В тему и offtopic

Что ищут в Yandex хакеры?

2012-01-31T13:22:00.000-08:00

Нет, это не статистика поисковых запросов настоящих элитный хакеров.
Это Юра Гольцев рассказывает об участии Positive Research в программе поиска уязвимостей в Yandex, которая была приурочена к конференции Zeronights.

На том же канале доклады других участников, в том числе и победителей - @kyprizel, @asintsov, @d0znpp

Кремлевские боевые хакеры или включаем мозг, господа!

2012-01-29T11:39:00.000-08:00

Вот и докатилась общественная истерия до нашего спокойного ИБ-сообщества.
В начале января известный в российском "околобезопасном" мирке персонаж, sp0raw опубликовал детальный анализ того факта, что выложенная в сети почта г-на Навального является действительно почтой господина Навального, а не подделкой. В публикации используется анализ подписи DKIM, т.е. фактически электронно-цифровой подписи (ЭЦП), которыми подписывают письма серверы-отправители.

Это механизм позволяет однозначно проверить в какое время было отправлено письмо, кто является отправителем и вносились ли в письмо изменения.
Подробнее: http://sporaw.livejournal.com/100977.html

Расплата последовала незамедлительно. Некто d..b (говорят, достаточно известная в Интернетах личность) опубликовал развернутую заметку о боевых кремлевских хакерах, где не затрагивая сути вопроса, связанного с приведенными доказательствами, обвиняет г-на sp0raw в ботнетостроительстве, краже миллионов долларов и, как это сейчас модно "высурковскаяпропаганда".

В качестве доказательства г-д d..b приводит ссылку на выступление г-на Микко Хиппонена, которому спешно пришлось открещиваться от этого в стиле "давно было, не помню". В этом выступлении г-н Хиппонен рассказывает, как при разборе одного из зловредов в коде была найдена строка, совпадающая с номером машины, которая красуется в качестве аватара в ЖЖ sp0raw. Немного подробнее тут http://www.magxak.ru/xa101/100/1.htm. Т.е. по сути, г-на Микко подвело незнание русского языка, а sp0raw'а - широко известное критическое отношение к антивирусной индустрии.
На основании этой ценной информации г-н d..b предлагает, органам правопорядка, цитирую "Искать пользователя sporaw им было более чем легко: через номер его машины они просто нагрянули к нему домой. ". Слава богу, компетенция нашей полиции достаточна, чтобы не врываться с обысками на основании текстовой строки, написанной неизвестно кем.
В заметке множество интересных доказательств глубокой аналитической работы. Так, например sp0raw упорно называется тинейджером, не смотря на то, что его сайт существует уже более десятка лет, а последний переезд был в 2003 году (https://www.nic.ru/whois/?query=www.sporaw.com). Антон, вы же работали с Лесным, Мерси и другими талантливыми людьми, которые делали российский интернет. Спросите у них, кто такой sp0raw и сколько ему было лет в 2003, когда он для потехи проверял систему централизованного тестирования школьников.
Также вызывает юмор упоминание 273 УК РФ в контексте DDOS. Цитирую " Реальным организатором DDoS-атак против ЖЖ являлся ботнетовод sporaw, и он же взломал почту Навального....Место всем этим заказчикам и пиарщикам — в тюрьме, на одних нарах с исполителями их заказов. Так сказано в Уголовном кодексе Российской Федерации, статья 273.". Возможно я что-то пропустил и последние изменения УК настолько переформатировали что уже и DDOS туда подходит и состав 272 "Неправомерному доступу к компьютерной информации"? Подскажите, кто знает, пожалуйста.

Ну и прочие смешные факты заставляют относится к этому комментарию с глубоким юмором. Но, что-то не смешно, когда почитаешь отклики читателей. Ведь они, не утруждаясь размышлениями, воспринимают это бред за чистую монету и негодуют. Готовы крушить и ломать! На сук злостного ботнетчика, новальнообидчика и тинейджера с мерседесом!

Скажете, г-н d..b может и не разбираться в Интернетах, ему простительны ляпы? Человеку, которого называют "пионером русскоязычного Интернета", такие ляпы непростительны. Даже боюсь представить, насколько близка к правде информация по другим темам...

К чему я это собственно? Все очень просто. Перед нами прекрасный пример, который находится в нашей зоне компетенции, который мы можем проанализировать и сделать выводы о качестве и достоверности информации в том потоке, который хлещет сейчас в Интернете и заставляет людей ~~творить глупости~~ требовать полной демократии.

Основываясь на достоверной, независимой и в высшей степени корректной информации. Ага.

Включаем мозг, соратники.

DISCLAIMER

Практическая безопасность!

2012-01-26T07:32:00.000-08:00

Опубликовано расписание вебинаров Positive Technologies, проводимых в рамках программы образовательная программа "Практическая безопасность" на первое полугодие 2012.

Читаем:
http://www.ptsecurity.ru/webinars.asp

За это время будет организовано более 10 докладов по самым разным темам: безопасности SAP и сетевых устройств, использованию MaxPatrol для выполнения требований PCI DSS ASV и тонкой настройке snmp и syslog для анализа инцидентов...

Первый вебинар программы этого года «Как взломать телеком и остаться в живых» прошел 19 января. С записью можно ознакомится по следующей ссылке:
http://www.ptsecurity.ru/webinars.asp?t=1

Строим сеть для хакеров

2012-01-25T19:55:00.000-08:00

Official release
http://habrahabr.ru/company/pt/blog/137011/

Community edition
http://habrahabr.ru/blogs/infosecurity/137008/

Брюс Шнайер в Москве?! ДА!

2012-01-25T08:25:00.000-08:00

Коллеги! Спешу поделится новостью. Многоуважаемый Брюс Шнайер подтвердил свое участие в Positive Hack Days в качестве keynote.

По заверениям Димы Евтеева сайт не ломали, письма не подделывали, все настоящее. Будем надеется, что ничего не сорвется.

Что может произойти? Мало ли...

Вдруг его приезд приравняют к
# license boot module c3900 technology-package securityk9

Или наоборот, другие, решат что выезд попадает под EAR.

Также не забываем, что выступить с Брюсом на одной площадке просто. CFP и YS для ждут ваших докладов!

PS. Для тех,кто не знает, кто такой Bruce Schneier. Он дядя Алисы и Боба и близкий знакомый Евы и Мэллори. Подробности тут.

XSpider умер?! Да здравствует XSpider!!!

2012-01-22T13:29:00.000-08:00

C 01.01.2012 прекратились продажи легендарного сканеразащищенности XSpider 7.7. Естественно поддержка и обновление базы знаний будетпродолжаться «до последнего клиента». Что же это значит? Неужели XSpider большенет?

Отнюдь! На замену XSpider 7.7 пришила новая версия XSpider7.8.

Что же нового в XSpider 7.8?

Продукт XSpider 7.8 в корне отличается от всех предыдущих “седьмых” версий тем,что основан на программном ядре нашего системы MaxPatrol. Это дает возможность генерацииотчётов не только на русском, но и на английском языке, возможность интеграциис системами корреляции событий безопасности и т.д.

Еще одной приятной новостью для пользователей XSpider станет возможность самим вносить влицензию проверяемые IP-адреса, а также возможность добавлять хосты по именикомпьютера, что решает многолетние сложности с лицензированием предыдущихверсий XSpider в сетях с использованием адресации DHCP.

Количество проверок на уязвимости так же значительноувеличено – с примерно 9000 в версии XSpider 7.7 до более чем 15000 в версии XSpider 7.8.

Где же скачать XSpider 7.8? Пока демо-версию мы не опубликовали, но можно послать заявку на получение оценочной версии тут.

