четверг, 23 апреля 2009 г.

Закрыли Radarix

Вот такое объявление:

Ресурс закрыт в соответствии с конвенцией совета Европы "О ЗАЩИТЕ ФИЗИЧЕСКИХ ЛИЦ ПРИ АВТОМАТИЗИРОВАННОЙ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ"

И редирект по ссылке на http://www.fsb.ru/.

Все серьезно.

Кто не знает:
http://www.securitylab.ru/opinion/353448.php

Материалы Рускрипто 2009

Началась публикация материалов конференции.

Презентации:

http://ruscrypto.ru/conference/download/

Видео:

http://rutube.ru/tracks/tag.html?t=ruscrypto





Официальные отзывы:

http://ruscrypto.ru/conference/testimonials/

http://osp.ru/cw/2009/13/7692589/

Неофициальные отзывы:

http://securityaudit.blogspot.com/2009/04/2009.html

http://matros0ff.ya.ru/replies.xml?item_no=1418

среда, 22 апреля 2009 г.

ЗПД всех устал

http://cnews.ru/news/top/index.shtml?2009/04/22/345142

Российские банки просят Роскомнадзор перенести сроки аудита информационных систем персональных данных на соответствие закону 152-ФЗ. На проверки нет ни денег, ни времени, утверждают они; кроме того, в законе имеются некоторые противоречия. Игроки рынка инфобезопасности, в свою очередь, предупреждают, что на фоне законодательного хаоса отсрочка не решит проблему, а лишь отодвинет ее на неопределенный срок.

Понятно, что "регулируемым" (в основном банкам) вся эта беготня с ЗПД в текущей ситуации совершенно не вовремя, а интеграторам и производителям очень даже наоборот.
Думаю, что идея "отложить" имеет право на жизнь. Только откладывать надо не аудиты, а карательные меры. Аудиты пускай как-раз идут. Наработается методика, компенсационные контроли и т.д., может и требования нормальные сформируются.
Как делает PCI Security Standards Council с PCI DSS - требования вводят очень осторожно, давая достаточно времени на подготовку и аудиторам и производителям СЗ и интеграторам и "регулируемым". И это при том, технологическая и методическая обвязка PCI DSS на две головы выше чем ЗПД, взять хотя бы пресловутое "четырехкнижие".

понедельник, 20 апреля 2009 г.

Microsoft SIR. Россия в лидерах!

Microsoft опубликовала очередной отчет Security Intelligence Report.

Россия среди лидеров по проценту зараженных компьютеров:



У нас метрика заражений на 1000 запусков "чистилки" составляет 21,1, тогда как среднемировой показател 8,6.
Очень странный показатель.

Возможно он плотно связан с вероятностью заражения различных платформ:



Думаю, ни кто не будет удивлен, что у большинства домашних пользователей стоит XP SP0, SP1, который "боятся" обновлять, чтобы не "слетела" крякнутая активация. Хотя тогда откуда у них Malicious Software Removal Tool? Не на дискете же "мастер" принес? Скорее уж что-то от Касперского или DrWeb.

Странно все это. Неужели корпоративщики?

PS. Вообще - удивительный отчет.

В России наиболее распостраненная угроза - Taterf, распространяющийся через общие папки, в USA - Win32/Renos и Win32/Zlob. Про Conficker написано очень много, но первых строчках статистики он отсутствует.

Чудеса?

"Взлом" смартфонов через WAP-push

Очередное громкое заявление о "взломе" телефонов с помощью SMS. При детальном рассмотрении роликов http://www.securitylab.ru/news/378096.php оказывается, что "хакеры" используют вполне легальный механизм WAP-Push для внесения изменений в реестр. Странно, что не закидывают троян, ведь с помощью WAP-Push можно легко загрузить cab (для Windows) или SIS (для Symbian) и запустить его.

Все это очень страшно, НО!
По умолчанию WAP-Push сообщения должны быть подписаны или приходить через фиксированный шлюз:

http://msdn.microsoft.com/en-us/library/ms889564.aspx

http://technet.microsoft.com/en-us/library/cc182289.aspx

; SL Message Policy
; (default: SECROLE_PPG_TRUSTED)
[HKEY_LOCAL_MACHINE\Security\Policies\Policies]
"0000100c"=dword:800

; SI Message Policy
; (default: SECROLE_PPG_AUTH | SECROLE_PPG_TRUSTED)
[HKEY_LOCAL_MACHINE\Security\Policies\Policies]

"0000100d"=dword:c00
Что в переводе означает, что стандартная политика безопасности требует аутентификации WAP-Push шлюза.

