понедельник, 22 декабря 2008 г.

четверг, 18 декабря 2008 г.

Анализ рисков. Web-приложения

Некоторое время назад, при необходимости использования методов анализа рисков, специалисты сетовали на отсутсвие исходных данных, а особенно - необходимой статистики. Сейчас ситуация изменилась к лучшему - количество различных источников статистических данных увеличивается день за днем.
Но обилие порождает проблему выбора и определения применимости тех или иных иточников в конкретной ситуации.

Статья Оценка рисков использования Web-приложений касается этой проблемы в контексте Web-приложений.
Полагаю, что собранные в ней данные и источники будут полезны для широкого круго специалистов.

воскресенье, 14 декабря 2008 г.

Еще немного об 0-day в IE

На SecurityLab опубликованы инструкции по временному снижению риска, связанному с последней уязвимостью в IE.
Исследования Positive Technologies показывают, что уязвимость относится не только 7й версии браузера, как сообщалось изначально. Кроме того, удалось воспроизвести условия, в которых экплойт работает практически со 100% точностью, в отличии от опубликованных ранее примеров, дающих невысокую вероятность использования.
В общем, ситуация накаляется.

среда, 10 декабря 2008 г.

Вторник нулевого дня

В Интернет пойманы "живые" попытки использования новой, еще не устраненной (0-day) уязвимости в Internet Explorer 7.0. Примечательно, что начало активного её использования было приурочено ко "вторнику патчей" Microsoft.
Шуму из-за проблемы много, однако, по моему мнению, учитывая долю IE 7.0 (~25%) и невысокую вероятность "срабатывания" экплойта (в лучшем случае, 1 из 3, а в среднем и того меньше), все не так уж и страшно.

Ссылки:
http://www.securitylab.ru/analytics/364556.php

http://www.securitylab.ru/vulnerability/364549.php

вторник, 2 декабря 2008 г.

10 лет XSpider

Опубликовали "юбилейную" сборку демо-версии XSpider - лучшего сканера уязвимостей в мире. Точне второго после MaxPatrol :)
В сборку вошло много интересных проверок из коммерческой версии.
Тем, кто использует безнадежно устаревшие "взломанные" версии полезно будет загрузить и сравнить результаты.

Десять лет XSpider, шесть Positive Technologies, три года MaxPatrol. Время бежит.

понедельник, 24 ноября 2008 г.

IE 8 и XSS

Опубликовали результаты анализа XSS-фильтра, встроенного в текущую beta Internet Explorer 8. Достаточно неплохо потрудились коллеги из Microsoft, многие распостраненные векторы использования этой уязвимости перекрыты.

Учитывая, что и по статистике Positive Technologies, и по международной статистике WASC, XSS является самой распостраненной проблемой Web, наличие подобных механизмов в браузерах - полезный почин. Думаю, этим направлением стоит озаботиться и разработчикам Avir/HIPS.

Ниже краткое резюме по эффективности фильтра против разных векторов атаки:


Сохраненный вариант

Нет

DOM-Based

Частично

Отраженный вариант

В теге

Нет

В Javascript

Нет

В HTML

Да

В параметре тега

Да


Что забавно, обнаружили возможности использования другой уязвимости (Расщепление HTTP-ответа», HTTP Response Splitting) для отключения защиты от XSS. Надеюсь, в релизе эта проблема будет устранена.

воскресенье, 16 ноября 2008 г.

Все новое - старое

В связи с выходом патча MS08-068 все дружно начали вспоминать, сколько лет назад была продемонстрирована атака Smbrelay. Действительно, уязвимость, которую устранил Microsoft в этом обновлении широко известна уже более 8 лет. Причем первые упоминания о ней не связаны с протоколом CIFS/SMB, а касаются, вы удивитесь, telnet.
Интересно, что отзывы на securitylab приказывают, что многие не имеют представления об этой атаке, ставшей в свое время прекрасным примером уязвимости проектирования протоколов аутентификации. Хотя на том же портале опубликовано как минимум две неплохих статьи на эту тему:

NTLM и корпоративные сети
NTLM не умер, он просто так пахнет

Воистину, все новое - хорошо забытое старое.

воскресенье, 9 ноября 2008 г.

Взлом WPA - очередная страшилка, или что-то серьезное?

