Introduktion

Från och med maj 2012 börjar jag att publicera en kort sammanställning av säkerhetsläget på Windows-fronten. Denna dyker upp i samband med Microsofts månatliga patch-utskick, så räkna med ett nytt inlägg under den vecka som innehåller den andra tisdagen i månaden.

För mig är detta tillbaka till rötterna, då jag ansvarade för en liknande bulletin på mitt förra jobb.

Så hur är läget på säkerhetsfronten? Tja, om man tittar på de närmaste veckorna verkar den största nyheten vara det triviala sätt man kan attackera vissa php-installationer på. På grund av en sårbarhet i php, kan man i vissa fall köra kommandon med webserverns behörighet och identitet. För att en attackerare ska kunna uttnyttja sårbarheten måste anropen gå genom PHP-CGI-modulen. Om du vill testa en egen server, kan du prova att att lägga till ?-s till en av php-sidorna. http://localhost/index.php?-s. Om sårbarheten går att uttnyttja får du tillbaka skriptets källkod. Denna väg kan du köra vanliga shell-kommandon med webserverns behörighet. För en bulletin som rör säkerhetsläget för Windows, är det kanske lite märkligt att jag tar upp detta då sårbarheten kräver att servern är Linux/Unix-baserad. Men jag tyckte det var värt att ta upp i vilket fall.

Bulletiner

Kritiska

MS12-029 Vulnerability in Microsoft Word Could Allow Remote Code Execution (2680352)
MS12-031 Vulnerability in Microsoft Visio Viewer 2010 Could Allow Remote Code Execution (2597981)
MS12-032 Vulnerability in TCP/IP Could Allow Elevation of Privilege (2688338)
MS12-033 Vulnerability in Windows Partition Manager Could Allow Elevation of Privilege (2690533)
MS12-034 Combined Security Update for Microsoft Office, Windows, .NET Framework, and Silverlight (2681578)
MS12-035 Vulnerabilities in .NET Framework Could Allow Remote Code Execution (2693777) 

Viktig

MS12-030 Vulnerabilities in Microsoft Office Could Allow Remote Code Execution (2663830)

Den goda nyheten för stunden är att det inte verkar vara några stora attacker på gång mot just dessa sårbarheter.

How to read a Microsoft bulletin

Då jag inte riktigt hunnit komma upp I varv med denna bulletin ännu, får ni stå ut med att jag återpublicerar ett blogginlägg från min privata blogg. Detta beskriver hur man läser en säkerhetsbulletin och är på Engelska.

If you read security bulletins, you’ll probably come across a number of terms that everyone just accepts. But how many of them do you really know? I’ve compiled the explanations from some of my other texts to give you a brief rundown of what you must understand when you read a Microsoft Security bulletin.

One bulletin may describe a fix for many vulnerabilities.

Maximum Security Impact

This category tells you what is the worst thing an attacker may be able to do to a vulnerable system.

“Denial of serviice”

An attack that causes a system to fail, stop responding or to slow down to a crawl is known as a “denial of service attack”. The most common way to perform this type of attack is to overwhelm the system with a large amount of repeated requests. A vulnerability that allows an attacker to take a whole system or service down by sending a few malformed requests is said to have “Denial of service” as its “Maximum Security Impact”.

“Elevation of privilege”

This category contains vulnerabilities which can be used to give an attacker more privileges and permissions on a system. The most common way this happens is when an attacker starts out as anonymous (not authenticated) and then uses an exploit to make himself an administrator. This is sometimes known as “rooting” a system after the Unix super user known as “root”. This category of attack can sometimes also be used to impersonate another user.

“Remote Code Execution”

A vulnerability that allows for users to run a program or script on a system when they’re not logged in to it on the console, is known as a “Remote Code execution” vulnerability.

“Information Disclosure”

Some vulnerabilities allow you to retrieve information that you normally shouldn’t be allowed to get. An example could be when you can read the contents of an asp-script or read files that require permissions you do not have.

