четверг, 30 декабря 2010 г.

HackQuest 2010 закончен!


В конкурсе приняло участие более 750 специалистов из 20 стран мира, включая Россию, Китай, Украину, Казахстан, Германию, США.

По итогам соревнования, среди участников, которые успешно справились со всеми заданиями, лидерами являются следующие участники:


  • rdot.org (первое место);
  • Andrey1800 (второе место);
  • nucro (третье место).

Примечательно также и то, что шесть из восьми победителей соревнования – из России, а двое из Украины.



Подробности:
http://devteev.blogspot.com/2010/12/hq2010.html
http://www.securitylab.ru/contest/403763.php

Огромное спасибо всем, кто приложил к конкурсу свою руку, голову и кошелек!
Хвала победителям!
И естественно - спасибо участникам!

вторник, 21 декабря 2010 г.

Hack Quest +100



Страсти накаляются!

Сумеет ли кто-то достичь заветного рубежа в 137 очков?

Следим тут:

http://www.securitylab.ru/hq2010/list.php


вторник, 14 декабря 2010 г.

Seclab - 10 ЛЕТ!


Ура!

Long Live SecurityLab!

Следите за анонсами, призами и конкурсами на портале http://www.securitylab.ru/!


Из того, что уже не секрет:

15 декабря с 12:00 MSK стартует online-соревнование по защите информации - Hack Quest 2010. У каждого есть возможность почувствовать себя настоящим злобным хакером (aka зохер) и за(по/пере)хокать все что найдет в игровой сети!

Подробности тут:

http://www.securitylab.ru/hq2010/




воскресенье, 12 декабря 2010 г.

четверг, 9 декабря 2010 г.

Борьба с мошенничеством в сфере высоких технологий

Вчера посетил конференцию "Борьба с мошенничеством в сфере высоких технологий".

http://antifraudrussia.ru/

Получилось достаточно живо, и "по теме".






Жду комментариев

Shared Personal Data

Две новости с минимальным разрывом. Очень забавно вышло. 


Операторы персональных данных вновь получили отсрочку

Законопроект "О внесении изменений в статью 25 Федерального закона "О персональных данных" (в части продления срока приведения ранее созданных информационных систем персональных данных в соответствие с требованиями Федерального закона "О персональных данных") принят Госдумой в первом чтении.

http://www.securitylab.ru/news/400089.php 



Россия: Сотовый оператор выложил в Сеть персональные данные абонентов



Дальневосточный оператор БИТ допустил утечку документов, в результате которой около года в открытом доступе находились персональные данные его 11 тыс. клиентов, а также данные о его обмене трафиком с другими операторами региона.

http://safe.cnews.ru/news/top/index.shtml?2010/12/09/419487 


В последнем особенно позабавило

"Факт утечки был обнаружен экспертом по информационной безопасности Ильей Шабановым 8 декабря 2010 г. в результате регулярного мониторинга Сети. "

и

"Изучение документов, выложенных на ftp-сервере, позволило CNews ознакомиться с отчетностью, содержащей персональные данные более чем 11 тыс. абонентов БИТ."

Интересно, на каком основании Cnews осуществляет несанкционированный доступ к охраняемой законом информации и так спокойно об этом рассказывает. Или что-то изменилось у нас в законодательстве? Тот факт, что информация лежит на "открытом ftp" ничего не меняет. 

И в конце, пользуюсь служебным положением, процитирую Дмитрия Кузнецова.


Как Вы расцениваете эффективность обсуждаемой сейчас очередной отсрочки (на полгода) вступления в силу требований к информационным системам, созданным до 2006 года? Действительно ли это позволит кому-то решить проблемы или же просто на полгода оттянет неизбежное?


В отличие от предыдущей отсрочки, данная отсрочка имеет исключительно технический характер. Сейчас Госдума готовится к рассмотрению во втором чтении законопроекта № 282499-5, который внесет очень существенные поправки в действующую редакцию, в том числе – в порядок государственного регулирования защиты персональных данных. Поэтому перенос сроков – ожидаемая мера, которая позволит операторам дождаться принятия этих поправок.

Если говорить о переносе сроков (особенно – прошлогоднем) как об “оттягивании неизбежного”, то такая постановка вопроса несправедлива ни по отношению к законодателю, ни по отношению к операторам. Скорее этот перенос свидетельствует о способности органов государственной власти не только совершать ошибки, но и признавать их. В августе 2007 г. Правительство выпустило распоряжение № 1055-р, поручив ФСБ и ФСТЭК в течение шести месяцев разработать требования по защите персональных данных. Таким образом, предполагалось, что с момента принятия требований у операторов будет два года на их выполнение. Впрочем, невыполнимость подобного распоряжения уже тогда была понятна специалистам, и дальнейшие события это подтвердили. Первые версии документов, выпущенные ведомствами, вызвали резкую критику со стороны профессионального сообщества и фактически так и не были введены в действие. Так что первый перенос сроков отчасти был вызван фактическим отсутствием на тот момент требований, которые должны были бы быть выполнены операторами. Действующие требования ФСТЭК появились только в феврале 2010 г., а требования по криптографической защите персональных данных не введены в действие и по сей день.

В настоящий момент всем хорошо понятно, что разработать единые требования для всех отраслей невозможно, и события развиваются по пути инициативной разработки отраслевых требований самими операторами (отраслевой стандарт Банка России, отраслевой стандарт операторов связи, ведомственные документы Минздравсоцразвитьия и т.п.). Есть надежда, что эта практика будет закреплена законодательно, и это позволит сдвинуть дело с мертвой точки.



