Overview on Federal Desktop Core Configuration (FDCC): Configuration for Windows XP/Vista machine suggested by NIST. Overview on Security Content Automation Protocol (SCAP): a look into the automatization of security assessment.

1. FDCC - Federal Desktop CoreConfiguration Overview Luca Mella - lucam.ko@gmail.com - v1.1 1

3. Configurazioni per sistemi general-purpose collegati direttamente alla rete.

4. Basate su “Principe ofLeastPrivilege”

5. Lista vera e propria di security setting raccomandate dal NIST [National InstituteofStandards and Technologies]

6. Oltre 400 raccomandazioni:

7. Impostazioni rete, IE.

8. Robustezza password

9. Minor accesso ad account “Administrator”

10. [..]Luca Mella - lucam.ko@gmail.com - v1.1 2 Che cos’è FDCC? Perché? Come?

12. Dal 4 febbraio 2008, conformità FDCC è richiesta in tutte le agenzie governative US.

13. Applicabili solo a sistemi Microsoft Windows XP/Vista.

14. Adesione e documentazione verificabile via SCAP tools.

15. Deployment via Group Policy.Luca Mella - lucam.ko@gmail.com - v1.1 3 Che cos’è FDCC? Perché? Come?

17. Non applicabili a:

18. macchine Windows collegate a dispositivi scentifici/biomedicali.

19. Non applicabili a versioni server di Windows XP/Vista [Windows server 2003/2008 xx]

20. Non applicabili a Macintosh e Linux

21. Questi sistemi sono comunque in stato di revisione per una futura inclusione..Luca Mella - lucam.ko@gmail.com - v1.1 4 A quali macchine sono destinate tali configurazioni?

23. OMB [Office of Management and Budget] rilascia una nota istruttoria riguardante i piani di utilizzo e le configurazioni di sicurezza per sistemi Windows Xp/Vista

24. Proposte le configurazioni di sicurezza adottate da USAF come modello preliminare.

25. NIST sviluppa (e mantiene) la linea guida di FDCC, in collaborazione con OMB, NSA, USAF DHS, DISA e Microsoft.Luca Mella - lucam.ko@gmail.com - v1.1 5 Come è nata FDCC?

27. personalizzazione della guida “Security Guides for both Windows Vista and Internet Explorer 7.0” effettuata dal DoD [DepartmentofDefense]

28. Windows XP FDCC

29. personalizzazione di SSLF [SpecializedSecurity-LimitedFunctionality] del NIST:

30. Frutto della modifica alla guida Microsoft “Security Guide for Internet Explorer 7.0”Luca Mella - lucam.ko@gmail.com - v1.1 6 Come è nata FDCC?

32. Non decide prerequisiti e condizioni per le forniture.

33. Numerose “security guidance” sono disponibili per il resto dei sistemi.

34. Documentazione dettagliata frutto di NCP [National Checklist Program] è reperibili qui : http://checklists.nist.gov

35. GuidanceMachttp://web.nvd.nist.gov/view/ncp/repository/checklist/download?id=275Luca Mella - lucam.ko@gmail.com - v1.1 7 Come è nata FDCC?

37. Come funziona?

38. Perché?

39. [..]Luca Mella - lucam.ko@gmail.com - v1.1 8 Prima di scendere nel dettaglio..

40. SCAP [Security Content Automation Protocol] Overview [Pronuncia: S-CAP] Luca Mella - lucam.ko@gmail.com - v1.1 9

42. http://scap.nist.gov/

43. Automazione, Misurazione, valutazionediconformità FDCC.

44. NVD [National Vulnerability Database], repository dicontenuti per SCAP.

45. security checklist, difetti del sw, erroridiconfigurazione, nomidiprodotti e metriched’impatto.