Сравнительные характеристикиMaxPatrol, XSpider 7.8 и XSpider 7.7

Функции	XSpider 7.7	XSpider 7.8	MaxPatrol PAC
Инвентаризация
Поиск узлов	+	+	+
Идентификация ОС и приложений	+	+	+
Инвентаризация аппаратной базы	-	+	+
Инвентаризация установленного ПО	-	+	+
Инвентаризация настроек	-	+	+
Анализ защищенности в режиме Pentest
Поиск уязвимостей	Более 9000 уязвимостей для различных систем и приложений (серверные системы)	Более 15000 уязвимостей для различных систем и приложений (серверных и клиентских систем)	Более 30000 проверок уязвимостей для различных систем и приложений (серверных и клиентских систем)
Проверка паролей	+	+	Online и Offline проверка паролей
Проверка Web-приложенний	+	Улучшенное ядро с поддержкой AJAX и WEB 2.0	Улучшенное ядро с поддержкой AJAX и WEB 2.0
Соответствие PCI DSS ASV	-	Встроенные профили и отчеты PCI DSS ASV	Встроенные профили и отчеты PCI DSS ASV
Анализ защищенности в режиме Audit
Обновления систем	Обновления ОС Microsoft Windows Обновления OC IOS (Cisco)	Глубокий анализ систем Cisco и Microsoft	Более 30000 проверок для различных систем и приложений, включая Cisco, Juniper, Huawei, Nortel, Microsoft, Solaris, HP, IBM, Linux, SAP
Проверка стойкости паролей	-	+/-	Анализ стойкости паролей в режиме Audit, включая сетевое оборудование, ОС, СУБД и прикладные системы.
Оценка защищенности СУБД	-	Поиск обновлений безопасности	Комплексный анализ защищенности, включая уязвимости аутентификации, разграничения доступа, ошибки конфигурации.
Анализ конфигурации	-	-	Анализ безопасности конфигураций систем, включая: Cisco, Juniper, Huawei, Nortel Windows, Solaris, HP-UX, AIX, Linux MS SQL, Oracle, IBM DB2 Microsoft Office, Internet Explorer, Active Directory , MS Exchange, IIS, Apache, SAP/R3, Lotus Notes
Контроль соответствия стандартам
Контроль технических стандартов	-	-	Контроль технических стандартов для различных систем и приложений, включая: Cisco, Juniper, Huawei, Nortel Windows, Solaris, HP-UX, AIX, Linux MS SQL, Oracle, IBM DB2 Microsoft Office, Internet Explorer, Active Directory , MS Exchange, IIS, Apache, SAP/R3, Lotus Notes
Адаптация под требования	-	-	+
База знаний	-	-	CIS, Positive Technologies
Соответствие международным, отраслевым и государственным стандартам	-	-	Встроенная база содержит шаблоны отчетов PCI DSS ISO 27001/27002 152 – ФЗ «О персональных данных» СТО БР ИБСС
Отчеты
Язык отчетов	Русский	Русский/Английский	Русский/Английский
Форматы отчетов	HTML, RTF, XML	MHTML, PDF, XML, SIEM-XML	MHTML, PDF, XML, SIEM-XML
Технические отчеты	+	+	+
Рекомендации по устранению	+	+	+
Контроль изменений	-	-	+
Контроль соответствия стандартам	-	-	+
Контроль метрик безопасности	-	-	+
Автоматизация
Автоматизация сканирования	Автоматический запуск сканирования и рассылка отчетов (в версии Enterprise)	Автоматический запуск сканирования и рассылка отчетов	Полная автоматизация процесса сканирования и отчетности. Пересканирование узлов с ошибками. Генерация отчетов и уведомление сотрудников в зависимости от результатов сканирования.
Поддержка базы	Вручную	Вручную	Автоматизированное резервное копирование и очистка базы.
Управление и масштабирование
Удаленное управление	Локальная консоль	Локальная консоль	Удаленная консоль
Централизованное управление	-	-	Централизованное управление процессом через MaxPatrol Server
Централизованная отчетность	-	-	Централизованный сбор и анализ отчетов MaxPatrol Server, MaxPatrol Consolidator
Масштабирование	Одно рабочее место (около 2500 узлов)	Одно рабочее место (не более 10.000 узлов)	Масштабирование с учетом топологии и производительности на основе MP Server, MP Scanner и MP Consolidator
Интеграция
Системы корреляции событий безопасности	-	Cisco MARS, Arcsight, Symantec SIM, NetForensics	Cisco MARS, Arcsight, Symantec SIM, NetForensics
Системы управления ресурсами	-	-	Active Directory/LDAP Другие системы
Системы разграничения сетевого доступа	-	-	NAC/NAP
Системы документооборота	-	-	+
Сертификация решения
Сертификат МО	+	Работы по сертификации начаты	+
Сертификат ФСТЭК	+	+	+

Компилируем конференции

2012-01-16T13:38:00.000-08:00

Набрел на интересный ресурс - сборник информации о конференциях по информационной безопасности.
Достаточно удобный календарь, поиск. В общем - полезный сайт.
http://www.conpiler.com/

Может кто-то подскажет аналогичные?

Многобукв про PHDays CTF Quals & Afterpaty

2011-12-29T20:56:00.000-08:00

Буду краток

0day from PHD CTF

2011-12-26T10:38:00.000-08:00

mPDF <= 5.3 File Disclosure

by Zadyree ~ 3LRVS Team

http://www.1337day.com/exploits/17280

Thanks - PHDays CTF....

Приятно.

Как взломать пароль ВКонтакте?

2011-12-21T08:04:00.000-08:00

Достаточно просто.

http://habrahabr.ru/company/pt/blog/135056/

PHDays CTF 2012 Participants [updated!]

2011-12-18T21:04:00.000-08:00

So here it is. By authority of PHDays CTF Overlord... The list of the Keyboard Cowboyswho will fight… Fight in the final battle… In the Positive Hack Days Capture theFlag 2012 final!

0daysober, Switzerland

BIOS, India

C.o.P, France

eindbazen, Netherlands

FluxFingers, Germany

HackerDom, Russia

int3pids, Spain

IV, Russia

leetmore, Russia

Plaid Parliament of Pwning, USA

Shell-storm, France/Switzerland
HNG48, Japan (+1)

Where is rdot.org? Winnerof PHDays CTF Quals?

Psssssss… This is a BIG secret!

Agitatrix Wanted!

2011-12-15T22:20:00.000-08:00

Positive Hack Days Call For Papers is open!

Russian

http://phdays.ru/cfp.asp

English

http://phdays.com/cfp.asp

Bolshoyeh spasebaw, tovarishch!

Positive Hack Days team

Молодые ученые, где вы?

2011-12-15T22:18:00.000-08:00

Мне часто задают вопрос - как попасть на Positive Hack Days?

Ответов много, и один из них - войти в финал конкурса молодых ученых Young School.
С помощью форума Positive Hack Days мы хотим помочь молодым ученым проявить себя и сделать так, чтобы о результатах их исследований заговорили. Свежие идеи, новая энергия, разнообразие тем - вот наша цель.

Авторов лучших работ с соавторами и научными руководителями мы с удовольствием пригласим на форум Positive Hack Days 30-31 мая 2012 года в Москве.
На форуме победители получат уникальную возможность представить результаты своих исследований лично перед широкой экспертной аудиторией, включая ведущих российских и мировых экспертов в области ИБ.

Огромное спасибо Андрею Петухову, взявшемуся за организацию конкурса, а также участникам программного комитета, в который вошли:

Дмитрий Кузнецов, Positive Technologies
Денис Гамаюнов, ВМиК МГУ
Александра Дмитриенко, Technische Universitat Darmstadt
Владимир Иванов, Яндекс
Алексей Качалин, Advanced Monitoring
Никита Киcлицин, Журнал "Хакер"
Игорь Котенко, СПИИРАН
Павел Ласков, Eberhard Karls Universitat Tubingen
Александр Поляков, Digital Security, ERPScan
Алексей Синцов, Digital Security, Defcon Russia Group
Бешков Андрей, Microsoft.

Подробнее:
http://phdays.ru/ys.asp

PHD CTF Quals - Итоги

2011-12-11T22:15:00.001-08:00

Ура!