Какую часть рисков, связанных с выполнением требований законодательства о ПДн, позволяют решить продукты и услуги Вашей компании, а какую часть работ заказчику неизбежно нужно решать самостоятельно?


В приказе ФСТЭК №58 от 05.02.2010, регулирующем методы защиты персональных данных, появилось одно важное на наш взгляд нововведение: оператор должен построить систему защиты персональных данных, но и контролировать ее, своевременно выявляя и устраняя недостатки в обеспечении безопасности, уязвимости, ошибки в конфигурации, которые неизбежно возникают в ходе эксплуатации любой информационной системы. Система контроля защищенности и соответствия стандартам MaxPatrol, разработанная нашей компанией и уже внедренная многими организациями, позволяет оператору самостоятельно реализовать и автоматизировать такой контроль для информационных систем любой сложности и любой территориальной распределенности с минимальными затратами человеческих ресурсов.

Еще одним направлением нашей деятельности является разработка технических стандартов, определяющих безопасную конфигурацию наиболее распространенных программ и программно-аппаратных платформ, используемых в основе многих информационных систем персональных данных. Не секрет, что требования методических документов по защите персональных данных достаточно общи, и далеко не всегда операторы способны оценить достаточность применяемых ими механизмов защиты. Использование наших стандартов в качестве связующего звена между методическими документами и фактически используемыми средствами защиты информационных систем позволит операторам и надзорным органам выработать одинаково понимаемые критерии оценки деятельности операторов по технической защите персональных данных.

Кроме того, ЗАО «Позитив Текнолоджиз» оказывает услуги по анализу защищенности информационных систем, помогая компаниям выявлять и устранять недостатки, которые могут использоваться злоумышленником для несанкционированного доступа к информационным системам. Эти услуги востребованы кредитными организациями, операторами связи, промышленными предприятиями и другими организациями, в деятельности которых информационные системы играют ключевую роль.


Испытываете ли Вы как поставщик услуг в сфере информационной безопасности какие-либо сложности и затруднения в связи с действующим законодательством в сфере ПДн (проблемы компаний - операторов ПДн понятны)? Если да, то в чем они проявляются?


Напротив, на сегодняшний день мы наблюдаем повышеный интерес компаний к вопросам информационной безопасности. Причем, если несолько лет назад одним из мотивов было соответствие формальным требованиям (будь то требования государственных регуляторов, ISO 27001 или PCI DSS), то сегодня на первое место ставятся имено практические аспекты защиты от фактически используемых методов атак. Складывается ощущение, что постоянно муссируемая тема защиты персональных данных заставляет руководство компаний задуматься над вопросами безопасности и более трезво оценивать готовность своих компаний к современным вызовам. И это не может не радовать.

среда, 8 декабря 2010 г.

Google hacking hands-on

Мы - молодцы!

Исследовательский центр «Positive Research» отмечен благодарностью компании Google за помощь в повышении безопасности сервисов и приложений этой компании и помещен в виртуальный «Зал Славы» Google Security Hall of Fame.

Программа «Google Security Reward» привлекла внимание множества исследователей. В рамках программы была предоставлена легальная возможность проанализировать безопасность сервисов и приложений компании Google. Открытой оценке защищенности могли быть подвергнуты не только приложения, такие как Google Chrome, но и интерактивные сервисы: поисковая система google.com и почтовый сервис gmail.com, видеосервис youtube.com, сервис блогов blogger.com, социальная сеть orkut.com.







По результатам проведенного экспертами Исследовательского Центра «Positive Research» анализа было обнаружено несколько уязвимостей различной степени риска, которые были проанализированы и устранены специалистами Google. В качестве благодарности за помощь в повышении защищенности, Исследовательский центр «Positive Research» помещен в вириальный «Зал славы безопасности Google» Google Security Hall of Fame ( http://www.google.com/corporate/halloffame.html ).


Детали:

http://devteev.blogspot.com/2010/12/rewarding-web-application-security.html

http://www.securitylab.ru/news/400057.php

понедельник, 22 ноября 2010 г.

Compliance как угроза

Статья "Compliance как угроза", опубликована в ИКС  ИКС № 9 2010.

Соответствие требованиям регуляторов – одна из основных прикладных задач обеспечения безопасности компаний и организаций различных отраслей и масштабов. Несмотря на тенденцию усиления регуляторных рисков, процесс compliance management может быть разумно встроен в систему управления ИТ и ИБ, реализованную на основе общепризнанных методик и рекомендаций.

http://www.securitylab.ru/analytics/399689.php

воскресенье, 21 ноября 2010 г.

Зачем ворошить старое?

В США вспомнили апрельский инцидент с ошибкой China Telecom, допущенной при конфигурации BGP.

Шум поднимается сильный, со всеми положенными атрибутами, включая целый доклад Конгресса США.

http://hitech.newsru.com/article/19nov2010/15percent 

http://blogs.computerworld.com/17376/china_hijacking_hacking_hit_15_of_net_us_says

Удивительным образом ошибка оказалась "перехватом" трафика и "попыткой установить контроль над Интернетом".

В принципе можно предложить, что Китай отрабатывал сценарий "закукливания" своей сети в рамках сценария масштабной кибер-войны, но немного переборщил. Надо отдать должное, Китай и в этой области рассматривает сценарий самостоятельного существования своего сегмента сети Интернет и активно к этому готовится. 