Я допускаю, что некоторые производители устройств могли ослаблять политику безопасности. И в принципе, это нехорошо. Хотя случается:

http://www.youtube.com/watch?v=QhJ5SgD-bdQ

PS. Надо побаловаться с Nokia и "китайским сертификатом".

PSS. А для перехвата WiFi и так есть достаточно приемов, например:

http://www.securitylab.ru/analytics/287596.php
http://www.securitylab.ru/analytics/312606.php

В оригинале, правда, отключается SSL через WAP-Push, но если ты в незащищенной сети WiFi, то проще просто сделать MITM на SSL чем-нибудь а-ля Cain, заодно и Base64 расшифруется.

воскресенье, 19 апреля 2009 г.

РИФ+КИБ 2009

Пригласили сделать обзор Web-угроз на РИФ'е.
Планирую "зарелизить" 0-day, свежую статистику WASC (http://www.webappsec.org/projects/statistics/) за 2009 год. Официальный релиз планируется на первую декаду мая.

http://ok2009.ru/program/?type=group&gid=22.17001900&id=230

воскресенье, 12 апреля 2009 г.

Безопасность и жизнь

Вылетал недавно из Домодедово, много думал.



Думы мои были тяжелы. Надеюсь только в Британии и только на подводных лодках.

PS. Если кто-то не узнал - Symantec - Kido/Conficker/Downadup.

среда, 8 апреля 2009 г.

Про консалтинг. Классика

Развернулась нешуточная дискуссия о выступлении Михаила Хромова (Лукойл-Информ) на Рускрипто по вопросам консалтинга:

https://www.blogger.com/comment.g?blogID=4065770693499115314&postID=4943265668225200494

На этом фоне вспомнилась классика.

Про розы и кактусы

Может, пригласить консультантов? А это мысль. Говорят, около столичного офиса есть пара вполне приличных компаний...
И каких! Весь цвет мирового управленческого консалтинга находился от офиса «Уникака» на расстоянии одной остановки на такси. Тут были «Туалет и Душ», «Кто Подставил Михаила Горбачева», «ПолицайУытерносКомупамперс», «Большая Консалтинговая Группа», «Молодой&Честный», «Международные Большие Машины» и «Оракул».

Консалтинг/не консалтинг, отечественный/зарубежный по ИБ или не по ИБ... Какая разница?

пентесты и Пентесты.. Я в шоке

Попался на глаза опус:

http://www.iso27000.ru/blogi/aleksandr-astahov/pentest-stoit-li-ovchinka-vydelki


Я в шоке, мой ноутбук в шоке и даже игрушечная собачка моего сына в шоке.

Понимаю, если бы это было написано в 2000 году, когда зрелость российского рынка консалтинга была близка к нулю. Но сейчас... Все таки не зря на Рускрипто целая секция была практически повещена тестированию на проникновение (понимаю, что я уже делал слишком много анонсов, но подождите, в скором времени опубликуем презентации и даже видео некоторых выступлений).

И так, пройдемся по тезисам:


Польза от пентеста для заказчика заключается в следующем:

# возможность обнаружения и устранения одной или нескольких серьезных уязвимостей


В рамках пентеста обнаруживаются сотни проблем в безопасности и ошибок в реализации СУИБ, на устранение которых зачатую уходят годы. Примеры - недостаточная осведомленность сотрудников или ошибки в процессе защиты Web-приложений. Только сегодня проводили совместно с 1С-Bitrix представление их нового продукта - модуля проактивной защиты. Яркий пример компании, которую пентест подвиг не только на устранение уязвимостей, но и на изменение процессов (аудит исходного кода, создание штата разработчиков), и даже больше - к созданию собственного продукта в области безопасности - web application firewall.

Полезность пентеста для исполнителя состоит в следующем:

  • возможность заработать приличные деньги (пентест - услуга высокорентабельная)

Не хочу никого обижать, но средний пентест делается практически по себестоимости. Это технологическая услуга требующая большой организационной работы (чтобы ничего не завалить :), специалистов с уникальными навыками и специфичного, зачастую недешевого софта.
Конечно можно нанять "крутого хакера", который просканирует систему "взломанной" версией XSpider и попробует пару экплойтов с milw0rm. Тогда, наверное и результат будет подобный описанному в статье и услуга будет "высокорентабельной".

Теперь о том, чего заказчик не получает от пентеста:

* объективной оценки защищенности своей корпоративной сети


Объективной оценки, господа, не дает ничего. Даже, простят меня, сертификация. Есть только уязвимости и вероятность реализации угрозы, полученные в рамках указанной модели угроз и бюджета. То, что уязвимости никто не обнаружил, не говорит о том, что её нет. Иначе бы Microsoft, тратящий миллионы и миллионы на безопасность, аудит кода, построение безопасных процессов разработки и т.д. и т.п., уже давно бы выпускал программы без уязвимостей. И мы бы забыли про вторые вторники...

