вторник, 27 января 2009 г.

Резвые пользователи WiFi (дополнение)

Вспомнил WIDS, вспомнил про старенькую публикацию, отчасти связанную с предыдущей заметкой.

Атаки на системы обнаружения беспроводных атак
http://www.securitylab.ru/analytics/275562.php

Системы обнаружения беспроводных атак (Wireless Intrusion Detection System, WIDS) пока не настолько популярны, как их проводные аналоги, но современные тенденции позволяют предсказывать рост числа их внедрений. Положительным фактором является интеграция подобных программ с активным сетевым оборудованием и осознание руководством рисков, связанных с несанкционированным использованием беспроводных устройств. Последнее приводит к увеличению числа инсталляций WIDS даже в сетях, где беспроводные сети не используются. В связи с этим у специалистов в области безопасности возникает необходимость оценить не только качественные характеристики того или иного продукта, но и прогнозировать возможное негативное влияние от его внедрения на безопасность корпоративной сети.

В данной статье описываются результаты исследований систем обнаружения беспроводных атак с точки зрения специалиста в области безопасности приложений. Обнаруженные ошибки проектирования в статье не обсуждаются, поскольку их устранение требует от производителя существенных трудозатрат.

Резвые пользователи WiFi

Недавно в форуме всплыла ситуация, которая периодически встречается в ходе работ по оценке защищенности - "резвые" пользователи корпоративных сетей используют окружающие точки доступа для выхода в Internet "в обход" корпоративных средств защиты.
Т.е. гонят свой (а подчас и корпоративный) трафик "по воздуху" без всяких там шифрований, МСЭ, антивирусов и других условностей. А что они при этом могут "слить" из сети, прикинувшись "инсайдером", так просто страшно становится. Я уж не говорю про ситуации, когда об таких пользователях узнает "аутсайдер"...

Цитирую:
1 2
Доброго времени суток. Руководством компании поставлена задача выявить Wi-fi подключение сотрудника(ов) компании к точке доступа которая ориентировочно находится в соседнем здании. В крайнем случае просто закрыть этот канал утечки. Глушить весь диапазон не предлагать, поставлено условие: мобильники должны работать.
ЗЫ. Уважаемые коллеги, заранее прошу не уходить от темы типа: "все равно есть кпк... коммуникаторы..." и все такое. Конкретно про wi-fi!
Как решить проблему?

Мой ответ:
offtopic
Простой вариант - ноутбук с Linux с достаточно мощной антенной, лучше направленной, например http://www.antennas.spb.ru/pdf/2_rus.pdf.
Для выявления и "подавления" своих нерадивых сотрудников используется комплект программ aircrack-ng.
С помощью airodump-ng составляется список "нерадивых" пользователей, цепляющихся к злобной точке доступа. Туда-же можно добавлять и MAC-адреса, полученные в процессе инвентаризации сети.
А с помощью aireplay-ng рвутся коннекты своих клиентов к злобной точке доступа.
Вот и все. Можно конечно все это автоматизировать с помощью пары скриптов.
Более грубый вариант - просто слать broadcast deauthentication для точки доступа, но это имхо - перебор. Не подгадаешь с зоной покрытия - и будешь посторонних людей от сети отключать.

Можно купить коммерческую систему WIDS, например Airmagnet, или задействовать фичи Aironet. В них присутствуют возможности по "отключению" нелегитимных соединений. Но задачу инвентаризации (т.е. составления списка "своих" MAC-адресов) они не отменяют.

ЗЫ. Есть хороша книжка, касающаяся этих вопросов:
http://www.securitylab.ru/news/306357.php

Здесь хорошо всплавает основна систем обнаружения беспроводных атак (WIDS), а именно - аномальный подход. Ограниченные канальным уровнем, WIDS, как правило, содержит небольшое количество сигнатур. Настоящая работа таких систем начинается только после правильной настройки - создания черных и белых списков точек доступа и клиентов, привязка источников сигнала к карте, указания "правильных" протоколов и т.д. А в основе этого - инвентаризация, как базис любых процессов ИБ.

понедельник, 26 января 2009 г.

Риски, риски, риски...