Благодаря усилиям команды PHDays CTF под предводительствомВсевластителя CTF Дейва Ив-Тей-Воуспешно завершен отборочный этап Positive Hack Days CTF 2012.
В соревнованиях приняли участие команды из России, США, Японии, Украины, Нидерландов, Франции, Южной Кореи, Туниса, Германии, Швейцарии, Кении, Канады, Перу и Великобритании.

По результатам отборочного этапа в финал выйдет 3-5 команд.А может быть и больше. Точное количество определим на этой неделе, исходя извозможностей площадки. Напоминаю, что ряд команд приглашается на основе ихобщемирового и российского рейтингов, без необходимости проходить отборочные.

Первое место по праву досталось команде rdot.org из Санкт-Петербурга, которая захватила лидерство в самом начале соревнований и не давала соперникам даже малейшего шанса на победу.

Для тех, кто не следил онлайн - битва была нешуточная.Особенно жарко было на 2-3 местах, где схлестнулись питерская leetmore и eindbazenиз Нидерландов. Второе место переходило из рук в руки несколько раз. И лишь впоследние полчаса парни из Нидерландов серьезно опередили питерцев и закрепилиза собой серебро.
Напоминаю, что прямо сейчас на этой площадке идет Online HackQuest PHD CTF Afterpaty.

Ситуация в первой десятке менялась постоянно. Одно времяхорошие позиции занимали MachoMan, за которых мы активно болели. Но, в ходеигры они были вытеснены на 12 место российскими командами. Долго запрягали, нобыстро ехали команды HackerDomиз Екатеринбурга и int3pids из Испании (почему-тозарегистрировавшиеся как представители Афганистана). Первую половину игры онисерьезно отставали от лидеров и мы уже начали беспокоиться за корифеевроссийского CTF. Но собравшись с силами команды, взяли наиболее сложные флаги ипрочно удерживались в призерах. В результате int3pids заняли 4-е место, аHackerdom - 5-е. Надо отметить, что 5-е место далось Екатеринбургу далеко непросто. Последние несколько часов ноздря в ноздрю с ними шла команда 0daysoberиз Франции, чье название почему-то вызывает у меня мысли о гаражном роке ичем-то далеком и печальном. Спросил у гугла, все сходится (g sober song noir desir).

Ребята бились буквально за каждый бал. За 15 минут до концасоревнований HackerDom обогнал 0daysober на один бал и не смотря на усилия французскойкоманды, занял пятое место с минимальным отрывом в 0,5 балла.

К сожалению, коллегам из США, Японии, Туниса, Германии, Швейцарии,Кении, Канады, Перу и Великобритании не удалось войти в десятку сильнейших. Полагаю,все впереди.

Всего в соревнованиях зарегистрировалось 72 команды с разныхконцов света. Из них 45 приняло активное участие в Битве за Монолит и сумело"размочить счет".

Забавно, но большие затруднения у команд вызвал взлом Windows 98. Видимо настали те времена, когда эта операционная система может считаться одной из самых защищенных.

Как взломать маздай?

Хотелось бы отметить команды Antichat Team, [censored],ufologist, Shine (Россия), Big-daddy, ensib (Франция), MachoMan(Южная Корея), Nullarea Tunisian Team (Тунис) и takeshix (Германия), которыехотя и не заняли призовых мест, но стойко боролись за победу и помогли сделатьигру динамичной и увлекательной.

География отборочного этапа PHD CTF 2012

Победители соревнований*

Позиция	Имя команды	Количество баллов	Страна
1337	rdot.org	87	Россия
1	eindbazen	68	Нидерланды
2	leetmore	64	Россия
3	int3pids	54.5	Испания
4	HackerDom	41	Россия
5	0daysober	40.5	Франция

* на мой субъективный взгляд

Описания заданий

http://eindbazen.net/?p=308

http://eindbazen.net/?p=293

http://x86overflow.blogspot.com/2011/05/phdays-ctf-ndevice-partial-writeup.html

Twitter

Финальный счет

Позиция	Имя команды	Количество баллов	Страна
1	rdot.org	87	Россия
2	eindbazen	68	Нидерланды
3	leetmore	64	Россия
4	int3pids	54.5	Испания
5	HackerDom	41	Россия
6	0daysober	40.5	Франция
7	[censored]	35	Россия
8	ufologists	32	Россия
9	Antichat Team	29	Россия
10	Big-Daddy	28.5	Франция
11	Shine	27.5	Россия
12	MachoMan	26.5	Корея (Южная)
13	ensib	20.5	Франция
14	Nullarea Tunisian Team	20	Тунис
15	takeshix	17.5	Германия

PHD CTF Quals - битва в полном разгаре

2011-12-10T11:18:00.001-08:00

Идет нешуточная битва между командами на отборочных соревнованиях CTF Positive Hack Days. Из зарегистрированных 70 команд только 34м удалось "размочить" счет.
На первом месте упорно держится команда RDOT.ORG из Санкт-Петербурга. За второе место идет ожесточенная борьба между LeetMore из Санкт-Петербурга и eindbazen из Нидерландов.
Второе и третье место уже неоднократно переходило из рук в руки и данный момент счет сравнялся. По 46 баллов у каждой из команд. С большим отрывом идут ребята из Екатеринбурга, объединенная группировка Antichat, Shine и int3pids из Афганистана (?!).

Следить за развитием событий можно в твиттере https://twitter.com/#!/search/phdays и на сайте соревнований http://phdays.ru/ctf_quals_rating.asp.

Вот как выглядит распределение 15 первых мест на настоящий момент:

Позиция	Имя команды	Количество баллов	Страна
1	rdot.org	64.5	Россия
2	leetmore	46	Россия
3	eindbazen	46	Нидерланды
4	Antichat Team	16.5	Россия
5	HackerDom	15.5	Россия
6	Shine	15	Россия
7	int3pids	14	Афганистан
8	Bitmap	13.5	Россия
9	SiBears	13.5	Россия
10	Big-Daddy	13	Франция
11	lst	12	США
12	[censored]	12	Россия
13	Nullarea Tunisian Team	10	Тунис
14	MachoMan	9	Корея (Южная)
15	ai0	9	Россия

Заканчивается регистрация на HackQuest PHD CTF Afterparty

2011-12-03T10:17:00.001-08:00

В рамках конкурса участники могут попробовать свои навыки в области оценки защищенности, поиска и эксплуатации уязвимостей, реверс-инжиниринга и просто хакерства.
Задания конкурса разработаны на основе Positive Hack Days CTF 2010.

Принять участие

Материалы Zeronights

2011-12-03T09:48:00.001-08:00

Опубликованы презентации с Zeronights:http://www.slideshare.net/DefconRussia/tag/zeronights-2011

Опубликовано видео зарисовка от Defeza:

Обзоры и отзывы

[1,2,3,4,5,6,7,8,9]

Позитив на ZeroNights

2011-11-27T00:09:00.001-08:00

Вчера вернулись ударной группой Positive Technologies из Питера,где проходила конференция ZeroNights организованнойDigital Security под брендом питерской группы Defcon. Спешу поделиться впечатлениями.

Самое интересное,как это и положено в России, началось где-то между Москвой и Петербургом. Какоказалось, в поезде далеко не только мы ехали в Питер по делам нашим хакерским,и несколько часов в ресторане вполне могут быть обозначены как выездноезаседание хакерской конференции (впишите название на свой вкус).

Мною, специально для создания железнодорожного антуража была припасена литрушечка креазотного односолодового Ardbeg. Это позволило, подняв силу духа на непревзойденную высоту, обсудить с D0znpp вопросы ИБ-стартапов в России и перспективы развития технологий.

Утренний кофе в привокзальном кафе, навигация со стороны ребят из RDOT и Яндекс.Карт позволило без особой боли найти далекое от общественного транспорта место проведения. Коллективным разумом мы пришли к мнению, что это был первый Quest на геолокацию.

