Hardening nie zawsze przynosi korzyści, a może wręcz zaszkodzić - do takich wniosków dochodzi po ponad 20 latach udzielania porad dotyczących utwardzania systemów operacyjnych Roger A. Grimes, publicysta "Infoworlda", w swoim technicznym blogu. Przyznaje, że wcześniej się mylił.

Rewidując swoje wcześniejsze poglądy, pisze m.in., że generalnie, trudno znaleźć przykłady uzyskania znaczących korzyści z poprawiania Windows poza zaleceniami Microsoftu.

W czterech z ośmiu napisanych przez Grimesa książek poświęconych bezpieczeństwu systemu Windows, propagował on utwardzanie hosta i wyjaśniał czytelnikom, jak dobrze dostrajać własne komputery, zmieniając wyjściowe ustawienia domyślne, aby ograniczyć pole potencjalnego ataku. Jak przyznaje sam autor, prawdopodobnie jedna czwarta jego artykułów napisanych w ciągu ostatnich 10 lat spośród ponad setki, dotyczyła właśnie hardeningu.

Domyślne ustawienia wystarczające

Zdaniem Grimesa kilka czynników uległo zmianie. Na przykład niemal każdy dostawca OS obecnie oferuje bardzo rozsądne i względnie bezpieczne ustawienia domyślne.

To prawda, że niepotrzebne usługi pozostawione włączone, mogą zwiększać potencjalny obszar ataku, lecz dobre zabezpieczenie polega na właściwym zarządzaniu ryzykiem oraz odpowiednim wyważeniu współczynnika koszt/korzyści. Po co wyłączać usługę czy ograniczać pozwolenia, jeżeli nie one bezpośrednio decydują o próbach podejmowania ataków? Po co zużywać energię i zwiększać ryzyko operacyjne, skoro jest wiele innych zagrożeń, którymi trzeba się martwić?

Grimes podkreśla, że 90% swego czasu poświęca na pomaganie klientom w odpieraniu ataków hakerów. Niemal wszystkie one powstają po stronie klienta, mają postać Trojanów wprowadzonych przy użyciu technik inżynierii społecznej lub spreparowanych danych aplikacji (application data malformation).

Ekspert "Infoworlda" zaznacza, że de facto nigdy nie spotkał się z sytuacją, w której przeprowadzenie ataku stało się możliwe w rezultacie nie utwardzenia przez organizację własnego systemu zabezpieczeń, wykraczającego poza domyślne ustawienia i zalecenia dostawcy.

Przyczyny związane były zawsze z przypadkowym osłabieniem przez organizację niektórych domyślnych ustawień (których nie powinno się zmieniać), uruchomieniem przez użytkowników (skłonionych do tego socjotechnicznymi sztuczkami) Trojanów lub nie stosowaniem się do powszechnie promowanych od ponad 10 lat uniwersalnych zaleceń, takich jak: regularne łatanie dziur, silne hasła itp.

Wyłączanie usług - nie zawsze pożyteczne

Wielu praktyków zajmujących się ochroną sieci chce wyłączać niepotrzebne usługi, aby zmniejszyć ryzyko związane ze zdalnym przepełnieniem bufora (remote buffer overflows) i tym podobnymi. Jednak od marca 2003 r., odnotowano tylko kilka tego typu ataków w domyślnie ustawionych usługach Microsoft. Większość przypadków przepełnienia bufora, o których się czyta, można przeprowadzać tylko zdalnie, uzyskując dostęp do wewnętrznych zasobów z zewnątrz sieci, co wymaga oszukania użytkownika końcowego poprzez skłonienie go do kliknięcia na coś.

Większość ataków zdalnego przepełnienia bufora, szczególnie tych najbardziej spektakularnych, dotknęło usług, z których albo wszyscy muszą korzystać (takie jak RPC), albo musieli uruchomić ze względu na potrzebną funkcjonalność, jak np. serwer webowy, SQL itp. Pokazały to trzy najbardziej udane ataki w historii Microsoft Windows: Blaster w RPC, Code Red na IIS i robak SQL Slammer. Warto zauważyć, że te poważne eksploity wystąpiły dawno temu i we wszystkich trzech przypadkach łatki dostawcy były dostępne czasami nawet na kilka miesięcy przed uderzeniem zdalnego eksploita.