Недавно, в ходе работ по анализу защищенности наткнулись на уязвимость Web-интерфейса управления одним UTM-устройством. Достаточно типичное сочетание CSRF и XSS примечательно тем, что через Web-интерфейс позволяет получить доступ к коммандной строке устройства и интерактивно "рулить" системой в браузере администратора. Но не суть, уязвимость типичная.
Интересное началось, как обычно на этапе взаимодействия с вендором. Мы не сошлись в степени риска, связанной с этой уязвимостью, что привело к ожесточенной переписке. В связи с этим, хотелось бы поделится своими наработками в данном направлении.
Как правило, степень риска присваивается уязвимости производителем системы, в которой изъян был обнаружен, либо компанией, выпускающей средства защиты (сканеры уязвимостей, системы обнаружения атак и т. д.). В этом случае используется привычная по правилам дорожного движения схема: низкая степень риска (зеленый), средняя степень риска (желтый), высокая степень риска (красный). Иногда выделяется дополнительный, четвертый уровень риска — критические уязвимости.
Такого подхода придерживаются многие производители, например, Microsoft в своих уведомлениях об обновлениях программного обеспечения использует четыре уровня критичности уязвимостей.
Однако, "светофорная модель" весьма непрозрачна и очень зависит от мировозрения и самочувствия эксперта и других факторов. В связи с этим мы широко используем в своей работе методику CVSSv2.
http://www.securitylab.ru/analytics/355336.php
http://www.securitylab.ru/analytics/356476.php

Достаточно простые метрики, заложенные в CVSSv2 позволяют более или менее однозначно оценить риск. Более того, метрики позволяют оценивать и различные дополнительные факторы, такие как вероятность эксплуатации и среду. Что очень важно.
Цитирую:

Не касаясь достоинств или недостатков каждого из методов можно выделить следующие особенности, которые могут влиять на достоверность оценки:

  1. зависимость от контекста;
  2. зависимость от конфигурации системы;
  3. зависимость от метода определения.

В различных приложениях уязвимости одного типа могут иметь различную степень риска. Так, уязвимость «Подделка HTTP-запроса» может не представлять угрозы для типичного репрезентативного сайта или поисковой машины, и наоборот – классифицироваться как проблема высокой степени риска в Web-интерфейсе электронной почты или платежной системы. В результате утечки информации злоумышленник может получить доступ к журналам работы приложения (низкая или средняя степень риска), а может загрузить резервную копию исходных текстов сайта (высокая степень риска).

Конфигурация конкретной системы также может оказывать серьезное влияние на степень риска. Так, уязвимость «Внедрение операторов SQL» обычно классифицируют как имеющую высокую опасность. Однако в случае если Web-приложение работает с сервером СУБД с ограниченными привилегиями, она может быть отнесена к проблемам средней или низкой степени риска. В другой инсталляции или реализации приложения эта же уязвимость может быть использована для получения доступа к операционной системе с правами суперпользователя, что естественно делает её наиболее критичной.

В зависимости от метода у глубины анализа степень одна и та же уязвимость может быть оценена по-разному. Если взять приведенный выше пример «Внедрения операторов SQL», использование сетевого сканера позволит только констатировать наличие проблемы. Для определения привилегий, доступных потенциальному злоумышленнику требуется либо попытаться использовать ошибку, либо уточнить порядок взаимодействия между Web-приложением и СУБД методом «белого ящика».

Т.е. крайне некорректно относить две различные уязвимости одного типа (например SQL Injection) к одной степени риска без детального анализа.

Привожу пример.

Предположим SQL Injection позволяет получить доступ к СУБД минимально необходимыми для Web-сервера привилегиями, например db_reader. Причем Web-приложение не хранит в СУБД конфиденциальной информации, например паролей.

Тогда вектор и степень риска CVSSv2 будет равены:

(AV:N/AC:L/Au:N/C:P/I:N/A:P/E:H/RL:W/RC:C) = 6.1

В другом случае, если в СУБД хранятся пароли пользователей, в том числе и администратора, то степень риска увеличится за счет большей подверженности с точки зрения конфиденциальности.

(AV:N/AC:L/Au:N/C:C/I:N/A:P/E:H/RL:W/RC:C) = 8.1

Если же Web-сервер работает с SQL-server с чрезмерными привилегиями, например sa, то эта же уязвимость будет гораздо более опасной:

(AV:N/AC:L/Au:N/C:C/I:C/A:C/E:H/RL:W/RC:C) = 9.5

Если перевести эти оценки к "светофорной" модели или 5 уровням, принятых в PCI DSS (Urgent, Critical, High, Medium, Low), то получим:

1. Средний (2) и High (3)
2. Средний (2) и Critical (4)
3. Высокий (3) и Urgent (>4).