Все происходило в отеле Карелия, залы Ладога и Онега (http://www.karelia.spb.ru/ru/conf).Плюс был задействован холл между залами для кофе брейков и конкурсов.

К 11 появился Профессор Анисимис, который специально для ZeroNights опубликовал с ребятами из Positive Research несколько ZeroDays в любимом нашим сообществом SAP.

Программа шла в 2 потока. По моим ощущениям было 250-300человек, в пике – возможно и больше. Очень много знакомых, к середине я устал запоминать с кем успел поздороваться, поэтому просто улыбался всем. Надеюсь, не выглядел круглым ~~идиотом~~ американцем.

В программе случилось четыре зарубежных докладчика. Из них яркое впечатление оставило выступление Philippe Langlois. Но я скажу, что и наши не подкачали, было достаточно много хардкорных тем, например "О практической деобфускации", "Kernel Pool Overflow", "Уязвимости расщепления HTTP ответа", уязвимости PLC и темы про всякие вирусы.
Порадовало методическое мастерство Андрея Бешкова, который защищал программы Microsoft по обеспечению защиты своих продуктов перед грозными хакерами и линуксоидами.
На Ярочкина по пасть не удалось, поскольку именно в этот момент делал доклад "Как взломать телеком и остаться в живых".

Как взломать телеком и остаться в живых

Английская версия презентации доступна тут.

По моему скромному мнению вышло достаточно весело.

После обеда с удовольствие послушал Philippe Langlois с его вивисекцией SS7. Иногда возникало ощущение, что еще немного, и он начнет, как фокусник, доставать SMS из воздуха голыми руками.

Также из Позитивных соратников выступали Денис Баранов и Шишкин Артем. В ближайшем времени опубликуем материалы.

Denis Baranov: Root via XSS

В ходе своего выступления Денис отработал Resposible Disclosure XSS уязвимости в сайте ZeroNights.

Поскольку на конференции было зверски холодно (это, наверное единственный достойный упоминания организационный прокол), он все время ходил в свитере. Перед выступлением он снял свитер и вышел в футболке, с 0day.

Вы можете увидеть эту эпическую футболку на видео (3:28).

Ну, или на картинке.

Выступив и дав организаторам возможность считать QR-код с вектором атаки со спины Денис тактично надел свитер, за что и получил первое место на конкурсе на лучшую хакерскую футболку.

Конкурсную программу описывать не буду, поскольку не участвовал. Но, имхо, было скучновато, все вытягивал RDOT. Мегакрасиво смотрелся стенд со SCADA.

На демонстрации уязвимостей порадовал functional abuse в Google Docs, такое сочетание old school с модными вебдванолями.

Получив благодарность от Yandex за найденные уязвимости, мы поехали в славную пивнушку. Говорят был Spekers Dinner, но собралась такая душевная компания, что я поехал с ребятами. По дороге потерялись с г-ном Петуховым, но хронически сел телефон, поэтому не нашлись.
Двойная порция "Double Chocolate" постепенно превратилась в "Невское" в вагоне, а оно магическим образом трансформировалось в утренний кофе в Москве.

По дороге было решено большинство актуальных мировых проблем, но как часто бывает, точного решения ни кто не записал, и на утро многое забылось.

Было круто, спасибо всем за этот праздник.

PS. Матрешка просто великолепная!

Специально для ZeroNights :-)

2011-11-24T22:47:00.001-08:00

Парни из исследовательского центра Positive Research опубликовал пачку 0day в SAP.

http://www.securitylab.ru/lab

Как бы цитируя Пелевина, сила Ночи, сила Дня...

Полная история Битвы за Монолит

2011-11-23T12:30:00.001-08:00

Человечество не скоро поймет, с чем ему

посчастливилось столкнуться.

И посчастливилось ли вообще.

Дейв Ив-Тей-Во, заседание Комиссии ООН по проблемам Монолита.

30 мая 2022 года

Приказ №1337.

Совершенно секретно.

Для реализации задач обеспечения проактивной безопасности артефакта Монолит в рамках проекта PHD создается специализированное подразделение кибервойск. Подразделение находится в прямом подчинении главнокомандующего. Подразделению предписывается всеми доступными средствами остановить или существенно замедлить развитие Монолитов PHD, указанных в Приложении 1 данного приказа. Приказ разрешает использовать все доступные средства, в том числе нарушающие Хабаровскую конвенцию ООН «О запрещении кибернетического оружия». На время выполнения операции командиру подразделения присваивается внеочередное воинское звание капитана войск связи.

Видеоархив NSA.

Материал №103308-45.

Продолжить...

Принять участие...

Positive Hack Days 2011 Commercial Video

2011-11-18T00:48:00.001-08:00

Смотрим!

PHD 2011-2012 from Positive Technologies on Vimeo.

Битва за Монолит: CTF Quals и Afterparty

2011-11-14T23:00:00.001-08:00

В декабре пройдет отборочный турмеждународных соревнований по защите информации PHD CTF 2012. Основные состязания пройдут 30-31 мая 2012 года вМоскве во время международного форума по информационной безопасности Positive Hack Days 2012, организуемого компанией Positive Technologies.

В этом году последовательно организуются два отборочных тура, в которых смогут принять участие как команды (CTF Quals), так талантливые одиночки (CTF Afterparty).

Все участники попробуют свои силыв оценке защищенности, поиске и эксплуатации уязвимостей, выполнении задач по reverse engineering и просто хакерстве. Борьба будет проходить вусловиях, максимально приближенных к боевым: уязвимости, использованные в PHD CTF Quals и CTF Afterparty, не выдуманы, а основаны на проблемах, обнаруженных экспертами исследовательского центра Positive Research в ходе тестов на проникновение и работ по анализу защищенности.

10 и 11 декабря в первом туре – PHD CTF Quals – определятся лучшие команды, которые примут участиев финале Positive Hack Days CTF в мае.

С 12 по 25 декабря состязанияпродолжатся в индивидуальном зачете по правилам Hack Quest. Самые яркие участники PHD CTF Afterparty 2011 получат дипломы от Positive Technologies и персональные приглашения на форум Positive Hack Days, который пройдет в Москве в мае 2012года.

В 2011 году в соревнованиях PHD CTF 2011, приняли участие 10 команд из России, Европы и Индии.Призовые места и призовой фонд составлявший более четверти миллиона рублей разделили команды РРР из Питтсбурга (США), Leet More из Санк-Петербурга и HackerDom из Екатеринбурга. Все участники получили подарки от организаторов Форума - компании Positive Technologies и спонсоров.

Как взломать телеком и остаться в живых?

2011-11-09T09:38:00.000-08:00

В рамках Питерской конференции ZeroNights расскажу о тестировании на проникновения сетей телекомов.

Миллионы IP-адресов, десятки тысяч узлов, сотни Web-серверов всего лишь месяц времени. Какие вызовы ожидают аудитора при тестировании сети телекома? На что стоит обратить внимание? Как наиболее эффективно использовать отведенное на работу время? Почему абонент опасней хакера? Почему подрядчик опасней абонента? Как связать уязвимость и финансовые потери? Об этом, а также о самых показательных и забавных случаях тестирования на проникновения телекоммуникационных сетей

http://www.zeronights.ru/speakers#gordeychik

Там же доклад Дениса Баранова об Жутких XSS.

http://sgordey.blogspot.com/2011/10/zeronights.html

Будет весело.

MS11-083: Ждем новый Slammer?

2011-11-09T09:03:00.000-08:00

(почти) Жуткая, жутка уязвимость в стеке.

Почему жуткая? По моему опыту, UDP фильтруется очень плохо. Например в сетях провайдеров ШПД зачастую режут "плохие" 135/445/137/139 по TCP и оставляют открытыми те же протоколы, которые прекрасно работаю и в ряде выпусков Windows включены по умолчанию и по UDP.
+ Скорость распространения, количество целей, спуфинг адреса...
Вспоминается SQL Slammer, который в свое время просаживал Интернет и корпоративные сетки до полной перегрузки каналов. А там был только MS SQL. А тут практически все.