Недавно в новостях прошла серия публикаций о взломе WPA. Честно говоря, после недавних спекуляций на тему "страшных" уязвимостей TCP, заявления в духе "мы нашли серьёзную проблему, но никому о ней не расскажем" воспринимаются с большим недоверием.
Но в этом случае, к чести авторов исследования Martin Beck и Erik Tews, о спекуляциях речь не идет. Доступно описание части уязвимости и атаки, а также PoC-код для ее проведения.

В чем смысл уязвимости?

Злоумышленник может обойти механизм противодействия повторным посылкам фрейма с помощью дополнительных каналов QoS и провести атаку типа chopchop.
Несмотря на невысокую скорость атаки в случае WPA (возможность отправки только одного "неправильного" фрейма в минуту), этого достаточно, чтобы за приемлемое время "расшифровать" наиболее важные части фрейма, а именно - поля контроля целостности ICV и MIC. Зная их значение появляется возможность создавать собственные пакеты, которые корректно будут обрабатываться клиентом.

Кроме этого, авторы обещают опубликовать информацию о возможном расшифровании трафика от точки доступа к клиенту. Эта информация станет доступной на конференции PanSec.
Могу предположить, что атака заключается в том, что после восстановления ключа MIC инжектится большое количество фреймов, использую ARP или другой "шумящий", например - ipv6 broacast ping с последующим применением улучшенных вариантов восстановления ключа WEP (который все же присутствует в TKIP, хотя и меняется для каждого фрейма).

Как происходит атака?

1. Атакующий перехватывает предсказуемый фрейм (например ARP)

2. Используя известные характеристики фрейма (MAC-адреса, служебные поля) восстанавливает часть ключевого потока (гаммы) RPGA

3. Посылает модифицированные пакеты (атака chopchop)- на дополнительные каналы QoS (которые, как правило не используются) раз в минуту с целью обхода механизмов противодействия повторной отправки кадров. В результате подбирает расшифрованные значения MIC и ICV.

4. Offline подбирает оставшиеся поля (IP-адреса). У него есть ICV, соответственно он может просто прогнать значения перебором и проверять целостность по ICV.

5. На основании значения MIC и открытого текста пакета получает ключ Michael (который не является однонаправленным алгоритмом).

6. После этого злоумышленник может использовать полученную гамму и ключ MIC для отправки пакетов к клиенту. Использование фрагментации на канальном уровне позволяет посылать достаточно большие пакеты, не ограниченные по длине полученной из ARP-пакета гаммой.


Маленький FAQ

Q. WPA взломан?
A. Пока еще нет, но первые звоночки раздаются.

Q. Злобные хакеры могут расшифровать весь WPA-трафик?
A. Нет, только внедрять пакеты в направлении клиента беспроводных сетей. Возможно, удастся расшифровать часть трафика зашифрованном на одном ключе TKIP (интервал WPA rekey), однако после смены ключа атаку надо будет повторять.

Q. Что нового в этой атаке? Я это проходил в детском саду!
A. Использование QoS для обхода механизмов защиты от повторной передачи (antireplay). В стандартной ситуации после двух ошибок контроля целостности в минуту происходит инициализация криптографической части, что сводит атаку на нет. Все остальные части атаки известны достаточно давно.

Q. Мой КПК и точка не поддерживает WPA2 (AES-CCMP), что делать?
A. Установите на точке доступа короткий интервал смены ключей (WPA Rekey Interval). Авторы советуют менее 120 секунд, но я считаю это параноидальным случаем, 5-7 минут вполне приемлемо. См. инструкции к своей точке доступа.

Q. Что почитать?
A. Сылки выше, оригинал исследования, мою книжку :)

Q. Что нужно, чтобы вступить?
A. Как обычно - скомпелировать.

четверг, 6 ноября 2008 г.

Сетевая утилита для тестирования уязвимостей MS08-065 и MS08-067

Опубликовали утилиту для проверки патчей MS08-065 и MS08-067. Работает удалено, без наличия каких-либо прав. Не смотря на логотип MaxPatrol не стоит считать это даже частью продукта. Просто оформили два safecheck (безопасные экплойт-проверки) в виде отдельной программы.