46. http://nvd.nist.gov/Luca Mella - lucam.ko@gmail.com - v1.1 10 Overview

48. Enumerare difetti di software.

49. Configurationissues.

50. Nomi di prodotti.

51. Individuazione e misura di vulnerabilità.

52. Report per valutare l’impatto di un attacco e la possibilità di un attacco.Luca Mella - lucam.ko@gmail.com - v1.1 11 Overview

54. Common Vulnerabilities and Exposures (CVE)

55. Common Configuration Enumeration (CCE)

56. Common Platform Enumeration (CPE)

57. Metriche

58. Common Vulnerability Scoring System (CVSS)

59. Linguaggi

60. Extensible Configuration Checklist Description Format (XCCDF)

61. Open Vulnerability and Assessment Language (OVAL)Luca Mella - lucam.ko@gmail.com - v1.1 12 Standard aperti

62. SCAP Componenti 2/2 Luca Mella - lucam.ko@gmail.com - v1.1 13 Interpolazione Software Flaw Management CVE OVAL CVSS Asset Management Configuration Management SCAP CCE CPE XCCDF Compliance Management

64. UNnome standard.

65. UNAdescrizione standard.

66. Database e tool eterogeneidevono “parlare” la stessa lingua.

67. Natonel 1999

68. tool differentichiamavano diverse vulnerabilità con stessonome.

69. “CVE-Compatibility” rilasciataaiswdopo opportune valutazioni.

70. Sito ufficiale: http://cve.mitre.org/Luca Mella - lucam.ko@gmail.com - v1.1 14 Dictionary of security related software flaws

72. “CCE-Id” per associare esiti di controlli con istruzioni pubblicate in documenti “best-pratice”.

73. Maggiore interpolabilità

74. Facilita la raccolta di metriche nei processi di security audit.

75. Agile correlazione dei dati.

76. CCE-Id sono utilizzati nelle impostazioni specificate in FDCC.

77. Sito ufficiale: http://cce.mitre.org/about/index.htmlLuca Mella - lucam.ko@gmail.com - v1.1 15 Dictionary of software misconfigurations

79. Formalizzazione, consistenza, uniformità.

80. Sintassi URI [UniformResourceIdentifier]

81. cpe:/<part>:<vendor>:<product>:<version>:<update>:<edition>:<language>

82. Sito ufficiale http://cpe.mitre.org/about/index.html

83. Specifiche http://cpe.mitre.org/specification/index.htmlLuca Mella - lucam.ko@gmail.com - v1.1 16 Standard nomenclature and dictionary for product naming

84. Common PlatformEnumeration (CPE) 2/2 Luca Mella - lucam.ko@gmail.com - v1.1 17 Struttura

86. Definire priorità e coordinare risposte alle vulnerabilità.

87. 3 gruppi di metriche per le vulnerabilità:

88. proprietà di base

89. proprietà temporali

90. proprietà ambientali

91. Ogni gruppo consiste in un set di metriche.

92. Sito ufficiale: http://www.first.org/cvss/cvss-guide.htmlLuca Mella - lucam.ko@gmail.com - v1.1 18 Standard for scoring the impact of vulnerabilities

93. Common Vulnerability Scoring System (CVSS) 2/3 Luca Mella - lucam.ko@gmail.com - v1.1 19 Metrics

95. Il vettore dei punteggi base può essere raffinato attraverso altre metriche.

96. Base e temporalscores sono specificati da bollettini dei produttori o di analisti, Enviromentalscores sono definiti dall’utente.

97. Score calculator : http://nvd.nist.gov/cvss.cfm?calculator&adv&version=2Luca Mella - lucam.ko@gmail.com - v1.1 20 How does it works?

99. scritturadi checklist diconfigurazioni e patch.