Microsoft Exploitability Index

As all of you know, Microsoft rate their vulnerabilities on a scale ranging from low to critical. They call this the "Maximum Severity Rating". But it's far less common knowledge that they also have an "Exploitability Index" rating on every bulletin.

An example:

"MS09-036
Vulnerability in ASP.NET in Microsoft Windows Could Allow Denial of Service (970957)
CVE-2009-1536

3 - Functioning exploit code unlikely

A denial-of-service tool is likely. However, functioning exploit code for remote code execution is unlikely."

The Exploitability index for this vulnerability is 3, which is the lowest rating.

- A rating of 3 means the exploit code is unlikely work. It may cause an effect, but it will probably not work well enough to allow for something like remote code execution. Example: if the exploit only works 1 time out of 100 when you attack a system, it is not considered a stable exploit.

- A rating of 2 means that the exploit code work but will not be successful often enough to be considered stable.

- A rating of 1 means that the exploit code will work repeatedly.

Here’s the official guide to software updates from Microsoft:
http://support.microsoft.com/kb/824684/en-us

Länkar

ISC SANS skriver om månadens uppdateringar
http://isc.sans.edu/diary.html?storyid=13159

PHP släpper fixad version
http://isc.sans.edu/diary.html?storyid=13168

En mer djuplodande analys av php-sårbarheten
http://blog.spiderlabs.com/2012/05/honeypot-alert-active-exploit-attempts-for-php-cgi-vuln.html?utm_campaign=Feed%3A+SpiderlabsAnterior+%28SpiderLabs+Anterior%29&utm_medium=twitter&utm_source=feedburner

Se Peter packa upp ASUS senaste skönhet, Zenbook Prime. En Ultrabook med full HD och IPS panel.

Håll utkik på www.atea.se/asus för mer information

Trenden är tydlig och drivs på från många håll. Gränsen mellan jobb och fritid suddas ut. Mobiltelefonen har ersatts av en ”mobile device” som används för att lösa arbetsuppgifter men även för att hantera allt annat som tillhör vardagen. Denna device används för sociala medier som Facebook och Twitter, för att lyssna på musik och hålla koll nyhetsflödet. Vare sig man som IT-chef tycker att detta är bra eller dåligt så måste man förhålla sig till det. Jag har talat med de som både tycker att det är kanon då man får användare som är ”online” inte bara på arbetstid och de som tycker att man skall låsa ner dessa enheter helt och hållet och bara öppna för arbetsrelaterade tjänster. Faktum är dock att man inte kan begränsa det privata nyttjandet helt. Skulle man försöka dra det till sin ytterlighet så måste det innebära begränsningar t.ex. vilka mail som släpps in till företagets mailmiljö.

Om det är beteenden man vill stävja måste man hitta andra vägar, precis som musikindustrin till slut hittade en ny väg som nu fungerar genom Spotify efter att ha försökt stoppa illegal nedladdning med näbbar och klor sedan sent 90-tal. Jag tror att detta i slutändan är en fråga för HR om hur man inom organisationen ska hantera frågan personligt ledarskap och också inse vad som krävs för att man på dagens arbetsmarknad skall anses vara en modern och bra arbetsgivare. 

Det som också händer är att fler och fler privata enheter, så kallade konsumentprodukter kopplas upp mot företagets IT-lösningar i sann ”bring your own device” anda. Fenomenet kallas "consumerization of IT". Både juridiska och praktiska frågeställningar uppstår när man tar privata enheter i beaktan. Microsoft talar som att sluta kontrollera dessa och istället köra ”governance” mot dem. Alla lösningar är idag byggda för att det är bolagets egendom som kopplar upp sig. Ta exemplet med Exchange sync. När man installerar mailen så måste man slå på lösenord men även bocka i en ruta som gör att företaget på distans kan radera enheten, inte själva delen med exchangedatat utan hela enheten med privata dokument och bilder etc – absolut inte en okej lösning när det gäller privata enheter. Att man kräver kryptering och lösenord för att skydda företagets data på dessa enheter kan däremot vara en rimlig åtgärd. Jag har sett en del tredjeparts lösningar som hanterar just detta, men det finns som sagt många frågor att bottna i när man låter anställdas utrustning användas.