Технические детали инцидента тут: 

http://bgpmon.net/blog/?p=282


PS. Если у кого-то вдруг возникнет вопрос о том, как такое могло произойти, то ответ тривиален: очень даже запросто.

среда, 10 ноября 2010 г.

الحرب الإلكترونية

А вот так :)

Передача Russia Today о кибервойне.



понедельник, 8 ноября 2010 г.

Безопасность Интернет-покупок

По просьбе британских коллег комментировал для BBC вопрос безопасности Интернет-покупок в российских Интернет-магазинах.

Слушать:




Интересен сам факт интереса слушателей BBC к российским Интернет-магазинам.
По личному опыту, Gormiti для племянника проще все-таки заказывать на Ebay, чет в Озоне. И дешевле и быстрее.

Полный эфир "Вечер на BBC".

вторник, 2 ноября 2010 г.

PCI DSS 2.0

Опубликованы неплохие обзоры нововведений PCI DSS 2.0 и PA DSS 2.0.

http://pcidss.ru/articles/22.html

https://www.pcisecuritystandards.org/pdfs/summary_of_changes_highlights.pdf

Сам стандарт:

https://www.pcisecuritystandards.org/documents/pci_dss_v2.pdf

В целом ничего революционного, работа над ошибками.

четверг, 14 октября 2010 г.

Хакеры использовали сети Microsoft

На протяжении последних трех недель интернет-адреса, входящие в сети, принадлежащие корпорации Microsoft, были использованы для маршрутизации трафика с более чем 1000 мошеннических сайтов, управляемых известной группой российских киберпреступников.

http://www.securitylab.ru/news/398515.php

Официальная причина инцидента: ошибки конфигурации сетевого оборудования.

“We have completed our investigation and found that two misconfigured network hardware devices in a testing lab were compromised due to human error”

http://www.theregister.co.uk/2010/10/14/microsoft_confirms_ip_hijack/



Что же сказать?!
.... happens...

MaxPatrol мог спасти :)

ЗЫ. На взломанных серверах использовался Linux/Unix.

Auditors Wanted!

Соратники!
Срочно ищем ведущего аудитора под задачи консалтинга в области ИБ.
Нужен вменяемый человек с пониманием и опытом комплексных аудитов, "больших" пентестов, навыками как организационной, так и в технической части. Основная задача: координация действий группы, актуализация методик.

Если есть знакомые/полузнакомые, или просто люди за которыми можно поохотится, сообщите пожалуйста. Можно просто ссылкой на блог :)

Работа – супер, я бы пошел.

Формальные требования:
http://hh.ru/vacancy/3392479

вторник, 5 октября 2010 г.

Инфобез 2010 - День первый

В рамках деловой программы конференции Инфобез 2010 делал обзорный доклад по тебе безопасности мобильных устройств.


Mobile
View more presentations from qqlan.

среда, 29 сентября 2010 г.

RAHack - червь для Radmin

В продолжение вчерашнего сообщения.
DrWeb добавил сигнатуру и опубликовал описание червя Win32.HLLW.RAhack.

От себя могу сказать, что программа чересчур агрессивна и в крупных сетях в ходе размножения создает средней силы DDoS, занимая обслуживанием своего трафика сетевые устройства и канал связи.

Полагаю, что зловред долго не проживет, поскольку не использует дополнительные векторы размножения, такие как CIFS/WMI. Хотя, учитывая высокие привилегии службы Radmin вполне мог бы. Тогда было бы менее приятно, поскольку за счет CIFS/WMI мог бы активно расходится внутри корпоративных сетей, а используя Radmin - переходить из сети в сеть, благо этого добра на периметрах хватает.

PS. Информация virustotal по ipz.exe.

Рекомендую всем обратить пристальное внимание на Radmin

Соратники!
Есть информация, что служба Radmin сейчас/скоро будет под массовой атакой.
Рекомендую блокировать 4899 на периметре и во внутренней сети, ограничивая доверенными узлами, а также активно отслеживать попытки соединения с этим портом на IDS/IPS. Ну и использовать сложные пароли, как обычно.

понедельник, 27 сентября 2010 г.

Попытки взлома шведской избирательной системы

Какие-то остряки вписывали в бюллетени код SQL Injection и XSS.



http://www.securitylab.ru/news/398065.php

PS. Интересно, old school перевелись или устали вписывать от руки 0xAAAA...(>4096)...AA???

Без комментариев




http://devteev.blogspot.com/2010/09/ii.html

понедельник, 20 сентября 2010 г.

Кибервойна?!!!

Недавно комментировал "план кибервойны против России" для журнала NewsWeek.
Как водится, комментарии обрезали до неузнаваемости. Привожу полную версию.



Давайте рассмотрим основные цели и возможности США в рамках военных действий против России (рассматриваются только гражданские системы).

1. Разведка. Получение важной информации.
2. Разрушение. Нарушение работоспособности критичных систем.
3. Управление системами. Навязывание информации (например радио/телевиденье), перехват управления автоматизированными системами.

1. Разведка
С точки зрения глобальной разведки (т.е. отслеживания внешних коммуникаций) США не требуется создавать что-то новое. США и в настоящий момент:
1. Имеют доступ и контролируют (напрямую или через блок НАТО, Японию и пр.) большую часть внешних коммуникаций России использующих сети общего доступа.
2. Имеют доступ к содержимому «защищенных» систем передачи информации общего доступа (Skype, BlackBerry, сертификаты SSL/TLS и т.д.).
3. Контролируют многие сервисы и приложения, а также зарубежные хостинг-площадки, используемые для размещения служб и приложений российскими компаниями.
4. Имеют наработанные технологии по сбору и анализу данных из разнородных источников (Эшелон, Google и т.д.).

