/policy.asp?frame=true

Használja az automatizált patch disztribuciós eszközöket Használja az automatizált patch disztribuciós eszközöket (pl. Windows Update, Windows Update Catalog, (pl. Windows Update, Windows Update Catalog, Spftware Update Services, SMS)Spftware Update Services, SMS)http://v4.windowsupdate.microsoft.com/hu/default.asphttp://v4.windowsupdate.microsoft.com/hu/default.asp Ismerje és telepítse a Service Pack-eket. (pl. az SQL Ismerje és telepítse a Service Pack-eket. (pl. az SQL Slammer hotfixe fél éve ismert volt…)Slammer hotfixe fél éve ismert volt…)

Adatbiztonsággal kapcsolatos Adatbiztonsággal kapcsolatos adatforrásokadatforrások

http://www.securitytracker.com/learn/securitytracker-statshttp://www.securitytracker.com/learn/securitytracker-stats-2002.pdf-2002.pdfhttp://www.securityfocus.com/vulns/stats.shtmlhttp://www.securityfocus.com/vulns/stats.shtmlhttp://csrc.nist.gov/2001news.htmlhttp://csrc.nist.gov/2001news.htmlhttp://www.cert.org/present/cert-overview-trends/module-http://www.cert.org/present/cert-overview-trends/module-4.pdf4.pdfhttp://www.securityfocus.com/corporate/products/vdbhttp://www.securityfocus.com/corporate/products/vdbhttp://razor.bindview.com/http://razor.bindview.com/http://cve.mitre.org/cve/downloads/http://cve.mitre.org/cve/downloads/http://unc.dl.sourceforge.net/sourceforge/owasp/OWASPhttp://unc.dl.sourceforge.net/sourceforge/owasp/OWASPWebApplicationSecurityTopTen-Version1.pdfWebApplicationSecurityTopTen-Version1.pdf

MS adatbiztonsági információkMS adatbiztonsági információk

Writing Secure CodeWriting Secure Code– http://www.microsoft.com/http://www.microsoft.com/

MSPress/books/AboutTheBookMSPress/books/AboutTheBookSecurity Operations for Windows Security Operations for Windows 2000 Server2000 Server– http://shop.microsoft.com/Referralhttp://shop.microsoft.com/Referral

/productInfo.asp?siteID=128/productInfo.asp?siteID=128Windows és Office UpdateWindows és Office Update– http://windowsupdate.microsoft.cohttp://windowsupdate.microsoft.co

mm– http://officeupdate.microsoft.comhttp://officeupdate.microsoft.com

ISAISA– http://www.microsoft.com/isaservehttp://www.microsoft.com/isaserve

rr– http://www.isaserver.orghttp://www.isaserver.org– http://www.icsalabs.com/html/http://www.icsalabs.com/html/

communities/firewalls/certification/communities/firewalls/certification/rxvendors/index.shtmlrxvendors/index.shtml

Baseline Security AnalyzerBaseline Security Analyzer– http://www.microsoft.com/http://www.microsoft.com/

technet/security/tools/Tools/technet/security/tools/Tools/MBSAhome.aspMBSAhome.asp

Software Update ServicesSoftware Update Services– http://www.microsoft.com/http://www.microsoft.com/

windows2000/windowsupdate/windows2000/windowsupdate/sus/sus/

IIS Lockdown ToolIIS Lockdown Tool– http://www.microsoft.com/technet/http://www.microsoft.com/technet/

security/tools/tools/locktool.aspsecurity/tools/tools/locktool.aspURLscanURLscan– http://www.microsoft.com/technet/http://www.microsoft.com/technet/

security/tools/tools/urlscan.aspsecurity/tools/tools/urlscan.asp

A A támadási felület számszerűsítésetámadási felület számszerűsítésefenyegetettségfenyegetettség

NyitottNyitott portokportokNyitottNyitott RPC RPC végpontokvégpontokNyitottNyitott named pipenamed pipe-ok-okSzolgáltatásokSzolgáltatásokAlapban futó szolgáltatásokAlapban futó szolgáltatásokRendszerjogosultságokkal futó Rendszerjogosultságokkal futó szolgáltatásokszolgáltatásokAktívAktív ISAPI ISAPI szűrőkszűrőkDinamikus weblapokDinamikus weblapokVégrehajtható virtuális Végrehajtható virtuális könyvtárakkönyvtárak

Aktív fiókokAktív fiókokAdminisztrátori Adminisztrátori jogosultságú fiókokjogosultságú fiókokAnonim módon elérhetőAnonim módon elérhető megosztásokmegosztásokGuestGuest fiók engedélyezésefiók engedélyezéseTúlzottan megengedő Túlzottan megengedő jogosultságokjogosultságok

A file-rendszerbenA file-rendszerbenA registry-benA registry-benA megosztásokonA megosztásokon

Ismertproblémák

Támadásimódok

meghatározása

Súlyozófaktorok Σ RASQ

A számokA számok

RASQ

0

100

200

300

400

500

600

700

Windows NT 4SP6a

Windows NT 4SP6a + Option

Pack

Windows 2000 Windows Server2003

Windows Server2003 w/IIS

Windows XP Windows XPw/ICF Enabled

RASQ

http://msdn.microsoft.com/library/en-us/dncode/html/secure02132003.asp