Уже поступили жалобы на низкую скорость работы. Скажу прямо - это было сделано преднамеренно, чтобы снизить побочные эффекты использования читателями журнала "Хакер".

Думаю, будет полезным инструментом, учитывая критичность уязвимостей.

Респекты за работу Никите Тараканову, Андрею Абрамову и Валерию Марчуку.

среда, 29 октября 2008 г.

Метрики безопасности. Infosecurity 2008

Сейчас плотно занимаюсь метриками безопасности в контексте развития MaxPatrol. В связи с этим делал небольшой доклад на Infosecurity Moscow 2008. Формальная тема "Проактивный котроль", но де-факто - доклад о метриках.

пятница, 24 октября 2008 г.

Старшый и ужасный MS 08-067

Давно не появлялся такой "страшный" server-side баг. Ждем массовых эпидемий в домовых и корпоративных сетях и новой волны рассказов про страшных хакеров, которые страшнее чем добрые инсайдеры.

Подробная информация

вторник, 21 октября 2008 г.

Немного об исследованиях, экплойтах и независимости

Достаточно интересная публикация.

"Компания Secunia в погоне за клиентами своего сервиса анализа уязвимостей опубликовала очень интересный документ.
...
Результаты показывают, что даже лучший продукт обнаружил только 21% экплойтов, в то время как следующий за ним продукт - менее трех.
Но не спешите делать выводы. Давайте вчитаемся в исследование внимательней."
http://www.securitylab.ru/opinion/361583.php

Выводы на поверхности. Один из них - текущей уровень качества средств защиты абсолютно непрозрачен. Методики их оценки - тем более. Вопрос очень болезненный и непростой. Я поднимал его в свое время (http://www.bytemag.ru/articles/detail.php?ID=9065).

Особенно интересно в этом аспекте выглядит позиция некоторых производителей , скрывающих свои технологии и, скажем так, неуважительно отзываются о пользователях (
http://www.securitylab.ru/news/254796.php).
Цитирую: "
ЛК считает, что никто не имеет возможности доподлинно знать, что находится в его компьютере. Единственный способ быть в этом уверенным — отформатировать жесткий диск. В этом случае вы точно знаете, что на диске нет ничего, кроме загрузочных секторов."

четверг, 16 октября 2008 г.

Выступление SQADays 2008

Нечаянно набрел в сети на видео. Весной участвовал в конференции братской хартии - специалистов по качеству ПО. Да, да это те самые люди, которые вместо bugtraq пишут bugtrack. С ошибкой в общем. Как оказалось, проблематика у нас, особенно в области Application Security достаточно сильно пересекается, как и инструментарий. Однако тестировщикам чаще верят на слово - не приходится ничего "доламывать" для обоснования затрат. Верят на слово. Оно и понятно - QA обычно часть процесса разработки, а не приходящие наёмники, мешающие сдать проект в срок.

Доклад общеметодический и достаточно нудный :)

Видео:



Презентация:

Sergey Gordeychik SQADays 2008
View SlideShare presentation or Upload your own. (tags: web security)

среда, 15 октября 2008 г.

Infosecurity на Softool

Второго октября прошла конференция "Информационная безопасность" на Softool

Достаточно интересное событие как и все мероприятия Рускрипто. Не смотря на наличие "Крипто" в названии - доклады касаются широкого спектра вопросов ИБ.

Совместно с Дмитрием Евтеевым делали небольшой доклад по безопасности одноразовых паролей (One Time Passwords, OTP). Доклад получился достаточно бодрым. В ходе подготовки пострадало несколько систем Клиент-Банк (естественно в рамках легальных работ по оценке защищённости :). Резюме: одноразовые пароли - хорошо, если их правильно применять. Если "как обычно" - то хуже чем простые пароли.

Итак:
«Как я перестал бояться токенов и полюбил одноразовые пароли»
Одноразовые пароли являются популярным решением в системах, требующих строгой аутентификации. Они широко используются в Интернет-банкинге и на сайтах онлайн-покупок. Простое, надежное и понятное пользователю решение. В теории все выглядит отлично, но, как говорят американцы: «The devil is in details», или, на простонародном языке: «Гладко было на бумаге, да забыли про овраги, а по ним ходить».




Сайт конференции
http://www.ruscrypto.ru/events/infosecurity/