С точки зрения локальной разведки (т.е. отслеживание внутренних коммуникаций) США также не требуется создавать что-то новое. США и в настоящий момент:
1. Контролируют (напрямую или через союзников, например Израиль) большую часть программной продукции (включая и мобильные устройства) и имеют практически неограниченные возможности по добавлению специальных возможностей в ПО.
2. Имеют мощнейший исследовательский и даже промышленный потенциал в части обнаружения и использования недостатков в компьютерных системах, проведения практических атак (Core Security Technologies, Immunity Inc., eEye Digital Security, Fortify Software).
3. Контролирую большую часть рынка средств защиты, что может использоваться для разработки и сознательного игнорирования определенных видов атак.
4. Имеют обученный персонал (68th Network Warfare Squadron, 710th Information Operations Flight, Air Force Intelligence, Surveillance and Reconnaissance Agency и т.д.), проводят активную кадровую политику (BlackHat, Defcon)

Т.е. фактически – США сейчас может вести активную сетевую разведку (или если угодно – шпионаж) против любого государства.


2. Разрушение

Приведенных выше фактов вполне достаточно для проведения масштабных атак, направленных на блокирование коммуникаций и информационных систем.
Также следует учитывать тот факт, что США контролирует чувствительные части инфраструктуры Интернет (магистрали, DNS, маршрутизация) и имеет возможно практически моментально блокировать внешние коммуникации государство. В финансовом секторе блокирование коммуникаций с международными платежными системами фактически равносильно коллапсу.
Поскольку, в отличие от Китая, который сознательно проводит политику построения «Интернет в отдельно взятом государстве», многие системы и компании будут испытывать серьезные затруднения при нарушении связности Сети. В принципе Россия имеет техническую возможность «закуклить» Интернет в рамках своего сегмента, но остается открытым вопрос, насколько эффективно в этом случае будет функционировать сеть (т.е. предоставляемые посредством сети сервисы).
Временный эффект, даваемый атаками типа DDoS в принципе может быть использован в качестве отдельных акций, но в рамках военных действий он мало интересен. Только в отношении специализированных систем, которые зачастую не подключены к Интернет, и соответственно не подвержены данному виду атак.
Учитывая широкие наработки в области проведения атак, для блокирования внутригосударственных информационных систем могут использоваться атаки, направленные на захват управления с дальнейшим выводом систем из строя (удалением/изменение конфигураций, удаление ОС).


3. Управление системами

Если рассмотреть открытую статистику, например статистику полученную в ходе работ по анализу защищенности Positive Technologies (http://www.securitylab.ru/analytics/397848.php), то видно, что задача получения доступа к критичным элементам гражданской сетевой инфраструктуры не требует специализированных инструментов и навыков.

Принимая во внимание что в рамках проводимой модернизации в промышленном, финансовых секторах и в секторе гос. Услуг широко внедряются информационные системы (системы АСУТП, электронные платежные системы, система электронного правительства) вероятность эффективности данного направления атак будет только увеличиваться по мере развития промышленного и экономического потенциала России.

Резюме
Таким образом, приведенный сценарий выглядит однобоким и несколько запоздавшим.
Приведенный сценарий «долгого развития и эволюции» атаки в принципе нереален, поскольку чем дольше развивается атака, тем выше вероятность обнаружения.
Сетевая война, это постоянные целенаправленные удары и отходы, поскольку структура атакуемого объекта постоянно меняется.

Анализ проблем защиты от внешнего нарушителя

Опубликована в сети статья Дмитрия Кузнецова (Positive Technologies) и Артема Сычева (Россельхозбанк)

http://www.securitylab.ru/analytics/397848.php

Хотелось бы обратить внимание на один график, полученный нами в ходе анализа статистики по аудитам и тестам на проникновение:



Вывод напрашивается сам по себе - банки в целом заращены серьезнее чем другие отрасли. Что предсказуемо.

вторник, 14 сентября 2010 г.

Ищем хороших людей

Активно ищем людей, желающих влиться в экспертное сообщество Positive Technologies.

Особенно активно:

- Пресейл-консультант
- Technical Account Manager
- Эксперт по безопасности СУБД и прикладных систем


http://hh.ru/employer/26624



Присоединяйтесь!

ЗЫ. "Ценник" довольно условный, не обращайте внимания.

четверг, 9 сентября 2010 г.

www.surfpatrol.ru - новый проект Positive Technologies

Запустили новый проект безагентной проверки безопасности серфинга.

www.surfpatrol.ru







Затянули с разработкой, в пентестах технологию используем с 2006, выступать с этой темой планировал аж на Рускрипто 2008, а первые technology preview опубликован в начале 2009.
Но... Лучше поздно, чем никогда.

PS. Для использования на своем сайте следуйте инструкциям:

http://surfpatrol.ru/setupbanner.aspx

Обратная связь приветствуется.

понедельник, 6 сентября 2010 г.

понедельник, 23 августа 2010 г.

Вечная тема. Пароли по умолчанию.

В интернете появились скриншоты, доказывающие взлом почты Федеральной службы охраны на сервере gov.ru

В течение нескольких часов любой пользователь интернета мог, перейдя по ссылке и введя простые имя пользователя и пароль, получить доступ к системе мониторинга и архивирования электронной почты "Дозор".

Уязвимость достаточно простая - тривиальный пароль .

Что в принципе не новость. Слабые пароли - распостраненная причина успешных внешних атак.

