среда, 28 октября 2009 г.

Выступление на "Разработке ПО 2009"

Сегодня выступал на мероприятии, которое странным образом оказалось знакомым. Пока готовил презентацию, понял, что такое уже делал. Посмотрел и действительно, с подобным докладом выступал на SQL Days. Но сейчас доклад получился более помпезным. Видимо окружение обязовало.
На этом же круглом столе выступал также Юрий Гуревич из Microsoft Research. Оказывается Microsoft упорно пишит аналог MaxPatrol. Я в шоке :). Придется интегрироваться... Пообщались, проблемы теже. В том числе и управление требованиями. И тоже пока не решена.



К сожалению, работа не дала возможности остаться на все выступления. Пришлось убежать.

понедельник, 26 октября 2009 г.

Мероприятия на этой неделе

В среду и в четверг буду участвовать в конференции "Разработка ПО 2009" (CEE-SECR 2009, http://cee-secr.org/) и очередном семинаре RISSPA.




http://cee-secr.org/round-tables/information-security-of-computer-systems/


Безопасность прикладных систем. Разработчик, аудитор, пользователь.


Все, что сделано руками людей далеко от совершенства. В результате ошибок проектирования, реализации и эксплуатации в компьютерных системах возникают уязвимости, т.е. свойства системы, использование которых злоумышленником может привести к ущемлению интересов владельца этой системы. Многие уязвимости обнаруживаются производителем на этапе разработки, тестирования и сопровождения продуктов, однако часть их обнаруживается владельцами систем, независимыми исследователями и аудиторами. В докладе предлагается обзор следующих вопросов:
- статистики распространенных проблем безопасности приложений';
- требований регуляторов в части безопасности прикладных систем (PCI DSS, 152-ФЗ «О персональных данных» и т.д.);
- существующих практик безопасной разработки, покупки и сопровождения прикладных систем;
- подходов к взаимодействию производителя или владельца ресурса и исследователя, обнаружившего проблему.

В рамках доклада анонсируется вторая версия классификации Web-узвимостей Web Application Security ConsortiumThreat Classification version 2.




http://risspa12.eventbrite.com/?ref=ecount

«(Бес)проводная (без)опасность»

В рамках доклада рассматриваются типичные проблемы, связанные с беспроводными технологиями, вопросы управления регулятивными требованиями в этой области, дается обзор передового опыта и принятых практик. Материал построен на практическом опыте компании Positive Technologies в области тестирования на проникновения и построения процессов Compliance Management.

понедельник, 19 октября 2009 г.

Статистика безопасности Web-приложений 2008

Опубликована статистика уязвимостей Web-приложений за 2008 г. консорциума Web Application Security Consortium (WASC). Ознакомиться с ней можно здесь.

Русский вариант для загрузки.

WASC Web Application Security Statistics 2008 (Russian)

Публикация содержит обзорную статистику уязвимостей Web-приложений, полученную в ходе работ по тестированиям на проникновение, аудитов безопасности и других работ, проводимых Компаниями, входящими в консорциум WASC в 2008 году. Всего статистика содержит данные о 12186 сайтах, в которых было обнаружено 97554 уязвимости различной степени риска.

Дмитрий Евтеев опубликовал сравнение с нашей статистикой:



Забавно, но между русским (первоначальным, как вы могли догадаться) и "word-wide" есть некоторые различия. Для соблюдения политесу был выкинут раздел 4.3 - сравнение различных методик . Вот он, свободный демократический мир :)

четверг, 15 октября 2009 г.

PCI DSS и беспроводные сети

В очередной раз воник вопрос о PCI DSS и беспроводных сетях

http://www.securityfocus.com/archive/137/507096

But how can we determine if this rogue AP and especially rogue wireless
clients (WLAN card into a back office server)
are inside CDE? By signal level? But Kismet shows this information only
for APs (not for clients) :(


Я уже отвечал на этот вопрос на сайте информзащиты, повторюсь.