Tittar man på managering eller governance av dessa enheter som kan bestå av flera olika os med olika grad av möjlighet så finns det utmaningar även här.

Noterar i den uppmärksammade Facebook domen från Arbetsdomstolen, där en rektor sparkats efter att lagt ut privata bilder som arbetsgivaren ansåg vara mindre lämpliga, att domstolen anser uttrycker att den enskildes integritet är riktigt stark. Hur påverkar detta oss inom IT? Hur kan man kontrollera enheter som man även har privat aktivitet på - vad kan anse vara tillåtet? Detta kommer förr eller senare ställas på sin spets. Min gissning är att man framöver inte kommer att varken få eller kunna övervaka och managera som man idag gör av hävd. Frågan är om inte governance är lösningen även på utrustning som ägs av arbetsgivaren.

Hur som helst är detta en klar trend, men redan en verklighet för många IT-chefer som behöver hantera detta av flera orsaker, om inte annat för att inte IT-kostnaderna ska skena iväg.

Peter och Benny ska fika, men Benny måste åka iväg för att lämna ett extremt viktigt dokument till en kund - Peter har lösningen på hur dom kan fortsätta fika och ändå få iväg dokumentet.

Sitter i planet på väg hem från Las Vegas och MMS2012 och reflekterar runt alla intryck. När jag första gången kom i kontakt med cloud någon gång kring 2008 uppstod flera funderingar om hur detta skulle realiseras. Att det skulle slå igenom var helt uppenbart när i princip alla leverantörer styrt om sina segel i en handvändning. Nu är det verklighet - delvis i alla fall.

Nu diskuteras det inte mycket om varför man skall gå över till cloud, utan man bara utgår ifrån att fördelarna är en självklarhet. Själv tror jag inte att fördelarna är uppenbara för alla, i alla fall inte till vilken form av cloud och definitivt inte hur vägen dit bäst bör se ut. Det som idag kallas private cloud är egentligen krasst en klassisk virtualiserad miljö med någon form av central manageringslösning där man automatiserat moment av administrationen. Public cloud däremot har gjort stora framsteg; jag tänker främst på Office 365 som kan jobba mot det egna lokala AD:t för att lösa identity frågor samtidigt som man kan skala antalet användare enkelt.

Min vision, som jag verkligen hoppats på med public cloud, var dock att kunna byta leverantör och uppdatera priserna mer frekvent än med traditionell outsourcing. Som kund måste man kunna konkurrensutsätta leverantörer. Det är till stor del den typen av ”hot” som driver förändring av priser och tjänster. Idag gör man det på relativt långa tider, 3 till 5 års intervaller är helt normalt i outsourcingaffärer. Det verkar dock vara en lång väg att gå innan vi kan nå ett flexibelt public cloud. Jag vet inte heller om de stora aktörerna ens vill dra branschen åt det hållet, då de samtidigt själva vill bygga en stabil cloud baserad bas med användare. Det är många broar att korsa innan man är där.

Tittar man på mobiltelefonbranschen så har man där gjort en liknande förflyttning. Från långa bindningstider och krav på nummerbyte till ett läge där man nu med en veckas varsel kan ringa med samma nummer fast via en annan operatör om man valt att inte ha bindningstid. Flera operatörer erbjuder även möjligheter att byta abonnemangsform under pågående avtalstid.

Det finns dock för många fördelar med cloud som fenomen för att inte redan nu börja förflytta sig åt det flexibla hållet. En bra början är att skapa ett private cloud genom att vidareutveckla den miljö man internt har idag kopplat till ens tjänstekatalog och sedan ersätta några tjänster med tjänster från public cloud.