Т.е. степень риска одной и той же уязвимости может серьезно меняться в зависимости от конкретной системы и её настроек.

Что же касается XSS с которого начиналась заметка, то ее вектор будет


(AV:N/AC:H/Au:N/C:C/I:C/A:C/E:F/RL:W/RC:C) = 6.9

Т.е. с точки зрения PCI DSS (а именно эту модель сейчас "модно" использовать) степень риска данной проблемы можно обозначить как High или даже Critical, а не Low. В любом случае, аудит провален :)).

ЗЫ. Хотя я могу понять вендора, ведь если безопасность не заложена в приложение изначально, то, цитирую: "hardening the management interface would probably imply a complete redesign of it".

Вот такая она разная, оценка рисков.

среда, 14 января 2009 г.

Конференция Ruscrypto'2009

В начале апреля в подмосковье будет проводится одно из интереснейших событий в области информационной безопасности - конференция РусКрипто.
Не смотря на название, стойко ассоциирующееся с криптологией, уже несколько лет конференция направлена не широкий спектр специалистов и менеджеров в области информационной безопасности. На это указывает программа конференции, куда включены такие секции, как:

Секция «Закон о защите персональных данных и рынок защиты информации»
Криптографическая секция «Криптография: теория и практика»
Научная секция «Защита информации в распределенных компьютерных системах. Перспективные направления исследований»
Секция «Интернет и информационная безопасность»
Секция «Электронный документооборот. Защищенный и/или с ЭЦП»
Секция «Аппаратные решения в системах защиты»
Секция «Свободное ПО и информационная безопасность»
Круглый стол «СКЗИ и кредитные организации, реалии сегодняшнего дня»


Уже второй год я являюсь модератором секции "Интернет и информационная безопасность". Сейчас идет формирование программы, и любой желающий может принять участие в конференции в качестве докладчика. Условия участия тут.

суббота, 10 января 2009 г.

Лучшее на SecurityLab 2008

Новогодние праздники – прекрасное время для того, чтобы оглянуться в прошлое, подвести итоги, наверстать упущенное и прочитать самые интересные материалы на любимых интернет ресурсах. Если времени на праздниках не хватило – не беда, первая рабочая неделя обещает быть не очень напряженной, а страницы портала SecurityLab помогут мозгу переключиться в рабочий режим. В 2008 году на SecurityLab было опубликовано огромное количество авторских и переводных материалов. Обзор самых интересных и увлекательных из них – в этой статье.

Нам важно ваше мнение!

Раздел «Мнение» появился на SecurityLab не очень давно, но по количеству сообщений в форумах легко может опередить другие разделы. В «Мнении» публикуют спорные или провокационные статьи, под некоторыми из которых там и тянется рука поставить подпись: «Мнение автора может не совпадать с его точкой зрения».
Редакция SecurityLab с удовольствием публикует в этом разделе нестандартные и спорные точки зрения, а также другие «неформатные» публикации.

В 2008 году в этом разделе отметились многие. Например, известный колумнист, решивший тряхнуть стариной и выйти в сеть Интернет. Что естественно привело к атаке со стороны злобных вирусов и хакеров, с которыми автор статьи доблестно расправляется на страницах своего опуса.

Как я подхватил троянца
Алексей Лукацкий
http://www.securitylab.ru/opinion/312751.php

Широкий отклик получила публикация «Немного об исследованиях, экплойтах и независимости» анонимного тандема авторов, скрывающихся под псевдонимами А. Циберман и Yag kohha. В этой публикации подвергается серьезной критике сравнение антивирусных средств, проведенных компанией Secunia. Отрадно, что в последнем сравнении портала Anti-malware.ru были учтены замечания авторов (http://www.anti-malware.ru/node/885) и использование комплексное сравнение всех динамических механизмов защиты современных антивирусных систем.

