Citat:
Ivan Dimkovic:
Srecom po CIA-u, za tim nema potrebe. NSA vrlo verovatno ima hrpu 0day exploita za svaki popularan OS + postoji jos mnogo drugih nacina da se dokopaju podataka, npr. FISA naredbama cloud provajderima da predaju podatke. Najverovatnije ne moraju uopste ni da posezu za FISA i ozloglasenim "national security letter" dopisima, Windows i Linux su sigurno busni na gomili mesta. Ako im to ne uspe, verovatno Intel-ov ME ima jos gomilu rupetina.
Ako dobijes pristup ME procesoru, ne treba ti nista drugo, mozes da citas sta god hoces iz RAM-a i to posaljes preko ugradjenog LAN/Wi-Fi interfejsa, bez da korisnik uopste ima pojma sta se desava.
Ako je korisnik bio naivan i prihvatio Microsoftov "predlog" da Windows instalira sa online MSFT nalogom, sve sto NSA treba da uradi je da lepo zamoli FISA sud da od Microsofta zatrazi pristup online nalogu. Microsoft to ne moze da odbije, posto imaju podatke i mogu da ih predaju.
Da, zato ja kazem: Postoje nacini odbrane. Ukratko:
- Intel ME nije direktno dostupan sa neta, a i ne moras da ga imas (CoreBoot, racunari sa ME disabled postoje)
- I da jeste, mozes da pratis NetFlow (ili jednostavno skines SPAN sa core switcha) i da primetis izmene u ponasanju korisnika
- Nije ni desktop direktno dostupan sa neta, a ako odes negde sam (iz browsera), to moze da bude kompartmentalizovano.
- Ne mora klasican VM, ima resenja tipa Qubes OS za one kojima je bezbednost bitna.
- Firewall trci na necemu trecem, lupam, FreeBSD.
Znaci, imas resenja:
1) Ako ti treba normalan security, branis se od hakera, kripto-malvera, eventualne konkurencije, imas sasvim korektna komercijalna resenja. Cisco NGFW + AMP + Stealthwatch + Duo + WSA/MSA - i detektovaces sve ovo bez problema, ako neki napad i prodje, uhvatices ga dok bude "gledao sta ima" na mrezi, u svakom slucaju nece stici da enkrptuje ista, ili da iznese podatke.
2) Ako se branis od goverment entities, FreeBSD/OpenBSD firewall, QubesOS i racunari kojima je disabled ME, pozeljno Openboot koji sam rekompajliras, Zeek koji prati SPAN sa switceva na kojima se vrti Cumulus, Tripwire na desktopima... Mnogo vise posla i vise ljudi. I ovde ima vendora koji ti mogu pomoci, tipa
U oba slucaja, naravno, dodatno dobar SIEM i neki SOC tim. Stavise u prvom, uz dovoljno automatizacije i one Cisco web alate cak bi se dalo izvuci sa kombinovanim timom, gde nemate dedicated SOC, vec samo manji ops team, koji to radi kao deo posla. Ako mozes sebi da priustis Cisco (ili CheckPoint ili neki slican stack), imaces fine integrisane alate kojima mozes da odradis jako puno. Ovo je pristupacno vec za mreze od recimo 200-500 ljudi, ako ste voljni da ulozite znacajan procenat u security mozete dobiti fino resenje. Pod znacajan vidim recimo 2% revenue godisnje...
Please do not feed the Trolls!
Blasphemy? How can I blaspheme? I'm a god!'