пятница, 27 марта 2009 г.

Злобные украинские хакеры взламывают российские системы Интернет-коммерции :)

Не знаю, плакать или смеяться. MustLive зачем-то "задефейсил" страничку с книгой
Безопасность беспроводных сетей. Просто злобный хакер какой-то.




Совсем Web-хакеры в погоне за пеаром осторожность потеряли...

среда, 25 марта 2009 г.

Взломанны банкоматы крупнейших банков

Троян сохранял не только магнитную полосу, но и PIN. Это позволяет создать клон карточки и обналичивать в произвольном банкомате.

http://www.securitylab.ru/news/376311.php

Сколько будет продолжаться эта эпопея с магнитными карточками? Всем на чипы!

вторник, 24 марта 2009 г.

CSO Summit II

Закончился Russian CSO Summit II (Второй Съезд директоров по информационной безопасности) http://www.cso-summit.ru/.
В этом году визуально было меньше участников. Видимо, сказалось пересечение по времени с другими меропрятиями.

В целом были все прошло достаточно динамично, с присущими этому меропрятию баталиями и спорами. В узком кругу коллег CSO и CIO явно чуствуют себя свободнее и не стесняются поднимать острые и щекотливые темы.

Презентации участников:
http://www.cso-summit.ru/?page=program


В рамках дискуссии «Реальная» и «бумажная» безопасность: как найти золотую середину? делал доклад по теме Compliance Management. Живой отклик вызвала "страшилочная" часть, в ходе которой комментировалась "почти реальная история pentest'а некой компании".



Из зала прозвучал достаточно типичный комментарий "Мы тоже делаем пентесты, и они успешны на 100% (99%, 83,463%)"

Зачастую такую фразу можно услышать на выступлениях или в кулуарах. Если понимать под "успехом” пентеста непосредственно "взлом", то тогда в качестве достоверной может быть выбрана любая из приведенных цифр. Но при такой постановке задачи гораздо проще воспользоваться ”сервисом" Брюса Шнаера, предлагающего любому желающему бесплатный пентест: "Вы уязвимы"... Если измерять пользу услуги, то она должна отталкиваться от того, что она принесла заказчику. Например, было продемострированно (не)соответсвие требованиям стандартов, внедрены Web Application Firewall, запущенна программа повышения осведомленности в вопросах ИБ, достигнуто понимание между ИТ и ИБ подразделением. Только в этом случае пентест может считаться действительно успешным.

Планирую подробнее обсудить эту тему в рамках Рускрипто:
http://www.securitylab.ru/news/370275.php

четверг, 19 марта 2009 г.

Webspider. Экспресс-анализ защищенности

Опубликовали на SecurityLab концепт-превью экпресс-сканера безопасности Webspider.
Webspider – это инструмент, позволяющий за считанные секунды проанализировать защищенность наиболее часто используемых злоумышленниками программных продуктов. Система ориентирована на экпресс-тестирование защищенности пользователей Internet- и Intranet- приложений, систем электронной коммерции и клиентов Интернет-провайдров.

Желающие протестировать, извольте:
http://www.securitylab.ru/addons/webspider3/fast_check.php



Текущая версия способна определить наличие уязвимости в популярных ActiveX компонентах и плагинах, браузерах Mozilla Firefox, Opera, приложениях Java и Adobe Flash, а также наличие на системе исправлений MS07-042, MS08-069 и MS09-002.

В апреле планируется публикация развенутой статьи об технологии.

вторник, 10 марта 2009 г.

Лаборатория безопасности Positive Technologies

С этого года решили возобновить публикацию информации об обнаруженных в ходе исследований и тестов на проникновение уязвимостях.

http://www.securitylab.ru/lab/

В 2006 году, в связи с рядом причин, было решено переложить бремя публикации обработки уязвимостей на вендора и приостановить публикацию ранее найденных проблем (http://www.ptsecurity.ru/advisory.asp). Однако многие заказчики просят содействовать в устранении уязвимостей в программах третьих производителей, в связи с чем, пришлось возобновить процесс.
Наиболее интересной проблемой из текущих (по моему мнению) является набор уязвимостей в VMWare, которые позволяют "выйти" из гостевой операционной системы на узловую. Причем сразу в kernel.
Персонально я в свое время побаловался с разными методами устранения уязвимостей в продуктах третьих производителей, от экстремизма Full-Disclosure до продажи уязвимостей на «белом» рынке, например iDefense (http://labs.idefense.com/vcp/). Некоторые соображения по этим вопросам доступны здесь:
http://www.securitylab.ru/analytics/241826.php

среда, 4 марта 2009 г.

Рускрипто 2009. Интернет и информационная безопасность

Важным отличием Рускрипто от других ИБ-мероприятий является тот факт, что конференция делается специалистами для специалистов. В меньшей степени это маркетинговое мероприятие, в большей научная, академическая конференция.
Это делает конференцию уникальной площадкой для общения экспертов в раличных областях информационной безопасности.

Секция «Интернет и информационная безопасность» проводится в рамках конференции Рускрипто второй раз. В 2008 году в рамках секции было сделано восемь докладов совершенно разной направленности, от организации процесса обеспечения информационной безопасности Интернет-служб в Яндексе (Адрей Бабий, Яндекс), до методов поиска уязвимостей в антивирусном ПО (Евгений Легеров, GLEG Ltd.). Большой интерес вызвали работы, в которых затрагиваются перспективные вопросы информационной безопасности, такие как безопасность протокола IPv6 (Андрей Абрамов, Positive Technologies) и моделирование DDOS-атак (И. Котенко, А. Уланов, СПИИРАН).

В этом году планируется выделить подсекцию безопасности Web-приложений, в рамках которой прозвучат доклады Сергея Рыжикова (1-С Бирикс), Дмитрия Васильева (АИСТ), Андрея Бабия и Александра Матросова (Яндекс). Каждый из них поделится своими наработками в вопросах обеспечения безопасности Web-приложений, причем многие темы пересекаются с вопросами, поднятыми в прошлом году. Так, например, по данным службы техподдержки CMS Netcat, наиболее распространенной причиной взлома сайтов является заражение вирусом компьютера, с которого осуществляется управление системой.




Как бы в ответ на этот тезис на конференции прозвучат доклады Александра Матросова «Вирус подмены страниц: изменение поведения веб-сервисов без ведома их создателей» и Сергея Гордейчика «Positive WebSpider – экспресс тест на безопасность».

Кроме того, на секции будут представлены доклады Ильи Сачкова (Group-IB) о тенденциях борьбы с кибепреступностью в России и Александра Полякова (Digital Security) о последних тенденциях безопасности СУБД Oracle. Но этим список тем конференции не ограничивается. Получить свежую программу можно на сайте ассоциации Рускрипто (http://ruscrypto.ru/conference/program/).