100. DocumentiXCCDFrappresentano:

101. Insiemestrutturatodiregole.

102. Configurazioni per sistemi.

103. Automatizzazione test diconformità.

104. Progettato per supportarel’integrazionedipiùchecking engines.Luca Mella - lucam.ko@gmail.com - v1.1 21 Standard XML for specifying checklists

106. Result: machine-readable, riguardo a conformità, per long term tracking

107. FixScript: machine-readable , script per rimediarealleinconformità.Luca Mella - lucam.ko@gmail.com - v1.1 22

109. 3 principali fasi del processo di valutazione:

110. Rappresentazione delle informazioni.

111. Analisi del sistema per la presenza di stati macchina specificati (vulnerabilità, configurazioni, stato patch ..)

112. Reporting.

113. 3 schemi XML-based fungono da dizionario e da framework:

114. System Characteristics schema, per informazioni di sistema.

115. Definitions schema, per esprimere uno specifico stato macchina.

116. Results schema, per reporting.

117. Repository mantenuti dalla comunità.Luca Mella - lucam.ko@gmail.com - v1.1 23 Standard XML for checking machine state

118. Open Vulnerability and Assessment Language (OVAL) 2/2 Luca Mella - lucam.ko@gmail.com - v1.1 24 Example “Hello World”

119. OVAL e XCCDF Luca Mella - lucam.ko@gmail.com - v1.1 25 Chiarimento - Scope deilinguaggi Supporto alla personalizzazione delle “security guidance” Platformindipendent Colleziona, struttura, organizza “security guidance” Valuta la conformità Definizione di test per verificare conformità Platformdependent Test “system-specific” dello stato del sistema Caratterizzazione stati di sistema (low-level).

121. Authenticated Configuration Scanner

122. Authenticated Vulnerability [and Patch] Scanner

123. Unauthenticated Vulnerability Scanner

124. Intrusion Detection and Prevention

125. Patch Remediation

126. Mis-configuration Remediation

127. [..]Luca Mella - lucam.ko@gmail.com - v1.1 26 Principaliutilizzidi SCAP

129. Le versioni future punteranno a standardizzare ed automatizzare il deployment e la modifica delle security settings.

130. Lista dei prodotti validati : http://nvd.nist.gov/scapproducts.cfm (sonopresentianche FDCC scanner) Luca Mella - lucam.ko@gmail.com - v1.1 27 Implementazionedi SCAP

131. FDCC - Federal Desktop CoreConfiguration Configurazioni Principali Luca Mella - lucam.ko@gmail.com - v1.1 28

133. Lock della postazione in caso di rimozione smart card.

134. Ultimo username non più salvato nella schermata di logon.

135. Caching in locale di massimo 2 profili utente.

136. Disabilitazione Account “Administrator” [Vista] e “Guest”.

137. Renaming di “Administrator” e “Guest”.

140. Amministratore può firmare i controlli (AD)

141. Impossibilità di scaricare controlli ActiveX (firmati e non) da fuori dall’intranet.

142. Blocco delle installazioni di controlli ActiveX direttamente da IE [XP]

143. Vista utilizza ActiveXInstaller Service [AxIS], che permette il download e l’installazione di controlli da siti fidati impostati via Group Policy.Luca Mella - lucam.ko@gmail.com - v1.1 30 ActiveX

145. ComplexityRequirements

146. Lunghezza minima: 12 caratteri.

147. Non deve contenere il nome utente.

148. Deve contenere [A-Z],[a-z],[0-9] e caratteri speciali.

149. Differenza da vecchie password.

150. Password history

151. Ricordate 24 old password.

152. Occorre password non vuota perché un account possa essere utilizzato per autenticazione in servizi di rete (TS,Telnet,FTP..)Luca Mella - lucam.ko@gmail.com - v1.1 31 Rafforzamento password

155. IP source routing è un meccanismochepermetteal mittente di determinare il percorso del datagramma IP che assumerà attraverso la rete.

156. Instradamento non frequente nelle reti IP in quanto permette all'utente di scegliere le rotte piuttosto che affidarsi al routing dinamico.

157. E’ possibile effettuare un attacco di “IP spoofing”, in cui si ricevono anche i pacchetti di risposta [man in the middle]Luca Mella - lucam.ko@gmail.com - v1.1 33 Level 3 – Source Routing

158. FDCC – Networking 2/7 Luca Mella - lucam.ko@gmail.com - v1.1 34 Level 3 – Source Routing - Scenario 10.27.1.7 Packetform 10.1.0.2 to 10.1.0.1 10.1.0.50 10.2.1.1 10.1.0.2 10.1.0.2 10.1.0.1

160. The Redirect Message is an ICMP message (type 5) which informs a host to update its routing information (to send packets on an alternate route).

