Защиту от троянского распределения программного обеспечения

Share

|

Возражений против этого типа нападения делятся на три категории: осведомленность пользователей, администратор проверяет целостность и тщательно тестирования нового программного обеспечения. Во-первых, Вы и Ваша организация должна осознавать угрозу. Без фундаментальных знаний о том, что вы против, вы гарантировано потерять. Ваша политика должна быть четко указано, что пользователи строго запрещено устанавливать несанкционированных программ по вашей организации систем. Пользователи не должны устанавливать любые неожиданные обновлений, что прийти по почте, каким бы "официальный", они, по-видимому. Я не волнует, если пакет включает логотип компании; Он никогда не должен быть установлен. Если делать обновления прибыть, они должны быть немедленно направлены в группу безопасности. Если вы хотите обновить информацию пользователей системы, вы должны иметь план официально объявив о том, как вы будете распространении программного обеспечения для них. Этот план должен включить в пользовательских информационных материалов.

Кроме того, ставится вместе кампанию, чтобы компьютер пользователей и администраторов известно, что нападавших иногда распространять nasty программного обеспечения через Интернет или с помощью улитка почте. Платье вашей осведомленности усилия, создав стенд вне столовой с красочными знаков и ловушки. Слово это froo - froo компонентов безопасности кампанию, потому что ни глубокой, ни технических. Тем не менее, froo - froo важно, как он запускается пользователей внимания. Распределение простых листовки с глупой карикатуры на Ваш пользователей, чтобы они знали, как делать правильно. Хотя прочной безопасности программы информирования занимает много работы, он может быть увлекательным. По сути, это будет гораздо более эффективным, если его развлечения и полный froo - froo а не только той же старой droning по поводу этой политики blah - blah - blah политики, blah - blah - blah. Обычно пользователям быстро настроить любой диалог они не понимают или волнует, но если он крутой шарики и мультфильмы, они могут только слушать.

Еще одной важной областью для защиты от этих нападений связана административных процедур для проверки целостности пакетов нужно загрузить. Когда мне обновить программное обеспечение через Интернет, я всегда загружает копии по крайней мере из трех различных зеркал. Затем я проверки целостности программ с использованием cryptographically решительной хеширования против каждого зеркала копию чтобы убедиться, что они все совпадают. Вы можете создать MD5 хеширования, типа, как цифровые идентификаторы, для любого файла, используя большое md5sum программы включены в большинство дистрибутивов Linux. В Windows, вы можете использовать свободное md5summer программы, написанные Луки Pascoe, имеющихся на www.md5summer.org. Поскольку MD5 является функцией одностороннего хеширования, злоумышленник будет очень, очень трудно создать троянского коня с точно такой же хеш, как законные программы. К трудным, я имею в виду, что они потребуют суперкомпьютер погоне за тысячи лет создать зло, что программа имеет точно такой же хеш, как ваши добрые программы. По крайней мере, это идея, если эти одном направлении алгоритмов так хорошо, как мы надеемся, что они имеют.

Многие сайты распространителей программного обеспечения включать файл, содержащий MD5 хеш от последней версии на самом сайте. Однако, я плохо загрузке программы из одного только зеркала и проверки этого единого хеширования с точно такой же сайт. Подумайте над этим. Если нападавших могло бы единое и веб-сайт Trojanize программного обеспечения, конечно они могут изменить файл, содержащий соревнований по этому же Web сервера. Идея заключается в том, что злоумышленник будет иметь более трудное время ставя несколько зеркал код, и поэтому я буду в состоянии ловить их измены путем наблюдения различных версий на зеркалах. К загрузку с нескольких зеркал и проверка на согласованность с ними, я получаю намного лучше шансы, что злоумышленник не скомпрометированы все, и я будете иметь нетронутыми программы для запуска. К сожалению, если зеркала автоматически обновляется из одного центрального сервера, я бы еще потеряют, если плохой парень заражает код на главный сервер. Я поднял бар, сопоставив некоторые хэши разных зеркал, но плохие парни могут еще скачок за высокий бар.

Некоторые сайты загрузки программного выходят за хэши и включают цифровой подписи программного обеспечения, с помощью шифрования с открытым ключом пакет таких, как Pretty Хорошо конфиденциальности (PGP). Если вы загрузите любое программное обеспечение с таких подписей, вы должны проверить эти подписи с помощью соответствующего пакета, таких, как открытый исходный код клона PGP называется "Гну Privacy Guard", можно бесплатно на www.gnupg.org. Конечно, злоумышленник может изменить цифровой подписи или даже заменить ключ используется для подписания пакета. Однако таких нападений будет значительно сложнее, и поэтому они маловероятны.

Наконец, вы всегда должны проверить новые инструменты перед выбросом их в производство. Такое испытание процесс не только дает вам возможность обнаруживать вредоносное программное обеспечение заранее, но она также дает некоторое драгоценное время для других обнаружить проблему до того, как Вы слепо поставить код в производство. Я работал в одном банке которого бекон был спасен просто потому, что они тратят по меньшей мере месяц просматривать новая версия Sendmail до сдачи его в производство. Я бы любовь к вам, что они обнаружили Sendmail backdoor, а они искали через эту программу в своей оценке сети. Однако они не нашли его. Тем не менее, хотя они анализе нового выпуска, чтобы она встретилась корпоративным требованиям функциональности, кого-то обнаружили и освещали backdoor в октябре 2002 года. Когда банк слышали об обнаружении в backdoor в этой версии Sendmail, они yanked из их испытания систем и никогда не выпадет его в производство. Встроенный в лаг их анализа процесса безусловно, помогла этой организации избежать катастрофы. Для критических патчей безопасности, быстрое развертывание имеет решающее значение. Для простого обновления или новые черты, несколько недель отставание может реально способствовать повышению безопасности.