Почему "почти". Экплойта нет. пока.

http://www.securitylab.ru/vulnerability/409824.php
http://technet.microsoft.com/en-us/security/bulletin/ms11-083

Вскрываем пароли SAP

2011-10-31T23:34:00.000-07:00

Недавно парнями из нашего исследовательского центра Positive Research было тихо опубликовано расширение для Whireshark, позволяющее раскодировать трафик SAP DIAG (протокол, используемый клиентом SAP GUI для работы с системой). Протокол, как известно работает практически plain-text, но слегка закодирован. С помощью утилиты можно анализировать трафик и, в том числе, "выдергивать" пароли пользователей.

Примечательна история публикации. Мы раскодировали SAP DIAG (а так же как и SAP CODVN A-G) и успешно встроили их в MaxPatrol, для проверки стойкости паролей (offline и online, в режимах Audit и Pentest соответственно).

Однако, по причине того, что текущая реализация содержит ряд ошибок уровня проектирования - отписали в SAP и решили не разглашать. Однако в сентябре парни из SensePost опубликовали SAP DIAG Proxy SAPProx и security by obscurity опять дала течь.
В результате решили опубликовать и свои результаты.
Прошу любить и жаловать.
http://ptresearch.blogspot.com/2011/10/sap-diag-decompress-plugin-for.html

Естественно - утилита только для демонстрационных целей и легального использования.

Еще события от Positive Research:
http://sgordey.blogspot.com/search/label/research

Наши парни на ZeroNights

2011-10-28T00:48:00.000-07:00

Денис Баранов с кратким как выстрел, емким как приказ докладом "Root через XSS".

Немного про спутники

2011-10-27T09:26:00.000-07:00

То ли настроение хорошее, то ли день такой. Очередной анекдот в связке двух ссылок. Три года прошло, а все то же.

27 октября, 2011
США: Китайские хакеры взломали американские спутники
http://www.securitylab.ru/news/409126.php

01 апреля, 2008
Китайские спутники-шпионы нарушили работу американской ПРО
http://www.securitylab.ru/news/349380.php

Отметим, что ни одна группа хакеров до сих пор не взяла на себя ответственность...

2011-10-27T03:41:00.000-07:00

Прочитал и аж заухал от удовольствия. Хакеры - террористы 21 века. Anonymouos == Аль-Каида. Что дальше? Демократические бомбардировки на основе IP-адреса в "хакерском" пакете?

Ищут пожарные, ищет милиция

2011-10-14T00:06:00.000-07:00

Приглашаю к нам в позитивную команду непростого человека на непростые задачи.

Ведущий аналитик/Руководитель тестовой лаборатории исследовательского центра Positive Research

Обязанности:

Решение широкого спектра задач в области анализа рынка технических средств защиты информации, конкурентного анализа.
Направления: Vulnerability & Compliance Management, IT GRC, SEIM, Incident & Forensics Management.
Разработка методик и подходов к оценке эффективности средств защиты.
Разработка процедур и организация тестирования, подготовка аналитических отчетов по результатам тестов.
Участие в формировании ТЗ на развитие продуктов Компании.

Требования:

Широкая эрудиция в предметной области
Экспертные и аналитические навыки
Высшее техническое образование
Опыт работы (возможные варианты):
- Участие в экспертизе ИТ и ИБ решений и проектов
- Опыт аналитической и проектной работы, обоснование выбора различных систем (например, в роли системного архитектора)
- Опыт разработки и применения методик оценки эффективности (технического и аналитического) различных ИТ-систем приветствуется
Будут плюсами:

Знакомство с методиками и подходами к оценке эффективности средств защиты (NSS Labs, WASC,…)
Знакомство и применение технических и высокоуровневых стандартов защиты
Опыт управления небольшим коллективном технических специалистов (2-3 чел.)
Опыт работы с корпоративными системами, понимание специфики требований крупного бизнеса к ИТ и ИБ решениям.

PS. Ссылка - offtopic.

Pentest Magazine – Pentesting in the Cloud

2011-08-05T00:24:00.000-07:00

Вышел августовский номер PenTest Magazine, целиком и полностью посещенный пентестам с помощью/из/на Clouds.
http://pentestmag.com/august-issue-pentesting-in-the-cloud/

Среди всего прочего статья Юрия Гольцева и вашего покорного слуги "{AB}USE THEIR CLOUDS", написанная по материалам одноименного доклада на Positive Hack Days 2011 (http://phdays.ru/program-business2011.asp).

Яндекс, Google, Мегафон, Вконтакте и все-все-все!

2011-08-03T23:41:00.000-07:00

В связи с шумом в СМИ попытались научно-популярно разъяснить ситуацию в ходе вебинара , проводимого в рамках программы "Практическая безопасность".
Презентация "Почему случился Russian.Leaks?"

Sergey Gordeychik - Russian.Leaks

View more presentations from qqlan.

Запись выступления

Почему случился Russian.Leaks from phdays on Vimeo.

VmWare закрывает устраняет уязвимость DNS Rebinding

2011-07-27T23:37:00.000-07:00

VmWare признала опасность и приступила к устранению обнаруженной Денисом Барановым уязвимости DNS Rebinding в интерфейсах управления ESX.
Это - хорошо. Подробнее:

http://www.ptsecurity.ru/news_page.asp?id=101

Пара новостей про кибервойны

2011-07-19T09:55:00.000-07:00

Комментировать некогда, но требуется отметить важные факты

http://vpk.name/news/55107_perezagruzku_zalozhat_v_kompyuter.html

https://www.infosecisland.com/blogview/15165-DoD-Releases-Strategy-for-Operating-in-Cyberspace.html

http://www.ibusiness.ru/25300

"Секретные ссылки", Мегафон, Яндекс и все-все-все

2011-07-19T01:58:00.000-07:00

Продолжается тема с "утечками" данных через поисковые машины.

http://www.securitylab.ru/news/406380.php

Всегда возникает вопрос - "А как эта ссылка попала в индекс"

Пока явно видно 4 основных пути:

1. Ошибка северной части Web-приложения (возможно EMS?) которая допускала утечку (индексация директорий, user-friedly поиск а-ля WASC Insecure Indexing).
2. Сами пользователи, публикующие в открытых источниках "секретные ссылки".
3. Системы сбора статистики, (Yandex-метрика), показа баннеров и другой внешний контент (sms.prm.ru).
4. Расширения браузеров для оптимизации (Яндекс.Бар, Chrome), которые автоматически отдают ссылки на индексацию (Мегафон?).

Понятно, что все эти направления лишь использую недочеты в сайтах, являясь "триггером", выявляющим уязвимости, а подчас и осуществляющим "несанкционированный доступ".

Позитивные вебинары

2011-07-18T22:47:00.000-07:00

В четверг запускаем цикл вебинаров, посвященных практической безопасности.
Начнем с материалов Positive Hack Days (http://www.phdays.ru).

Посмотреть расписание и зарегистрироваться можно тут:
http://www.ptsecurity.ru/webinars.asp

Конкурс статей на SecurityLab

2011-07-18T21:29:00.000-07:00

На конкурс принимаются оригинальные, ранее не публиковавшиеся статьи, тематика которых совпадает с тематикой сайта.

Статьи принимаются до 15.12.2011 года. Главный приз – планшет на android 3.0 ASUS Eee Pad Transformer 1Gb DDR2 32Gb, за второе место - Acer Iconia Tab A500 16Gb, за третье - планшет Samsung Galaxy Tab P1000 16Gb (*).

Каждый участник конкурса получит ценные призы от компании “Positive Technologies” и партнеров компании.