среда, 11 августа 2010 г.

Где учат "на хакеров"?

В комметариях к одной из заметок возник вопрос, где получить знания, необходимые для проведения работ по тестированию на проникновение?

Из того, с чем приходилось сталкиваться:

1. Очень неплохие online-курсы у Offensive Security.
2. Цикл курсов УЦ Информзащита, охватывающий практически все аспекты, которые могут пригодиться в ходе Pentest:

Безопасность компьютерных сетей

Анализ и оценка защищенности Web-приложений


Безопасность беспроводных сетей


Анализ защищенности сетей

3. Интересное начинание Esage Lab (больше в сторону антивирусной безопасности и forensic, но полезно)

http://www.esagelab.ru/services.php?s=av_basic

4. Курсы Immunity

Unethical Hacking

upd.

5. В свое время приходилось читать курсы MIS TI. В целом - идея здравая, но материал староват. Пришлось серьезно оживлять и вставлять свои куски.

http://www.microinform.ru/MIS/ITG411mis.htm

http://www.microinform.ru/MIS/asn403mis.htm

воскресенье, 8 августа 2010 г.

Цифровая подпись Касперского под зловредом?

Компания Trend Micro сообщила об обнаружении в Сети вредоносных файлов с цифровой подписью, практически полностью совпадающей с подписью антивирусной компании "Лаборатория Касперского".

http://www.securitylab.ru/news/396483.php

Ключевое слово здесь "почти". И это слово совершенно не к месту, поскольку подпись совпадает полностью.

Т.е. она была скопирована с одной из утилит Касперского и естественно не является корректной, поскольку hash от файлов различаются. О чем собственно и пишет Trend.

Зачем же подпись, если она некорректная? Все просто. Некоторые антивирусы не проверяют саму подпись, им достаточно факта наличия. Ну или корректного сертификата. А подпись... Считать долго.

Pentest глазами телевизионщика

Вот такие они, "добрые хакеры" глазами СТС




Кроме эпичных и мегаэтичных хакеров в съемках участвовал MaxPatrol. Приятно.

четверг, 5 августа 2010 г.

Обзор инцидентов: Verizon Breach Report 2010

Опубликован обзор инцидентов Verizon Breach Report 2010. Рекомендую.


http://www.verizonbusiness.com/go/2010databreachreport/



PS. В отчете широко используется WASC WATCv2. Приятно. 



PPS. Без комментариев:

вторник, 3 августа 2010 г.

История Хронопей продолжается

История продолжает быть интересной.

Неизвестные хакеры выложили новые подробности взлома процессинговой системы

Напомним, что в середине июля неизвестная группа хакеров опубликовала информацию о взломе крупнейшей российской процессинговой системы Chronopay. В качестве доказательства взлома хакеры опубликовали схемы расположения серверов, конфиденциальную переписку, а также часть базы данных, содержащую около 5 тыс. номеров кредитных карт.

В результате новой порции “утечки” были выложен новый массив данных (как сообщается, это было сделано из-за бездействия Visa и Mastercard и других официальных лиц).....

По заявлению хакеров в ближайшее время в интернете будет опубликована полная база данных кредитных карт и личных данных. Данные по кредитным картам и транзакциям будут представлены в виде зашифрованной паролем базы данных на 10Гб, пароль к которой будет представлен только правоохранительным органам и журналистам крупных федеральных СМИ.

Однако компания Chronopay отрицает факт взлома и считает выложенные данные фальшивыми. Других официальных подтверждений факта взлома также не поступало.



вторник, 27 июля 2010 г.

WPA2 взломали?

Интересная заметка появилась о потенциальном взломе WPA2.

http://www.networkworld.com/newsletters/wireless/2010/072610wireless1.html

http://www.securitylab.ru/news/396094.php

Судя по описаниям - опять вмешался ARP + ключи групповой рассылки. 

Особых деталей нет, и кстати - непонятен риск. Кроме DoS со стороны аутентифицированного пользователя заявлен некий "snoop", что далеко не sniff.

Т.е. по предварительным данным CVSS Base Score невысокий, где-то  3.8.

http://nvd.nist.gov/cvss.cfm?name=&vector=(AV:N/AC:M/Au:N/C:N/I:N/A:C)&version=2

Ждем Defcon, подробности и код. 



пятница, 23 июля 2010 г.

Новая схема защиты пароля требует новой схемы защиты схемы защиты пароля :)

Специалисты Microsoft предлагают новый способ защиты от взлома паролей

http://www.securitylab.ru/news/395967.php

Поэтому Microsoft советует: пусть система регистрации сама подсчитывает количество повторяющихся в ней паролей. Например, пользователь может использовать в качестве пароля слово "password", но таких аккаунтов не должны быть тысячи и десятки тысяч. Поэтому дублирование простых паролей должно ограничиваться самой системой. Когда число одинаковых паролей достигло критического - система должна предупретить пользователя, что такой пароль использовать нельзя.

Собственно - мысль здравая, но учитывая, что идентификатор пользователя секретом не является, такая схема предлагает злоумышленнику интересный способ подбора паролей - путем попытки смены его на словарные значения. Если изменение пароля запрещено, то пароль у кого-то используется. В словарик его. А дальше с ним по списку аккаунтов.

Таким образом, придется вводить новый параметр безопасности - "Количество неудачных изменений пароля в единицу времени". Естественно при наличии минимального срока жизни пароля, что редкость в online сервисах, поддерживающих процедуру сброса.


PS.


