main() {
exec("header") {
 
SecurityBlog
 
 
 }
exec("menu") { InformacjeAlertyBezpieczeństwoAudytOprogramowanieSłownikO nasKontakt }
exec("ad") { 
Zgłoś informacje/incydent
 }
exec("sys_nice") { 
  Network Incident Computer Events
 

NICE (Network Incident Computer Events) to moduł zabezpieczający system zapewniając serwerom wysoki poziom bezpieczeństwa, zachowując przy tym poprzednią wydajność.
Moduł NICE został opracowany przez Piotr Olszewskiego z grupy Hakerzy.NET w roku 2006 pod nazwą kodową: "Hakerzy.NET AntiFire" początkowo jako filtr sieciowy i przechwytywacz exploitów (czasem niekompletnych ze względu na niewykonanie ich do końca przez atakującego, w przypadku złej odpowiedzi usługi serwera), które automatycznie były udostępniane w module zwanym HackingSource dostępnym w nakładce systemowej Metro z roku 2006, a stamtąd publikowane na wielu zagranicznych forach związanych z bezpieczeństwem sieci, gdzie dokładnie były interpretowane i odbudowywane do celów edukacyjno-ochronnych. Kolejne zaawansowane funkcje nadzoru bezpieczeństwa systemu wprowadzono dopiero w 2009 roku, wśród nich można wymienić ochronę procesów i pamięci, przechwytywanie wątków systemowych i kontrolowanie ich dostępu do danych oraz funkcje awaryjne, pozwalające odpowiednio zareagować do danego incydentu. W roku 2010 projekt zmienił nazwę na Network Incident Computer Events, wykorzystywany był i jest w kilkunastu serwisach internetowych, które nigdy nie zostały zhackowane w tym teraz SecurityBlog.pl.
Moduł NICE zapewnia dodatkową, a zarazem skuteczną warstwę bezpieczeństwa, kontrolując pracę systemu, procesy oraz ruch internetowy jeszcze przed nawiązaniem połączenia z usługą np. serwera WWW, co jest bardzo ważne w przypadku luk w usługach serwerowych leżących po stronie oprogramowania.

NICE pełni następujące funkcje:
- filtra ochronny odpowiadający z filtrowanie ruchu
- izolatora procesów i wątków systemowych
- modułu ochrony procesów usług serwera
- przechwytywacza exploitów do celów analizy i raportowania
- tworzenia pakietów/stron pułapek pozwalających atakującemu symulować poprawność luki
- modułu dodatkowej ochrony plików przed usunięciem i odczytem przez niepowołane do tego celu procesy

Moduł NICE dodatkowo, może uczyć się zapytań i jest w stanie przechwycić te niestandardowe, nie obsługiwane przez daną usługę serwera np. WWW, FTP, SSH itp.
Co ciekawe NICE potrafi modyfikować pakiety w locie i w wypadku zagrożenia wadliwym skryptem lub niestandardowym zapytaniem, automatycznie modyfikuje zapytanie, tak by serwer np. podał standardową stronę błędu/braku pliku lub inny błędny komunikat.

Przykłady: Co potrafi moduł bezpieczeństwa NICE:
- ograniczyć dostęp procesom do wbranych plików, danych, a nawet obszarów w pamięci

- pilnować procesów, by nie upadły:
W przypadku przekroczenia ustalonego limitu użycia pamięci lub nieodpowiadania (po przez zapytanie procesu o aktywność lub ustalone zapytanie sieciowe) proces zostaje zrestartowany.

- pilnować przed błędnymi wyciekami pamięci usług i przepełnieniem bufora:
W przypadku wycieków pamięci (nie zwalniania jej) moduł NICE podejmuje akcje zatrzymania usługi i uruchomienia jej ponownie, kiedy przekroczy bezpieczny próg procentowy użycia pamięci.
W przypadku przekraczania bufora i nadpisywania pamięci w obszarze nie zarezerwowanym przez daną zmienną, moduł NICE restartuje usługę i w sposób dokładniejszy monitoruje usługę, próbując doszukać się tego zdarzenia, jeśli jest to związane z atakiem na usługę, automatycznie przy kolejnym wystąpieniu problemu stworzy filtr na pakiet, który spowoduje wystąpienie problemu.

- blokować dostępu, usuwania określonych danych:
Można zabezpieczyć logi przed usunięciem lub zmodyfikowaniem przez inny proces niż zaufany lub też blokować dostęp

W odpowiednio przygotowanej infrastrukturze informatycznej (co jest kosztowne, ze względu na odpowiednie łącza i serwery) projekt NICE jest w stanie skutecznie, rozdzielać i blokować ruch płynący z ataków DDoS po warunkiem  używania w tym celu oprogramowania usługi serwera NICE_DNS_SERVER. Co ciekawe usługa DNS jest w stanie uczyć się stałych adresów IP klientów i przerzucać ich na serwer z łączem, które nie jest pod wpływem ataku DDoS.


Przykładowy schemat wykonywanego zapytania klienta do serwera.

Krok 1. Nawiązanie połączenia z systemem
Krok 2. Przejęcie połączenia przez NICE i podłączenie do usługi serwera WWW
Krok 3. Przejęcie zapytania od klienta przez NICE
Krok 4. Sprawdzanie zapytania i powiązanie go z exploitem, sprawdzanie czy dane zapytanie może być poprawne itp.
Krok 5. Przekazanie zapytania do usługi serwera WWW
...

Moduł NICE od początku funkcjonowania nigdy nie został złamany i do dziś stanowi wyzwanie dla hakerów.
Tutaj musimy troszkę zmartwić "Script Kiddies'ów", gdyż oni dla tego mechanizmu nie istnieją, traktowani są jak brudne powietrze, które niestety nie przenika do serwera już na etapie filtru.

Dzięki projektowi NICE w ciągu ostatniego roku udało się w pełni przechwycić kilkanaście bezskutecznych ataków wykonanych przy użyciu prywatnych exploitów, które dołączyły do filtra NICE.

Jeśli nie rozumiesz zawartej treści to jedynie wina doświadczenia, które już niedługo można będzie rozszerzyć ;)

 


 }
     
exec("partners") {
 
 
Partnerzy
hakerzy   czytelnia
 }
debug("securityblog")
{
"cpu: 1%",
"mem: 4%",
"exectime: 0,0128s"
} exec("footer") {
 


SITE: REGULAMIN || POLITYKA PRYWATNOŚCI || REKLAMA || MAPA STRONY || BAJKI DLA DZIECI || VAMPIRE DIARIES
SYSTEM TOOLS: 0xFFFFFFFF || SECURITY_DUMP || SERVER_INFO || SYSTEM_NICE


Wszystkie prawa zastrzeżone. ©2008-2013 SecurityBlog.pl

 Security Blog
} } }