Archive | April 2014

Kerio fixed OpenSSL Heartbleed

kerio_fixes

Все, что касается обновлений продуктов Kerio для защиты от Heartbleed уязвимости, “по полочкам” и в одном месте: OpenSSL vulnerability CVE-2014-0160

Этот пост – дополнение вчерашней заметки. Как показала практика, есть дополнительные рекомендации и особенности по обновлению того же Kerio Connect. Заказчикам, использующим продукты Kerio рекомендуется к прочтению.

http://goo.gl/filNif

McAfee Drive Encryption 7.1

Update 25-04-14: добавил графику

Drive Encryption (бывший Endpoint Encryption for PC, EEPC) – решение для шифрования жестких дисков серверов и рабочих станций под управлением ОС семейства Windows. Принцип работы и ключевые отличия данного решения от аналогов я приводил ранее, поэтому сконцентрируюсь на нововведениях версии 7.1.

DE_funcВозможности актуальной версии Drive Encryption

Безопасность

Разработчики добавили полноценную поддержку Windows 8.1, а это в свою очередь означает, что McAfee Drive Encryption поддерживает также новые механизмы безопасности, такие как защита от т.н. “Cold-boot” атак; использование TPM модуля (версии 2.0) и выше для защиты ключей шифрования. Это в дополнение поддержки Secure Boot и Hybrid Boot, GPT и т.д., которые уже были в EEPC 7.0.

Cold_BootПринцип работы защиты от Cold Boot

Пару слов о “Cold-boot” и прочему это критично для Windows 8.1. Дело в том, что системы на базе новой ОС могут вместо выключения переключаются в так называемый режим “Connected Standby” при котором ключ шифрования продолжает находиться в оперативной памяти. Злоумышленник может воспользоваться этим для компрометации «уснувшей» системы. McAfee Drive Encryption при переходе системы в Connected Standby автоматически затирает из ОЗУ криптографическую информацию. Как только пользователь продолжает пользование устройством, как только он проходит аутентификацию ключ возвращается в ОЗУ.

Среди нововведений стоит выделить функцию OS Refresh Process, которая позволяет проводить апгрейд Windows c версии 7 и 8 до 8.1 без необходимости отключения криптозащиты, в отличие от Microsoft BitLocker, который не обеспечивает защиты данных в процессе апгрейда.

В очередной раз разработчики расширили и без того не малый список поддерживаемых токенов и считывателей смарт-карт, которые могут применяться на ряду с обычной связкой логин:пароль в процессе pre-boot аутентификации. При работе с токенами возможна работа как в режиме токен:PIN так и токен:PKI. Следует также отметить, что разработчики продолжают работу над интеграцией McAfee Drive Encryptionс популярными моделями считывателей отпечатков пальцев. Сотрудники тех компаний, которые используют ноутбуки HP моделей ProBook 6475b, EliteBook 8460 и Lenovo T520, X220 уже могут пользоваться благами биометрической аутентификации.

Удобство

Endpoint Assistant является новым способом восстановления забытого пароля. Видео с демонстрацией доступно на сервисе YouTube. Принцип работы, следующий: пользователь устанавливает на своем мобильном устройстве (доступны версии для iOS версии 6 и выше, а также и Android версии 3 и выше) специальное приложение, в процессе pre-boot аутентификации с помощью QR кода информация для восстановления сохраняется на мобильном устройстве. Доступ к этой информации защищается PIN-кодом или паролем (сложность определяется политиками еРО). Акцентирую внимание на том, что использование этого метода не требует наличия доступа к сети Интернет, телефонной связи с головным офисом. Т.е. фактически это вариант для автономного сброса пароля.

Endpoint_Assistant_AppНовый способ сброса пароля без обращения в Help Desk, без Интернета и сотовой связи

Таким образом, восстановление пароля при включении системы может быть выполнено по одному из следующих доступных сценариев:

  1. Ответ на «секретные» вопросы (автономно, без администратора еРО);
  2. Использование Endpoint Assistant (автономно, без администратора еРО);
  3. Помощь администратора (удаленно через ел. почту/моб. связь);
  4. С помощью специального boot CD/USB (локально на предприятии);
  5. С использованием McAfee Deep Command (удаленно через Интернет для систем с Intel vPro).

Функция Fast Initial Encryption (Used Sector Only) позволяет существенно сократить время, затрачиваемое на шифрование системы (несколько минут) за счет отключения защиты от сбоя электропитания и шифрования только тех секторов, которые заняты на момент инициализации. Такой сценарий применим для первичного шифрования систем до передачи их конечным пользователям. Функцию Fast Initial Encryption можно активировать только при Offline Activation.

McAfee Drive Encryption поддерживает Single Sign On, это означает, что возможна синхронизация пароля пользователя с его учетными данными из AD. Т.е. пароль проверяется один раз, поэтому после успешной аутентификации в оболочке Drive Encryption пользователь будет сразу попадать на рабочий стол ОС.

Управление

User Directory является внутренней базой пользователей, которая позволяет задействовать шифрование на системах, которые не являются членами домена. Для тех организаций, которые не используют Active Directory вовсе User Directory будет хорошей заменой т.н. Offline Activation, о которой я писал ранее.

User_DirectoryИзменения по управлению пользователями в 7.1

Вкратце напомню, чтобы активировать шифрование системы необходимо выполнить несколько условий:

  1. Проверить отсутствие конфликтующего ПО (с помощью модуля DEGO 7.1);
  2. Развернуть модули Drive Encryption 7.1;
  3. Через еРО назначить системе пользователей, которые смогут проходить аутентификацию при включении;
  4. Выбрать разделы жесткого диска для шифрования;
  5. Активировать политику.