 "Ошибка! Этот пароль уже использует пользователь Masha."

вторник, 20 июля 2010 г.

Вирус для SCADA

_практически_ первый публичный вирус для SCADA/АСУТП

ESET: новый червь атакует промышленные компании

Siemens: New virus targets industrial secrets

Кстати, он еще и подписан.

Еще один 0-day в Microsoft Windows или Stuxnet атакует

Интересный обзор уязвимости при обработке ярлыков в Windows разместил Валерий Марчук.

http://www.securitylab.ru/blog/personal/tecklord/12729.php

Рекомендую ознакомится всем связанным с безопасностью Windows.

вторник, 13 июля 2010 г.

100% Virus Free Podcast #15

Недавно забегал в новый офис Eset, по пути меня проинтервьюировал Александр Матросов.

- немного о том, как Сергей докатился до жизни такой :)
- пентесты, зачем нужны и что под этим понимают эксперты
- внутренние тестирование защищенности соц. сети Facebook
- целевые вредоносные программы и насколько может быть эффективна такая атака?
- нужен ли анонимный доступ к беспроводным сетям, хорошо это или плохо?
- ближайшие планы PT на проведение соревнований СTF



Другие выпуски подкаста:

http://esetnod32.ru/.company/podcast/

четверг, 8 июля 2010 г.

Запрос в поддержке

Сегодня прицепили к тикету в поддержке



Надо включаться :)...

PS. Первый offtopic

понедельник, 5 июля 2010 г.

Compliance & Risks

Недавно компелировл в презентацию поток мыслей по управлению рисками.
Возможно кому-то пригодиться.

вторник, 25 мая 2010 г.

Статистика уязвимостей Web 2009


В этом году были проанализированы данные о 5560 веб-приложениях протестированных специалистами компании Positive Technologies в ходе предоставления консалтинговых и сервисных услуг по информационной безопасности, таких как тесты на проникновение, анализ защищенности в рамках стандарта PCI DSS и мониторинг защищенности внешнего периметра с использованием системы MaxPatrol.
Практически половина проанализированных систем содержали уязвимости. Суммарно во всех приложениях было обнаружено 13434 ошибок различной степени риска, зафиксировано 1412 образцов вредоносного кода, содержащихся на страницах уязвимых систем. Доля скомпрометированных сайтов распространявших вредоносное программное обеспечение составила 1,7%. Каждый из таких сайтов содержал уязвимости, позволяющие выполнять команды на сервере, что подтверждает возможность использование этих уязвимостей для компрометации системы.
Основной результат исследования неутешителен. Вероятность обнаружения критичной ошибки в веб-приложении автоматическим сканером составляет около 35% и достигает 80% при детальном экспертном анализе. Этот факт демонстрирует невысокую защищенность современных Web-приложений не только от атак со стороны квалифицированных злоумышленников, но и от действий атакующих, вооруженных готовыми утилитами для «автоматического взлома».
Как и ранее, наиболее распространенными ошибками, допускаемыми разработчиками приложений, являются уязвимости «Межсайтовое выполнение сценариев» и «Внедрение операторов SQL» на которые пришлось более 19% и 17% всех обнаруженных уязвимостей соответственно.
С точки зрения соответствия требованиям регуляторов (compliance management) ситуация улучшилась незначительно. До 84% веб-приложений не удовлетворяет требованиям стандарта по защите информации в индустрии платежных карт PCI DSS и 81% не соответствуют критериям ASV-сканирования, определенного в стандарте.
Сравнение результатов с отчетами предыдущих четырех лет показал, что ситуация со степенью защищенности веб-приложений в 2009 в целом улучшилась. Так, анализ устранения уязвимостей на 768 сайтах проверявшихся в 2008 и 2009 году показал, что более 60 процентов владельцев устранили все критичные уязвимости в течение года и существенно повысили защищенность своих ресурсах. В целом регулярный анализ защищенности веб-приложений и налаженный процесс устранения выявленных недостатков позволяют за год уменьшить число уязвимых сайтов в среднем втрое.


Ссылки: pdf html

воскресенье, 16 мая 2010 г.

Точки доступа. Шифровать или штрафовать?!

Забавная новость из Германии.

Высший уголовный суд Германии вынес постановление, согласно которому все приватные WiFi-сети в стране обязаны быть защищены паролем, чтобы предотвратить вероятность несанкционированного выхода в интернет со стороны третьих лиц.

http://www.securitylab.ru/news/393783.php

http://www.msnbc.msn.com/id/37107291/ns/technology_and_science-security/

Тут же возникают аллюзии с Шнаером (http://www.schneier.com/blog/archives/2008/01/my_open_wireles.html) который со своей криптографической колокольни вообще предлагает открыть все точки из соображений в стиле хиппи.

Providing internet access to guests is kind of like providing heat and electricity, or a hot cup of tea

Собственно две противоположной точки зрения, и я здесь больше на стороне Германского суда.

Прежде всего, потому как проблемы связанные с открытым WiFi доступом несколько шире, чем кажется.
Это и взлом домашних компьютеров, которые "за фаерволом" и мелкий бытовой шпионаж и тривиальная кража трафика и использованием соединения с сетью для всяких неприглядных дел... И потом доказывай, что это это не ты взламывал сайты Пентагона и качал гигабайты защищенного законодательством материала.
Более того, начав предоставлять доступа в интернет мы автоматически попадаем... (или не попадаем, или можем не попасть) по требования 126-ФЗ "О связи" или нарушение договора с оператором, что радует безмерно.
Обо всем этом Шнайер упоминает, но как-то ... легкомысленно. Например его тезис, что он будет защищать свой ноут от врагов в аэропорту конечно правилен, но... Например я особо не буду думать о безопасности медиацентра Iconbit и SOHO NAC на пингвин/самба с которого он показывает медиа... Потому как не поеду с ним в аэропорт :)

Что касается технической стороны, то тут скорее уместен Dynamic PSK или Wireless Provisioning Services от Microsoft (кстати, что с ним?).