Срок проведения конкурса с 5 апреля по 1 июля 2010 года. Итоги конкурса будут подведены до 1 сентября.

http://www.securitylab.ru/contest/406368.php

Открытое письмо Президенту от Челябинских Хакеров

2011-07-14T10:57:00.000-07:00

К общей моде писать открытые письма присоединились Челябинские Хакеры.
В фокусе - 152 ФЗ "О персональных данных".

http://www.securitylab.ru/opinion/406342.php

Я посмеялся от души.

"Итоги". Как воюют киборги

2011-07-13T09:36:00.000-07:00

Элементы кибервойны уже широко используются как в холодном противостоянии, так и в ходе горячих боевых действий. Остается только надеяться, что недоказуемость и безнаказанность кибератак не сподвигнет горячие государственные головы на использование их в качестве самостоятельного средства наступления. В киберпространстве сейчас нет паритета, нет стратегии сдерживания, и достаточно вероятно, что массированная кибератака может стать casus belli.

Как воюют киборги
Елена Покатаева, Итоги
http://www.itogi.ru/hitech-business/2011/28/167285.html

Презентации с Positive Hack Days

2011-07-01T06:08:00.000-07:00

Опубликованы долгожданные презентации с Positive Hack Days.

Ссылки:
http://phdays.ru/program-business2011.asp
http://phdays.ru/program-tech2011.asp
http://phdays.ru/master-classes2011.asp

И снова о Chronopay

2011-06-30T23:06:00.000-07:00

Неожиданный поворот истории с Chronopay:

ФСБ арестовала в аэропорту «Шереметьево» гендиректора платежной системы Chronopay, известного интернет-деятеля и борца со спамом Павла Врублевского. Его обвиняют в DDoS-атаке на конкурента - «Ассист», парализовавшей в прошлом году систему продажи билетов на сайте «Аэрофлота».

http://safe.cnews.ru/news/top/index.shtml?2011/06/27/445316

Немного истории:
http://www.securitylab.ru/news/tags/Chronopay/

От комментаривет воздержусь, ибо мало ли кто там компелирует в месте.

Обходим ModSecurity 4fun & T-Shirt

2011-06-29T23:43:00.000-07:00

Саня Зайцев и Юра Гольцев из исследовательского центра Positive Research компании Positive Technologies продемонстрировали несколько векторов обхода Mod Security в рамках SQL Injection Challange. За что им ура и футболка :).
Чуть подробнее:
http://www.ptsecurity.ru/news_page.asp?id=98

Мировая гонка кибервооружений

2011-06-22T13:34:00.000-07:00

Передача "Угол зрения" на канале Эксперт

Каковы реальные размеры киберпреступности в России и в мире? Какие опасности таят себе в компьютерные технологии? Каким образом возможно наладить правовое регулирование в этой сфере?

http://expert.ru/2011/06/20/ugol-zreniya/

Некий Алексей Лукацкий...

2011-06-20T08:59:00.000-07:00

Обожаю журналистов. Привык, конечно, к некоторой вольности... Но... Иногда....

Несколько цитат

...в том числе атомные электростанции, водоочистные сооружения и промышленные предприятия был запущен специальный компьютерный вирус Stuxnet...

...Юные дарования ломают все: ноутбуки, iPohne, даже на iPad покусились...

...«Налевайка (взломай и выпей)»...

И, наконец, шедевр!

...Некий Алексей Лукацкий, например, взломал сетевое устройство компании Cisco, шустро подобрав пароль Cisco Cisco, после чего в компании призадумались...

http://vo-vremya.ru/section/business/it/chto_mogut_rossiiskie_hackeri036.html

Казань: IT & Security Forum 2011

2011-06-05T23:09:00.000-07:00

Волею судеб посетил форум IT & Security Forum 2011, проходивший в Казани.
http://www.itsecurityforum.ru/2011/about

Неплохое мероприятие, организация, программа - все на высоте.
Делал доклад "по следам" Positive Hack Days.

IT & Security, Russian Hackers

View more videos from qqlan.

PS. Третий раз в Казани, третий раз на день, и третий раз осматриваю город из окна машины. Пора уже выбраться в качестве туриста.

Facebook следит за тобой

2011-06-05T22:02:00.000-07:00

Джулиан Ассанж, создатель известного разоблачительного сайта WikiLeaks в интервью англоязычному российскому телеканалу Russia Today назвал Facebook «ужаснейшей машиной шпионажа, которая когда либо была изобретена».

По его мнению, правительство Соединенных Штатов использует социальную сеть в своих целях. Он отмечает, что каждое сообщение, оставляемое пользователями в Facebook, помогает спецслужбам следить за американскими гражданами.

«Перед нами наиболее полная база данных о людях, их взаимоотношениях, именах, адресах, местах которые они посещают, о связях, которые они поддерживают, а также об их родственниках … и все это доступно спецслужбам США».

По его мнению, не только Facebook, но и такие крупные сервисы как Google и Yahoo имеют специальный встроенный интерфейс, предназначенный для использования работниками спецслужб и упрощающий их работу.

"Наивно надеяться на наличие анонимности в Интернет - рассуждает Сергей Гордейчик, технический директор компании Positive Technologies, занимающейся информационной безопасностью - Вас никогда не удивляла та точность, с которой Yandex или Google выдает рекламные баннеры в зависимости от того, на темы вы общались в электронной почте, какие сайты посещали или какие поисковые запросы вводили? Все следы которые вы оставляете в Интернет собираются и анализируются поисковыми машинами, для того, чтобы выдавать наиболее подходящие ответы и показывать наиболее востребованную рекламу. Социальные сети здесь не исключение, а скорее один фрагментов общей картины. Наиболее показательный, поскольку прямым источником информации является сам пользователь. Еще одним мощным средством сбора информации являются современные смартфоны, которые знают где вы находились сегодня, кому звонили, какую музыку слушали. Более того, некоторые модели хранят резервные копии ваших данных в «облачных сервисах», то есть где-то в Интернет, где эта информация также не застрахована от сбора «деперсонифицированной статистики». Естественно правоохранительные органы могут в той или иной степени получать доступ к этой информации в рамках локального и международного законодательства".

Напомним, что сам Ассанж в настоящее время ожидает экстрадиции из Великобритании в Швецию, в связи с обвинением в сексуальных домогательствах и изнасиловании.

http://telecomblog.ru/?p=6978

Немного о Positive Hack Days (обновлено опять)

2011-05-30T12:22:00.000-07:00

Публикации и отзывы коллег

+1 Михаил Емельянников
http://emeliyannikov.blogspot.com/2011/07/blog-post_08.html

+1 Галина КИРИЛЛОВИЧ, "ВиД"
http://www.e-vid.ru/index-m-192-p-63-article-37831.htm

ESET
http://www.lenta.ru/news2/2011/06/07/eset/

The exposed Tesshi
http://d.hatena.ne.jp/tessy/20110601/1306914044

+1 PPP Team
http://ppp.cylab.cmu.edu/wordpress/?p=504

+1 Предварительный фотоотчет
http://phdays.blogspot.com/2011/05/blog-post.html

+1 0x416d73
http://0x416d73.name/articles/58

+1 Награждение Никиты Тараканова и Александра Бажанюка
http://www.youtube.com/watch?v=RqVyke4Ey8U

и другие видео
http://www.youtube.com/user/positivehackdays

+1 А. Циберман
http://www.securitylab.ru/opinion/405764.php

+1 Cisco
http://www.cisco.com/web/RU/news/releases/txt/2011/052711.html

+1 Евгения Поцелуевская
http://melkiy-poc.livejournal.com/27507.html

+1 BIOS CTF Team
http://x86overflow.blogspot.com/2011/05/phdays-ctf-ndevice-partial-writeup.html

+1 Валерий Коржов (Computerworld Россия)
http://www.osp.ru/news/articles/2011/5/13008783/

+1 L33M0RE
http://www.kscomp.org/index.php?id=46

+ 1 PPP Team Photo
http://copyfighter.org/phd/

+1 @Astera & CNews
http://www.cnews.ru/news/line/index.shtml?2011/05/25/441422
http://www.astera.ru/news/?id=85294

