понедельник, 22 декабря 2008 г.
четверг, 18 декабря 2008 г.
Анализ рисков. Web-приложения
Некоторое время назад, при необходимости использования методов анализа рисков, специалисты сетовали на отсутсвие исходных данных, а особенно - необходимой статистики. Сейчас ситуация изменилась к лучшему - количество различных источников статистических данных увеличивается день за днем.
Но обилие порождает проблему выбора и определения применимости тех или иных иточников в конкретной ситуации.
Статья Оценка рисков использования Web-приложений касается этой проблемы в контексте Web-приложений.
Полагаю, что собранные в ней данные и источники будут полезны для широкого круго специалистов.
Но обилие порождает проблему выбора и определения применимости тех или иных иточников в конкретной ситуации.
Статья Оценка рисков использования Web-приложений касается этой проблемы в контексте Web-приложений.
Полагаю, что собранные в ней данные и источники будут полезны для широкого круго специалистов.
воскресенье, 14 декабря 2008 г.
Еще немного об 0-day в IE
На SecurityLab опубликованы инструкции по временному снижению риска, связанному с последней уязвимостью в IE.
Исследования Positive Technologies показывают, что уязвимость относится не только 7й версии браузера, как сообщалось изначально. Кроме того, удалось воспроизвести условия, в которых экплойт работает практически со 100% точностью, в отличии от опубликованных ранее примеров, дающих невысокую вероятность использования.
В общем, ситуация накаляется.
Исследования Positive Technologies показывают, что уязвимость относится не только 7й версии браузера, как сообщалось изначально. Кроме того, удалось воспроизвести условия, в которых экплойт работает практически со 100% точностью, в отличии от опубликованных ранее примеров, дающих невысокую вероятность использования.
В общем, ситуация накаляется.
среда, 10 декабря 2008 г.
Вторник нулевого дня
В Интернет пойманы "живые" попытки использования новой, еще не устраненной (0-day) уязвимости в Internet Explorer 7.0. Примечательно, что начало активного её использования было приурочено ко "вторнику патчей" Microsoft.
Шуму из-за проблемы много, однако, по моему мнению, учитывая долю IE 7.0 (~25%) и невысокую вероятность "срабатывания" экплойта (в лучшем случае, 1 из 3, а в среднем и того меньше), все не так уж и страшно.
Ссылки:
http://www.securitylab.ru/analytics/364556.php
http://www.securitylab.ru/vulnerability/364549.php
Шуму из-за проблемы много, однако, по моему мнению, учитывая долю IE 7.0 (~25%) и невысокую вероятность "срабатывания" экплойта (в лучшем случае, 1 из 3, а в среднем и того меньше), все не так уж и страшно.
Ссылки:
http://www.securitylab.ru/analytics/364556.php
http://www.securitylab.ru/vulnerability/364549.php
вторник, 2 декабря 2008 г.
10 лет XSpider
Опубликовали "юбилейную" сборку демо-версии XSpider - лучшего сканера уязвимостей в мире. Точне второго после MaxPatrol :)
В сборку вошло много интересных проверок из коммерческой версии.
Тем, кто использует безнадежно устаревшие "взломанные" версии полезно будет загрузить и сравнить результаты.
Десять лет XSpider, шесть Positive Technologies, три года MaxPatrol. Время бежит.
В сборку вошло много интересных проверок из коммерческой версии.
Тем, кто использует безнадежно устаревшие "взломанные" версии полезно будет загрузить и сравнить результаты.
Десять лет XSpider, шесть Positive Technologies, три года MaxPatrol. Время бежит.
понедельник, 24 ноября 2008 г.
IE 8 и XSS
Опубликовали результаты анализа XSS-фильтра, встроенного в текущую beta Internet Explorer 8. Достаточно неплохо потрудились коллеги из Microsoft, многие распостраненные векторы использования этой уязвимости перекрыты.
Учитывая, что и по статистике Positive Technologies, и по международной статистике WASC, XSS является самой распостраненной проблемой Web, наличие подобных механизмов в браузерах - полезный почин. Думаю, этим направлением стоит озаботиться и разработчикам Avir/HIPS.