PS. Google призналась в сборе данных об открытых городских WiFi-сетях. Просто ужас какой-то. За мной следят со спутника?!

среда, 7 апреля 2010 г.

Видео презентаций с Рускрипто 2010

Видеозапись выступления:

Web Application Security Consortium. Перспективы развития




Презентация:
http://sgordey.blogspot.com/2010/04/2010.html

Запись некоторых докладов:

http://video.yandex.ru/users/matros0ff/collection/1/

вторник, 6 апреля 2010 г.

Еще немного мультиков с CTF

+1 (by Evteev)

Ссылка



+1 +1 (by Matrosoff)



РИФ 2009

Готовясь к новому РИФу наткнулся на прошлогоднее видео.


17.1. Информационная безопасность в Рунете: обзор, статистика, тренды

Ведущий:

Фролов Максим (Лаборатория Касперского)

Рыжиков Сергей (1С-Битрикс)

Участники:

Ярных Андрей
Гордейчик Сергей
Черкашин Павел
Хайретдинов Рустэм
Прозоров Александр













Установить Flash что бы посмотреть видео.






Исходник:

http://www.ok2009.ru/video/

понедельник, 5 апреля 2010 г.

Немного о Рускрипто CTF 2010

Первое место было завоевано командой «CIT», ИТМО, Санкт-Петербург. Второе и третье место распределены между командами «ХакерДом», УрГУ и «Bushwhackers», МГУ, Москва, соответственно.
Команда «SiBears», Томский государственный университет, Томск не вошла в призовую тройку, но заслужила максимальное количество призов в специальных номинациях, получив почетные дипломы как «Лучшие пентестеры», «Защитникам всемирной паутины» и «За бюрократию».
Специальный приз от компании 1С-Битрикс был вручен капитану команды Команда «[Censored]», РГУ им И. Канта, Калининград за защиту Web-приложения, работающего на платформе 1С-Битрикс.




Готовим сайт, а пока фото



















+1 private (by Matrosov)


воскресенье, 4 апреля 2010 г.

Презентация с Рускрипто 2010

По результатам Рускрипто 2010 публикую презентацию с секции «Интернет и информационная безопасность» (http://www.ruscrypto.ru/conference/program/internet/).


Web Application Security Consortium. Перспективы развития


Сергей Гордейчик, технический директор Positive Technologies, член совета директоров Web Application Security Consortium


Web Application Security Consortium (WASC) - международная организация, объединяющая профессионалов в области безопасности веб-приложений, деятельность которой направлена на консолидацию и распространение передового опыта в области безопасности прикладных систем, использующих Web-технологии. В рамках доклада будет приведен обзор текущих и перспективных проектов WASC, анализ примеров использования разработанных документов и таксономий в реальных проектах.



среда, 24 марта 2010 г.

Опубликована финальная программа Рускрипто 2010

Закончился финальный этап формирования программы конференции. С результатами можно ознакомится здесь:

http://www.ruscrypto.ru/conference/program/

В целом программа получилась очень разнообразной и насыщенной - от "Обзора рынка ИБ" до "Однородных двумерных булевых клеточных автоматов" по вертикали и от "IPSEC, TLS, EFS, ФКН с российскими ГОСТами" до "0-day в IBM DB2, Oracle" по горизонтали.

В этом году я и коллеги из Позитива оказались плотно вовлечены в три мероприятия в рамках конференции:


PS. Так случилось, что все это в один день … Разорваться? 

вторник, 9 марта 2010 г.

Verizon опубликовал Verizon Incident Metrics Framework

Итересную новость опубликовал Verizon. В ответ на критику Data Breach Investigations Report был подготовлен опросник для обмена данными об инцидентах. Полезный документ, думаю, что компаниям, работающим в этой области стоит взять на вооружение.

Что приятного - в качестве классификации Web используется WASC WATCv2. Дополнительно - Verizon "вернул" группировку атак и уязвимостей по классам, чего мне очень не хватало во второй версии:

  • Authentication 
  • Authorization 
  • Command Execution/Injection
  • Abuse of Functionality
  • Denial of Service
  • Client-side 
  • Encryption 
  • Protocol Manipulation
  • Miscellaneous



четверг, 4 февраля 2010 г.

Все-таки зачем эти пентесты нужны?

В очередной раз поднята тема "пользы pentest".
Что не может не радовать. Значит актуальность некоторая есть и на Рускрипто я тему вынес в секцию не напрасно.
Попробую кратко высказаться.

Зачем pentest?

Реально встречаю четыре варианта (заслуживающих внимания):
  • доказать/наказать
  • придать импульс, приступить к планированию
  • посмотреть на результаты, проконтролировать
  • так надо (compliance)

Самый жесткий и зачастую чреватый для исполнителя/заказчика - первый. Поскольку доказуемые и наказываемые редко хотят быть доказанными и наказанными, что приводит к активному противодействию. Как на техническом так и на организационных фронтах.
В результате доказующий и доказуемый, вполне договорятся (в одной конторе крутимся, жить дальше надо вместе), а крайним "за ЭТО" (результаты подножек) +"все что еще было" (приписки не умерли с СССР) будет назначен кто-то внешний.