161. Properly constructed ICMP packet that passes all sanity checks (it must come from the default router for the destination it's redirecting, new router should be on a directly connected network, etc.) it causes a host-route entry be added to the system routing table.

162. Default: Enabled [XP]Luca Mella - lucam.ko@gmail.com - v1.1 35 Level 3 – ICMP redirects

163. FDCC – Networking 4/7 Luca Mella - lucam.ko@gmail.com - v1.1 36 2) Pktfrom A to B, afterreciving the icmp_rpkt. Level 3 – ICMP redirects - Scenario [Gateway di User A] DoS 1) Spoofedicmp_rpkt: Passa da Router C (oppure D) per arrivare a User B

165. basically consists of 2 ICMP Message-Types:

166. 9 - Router Advertisement (in risposta)

167. 10 - Router Solicitation (inviatodal client)

168. When a client receives a message type 9, they are adding the router to their local routing-table.

169. By spoofing IRDP Router Advertisements, an attacker can remotely add default route entries.

170. Effettipossibili:

171. DoS by changing the default gateway to something invalid

172. Sniffing and/or MITM attacks if changing the gateway to a router under the attacker's control.

173. http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-1999-0875Luca Mella - lucam.ko@gmail.com - v1.1 37 Level 3 - IRDP

175. The connection responses time-out more quickly in the event of a connect request (SYN) attack.

176. SYN Flood Attack [DoS]

177. Using a spoofed IP address not in use on the Internet, an attacker sends multiple SYN packets to the target machine.

178. For each SYN packet received, the target machine allocates resources and sends (SYN-ACK) to the source IP address.

179. Because the target machine doesn't receive a response from the attacking machine, it attempts to resend the SYN-ACK five times, at 3-, 6-, 12-, 24-, and 48-second intervals before unallocating the resources.

180. Pacchettidatiritrasmessi per 3 volte in mancanzadi ACK [TCP]

181. Default 5 Luca Mella - lucam.ko@gmail.com - v1.1 38 Level 3 – SYN attack

184. Driver non firmati sono stati vietati.

185. Administrators can sign drivers.

186. User Account Control abilitato [Vista] 

187. Richiedecredenziali, non più solo conferma.

188. Privilegi di amministrazione rimossi

189. installazioni sw solo da “Administrator”.

190. ..Luca Mella - lucam.ko@gmail.com - v1.1 40 Administration

192. Pianifica l’esecuzione di comandi

193. Regedit.exe

194. arp.exe, debug.exe

195. route.exe

196. Per visualizzazione e modifica tabelle di routing

197. Net.exe

198. Will impact orgs that use logon scripts

199. [..]Luca Mella - lucam.ko@gmail.com - v1.1 41 Esecuzione revocata agli utenti..

201. UPnP != PnP

202. Set ofnetworkingprotocolthataimstocrate a p2p network betweenpc and network peripherals.

203. Many UPnP device implementations lack authentication mechanisms.

204. Flash programs are capable of generating a specific type of HTTP request. This allows a router implementing the UPnP protocol to be controlled by a malicious web site when someone with a UPnP-enabled router simply visits that web site.

205. Wireless Zero Configuration / WLAN AutoConfig

206. Dynamically selects a wireless network to connect to.Luca Mella - lucam.ko@gmail.com - v1.1 42 Alcuni servizi disabilitati

208. Servizio per l’invio/ricezione di messaggi ad host (solitamente in LAN)

209. Es: net send {IP address/computer name/* (broadcast)}{message}

210. NetMeeting Remote Desktop Sharing

211. Makes it possible for a remote user with NetMeeting to access your computer.

212. FTP Publishing Service

213. Indexing Service

214. SSDP Discovery Service

215. detection of Universal Plug and Play (UPnP) devices on network.