Ниже краткое резюме по эффективности фильтра против разных векторов атаки:
Что забавно, обнаружили возможности использования другой уязвимости (Расщепление HTTP-ответа», HTTP Response Splitting) для отключения защиты от XSS. Надеюсь, в релизе эта проблема будет устранена.
Учитывая, что и по статистике Positive Technologies, и по международной статистике WASC, XSS является самой распостраненной проблемой Web, наличие подобных механизмов в браузерах - полезный почин. Думаю, этим направлением стоит озаботиться и разработчикам Avir/HIPS.
Ниже краткое резюме по эффективности фильтра против разных векторов атаки:
Сохраненный вариант | Нет |
DOM-Based | Частично |
Отраженный вариант | |
В теге | Нет |
В Javascript | Нет |
В HTML | Да |
В параметре тега | Да |
Что забавно, обнаружили возможности использования другой уязвимости (Расщепление HTTP-ответа», HTTP Response Splitting) для отключения защиты от XSS. Надеюсь, в релизе эта проблема будет устранена.
воскресенье, 16 ноября 2008 г.
Все новое - старое
В связи с выходом патча MS08-068 все дружно начали вспоминать, сколько лет назад была продемонстрирована атака Smbrelay. Действительно, уязвимость, которую устранил Microsoft в этом обновлении широко известна уже более 8 лет. Причем первые упоминания о ней не связаны с протоколом CIFS/SMB, а касаются, вы удивитесь, telnet.
Интересно, что отзывы на securitylab приказывают, что многие не имеют представления об этой атаке, ставшей в свое время прекрасным примером уязвимости проектирования протоколов аутентификации. Хотя на том же портале опубликовано как минимум две неплохих статьи на эту тему:
NTLM и корпоративные сети
NTLM не умер, он просто так пахнет
Воистину, все новое - хорошо забытое старое.
Интересно, что отзывы на securitylab приказывают, что многие не имеют представления об этой атаке, ставшей в свое время прекрасным примером уязвимости проектирования протоколов аутентификации. Хотя на том же портале опубликовано как минимум две неплохих статьи на эту тему:
NTLM и корпоративные сети
NTLM не умер, он просто так пахнет
Воистину, все новое - хорошо забытое старое.
воскресенье, 9 ноября 2008 г.
Взлом WPA - очередная страшилка, или что-то серьезное?
Недавно в новостях прошла серия публикаций о взломе WPA. Честно говоря, после недавних спекуляций на тему "страшных" уязвимостей TCP, заявления в духе "мы нашли серьёзную проблему, но никому о ней не расскажем" воспринимаются с большим недоверием.
Но в этом случае, к чести авторов исследования Martin Beck и Erik Tews, о спекуляциях речь не идет. Доступно описание части уязвимости и атаки, а также PoC-код для ее проведения.
В чем смысл уязвимости?
Злоумышленник может обойти механизм противодействия повторным посылкам фрейма с помощью дополнительных каналов QoS и провести атаку типа chopchop.
Несмотря на невысокую скорость атаки в случае WPA (возможность отправки только одного "неправильного" фрейма в минуту), этого достаточно, чтобы за приемлемое время "расшифровать" наиболее важные части фрейма, а именно - поля контроля целостности ICV и MIC. Зная их значение появляется возможность создавать собственные пакеты, которые корректно будут обрабатываться клиентом.
Кроме этого, авторы обещают опубликовать информацию о возможном расшифровании трафика от точки доступа к клиенту. Эта информация станет доступной на конференции PanSec.
Могу предположить, что атака заключается в том, что после восстановления ключа MIC инжектится большое количество фреймов, использую ARP или другой "шумящий", например - ipv6 broacast ping с последующим применением улучшенных вариантов восстановления ключа WEP (который все же присутствует в TKIP, хотя и меняется для каждого фрейма).
Как происходит атака?
1. Атакующий перехватывает предсказуемый фрейм (например ARP)
2. Используя известные характеристики фрейма (MAC-адреса, служебные поля) восстанавливает часть ключевого потока (гаммы) RPGA
3. Посылает модифицированные пакеты (атака chopchop)- на дополнительные каналы QoS (которые, как правило не используются) раз в минуту с целью обхода механизмов противодействия повторной отправки кадров. В результате подбирает расшифрованные значения MIC и ICV.
