HP ArcSight in vsebina za detekcijo zlorab Superfish ter Equation
HP ArcSight, uveljavljeni proizvajalec SIEM rešitev namenjenih odkrivanju in zmanjševanju poslovnih tveganj, ki ga v Sloveniji uradno zastopa podjetje REAL security d.o.o.,
nas je konec februarja 2015 obvestil, da je eden od njihovih zvezdniških inženirjev za uporabnike HP ArcSight SIEM rešitev na spletni strani objavil brezplačni paket konfiguracij kompatibilen s HP ArcSight ESM 6.8, s pomočjo katerega lahko uporabniki zaznavajo prisotnost škodljivih kod Superfish ter Equation v svojem informacijskem okolju. Obljubljena je tudi predelava paketa za HP ArcSight Express, ko to berete je verjetno že na voljo.
Superfish
V zadnjih dveh tednih meseca februarja 2015 so vse v tehnologijo in predvsem v informatiko orientirane spletne strani bile polne novic o aferi podjetja Lenovo v zvezi s to, kot se je izkazalo - škodljivo programsko kodo. Superfish je pravzaprav v reklamiranje usmerjeno tehnološko podjetje, ki razvija programsko kodo za trženje reklam s prilagoditvijo internetnih iskalnikov, kodo, katera je običajno opredeljena kot 'adware' ali 'malware'. To počnejo že od leta 2006, problem pa se je pojavil, ko se je podjetje Lenovo v drugi polovici leta 2014 odločilo dodati to stvar v programski paket, katerega dobijo kupci pred-nameščenega na novih prenosnikih. Programska koda Superfish je namreč, čeprav je sama po sebi predvsem nadležna ni pa primarno namenjena škodovanju, napisana zelo šlampasto. Zaradi slabe implementacije varnostnih certifikatov odpira v računalniku ranljivosti, preko katerih bi lahko pravi zlobneži zelo enostavno z uporabo napada tipa 'man-in-the-middle' povzročili veliko škode, lahko bi na primer nič hudega slutečega uporabnika preusmerili na ponarejeno spletno stran njegove spletne banke in mu ali pokradli gesla ali pa npr. pri vnašanju plačila zamenjali prejemnikov račun s svojim.
Equation
Druga afera, ki je polnila novice ves februar, se skriva pod kodnim imenom Equation. Nja, Equation Group je pravzaprav kodno ime zelo sofisticirane in vrhunsko skrivnostne skupine informacijskih strokovnjakov, vohunov, s tesnimi povezavami do Ameriških in Britanskih varnostnih agencij NSA ter GCHQ. Rusko varnostno podjetje Kaspersky Labs je namreč odkrilo doslej najbolj napredno vrsto napadov na računalniške sisteme, pravzaprav zaznalo in analiziralo sledi teh napadov, nikakor pa niso mogli razkriti cele slike, kajti potem ne bi mogli reči, da je ta napad tako sofisticiran. Ta škodljiva koda je zmožna celo spremeniti osnovno programsko kodo trdih diskov mnogih proizvajalcev, kar pomeni, da ostaja na računalniku tudi če uporabnik zaradi suma varnostnih težav formatira trdi disk. Če ste običajen smrtnik, potem te kode sicer verjetno na vašem stroju ni, ali pa je, pa ne bo nikoli aktivna. Equation se namesti in aktivira samo na najbolj pomembnih tarčah, kaj pa to so, pa je seveda odvisno od interesov varnostne agencije, prav gotovo potencialni teroristi, malo manj pa bodo priznali da želijo vdirati v varnostne agencije in vladne ustanove drugih držav, vodilna tuja komercialna podjetja, politične stranke, aktivistične organizacije itn.
HP ArcSight vs Superfish, Equation
Nicholas Hsiao, eden iz skupine zvezdniških arhitektov rešitev HP ArcSight, je ustvarili dva vsebinska paketa za pomoč pri odkrivanju ranljivosti omenjenih v nedavnih odmevnih napadih. Paket ali 'content package' je nabor nastavitev, filtrov, poročil ali drugih vsebin, ki se naloži v ArcSight ESM ali Express in se lahko delijo med uporabniki, paketa sta na voljo za vse zainteresirani člane spletne strani Protect 724:
Vsebinski paket za odkrivanje okužbe Superfish Adware - 'https spoofing':
https://protect724.hp.com/message/54789#54789
Vsebinski paket v pomoč pri odkrivanju okužbe trdega diska Equation:
https://protect724.hp.com/message/54770#54770
Vsi ste vabljeni, da raziščete te rešitve in jih morda tudi dopolnite s svojimi izboljšavami. Tukaj je pravzaprav primerno mesto da vas opomnimo, da ste, če ste ustvarili zanimive vsebine za ArcSight, vabljeni, da jih delite z drugimi uporabniki na Protect724.
Avtor / prevod: Robert Lubej
Povezava do izvorne novice:
http://www.arcsight.com/collateral/press_release/
### ### ###
O podjetju HP ArcSight
HP ArcSight je priznan proizvajalec uveljavljenih rešitev za upravljanje z informacijsko varnostjo in skladnostjo, SIEM rešitev, s katerimi je mogoče inteligentno odkrivati in zmanjševati poslovna tveganja v organizacijah vseh vrst in velikosti. Vse rešitve podjetja so načrtovane tako, da so primerne tudi za najbolj kompleksne in geografsko razpršene organizacije z različnimi tehnologijami, dobavitelji in tipi infrastruktur in so v osnovi razdeljene v rešitve za zbiranje, dolgotrajno hranjenje in napredno primerjanje ter obdelavo varnostnih dogodkov. ArcSight je edini od proizvajalcev drugih komponent povsem neodvisni ponudnik rešitev za odkrivanje, ovrednotenje in ukrepanje proti napadom od zunaj, notranjim nevarnostim in kršitvam zahtev o skladnosti.
Od konca leta 2010 je ArcSight v lasti podjetja HP, del oddelka HP Enterprise Security, in se v javnosti pojavlja kot HP ArcSight ali ArcSight, An HP Company.
Več o podjetju najdete na spletnih straneh: http://www.arcsight.com
Dodatne informacije:
Robert Lubej, projektni vodja
REAL security d.o.o.
Meljska cesta 1
2000 Maribor
tel.: 02 234 74 74