Så när nu Microsoft basunerar ut ”Build for the future – ready now” angående deras cloud satsning hoppas jag att de bara avser det privata molnet för runt det publika finns det ännu för mycket olösta frågor att jobba vidare med.

Se Torkel testa Samsung Slate PC och reda ut varför det här är en av marknadens mest omtalade plattor. 

Det har nog inte undgått någon att det pratas mycket om 'Bring Your Own Device' - BYOD. Vi ser en tydlig trend att nätverken blir allt mer öppna och måste förse allt fler typer av utrustning med tillgång till tjänster. Istället för att företagets nät bara är ett sätt att ansluta företagets datorer till varandra kommer det allt mer kvar på anslutning av privatägda datorer, iphones, surfplattor, kameror, videokonferens-system osv...

Att se till att rätt device får tillgång till rätt resurser i nätverket blir allt mer utmanande. Det handlar inte längre bara om att skapa användarkonton i Active Directory när en nyanställd kommer in, utan vi måste säkra upp nätverket redan på switchporten. Och se till att behörigheten tilldelas beroende på parametrar som till exempel:

• Devicetyp - är det en skrivare eller en surfplatta? En övervakningskamera?
• Anslutningstyp - trådat/trådlöst/VPN? Trådlöst gästnät?
• Plats - är användaren i Stockholm, Helsingborg eller Korpilombolo?
• Är enheten företagets eller privatägd?
• Har enheten virusskydd och rätt patchnivå?
• Tid på dygnet

En av produkterna jag jobbar mycket med just nu är Cisco ISE (Identity Solutions Engine). Man kan säga att ISE är nästa generations ACS (Access Control System), och det pratas mycket om vad ISE kan i förhållande till ACS. Men jag skulle vilja flytta fokus från produkten ISE och istället titta på konceptet TrustSec. 

TrustSec är ett koncept framtaget av Cisco för behörighetskontroll till nätverk. Inom konceptet finns ett antal olika teknologier och lösningar som tillsammans har som mål att ge användare behörighet till rätt delar av nätverket beroende på behörighet, typ av utrustning och huruvida utrustningen uppfyller fastställda säkerhetskrav.

NAC, någon? Ja. Detta är nästa generations Network Access Control. Men Trustsec ger så mycket mer! Här är några av grundstenarna i TrustSec-konceptet:

802.1x

De flesta känner till att 802.1x är en metod för att autentisera dator eller användare på switchporten. 802.1x är inget nytt och stödjs av de flesta nätverksutrustningar. Dock är det inte all utrustning som stödjer nerladdningsbara access-listor, vlan-byten och CoA. Låter detta som rena grekiskan? Ta det lugnt, vi på Atea kan det här! En grundförutsättning för 802.1x är att det finns en PKI-infrastruktur på plats då man normalt använder certifikat för autentisering av användare och datorer. Jag har kollegor som är jätteduktiga på PKI!

Profiling

Med profiling-teknik kan man utifrån kännetecken specifika för en viss typ av utrustning göra en kvalificerad gissning av vad varje enhet är för något. Lyssnar en enhet på JetDirect-porten är den troligen en skrivare. Har den dessutom en MAC-adress som motsvarar Hewlett Packards tilldelade adress-spann är det troligen en HP-skrivare. Visst låter det tilltalande att automatiskt flytta en skrivare till Skrivar-vlanet utan att manuellt registrera MAC-adresserna i en databas?

Posture

Med Posture assessment kontrolleras utrustningen som ansluts till nätverket så att den uppfyller definierade grundkrav. Finns virusskydd aktiverat, är windows patchat, är brandväggen aktiverad osv. Med posture kan en dator som inte uppfyller grundkraven placeras i karantän för att där kunna uppdateras (patchas, installera virusskydd...) och därefter ges korrekt behörighet till nätverket.