4. Offline подбирает оставшиеся поля (IP-адреса). У него есть ICV, соответственно он может просто прогнать значения перебором и проверять целостность по ICV.
5. На основании значения MIC и открытого текста пакета получает ключ Michael (который не является однонаправленным алгоритмом).
6. После этого злоумышленник может использовать полученную гамму и ключ MIC для отправки пакетов к клиенту. Использование фрагментации на канальном уровне позволяет посылать достаточно большие пакеты, не ограниченные по длине полученной из ARP-пакета гаммой.
Маленький FAQ
Q. WPA взломан?
A. Пока еще нет, но первые звоночки раздаются.
Q. Злобные хакеры могут расшифровать весь WPA-трафик?
A. Нет, только внедрять пакеты в направлении клиента беспроводных сетей. Возможно, удастся расшифровать часть трафика зашифрованном на одном ключе TKIP (интервал WPA rekey), однако после смены ключа атаку надо будет повторять.
Q. Что нового в этой атаке? Я это проходил в детском саду!
A. Использование QoS для обхода механизмов защиты от повторной передачи (antireplay). В стандартной ситуации после двух ошибок контроля целостности в минуту происходит инициализация криптографической части, что сводит атаку на нет. Все остальные части атаки известны достаточно давно.
Q. Мой КПК и точка не поддерживает WPA2 (AES-CCMP), что делать?
A. Установите на точке доступа короткий интервал смены ключей (WPA Rekey Interval). Авторы советуют менее 120 секунд, но я считаю это параноидальным случаем, 5-7 минут вполне приемлемо. См. инструкции к своей точке доступа.
Q. Что почитать?
A. Сылки выше, оригинал исследования, мою книжку :)
Q. Что нужно, чтобы вступить?
A. Как обычно - скомпелировать.
Но в этом случае, к чести авторов исследования Martin Beck и Erik Tews, о спекуляциях речь не идет. Доступно описание части уязвимости и атаки, а также PoC-код для ее проведения.
В чем смысл уязвимости?
Злоумышленник может обойти механизм противодействия повторным посылкам фрейма с помощью дополнительных каналов QoS и провести атаку типа chopchop.
Несмотря на невысокую скорость атаки в случае WPA (возможность отправки только одного "неправильного" фрейма в минуту), этого достаточно, чтобы за приемлемое время "расшифровать" наиболее важные части фрейма, а именно - поля контроля целостности ICV и MIC. Зная их значение появляется возможность создавать собственные пакеты, которые корректно будут обрабатываться клиентом.
Кроме этого, авторы обещают опубликовать информацию о возможном расшифровании трафика от точки доступа к клиенту. Эта информация станет доступной на конференции PanSec.
Могу предположить, что атака заключается в том, что после восстановления ключа MIC инжектится большое количество фреймов, использую ARP или другой "шумящий", например - ipv6 broacast ping с последующим применением улучшенных вариантов восстановления ключа WEP (который все же присутствует в TKIP, хотя и меняется для каждого фрейма).
Как происходит атака?
1. Атакующий перехватывает предсказуемый фрейм (например ARP)
2. Используя известные характеристики фрейма (MAC-адреса, служебные поля) восстанавливает часть ключевого потока (гаммы) RPGA
3. Посылает модифицированные пакеты (атака chopchop)- на дополнительные каналы QoS (которые, как правило не используются) раз в минуту с целью обхода механизмов противодействия повторной отправки кадров. В результате подбирает расшифрованные значения MIC и ICV.
4. Offline подбирает оставшиеся поля (IP-адреса). У него есть ICV, соответственно он может просто прогнать значения перебором и проверять целостность по ICV.
5. На основании значения MIC и открытого текста пакета получает ключ Michael (который не является однонаправленным алгоритмом).
6. После этого злоумышленник может использовать полученную гамму и ключ MIC для отправки пакетов к клиенту. Использование фрагментации на канальном уровне позволяет посылать достаточно большие пакеты, не ограниченные по длине полученной из ARP-пакета гаммой.