Жесткий вариант, требует жесткого контроля и жесткого согласования каждого чиха (лучше под подпись) и, что самое жесткое - не всегда распознается до наступления последствий (..из избы..).

Как pentest?

Напоминаю - что Penetest - это не только "оценка эффективности технических механизмов защиты внешнего периметра". Вариантов, как и целей много. Стрессовый реверсинг и фаззинг системы защиты от несанкционированного копирования ПО - тоже pentest. Проверка возможности обхода антивируса - тоже pentest.

И в принципе - возможные результаты работ (те самые пользы) должны быть понятны из ТКП ибо говорится что и на что проверяется.

Что же касается "внешний/внутренний"... Самый худший для меня вариант, когда при "red team" заказчик всячески настаивает чтобы "расхакали" вот эти критичные систетемы во глубине инфраструктуры. И всячески отвергает "серый ящик (поговорить, посмотреть, детализировать) после того, как закончим с периметром". Неэффективно, опасно.

Приведу пример неэффективности. Немного технически, но суть та же - "беганье с антенной" - далеко не самый эффективный метод. Хотя и без антенны сложно. Поэтому антенна нужна для установления наличия присутствия, а детализация - поговорить/посмотреть.

Причем "серый" ящик не отменят "пентеста". Все наиболее эффективные работы такого плана проходили по сценарию:

- покопали, много дырок;
- пару страшных каждого типа использовали;
- собрали всех вовлеченных/подверженных - показали.
-- Теперь верите?
-- Верим.
-- Дальше также или чтобы польза была?
-- Да и так все ясно... А что вы про пользу говорили?
- переходим в детальному анализу больных мест, названных консолидированным заказчиком.
Причем не всегда с помощью "penetration". Где MaxPatrol поаудитим, где с админами посидим, где с менеджерами кофейка. Вполне себе аудит получается :)

Конечно, если взять на флаг "передовой материал" по "методикам пентеста" или чеклист "как делать пентест под PCI", то такого не получится. Ибо не написано зачастую в методике :)
Мне пытались возразить, что мол "бюджет, нагрузка, проектные риски". Ничего подобного. Эффективность выше. И для заказчика и для исполнителя.

И тут подползаем к самому интересному

Что в результате

Pentest не отвечает на вопрос "почему?". Да и не ставится такой вопрос.
Есть ответ на вопрос "что?" и, в некоторых случаях "в какой степени?".

Вопрос "Мы знаем, что с Web у нас не очень, но непонятно насколько". Дальше варианты: пару раз ломали, затыкали, но ломали опять/аудитор из большой четверки сказал что у нас нет в договорах разработки систем требований по безопасности (Secure SDLC, нового модного термина №4)."

Ответ "Да, у вас здесь 374 SQLi, это больше чем в среднем по отрасли в 5 раз. Заткнуть не сможете, кривой дизайн. Хоть WAF прикройтесь. Или выключите в отдельном загоне".

Или "У вас 30 процентов кисок настроены так, что вообще непонятно, как работают. Падают? А...."

Или "Adobe патчить надо? А мы думали, что это за истерика у антивирусов"

Ну и плюс много-много мелочей, пропущенных, забытых, оставшихся без приоритетов. Админам побаловаться.

Вот где-то так.

среда, 3 февраля 2010 г.

Соревнование CTF на РусКрипто’2010

Полным ходом идет подготовка к студенческим "хакерским" соревнованиям CTF на РусКрипто’2010.

Собираем команды.

РусКрипто CTF — это всероссийские соревнования по защите информации, проводимые по принципам игры в Capture the flag (Захват флага). В начале игры команды получают идентичные серверы с предустановленным набором уязвимых сервисов, выполняющих определенные функции и содержащие предустановленные уязвимости. Помимо уязвимостей, содержащихся в «самописных» сервисах, информационная среда команд соперников содержит распространенные уязвимости, характерные для реальных информационных систем: слабые пароли, публичные уязвимости в ОС/сервисах, недостатки администрирования, реальные уязвимости в Web-приложениях (таких, как популярные CMS). В процессе соревнований в среде производятся подготовленные организаторами изменения, которые в свою очередь могут синхронно вносить дополнительные уязвимости в среду функционирования сервисов команд.

Задача участников — выявлять уязвимости, устранять их на своих серверах, не нарушая функционирование приложений, и использовать аналогичные уязвимости на серверах команд противников для получения секретной информации (флагов). За процессом игры непрерывно следит жюри соревнования, регулярно помещая новые флаги и уязвимости на серверы команд, и отслеживая наличие ранее установленных флагов и выполнения своих функций уязвимыми сервисами. Кроме того, система принимает от команд флаги, захваченные у соперников, а также рекомендации по устранению найденных уязвимостей и описание способов их использования (advisories).


Подробности:
http://www.securitylab.ru/news/390396.php

понедельник, 25 января 2010 г.

Иногда автоматизация вредна...

Широко прогремела в новостях статистика паролей пользователей RockYou от компании Imperva. Не смотря, на то, что анализ этого инцидента был опубликован Дмитрием Евтеевым около месяца назад, аккурат перед новым годом, юмор ситуации не в том.

Данные, предоставленные Imperva - немного расходятся с действительностью. И не потому, что они где-то просчитались. Просто какой-то из продуктов, используемый для форматирования документа, заменил "неправильный" password на "правильный" Password и далее по всем "словарным" паролям.

Анекдотс.