MACSec

MACSec (802.1ae) är en metod för att länk-kryptera trafiken mellan en switchport och en änd-utrustning. Har man extremt höga krav på säkerheten i nätverket kan detta vara ett alternativ. Stödet finns i de flesta Cisco-switchar, i en del nätverkskort samt i Cisco AnyConnect. Och policy-hanteringen sköts i ISE.

Secure Group Access

Med SGA och SGT (Secure Group Tagging) kan man vid 802.1x-autentiseringen använda de parametrar som finns tillgängliga för att tagga inkommande paket direkt i access-switchen, så att dessa kan filtreras i datacentret. Som ett komplement till brandväggar kan t ex profilern (se ovan) bedöma att enheten är en Ipad och att användaren är med i en specifik grupp, och access-switchen kan därmed skicka med information (tag) i varje paket som gör att den centrala switchen i datacentret kan tillåta just det paketflödet till en specifik grupp av servrar men inte till andra.

Guest Services

Med en gästaccess-portal kan besökare logga in i det trådlösa (eller trådade!) gästnätet. Gästportalen i Cisco ISE stödjer self-registration (användaren kan få skapa sitt konto själv), Sponsor Portal (web-gränssnitt där våra användare själva kan skapa gästkonton åt sina besökare), har stöd för svenska och kan skräddarsys!

Vad har då dessa teknologier gemensamt? Jo, allt finns i Cisco ISE som blir navet i din TrustSec-lösning. ISE är antingen en hårdvara (appliance) eller en virtuell maskin i vmware. I grunden fungerar den som en Radius-server gentemot nätverkets utrustning. Med hjälp av alla teknologier ovan kan TrustSec och ISE ge granulär behörighet till nätverket och på ett säkert sätt kan du införa Bring Your Own Device.

Vill du veta mer om Cisco TrustSec eller ISE? Hör av dig! 

/Jimmy

Varför heter Hp's nya Servrar Gen8? Vad händer om man rycker ut en fläkt när servern är igång?
Du får svar på allt det här och mycket mer i vår senaste videoblogg. 

Varning! Teknik & nörderi förekommer!

Våga bryta mönster. Om vi gör som vi alltid har gjort kommer vi att få samma resultat som vi alltid har fått. Det är ju en självklarhet när man säger det. Men att gå från ord till handling är oftast två helt olika saker. Det är också enkelt att falla in och gå i andras fotspår. Man måste våga pröva sina egna vägar. Detta är en av de viktigaste faktorerna för att utvecklas – våga pröva, våga misslyckas eller mer positivt våga lyckas!

Vi är ju alla olika med olika drivkrafter och behov. Om jag tar en liknelse med base jump – fallskärmshoppning från klippor.  Det finns de som aldrig skulle hoppa utan att veta exakt hur det ser ut där man landar, veta exakt när skärmen kommer att vecklas ut och att det inte kommer att bli några fel på den.

Sen har vi den andra gruppen som kan gå fram till kanten och bara hoppa – utan att vara helt säkra på att de har en skärm med sig, att det överhuvudtaget är möjligt att landa – för de litar så fast och full på sin egen kapacitet att de vet att det kommer att ordna sig på vägen.

Och det är här som din utmaning ligger. Tillhör du den som alltid vill ha klart för dig var du kommer att hamna – våga hoppa någon gång. Tillhör du den som bara hoppar – prova att stanna upp och fundera på alternativ. Det är det som är att bryta mönster.

Så, kortare sagt, äg din egen framgång genom att sätta dina egna mål och välja glädje. Känn dina egna värderingar och väg detta mot företagets värderingar.  Sist men inte minst, utmana dig själv genom att bryta mönster.  Så nu är framtiden inte längre vad den brukade vara!

Är det en dator? Är det en padda? Är det en telefon? Vi tar en titt på ASUS Padfone.

Benny Andersson reder ut vad ASUS Padfone egentligen är, samtidigt som han spelar lite Angry-Birds.