>как узнать, что беспроводная точка с включенным шифрованием принадлежит к нашей локальной сети?


Принадлежность точки может вычисляться различными способами. Самый простой - по трафику, "летающему" в воздухе. Даже есть точка использует нормальное шифрование (не WEP), то в открытом виде передается достаточное количество информации для идентификации сегмента. Например - mac адреса отправителя. Поскольку точка доступа является устройством канального уровня, она будет ретранслировать все широковещательные запросы сегмента "в воздух". А поскольку в сети таких запросов достаточно много (ARP, NetBIOS, IPv6 и т.д.), то сравнив MAC-адреса отправителей пакетов через точку со списком известных MAC-адресов своей сети можно легко идентифицировать место, куда включена точка. Дополнительно можно спровоцировать отправку большого количества широковещательных пакетов в сегменте с помощью утилит, реализующих ARP-ping, таких как Cain или nmap. А бегать с антенной за каждым beacon - задача не для слабонервных.

>А где можно почитать про технологию поиска точек методом
>триангуляции и какую лучше антенну использовать?


Параболические или Yagi антенны для диапазона 2,4 достаточно громоздки, в связи с чем комфортней использовать панельные варианты, не смотря на меньшую направленность и чувствительность к отраженному сигналу.

http://www.wifilab.ru/catalogue/catalogue.php?cat_id=51

Крайне рекомендую мою книгу ;)

http://www.techbook.ru/gordejchik.html


>А если это действительно правильно сконфигурированая точка WPA2+hidden+MAC
> filter. Долго придется искать пока не будет активности.


Такая точка подключенная к сети все равно "фонит":
- рассылает beacon (пусть и с пустыми ESSID)
- транслирует broadcasts и multicast с Mac-адресами источника в открытом виде

Трудно представить себе сеть без широковещательных запросов. А о том как по ним идентифицировать местоположение точки доступа я писал ранее.

>Определение клиентов, подключающимся к внешним точкам доступа

Клиентов, санкционировано подключающихся к "внешним" точкам доступа можно определять с помощью активных средств оценки защищенности. Например в MaxPatrol есть три механизма, позволяющие решать эту задачу: - инвентаризация, в рамках которой анализируются настройки беспроводных клиентов Windows - оценка защищенности, в рамка которой проводится анализ небезопасных конфигураций (например, multihomed, отсутствие шифрование, использование WEP) - контроль соответствия (compliance), позволяющий указывать черные и белые списки точек доступа, разрешенных в сети.

Путем мониторинга беспроводной сети, но для этого надо предварительно составить список "своих" MAC-адресов. Можно это сделать активными средствами (см выше) или пассивными (см. ниже).

>Как понять, твои ли это пользователи?


Немного об этом писал здесь.

Но в любом случае, рабочая станция (особенно под управлением Windows) рассылает очень много интересного трафика, по которому можно определить принадлежность к сети. Это и NetBIOS Broadcast и запросы WPAD и DHCP-запросы в которых передается имя узла и домена...

Остается открытым вопрос - как спровоцировать на отправку данного трафика? Тут нам на помощь приходит Gnivirdraw.

>Активные сканеры нам не помогут!!!

Конечно, полезно иногда пробежаться с ноутбуком :). Но сканеры вполне могут помочь решить следующие задачи:

- инвентаризация (fingerprint) в режиме pentest сетевых устройств (в том числе и AP).
- инвентаризация настроек беспроводных клиентов (MAC-адресов, списков сетей)
- анализ конфигурации точек доступа
- анализ журналов беспроводных устройств с точки зрения "нехороших" событий

среда, 14 октября 2009 г.

Интеграция MaxPatrol и Cisco MARS

На прошедшей Cisco Expo выступал с докладом по интеграции MaxPatrol и Cisco MARS.
Пресс релиз:
http://www.securitylab.ru/news/386246.php

Кроме CS MARS теперь работаем также с ArcSight.

Документация по настройке доступна через службу технической поддержки.