Так вот, до появления User Directory пункт 4 можно было выполнить только при наличии AD. Соответственно для шифрования недоменных систем можно было воспользоваться т.н. Offline Activation, но этот способ имеет свои особенности и ограничения. Теперь же с выходом Drive Encryption 7.1 у оператора еРО есть выбор – он может назначать пользователей из AD, либо создавать учетные записи в локальном каталоге ePO User Directory. Меньше мороки, больше эффективности.

Гибко делегировать права доступа к политикам шифрования, развертыванию самого решения и к отчетности помогут наборы разрешений в консоли еРО. Таким образом, в зависимости от уровня допуска, офицер безопасности будет иметь возможность правки политик, администратор будет иметь доступ только к процессу развертывания ПО, а руководитель департамента сможет просматривать отчетность.

Поддержка технологии Intel AMT совместно с интеграцией McAfee ePO Deep Command позволяет компаниям-заказчикам с одной стороны существенно сократить расходы на сопровождение рабочих станций и серверов, а с другой стороны – позволяет быстрее оказывать поддержку сотрудникам. Ведь за счет технологий Intel AMT/Intel vPro и ПО McAfee Deep Command операторы консоли еРО получают возможность в удаленном режиме выполнять операции по обслуживанию зашифрованных систем (сброс пароля, диагностика preboot file system, установка исправлений, отключение шифрования и т.д.).

~ ~ ~

Спасибо за внимание.

Будьте осторожны и внимательны при использовании высоких технологий.

Более детально о решении McAfee Drive Encryption можно прочесть из таких источников: статья из базы знаний KB79784, тема на портале McAfee Community, заметка в моем блоге.

OpenSSL Heartbleed. Інформація для користувачів McAfee та Kerio.

heartbleedХто вже ознайомлений з теорією одразу може переходити до розділу “Рішення”.

Проблема

7 квітня було знайдено помилку в програмному коді популярної криптографічної open-source бібліотеки OpenSSL. OpenSSL широко використовуються в ІТ індустрії для створення/підписання криптографічних сертифікатів/ключів. Помилка у програмному коді (фактично вразливість) проявляє себе при встановленні захищеного з’єднання типу “клієнт-сервер” і дозволяє зловмиснику, який відправить спеціально підготований мережевий пакет, зчитати блок даних 64 Кб з пам’яті сервера або клієнта (залежно від того на якій стороні знаходиться зловмисник). Вразливості надали код CVE-2014-0160 та назву “HeartBleed bug“. Зловмисник може повторювати атаку, видобуваючи таким чином більше блоків даних.

Небезпека вразливості полягає:

  • по-перше у тому, що досить багато Web-додатків/сайтів та інших клієнтоорієнтованих систем використовують сертифікати, згенеровані OpenSSL;
  • по-друге, зловмисник користуючись помилкою може отримати доступ до приватних ключів сервера/облікових та персональних даних користувачів скомпрометованого ресурсу.

Відомий експерт в сфері інформаційної безпеки та криптографії, Брюс Шнайдер надав цій вразливості статус критичної.

Рішення для McAfee

Розробники McAfee оперативно відреагували, оскільки частина рішень McAfee (ePO, MEG, MWG, SIEM) використовують у своїй роботі OpenSSL. Уся інформація стосовно виправлень та рекомендацій знаходиться у спеціальному бюлетені (оновлюється).

Станом на 9 квітня McAfee додала сигнатуру використання вразливості HeartBleed у рішення McAfee Network Security Platform,  McAfee Firewall Enterprise та McAfee Vulnerability Manager. Відтак замовники в яких були розгорнуті ці рішення вже могли знаходити вразливі сервіси у своїй інфраструктурі та захищати їх від атак.

Станом на 11 квітня McAfee випустила виправлення для єдиної консолі ePolicy Orchestrator, Email и Web Gateway, SIEM, Firewall Enterprise та ін. Нагадую, що перелік “заплаток” та інструкції описані в Security Bulletins ID: SB10071.

Зверніть увагу! Тим замовникам, які публікували доступ до консолі еРО з локальної мережі “назовні” розробники суворо рекомендують після встановлення виправлення змінити пароль доступу до БД SQL та оновити ключі, за допомогою яких шифрується канал зв’язку між сервером еРО та агентами на кінцевих точках. Докладніше про це читайте у  KB81674.

Рішення для Kerio

Що стосується Kerio, то вони відреагували так само швидко і вже 11 квітня надали оновлення для своїх продуктів. Відтак, щоб убезпечити себе від атак, замовникам Kerio достатньо встановити оновлення до актуальної версії. Подробиці по оновленню знаходяться за посиланням http://goo.gl/filNif

PS

McAfee також створила окремий портал для перевірки на наявність вразливості типу OpenSSL HeartBleed.

Ледве не забув, є приємна новина для володарів Android-пристроїв: безкоштовний додаток McAfee Heartbleed Detector дозволяє швидко перевірити встановлені програми на предмет наявності вразливості. Рекомендую в першу чергу перевірити додатки клієнт-банкінгу.

Результат роботи McAfee Heartbleed Detector – вразливих додатків не знайдено:
mcafee-heartbleed-detector

А так виглядає повідомлення, якщо програма знаходить проблему:

mcafee-heartbleed-detector-100002-3-s-307x512

Наразі у мене все. Щиро вдячний за увагу. Будьте обережні та обачні при роботі з високими технологіями.