Przeprowadzanie audytu bezpieczeństwa cz. II

Ogólne rzecz biorąc, przypominają one oprogramowanie przeciwwirusowe dla komputerów osobistych, ponieważ wymagają stałych uaktualnień, aby wykryć najnowsze luki w zabezpieczeniach.

Kiedy przeprowadzasz audyt bezpieczeństwa, powinieneś użyć odpowiedniego programu do generowania sum kontrolnych. Standardowe programy uniksowe (na przykład /bin/sum) używają 16bitowego algorytmu cyklicznej kontroli nadmiarowej (cyclic redundancy check, CRC), który służy do wychwytywania błędów podczas transmisji danych. Nie gwarantuje to wykrycia nieautoryzowanych zmian w pliku, ponieważ algorytm CRC jest odwracalny. Napastnicy wiedzą o tym i dysponują programami, które umożliwiają manipulowanie nieużywanymi bajtami w plikach (zwłaszcza w wykonywalnych plikach binarnych) w celu uzyskania pożądanej sumy kontrolnej. Mogą sporządzić zmodyfikowaną kopię programu /bin/login, która będzie miała taką samą sumę kontrolną jak oryginał, a program sum nie zauważy żadnej różnicy.

Aby zapewnić sobie bezpieczeństwo, musisz użyć „kryptograficznego” algorytmu obliczania sum kontrolnych, takiego jak MD5 lub Snefru algorytmy te tworzą dłuższe i mniej przewidywalne sumy kontrolne, które dużo trudniej podrobić. Wspomniane wcześniej pakiety audytorskie COPS, Tiger i Tripwire używają takich algo rymów zamiast standardowych programów do generowania sum kontrolnych.

System operacyjny IRIX firmy Silicon Graphics używa mechanizmu o nazwie requ ickstarting (RQS), aby wstępnie obliczyć dane potrzebne do ładowania plików binarnych, co przyspiesza ich uruchamianie. RQS jest uruchamiany automatycznie podczas instalacji programów i może zmodyfikować każdy plik binarny w systemie. Nie powinno to stanowić problemu w hoście bastionowym, w którym i tak nie należy często instalować nowych programów. Pamiętaj jednak, że drobna instalacja może mieć dalekosiężne skutki i wymagać przeliczenia wszystkich sum kontrolnych.

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>