Немного об исследованиях, экплойтах и независимости
А. Циберман, Yag kohha
http://www.securitylab.ru/opinion/361583.php

Иногда дискуссии из форума и раздела «Мнение» выплескиваются в другие части портала. Так, в 2007 и в 2008 развернулись две интересные полемики.
В одной из них описывалось противостояние Chief Security Officer (CSO) и и группы злобных хакеров.

Письмо CSO
http://www.securitylab.ru/contest/348696.php

Ответ CSO

http://www.securitylab.ru/contest/348928.php

В другой развернулась дискуссия между российскими и зарубежными производителями средств защиты в лице генерального директора НИП «Информзащита» В. Ю. Гайковича и сотрудником ООО «Сиско системс» Алексеем Лукацким. У каждой из сторон свои аргументы и своя позиция, стоящая того, чтобы с ней ознакомиться.

Западный или российский производитель ИБ: кого выбрать?
Алексей Викторович Лукацкий
http://www.securitylab.ru/opinion/293249.php

О разработчиках средств защиты и их судьбах

В. Ю. ГАЙКОВИЧ
генеральный директор НИП «Информзащита»
http://www.securitylab.ru/opinion/303860.php


Сравнения и обзоры

В современном мире средств защиты разобраться далеко не просто даже специалистам. Чтобы облегчить эту задачу на страницах SecurityLab часто публикуются обзоры и сравнения различных систем безопасности. Наибольший интерес в прошлом году вызвали сравнения систем Endpoint Security и первая часть сравнения сканеров безопасности.

Сравнение программных пакетов Internet Security

http://www.securitylab.ru/analytics/352794.php

Сравнительный анализ сканеров безопасности. Часть 1: тест на проникновение

Лепихин Владимир Борисович
Заведующий лабораторией сетевой безопасности Учебного центра «Информзащита»
http://www.securitylab.ru/analytics/365241.php

Аналитика

Портал SecurityLab часто используют для публикации своих уникальных исследований компании и эксперты в области ИБ. В 2008 году были опубликованы следующие интересные статьи:

Защита Internet Explorer 8. Анализ эффективности
Дмитрий Евтеев, Сергей Гордейчик
Positive Technologies
http://www.securitylab.ru/analytics/363593.php

NTLM не умер, он просто так пахнет

Антон Карпов
Аналитик по информационной безопасности Digital Security

http://www.securitylab.ru/analytics/362448.php

О взломе WEP. В последний раз…

Сергей Гордейчик, Александр Марков
http://www.securitylab.ru/analytics/312606.php

Широкий отклик получила публикация признанного гуру в области криптологии и прикладной безопасности Брюса Шнаера «Психология безопасности».

Психология безопасности

Брюс Шнайер
http://www.securitylab.ru/analytics/350910.php

Справочная информация

Одной из важных функций SecurityLab является сбор и анализ различной информации в области информационной безопасности.

Редакторы SecurityLab на основе наиболее актуального и полного списка уязвимостей на просторах Рунета (http://www.securitylab.ru/vulnerability/) публикуют аналитические обзоры по обнаруженным проблемам безопасности различных системах и приложениях.
Такие обзоры выходят раз в квартал, а также по мере выпуска обновлений безопасности ведущими вендорами. Найти последние обзоры на сайте можно по тегам «патч» и «уязвимость»:

http://www.securitylab.ru/news/tags/%EF%E0%F2%F7/
http://www.securitylab.ru/news/tags/%F3%FF%E7%E2%E8%EC%EE%F1%F2%FC/

Последний из опубликованных комплексных обзоров доступен по ссылкам ниже:

Обзор уязвимостей за 2008 год
Валерий Марчук
http://www.securitylab.ru/analytics/360135.php

Интересные статистические данных содержатся в периодических отчетах компании Perimitrix по утечкам конфиденциальной информации из организаций и по противодействию инсайдерским угрозам:

http://www.securitylab.ru/news/tags/Perimetrix/

http://www.securitylab.ru/analytics/347633.php

Компания Positive Technologies и организация Web Application Security Consortium опубликовали уже ставшие традиционными обзоры по статистике уязвимостей Web-приложений.

Международная статистика уязвимостей WEB
Web Application Security Consortium
http://www.securitylab.ru/analytics/359068.php

Оценка рисков использования Web-приложений
Сергей Гордейчик
http://www.securitylab.ru/analytics/364936.php

Сложный вопрос об уровне безопасности той или иной операционной системы поднимает в своей работе «Исследование на тему: какая ОС безопаснее?» А.Ю.Щеглов из компании ЗАО «НПП «Информационные технологии в бизнесе».