Маленький FAQ
Q. WPA взломан?
A. Пока еще нет, но первые звоночки раздаются.
Q. Злобные хакеры могут расшифровать весь WPA-трафик?
A. Нет, только внедрять пакеты в направлении клиента беспроводных сетей. Возможно, удастся расшифровать часть трафика зашифрованном на одном ключе TKIP (интервал WPA rekey), однако после смены ключа атаку надо будет повторять.
Q. Что нового в этой атаке? Я это проходил в детском саду!
A. Использование QoS для обхода механизмов защиты от повторной передачи (antireplay). В стандартной ситуации после двух ошибок контроля целостности в минуту происходит инициализация криптографической части, что сводит атаку на нет. Все остальные части атаки известны достаточно давно.
Q. Мой КПК и точка не поддерживает WPA2 (AES-CCMP), что делать?
A. Установите на точке доступа короткий интервал смены ключей (WPA Rekey Interval). Авторы советуют менее 120 секунд, но я считаю это параноидальным случаем, 5-7 минут вполне приемлемо. См. инструкции к своей точке доступа.
Q. Что почитать?
A. Сылки выше, оригинал исследования, мою книжку :)
Q. Что нужно, чтобы вступить?
A. Как обычно - скомпелировать.
четверг, 6 ноября 2008 г.
Сетевая утилита для тестирования уязвимостей MS08-065 и MS08-067
Опубликовали утилиту для проверки патчей MS08-065 и MS08-067. Работает удалено, без наличия каких-либо прав. Не смотря на логотип MaxPatrol не стоит считать это даже частью продукта. Просто оформили два safecheck (безопасные экплойт-проверки) в виде отдельной программы.
Уже поступили жалобы на низкую скорость работы. Скажу прямо - это было сделано преднамеренно, чтобы снизить побочные эффекты использования читателями журнала "Хакер".
Думаю, будет полезным инструментом, учитывая критичность уязвимостей.
Респекты за работу Никите Тараканову, Андрею Абрамову и Валерию Марчуку.
Уже поступили жалобы на низкую скорость работы. Скажу прямо - это было сделано преднамеренно, чтобы снизить побочные эффекты использования читателями журнала "Хакер".
Думаю, будет полезным инструментом, учитывая критичность уязвимостей.
Респекты за работу Никите Тараканову, Андрею Абрамову и Валерию Марчуку.
среда, 29 октября 2008 г.
Метрики безопасности. Infosecurity 2008
Сейчас плотно занимаюсь метриками безопасности в контексте развития MaxPatrol. В связи с этим делал небольшой доклад на Infosecurity Moscow 2008. Формальная тема "Проактивный котроль", но де-факто - доклад о метриках.
Security Metrix
View more presentations from qqlan.
пятница, 24 октября 2008 г.
Старшый и ужасный MS 08-067
Давно не появлялся такой "страшный" server-side баг. Ждем массовых эпидемий в домовых и корпоративных сетях и новой волны рассказов про страшных хакеров, которые страшнее чем добрые инсайдеры.
Подробная информация
Подробная информация
вторник, 21 октября 2008 г.
Немного об исследованиях, экплойтах и независимости
Достаточно интересная публикация.
"Компания Secunia в погоне за клиентами своего сервиса анализа уязвимостей опубликовала очень интересный документ.
...
Результаты показывают, что даже лучший продукт обнаружил только 21% экплойтов, в то время как следующий за ним продукт - менее трех.
Но не спешите делать выводы. Давайте вчитаемся в исследование внимательней."
http://www.securitylab.ru/opinion/361583.php
Выводы на поверхности. Один из них - текущей уровень качества средств защиты абсолютно непрозрачен. Методики их оценки - тем более. Вопрос очень болезненный и непростой. Я поднимал его в свое время (http://www.bytemag.ru/articles/detail.php?ID=9065).
Особенно интересно в этом аспекте выглядит позиция некоторых производителей , скрывающих свои технологии и, скажем так, неуважительно отзываются о пользователях (http://www.securitylab.ru/news/254796.php).
Цитирую: "ЛК считает, что никто не имеет возможности доподлинно знать, что находится в его компьютере. Единственный способ быть в этом уверенным — отформатировать жесткий диск. В этом случае вы точно знаете, что на диске нет ничего, кроме загрузочных секторов."
"Компания Secunia в погоне за клиентами своего сервиса анализа уязвимостей опубликовала очень интересный документ.