+1 Валерий Васильев (PCWEEK)
http://www.pcweek.ru/security/article/detail.php?ID=131458

+1
LETA IT
http://www.leta.ru/press-center/events/id_69.html

+1 Алексей Бабенко (SmokedChicken)
http://arekusux.blogspot.com/2011/05/phd-ctf.html

+1
Александр Гостев
http://www.securelist.com/ru/blog/207760897/Forum_PHDays

РИА Новости
http://www.rian.ru/science/20110519/376879684.html

SecurityLab
http://www.securitylab.ru/news/405675.php

Евгений Царев
http://www.tsarev.biz/innovation/positive-hack-days-poslevkusie/

Андрей Петухов
http://andrepetukhov.wordpress.com/2011/05/22/пару-слов-за-positive-hack-day-2011/

Владимир Воронцов
http://oxod.ru/?p=286

Александр Бажанюк
http://abazhanyuk.com/?p=209

Александр Матросов
http://amatrosov.blogspot.com/2011/05/phd.html

Алексей Лукацкий
http://lukatsky.blogspot.com/2011/05/positive-hack-days.html

Сергей Гордейчик
http://sgordey.blogspot.com/2011/05/positive-hack-days_22.html

Twitter
http://twitter.com/?q=phdays#!/search/phdays

Вести 24
http://www.vesti.ru/videos?vid=338030&cid=700

Совместная с Юрием Гольцевым презентация с секции "Безопасность в облаках"

{ab}use their clouds

View more presentations from qqlan.

Было круто!

Будет круче!

Оружие кибервойны

2011-05-29T13:03:00.000-07:00

Презентация с секции "Кибервойна. Мы их или они нас", прошедшей в рамках Positive Hack Days.

CyberWar - Gordeychik - PHDays 2011

View more presentations from qqlan.

Еще немного фотографий с Positive Hack Days

2011-05-26T13:43:00.000-07:00

Too Drunk To Hack

2011-05-24T21:57:00.000-07:00

Немного о том, как в рамках Positive Hack Days прошел конкурс "Наливайка" или в английском варианте "Too Drunk To Hack".

Too drunk to hack (Positive Hack Days 2011)

Что я узнал за время подготовки Positive Hack Days?

2011-05-22T23:38:00.000-07:00

Чем отличается грузчик от системного инженера?
Грузчик только донесет hardware до места,
Системный инженер донесет...

спроектирует...

подготовит коммуникации...

настроит...

и запустит!

Что легче, килограмм свитчей или килограмм виски?

Одинаково, но виски нести приятней!

Сколько кофеина в различных формах можно выпить за двое суток?
Сколько есть.

Чем страшны инсайдеры с фотоаппаратом?
Без комментариев.

Экстренный патчинг через SMS - миф или реальность?
Реальность!

Что думаю сертифицированные эксперты Cisco о SOHO рутерах D-link?
Ути-пути!

Что можно найти на салфетках?
Много, много всего...

Какая картинка раздражает?..

а какая радует!..

Можно ли в 3 часа ночи найти в Москве патч-корды?!
Легко!

Чем развлечь себя после 12 ночи?

Заклеить конверты с заданиями PHD CTF.

Что можно сделать за час до открытия?
Проинструктировать ведущего и переводчиков...

Подключить купленные ночью патчи...

Дописать презентацию для мастер-класса по VOIP...

Вымыть полы...

Наконец-то настроить все видео в залах...

Выдохнуть...

Встретить гостей!

PHD IS WOW!!!

Battle for Monolith

2011-05-11T20:50:00.000-07:00

Полным ходом идет подготовка к одному из центральных событий Positive Hack Days 2011 - командным соревнованиями по защите информации PHD CTF 2011.
В этом году соревнования пройдут под кодовым названием:

Cyber Wars
Battle for Monolith

Про должная традицию, заложенную на Ruscripto CTF 2010 подходим к CTF не как к набору разрозненных задач, но как к реальной ситуации, элементы которой мы черпаем из своего опыта работ по оценке защищенности.
В прошлом году игрокам CTF пришлось побывать в шкуре ИТ-директора компании "Пицца Коза Ностра" пытающемуся предотвратить крах ИТ-зависимого бизнеса в условиях жесткой и невсегда легальной конкурентной борьбы.
В этом году командам придется примерить форму капитана войск связи, сражающемуся на полях кибернетической войны за управление Монолитом внеземного происхождения. Генератором, обеспечивающим производство 90% всей энергии, потребляемой землянами.
Правда Монолит не генератор вовсе. И не монолит... Но об этом - 19 мая, в 17:45. Не раньше.

Не смотря на фантастический оттенок легенды, задачи CTF взяты из реальной жизни. Это то, с чем приходится сталкиваться атакующим и защитникам каждый день. И по сути - PHD CTF 2011 это полевые учения.

Немного фактов о соревновании¹:

10 команд - 50 участников
Россия
США
Индия
Европа
Более 20 систем и приложений
Web-сайты
SCADA
Серверы и рабочие станции
Специализированные сетевые приложения
Сетевая инфраструктура
Более 100 уязвимостей и заданий
Более 10 изменений в сети
Темы заданий
computer forensics
web application security
WAF management
blackbox vulnerability assessment and mitigation
whitebox vulnerability assessment and mitigation
reverse engineering
network infrastructure security
SCADA security
logs and traffic analysis
Призовой фонд
1 место $5.000
2 место $3.000
3 место $2.000

¹Внимание! Команда создателей PHD CTF настоятельно рекомендует участникам иметь с собой на соревнованиях дополнительный мозг!

0day для SCADA на Positive Hack Days

2011-05-09T23:58:00.000-07:00

Юрий Грукин из Gleg на PHD представит 0-day для CoDeSyS ENI Server.

Специально для Positive Hack Days!

Программа Positive Hack Days 2011

2011-05-05T21:28:00.000-07:00

Опубликована финальная программа PHD 2011

Конференция, проходящая в рамках форума, сформирована из трех основных частей:
- бизнес-семинаров
- технических семинаров
- практических мастер классов

Полная программа форума доступна по ссылке: http://phdays.ru/Программа%20PHD%202011.pdf.

Описание секций и выступлений: на сайте (http://phdays.ru/master-classes.asp).

Напоминаю, что будет организованна онлайн-трансляция, поэтому у всех будет возможность посетить мероприятие online.

PHD приближается!

2011-04-26T11:51:00.001-07:00

Осталось немногим более 20 дней до 19 мая.

Окончательно сформирована программ мастер-классов и технических семинаров.

Ознакомится с ними можно по следующим ссылкам:

http://phdays.ru/program-tech.asp

http://phdays.ru/master-classes.asp

Много, много интересного.

От PT будут крайне занимательные доклады по боевому использованию DNS Rebinding (будем ломать ESX в режиме реального времени), VOIP, сетевой инфраструктуре.

Юрий Гуркин грозится принести свежий 0-day для SCADA, а Александр Терешкин (ex-Invisible Things Lab) продемонстрировать недостатки системы полнодискового шифрования PGP....

Да... PHD хотят все!

Полцарства за 0-day

2011-04-11T12:45:00.000-07:00

Опубликована программа конкурсов Positive Hack Day 2011.

http://phday.com/contests.asp

Прошу всех любителей 0-day обратить внимание на "iPhone — взломай и уноси" и "Ноутбук — взломай и уноси".

Cyber Wars. Battle for monolith

2011-04-07T00:51:00.000-07:00

PHD CTF 2011
Cyber Wars. Battle for monolith

История

19 мая 2019 года международная межпланетная экспедиция под командованием Дейва Ив-тей-во, отправленная на космическом корабле PHD (Perfect Hyperorbital Device) покорять спутник Юпитера - Европу обнаружила в окрестностях Юпитера таинственный монолит.