идентификации и анализа всех существующих уязвимостей корпоративной сети, позволяющих судить об общем уровне защищенности (для успешного проникновения достаточно обнаружить лишь одну или несколько уязвимостей)

Процитирую свою небольшой кусок из тезисов к Рускрипто:

Цель пентеста в том, чтобы взломать

Цель пентеста в том, чтобы оценить эффективность существующей СУИБ и продемонстрировать наиболее яркие проблемные места в рамках выбранной модели злоумышленника, устранить которые требуется в первую очередь. Сам "взлом" только подручный механизм реализации основной задачи и может использоваться с различными целями. Например, для облегчения понимания результатов работ руководством или для развития хода работ, например прыжка их Интернет в ДМЗ, из ДМЗ в технологическую сеть и т.д. Если проводить работы с установкой на "взлом", то максимум к чему может привести тест, это обнаружение нескольких "страшных" уязвимостей, устранение которых может занять несколько минут или часов. И в такой ситуации пентест полностью оправдывает отношение как к фрагментарной, малоэффективной услуги.

# уверенности в том, что удалось устранить имеющиеся уязвимости и повысить защищенность систем (исполнитель продемонстрировал заказчику лишь один или несколько возможных сценариев проникновения, а сколько их еще может быть?)

Странный тезис. Уязвимости были устранены? Были. Защищенность была повышена? Несомненно. Исполнитель продемонстрировал только один сценарий? А что в ТЗ было написано? Поломайте меня как-нибудь?

уверенность в том, что конфиденциальные данные заказчика не утекли насторону (пентест не предполагает, что все действия исполнителя осуществляются под контролем представителей заказчика, как это происходит при обычном аудите безопасности, по крайней мере, вероятность утечки данных при пентесте значительно выше)

Это вообще полный бред. Утечка регулируется соглашением о конфиденциальности. Ни один из вменяемых исполнителей не будет против, если в ходе работ будет присутствовать представитель заказчика. Более того, тесный контакт с заказчиком и согласование "ходов", это залог успешных работ. Я обычно даже люблю в ходе внутреннего теста "почитать лекции" о том, что я сейчас делаю, и как все это ловко у меня получается :) Или не получается :(

Обычный анализ защищенности корпоративной сети при помощи сетевых и хостовых сканеров, требующий куда меньше времени (и квалификации) от исполнителя и денежных затрат от заказчика, позволять получить куда как более полезные результаты, а именно:

* идентифицировать и проранжировать все имеющиеся технические уязвимости (по крайней мере те, о которых известно из доступных исполнителю источников)
* дать объективную оценку уровня защищенности систем заказчика и его адекватность
* разработать подробный план действий по устранению, либо смягчению всех имеющихся уязвимостей, а не только тех, которые использовались в ходе пентеста


Тут я теряюсь совершенно. Опять эта объективная оценка всплыла... Как пентест, в ходе которого используется пяток специализированных сканеров, дополнительных утилит для верфикации и эксплуатации уязвимостей, ручной анализ уязвимостей может дать худший результат, чем просто запуск сканера? Как сканер реализует задачи глубокой оценки защищенности Web или беспроводных сетей, или уровня оценки персонала? Мне не понятно.
Сканеры никто не отменяет, но за ними должен сидеть человек, который "делает пентест в голове", чтобы расставить приоритеты и эффективно устранять обнаруженные проблемы. Сами сканеры этого не могут. Хотя мы работаем над этим :)

Если вам нужен именно анализ защищенности, либо оценка рисков, тогда глупо заказывать пентест, т.к. заплатите вы намного больше, а требуемого результата в виде реального повышения уровня защищенности и уменьшения рисков не получите.

Еще раз - пентесты не стоят дорого. Так сложился рынок. Есть дорогие задачи, когда пентест может стоить на уровне аудита. Но как правило это задачи с большим объемом работ или с узкой специализацией (например пентест специфического приложения). Более того, нормальный аудит, без которого невозможен нормальный анализ рисков, как правило включает в себя пентест. Где логика?

Я понимаю, что многим хочется быть Брюсом (http://www.schneier.com/blog/archives/2007/05/is_penetration.html), на повторять его спорные мнения не стоит.
Пентест, это одна из работ в области ИБ со своими плюсами и минусами, ограничениями, со своей методиками и целями. И зачастую с ожидаемыми результатами. Пугающими?...