216. [..]Luca Mella - lucam.ko@gmail.com - v1.1 43 Alcuni servizi disabilitati

217. FDCC – Configurazioni Il resto delle configurazioni elencate in dettaglio sono reperibili qui : http://nvd.nist.gov/fdcc/FDCC-Settings-major-version-1.2.x.0.xls Luca Mella - lucam.ko@gmail.com - v1.1 44 Ma.. solo queste?

218. FDCC - Federal Desktop CoreConfiguration Deployment Luca Mella - lucam.ko@gmail.com - v1.1 45

220. Deployment centralizzato.

221. Rafforzamento delle policy di dominio.

222. http://www.microsoft.com/industry/government/federal/fdccdeployment.mspx

223. Soluzioni Commerciali per deployment e audit.

224. LocalGPOs

225. Standalone workstation.

226. No domino AD.

227. Tool per deployment.Luca Mella - lucam.ko@gmail.com - v1.1 46 Come è possibile applicare FDCC?

229. Group Policy settings are enforced voluntarily by the targeted applications.

230. Attacker can modify or interfere with the application so that it cannot successfully read its Group Policy settings, thus enforcing potentially lower security defaults or even returning arbitrary values.

231. In many cases, this merely consists of disabling the user interface for a particular function, without disabling lower-level means of accessing it.

232. Group Policy client operates on a "pull" model (AD)

233. Every 90-120min it will collect the list of GPOs appropriate to the machine and logged on user.

234. then apply GPOs, this might change the behavior of policy-enabled oscompoments.

235. Local Group Policy (LGP)

236. Can configure the Group Policy for a single local computer.

237. Can not make policies for individual users or groups (XP).

238. Multiple Local Group Policy objects (MLGPO)

239. allows setting local Group Policy for individual users (VISTA).Luca Mella - lucam.ko@gmail.com - v1.1 47 Group Policy Objects

241. Blog su MS technet: http://blogs.technet.com/fdcc/archive/tags/FDCC/default.aspx

242. Eseguibili: http://blogs.technet.com/fdcc/attachment/3051648.ashx

243. Sorgenti: http://blogs.technet.com/fdcc/attachment/3306001.ashxLuca Mella - lucam.ko@gmail.com - v1.1 48 Installazione FDCC su macchina standalone

245. Lanciare il comando:

246. Set_FDCC_LGPO.exe [/log LogFile] [/errorErrorLogFile] [/boot]

247. Per settare le configurazioni registry-based.

248. Set_FDCC_LGPO.exe [/Sec] [/log LogFile] [/errorErrorLogFile] [/boot]

249. Per settare anche le security policy.Luca Mella - lucam.ko@gmail.com - v1.1 49 Howto

250. FDCC – Deployment LGP 3/3 Luca Mella - lucam.ko@gmail.com - v1.1 50 Deployng..

251. FDCC - Federal Desktop CoreConfiguration ConfomityAssessment via SCAP Tools Luca Mella - lucam.ko@gmail.com - v1.1 51

253. Quasi tutti a pagamento…

254. http://nvd.nist.gov/scapproducts.cfm

255. Secutor Prime di ThreatGuardè disponibile in versione free!

256. http://www.threatguard.com/downloads.htmLuca Mella - lucam.ko@gmail.com - v1.1 52 Come verificare?

257. XP Professional Prima di FDCC 1/3 Luca Mella - lucam.ko@gmail.com - v1.1 53

258. XP Professional Prima di FDCC 2/3 Luca Mella - lucam.ko@gmail.com - v1.1 54

259. XP Professional Prima di FDCC 3/3 Luca Mella - lucam.ko@gmail.com - v1.1 55

260. XP Professional dopo FDCC Luca Mella - lucam.ko@gmail.com - v1.1 56

261. Risultati.. Luca Mella - lucam.ko@gmail.com - v1.1 57 Prima di FDCC: Compliance 46% Dopo FDCC (solo registry-based) Compliance 68% Dopo FDCC ( /SEC ) Compliance 96%

262. Questions..? Luca Mella - lucam.ko@gmail.com - v1.1 58