...
Результаты показывают, что даже лучший продукт обнаружил только 21% экплойтов, в то время как следующий за ним продукт - менее трех.
Но не спешите делать выводы. Давайте вчитаемся в исследование внимательней."
http://www.securitylab.ru/opinion/361583.php
Выводы на поверхности. Один из них - текущей уровень качества средств защиты абсолютно непрозрачен. Методики их оценки - тем более. Вопрос очень болезненный и непростой. Я поднимал его в свое время (http://www.bytemag.ru/articles/detail.php?ID=9065).
Особенно интересно в этом аспекте выглядит позиция некоторых производителей , скрывающих свои технологии и, скажем так, неуважительно отзываются о пользователях (http://www.securitylab.ru/news/254796.php).
Цитирую: "ЛК считает, что никто не имеет возможности доподлинно знать, что находится в его компьютере. Единственный способ быть в этом уверенным — отформатировать жесткий диск. В этом случае вы точно знаете, что на диске нет ничего, кроме загрузочных секторов."
четверг, 16 октября 2008 г.
Выступление SQADays 2008
Нечаянно набрел в сети на видео. Весной участвовал в конференции братской хартии - специалистов по качеству ПО. Да, да это те самые люди, которые вместо bugtraq пишут bugtrack. С ошибкой в общем. Как оказалось, проблематика у нас, особенно в области Application Security достаточно сильно пересекается, как и инструментарий. Однако тестировщикам чаще верят на слово - не приходится ничего "доламывать" для обоснования затрат. Верят на слово. Оно и понятно - QA обычно часть процесса разработки, а не приходящие наёмники, мешающие сдать проект в срок.
Доклад общеметодический и достаточно нудный :)
Видео:
Презентация:
Доклад общеметодический и достаточно нудный :)
Видео:
Презентация:
среда, 15 октября 2008 г.
Infosecurity на Softool
Второго октября прошла конференция "Информационная безопасность" на Softool
Достаточно интересное событие как и все мероприятия Рускрипто. Не смотря на наличие "Крипто" в названии - доклады касаются широкого спектра вопросов ИБ.
Совместно с Дмитрием Евтеевым делали небольшой доклад по безопасности одноразовых паролей (One Time Passwords, OTP). Доклад получился достаточно бодрым. В ходе подготовки пострадало несколько систем Клиент-Банк (естественно в рамках легальных работ по оценке защищённости :). Резюме: одноразовые пароли - хорошо, если их правильно применять. Если "как обычно" - то хуже чем простые пароли.
Итак:
«Как я перестал бояться токенов и полюбил одноразовые пароли»
Одноразовые пароли являются популярным решением в системах, требующих строгой аутентификации. Они широко используются в Интернет-банкинге и на сайтах онлайн-покупок. Простое, надежное и понятное пользователю решение. В теории все выглядит отлично, но, как говорят американцы: «The devil is in details», или, на простонародном языке: «Гладко было на бумаге, да забыли про овраги, а по ним ходить».
Сайт конференции
http://www.ruscrypto.ru/events/infosecurity/
Достаточно интересное событие как и все мероприятия Рускрипто. Не смотря на наличие "Крипто" в названии - доклады касаются широкого спектра вопросов ИБ.
Совместно с Дмитрием Евтеевым делали небольшой доклад по безопасности одноразовых паролей (One Time Passwords, OTP). Доклад получился достаточно бодрым. В ходе подготовки пострадало несколько систем Клиент-Банк (естественно в рамках легальных работ по оценке защищённости :). Резюме: одноразовые пароли - хорошо, если их правильно применять. Если "как обычно" - то хуже чем простые пароли.
Итак:
«Как я перестал бояться токенов и полюбил одноразовые пароли»
Одноразовые пароли являются популярным решением в системах, требующих строгой аутентификации. Они широко используются в Интернет-банкинге и на сайтах онлайн-покупок. Простое, надежное и понятное пользователю решение. В теории все выглядит отлично, но, как говорят американцы: «The devil is in details», или, на простонародном языке: «Гладко было на бумаге, да забыли про овраги, а по ним ходить».
Сайт конференции
http://www.ruscrypto.ru/events/infosecurity/
Подписаться на:
Сообщения (Atom)