Исследование на тему: какая ОС безопаснее?
А.Ю.Щеглов
http://www.securitylab.ru/analytics/311005.php

Интересен был проведенное порталом SecurityLab исследование «Идеальный почтовый сервер».

Исследование: «Идеальный почтовый сервер»
http://www.securitylab.ru/analytics/309889.php


Наиболее популярные публикации SecurityLab 2008

Как я подхватил троянца
Ну вот и я попался ;-( В один прекрасный день, при запуске "проводника" (explorer.exe) мой Cisco Security Agent "ругнулся" на то, что "проводник" пытается установить соединение с 80-м портом IP-адреса 85.255.118.26
06 февраля, 2008 (просмотров: 18476)
http://www.securitylab.ru/opinion/312751.php

ARP-spoofing: старая песня на новый лад
В этой статье мы рассмотрим атаку типа arp-spoofing как со стороны атакующего, так и со стороны жертвы и методы противодействия.
21 февраля, 2008 (просмотров: 16955)
http://www.securitylab.ru/contest/313500.php

Radarix: рай для мошенников
Опасны ли сведения, которые содержит система Radarix? Безусловно, да. Имея точку доступа, любой мошенник сможет изобрести неограниченное количество преступлений с самыми изощренными схемами.
22 мая, 2008 (просмотров: 16083)
http://www.securitylab.ru/opinion/353448.php

Психология безопасности, часть первая
Безопасность – это и ощущение, и реальность. И это не одно и то же.
11 апреля, 2008 (просмотров: 15549)
http://www.securitylab.ru/analytics/350799.php

Письмо CSO
Какждый CSO может в один прекрасный день получить такое письмо. Но может ли вымышленное письмо стать реальностью? Читайте и делайте выводы.
18 марта, 2008 (просмотров: 15374)
http://www.securitylab.ru/contest/348696.php

Не так страшен DDoS, как его малюют
В этой статье вы узнаете о трех типах DDoS атак и имена тех производителей и компаний, которые предлагают решения по защите от распределенных атак типа отказ в обслуживании направленных на заполнение пропускной способности каналов.
14 августа, 2008 (просмотров: 14821)
http://www.securitylab.ru/contest/357397.php

О взломе WEP. В последний раз…
Эксперты компании Positive Technologies разработали утилиту wep0ff-ng, с тем, чтобы быстрее и более надёжно восстанавливать ключи WEP для клиентов беспроводных сетей, работающих по протоколам IPv6 и IPv4
03 февраля, 2008 (просмотров: 13974)
http://www.securitylab.ru/analytics/312606.php

MPITM - Major Pronin in the Middle
Немного о возможностях перехвата информации в социальных сетях типа odnoklassniki.ru или vkontakte.ru.
06 марта, 2008 (просмотров: 13246)
http://www.securitylab.ru/contest/348067.php

Борьба за корневые DNS сервера. Хорошие парни побеждают?
Однозначно никто не может сказать, способна ли данная схема с существующим числом корневых DNS серверов противостоять распределенным DoS атакам в случае использования бот сетей с миллионами хостов.
14 июля, 2008 (просмотров: 12985)
http://www.securitylab.ru/contest/355930.php

Сравнение программных пакетов Internet Security
В данной статье мы расскажем о весьма эффективном комплексном решении для борьбы с интернет угрозами - программных пакетах Internet Security от различных производителей антивирусного ПО.
12 мая, 2008 (просмотров: 12897)
http://www.securitylab.ru/analytics/352794.php

Тактическая эксплуатация, Часть первая, Сбор информации
Используя сочетание новых инструментов и малоизвестных методов, мы проследим от начала до конца процесс компрометации организации без использования обычного набора экплойтов.
06 мая, 2008 (просмотров: 12774)
http://www.securitylab.ru/analytics/352457.php

Контроль над использованием внешних USB-накопителей в Windows Server 2008
К несомненным достоинствам подхода, применяемого Microsoft, стоит отнести простоту настройки и использования, интеграцию с Active Directory, а также то, что такой подход не требует установки ПО сторонних производителей.
13 января, 2008 (просмотров: 11716)
http://www.securitylab.ru/contest/311538.php