Экипаж межпланетной экспедиции PHD

Монолит, представляющий собой огромный параллелепипед, получил название PHD (Parallelepiped Habile Deflective). Все указывало на искусственное происхождение монолита, от местонахождения и гигантских размеров, до способности к поглощению электромагнитного излучения любой природы, частоты и интенсивности.

Монолит PHD на орбите Юпитера

При попытке физического исследования объекта PHD с помощью дистанционно-управляемого аппарата phd (planetary hyperflexible drone) под управление пилота Серго Горди произошло невероятное. Копии монолита неожиданно возникли во всех ведущих государства мира.

Проекции монолита PHD проецированы во все ведущие государства мира

Повсеместное появление гигантских объектов поначалу вызвало панику среди землян, но постепенно люди привыкли к виду колоссов.
Все перевернуло поразительное открытие профессора Анисимиса, продемонстрировавшего, что монолит PHD является огромным распределенным трансформатором, аккумулирующим энергию космического излучения и передающие ее своим земным копиям.

Professor Anisimis

Получил экспериментальное подтверждение невероятный факт использования земными проекциями монолита сети Интернет для обмена информацией между собой.

Монолиты активно используют Интернет для обмена информацией

В ходе разработки идей Анисимиса доктор Павлов пришел к выводу, что монолиты развиваются и со временем генерируемая ими энергия может с лихвой покрыть все потребности человечества на сотни лет вперед. Однако на скорость роста каждой из проекций могут влиять различные факторы.

Dr. Pavlov работает с моделью монолита PHD

Самым негативным образом на скорость роста монолитов влияют сетевые атаки, что было обнаружено в ходе эпидемии сетевого червя networm.PHD.32.blackout. Сетевой зловред, широко известный под названием shishvamtoka, атаковал монолиты и вызвал массовые перебои электроснабжения. Название, присвоенное СМИ по обнаруженной в коде червя строке породило массовые спекуляции на тему его китайского происхождения.

Еще одно эпохальное открытие принадлежит военным США. В ходе подготовки операции по установлению демократии в одной из европейских стран, неожиданно обнаружившей у себя запасы нефти.
Оказалось, что все инструменты демократизации, включая наиболее либеральные и гуманные кассетные бомбы и боеголовки с обедненным ураном, превратились в бесполезные болванки. Взрыватели не взрывают, ракеты не летают. Разведка донесла, что подобные проблемы испытывают все государства мира.

Президент США осознает беззащитность государства

В связи с этим первоначальный план уничтожения монолитов за территорией США пришлось срочно отменять.
Вспомнив про влияние сетевых атак на монолиты военные всего мира провели массовую мобилизацию все хакеров страны и дали им задание уничтожить монолиты PHD стран-противников.

Элитные подразделение кибервойск. Поехали!

И под мирное жужжание вентиляторов и жестких дисков на Земле начались кибернетические войны (Cyber Wars).

Легенда

Ваша элитное подразделение кибервойск получило приказ главнокомандующего обеспечить безопасность монолита PHD и связанной с ним информационной инфраструктуры. Защита осложнена тем фактом, что ни в коем случае нельзя допустить блокирование обмена информацией между монолитами. Это приводит к снижению скорости роста PHD и резкому падению мощности.
В приказе №1337 («Операция Haxor», гриф «совершенно секретно») в задачи подразделения вменяется всеми доступными средствами остановить или существенно замедлить развитие монолитов стран-соперников. Приказ разрешает использовать все доступные средства, в том числе и нарушающие Хабаровскую конвенцию ООН «О запрещении кибернетического оружия».
На время выполнения операции командиру подразделения присваивается внеочередное воинское звание капитана войск связи.

PS. Рабочая версия легенды PHD CTF 20111. Следим за обновлениями:

http://www.phday.ru

Опрос экспертов по регулированию в сфере безопасности

2011-04-02T05:54:00.000-07:00

Опубликован в CIO под громким названием "Безопасность и закон".

Ваш покорный слуга ~~тоже что-то ляпнул~~ авторитетно прокомментировал этот актуальный вопрос.

Полный текст:

http://www.ibusiness.ru/10853

Эгегей - Positive Hack Day!

2011-03-30T04:08:00.000-07:00

Давно не писал.

Теперь могу сказать, почему.

Кроме работы был занят подготовкой PHD - принципиально нового для России мероприятия по информационной безопасности.

Ссылка:

http://www.phday.ru/

Миссия PHD — объединить хакеров и компании ИБ-индустрии, чтобы они смогли понять, насколько они нужны друг другу. На Форум приглашены: самые продвинутые знатоки из России, Европы, США и Китая, представители ведущих российских и зарубежных ИТ-компаний, независимые эксперты.

В программе PHD

- конкурсы по анализу защищенности, взлому и защите всего, что возможно и невозможно взломать и защитить;

- мастер-классы от известных практиков, где можно будет увидеть, насколько реально защитить свои ресурсы от злоумышленников;

- круглые столы с участием ведущих отечественных и зарубежных экспертов рынка по сложнейшим вопросам информационной безопасности;

- командные соревнования PHD CTF 2011.

Будет круто.

Немного обновили XSpider

2011-02-04T07:18:00.000-08:00

Компания Positive Technologies завершила разработку новой версии сканера XSpider 7.8

http://www.ptsecurity.ru/news_page.asp?id=92

Ура!

Истинная цена Compliance

2011-02-02T03:31:00.000-08:00

Цитата

Расходы организаций, не соблюдающих правила информационной безопасности, в среднем превышают расходы организаций, их соблюдающих, в 2,65 раза, подсчитали аналитики из Ponemon Institute.

http://hitech.newsru.com/article/02feb2011/moresafe

http://www.tripwire.com/ponemon-cost-of-compliance/pressKit/True_Cost_of_Compliance_Report.pdf

Смело заявление. Надо покурить методику.

Positive ищет позитивных сотрудников!

2011-01-25T12:30:00.000-08:00

В очередной раз и надеюсь - не последний.

Вакантная должность

Руководитель отдела проектных решений

Подразделение

Отдел проектных решений департамента проектирования и консалтинга

Требования

Навыки:
•постановки задачи и контроля исполнения
•распределения задач в зависимости от загрузки и квалификации подчиненных
•планирования карьеры подчиненного
•работы с продуктами Компании
•управления проектами по проектированию и внедрению систем ИБ
•хорошие коммуникативные и презентационные навыки
•разработки проектной документации

Знания:

•основных угроз ИБ, актуальных для крупных и средних информационных систем
•типов уязвимостей продуктов сетевого и системного уровня, методов выявления
•рынка современных средств контроля безопасности ИС и связанных услуг
•методов обеспечения безопасности ИТ, механизмов защиты в современных ОС и СУБД, используемых в корпоративных информационных системах крупных и средних компаний
•типовой архитектуры и особенностей информационных систем крупных государственных и коммерческих компаний
•требований к составу и содержанию документов на стадиях жизненного цикла АС в соответствии с ГОСТ 34 серии
•высшее техническое образование

Опыт

Опыт руководства функциональным подразделением не менее 2-х лет
Управления проектами – не менее 2-х успешных проектов средней сложности (команда от 3-х чел, длительность от 3-х месяцев)

Функциональные обязанности

Разработка и оптимизация процесса оказания услуг отдела
По входящим запросам - распределение задач (проектов) в зависимости от загрузки и квалификации подчиненных. Обеспечение достаточности квалификации и численности подчиненных характеру и количеству запросов.

+ еще много вкусного.

Чем больше смотрю телевизор, тем меньше понимаю ..

2011-01-15T13:22:00.000-08:00

...зачем он существует. Из 6-часовых съемок нарезали 20 секунд вспышек.

военная тайна 15-01-2011 from devteev on Vimeo.

Зачем запрещать Skype?

2011-01-13T12:22:00.000-08:00

Интересная новость о рекомендациях по запрете Skype и открытых служб электронной почты в подразделениях правительства Свердловской области.

Подробности:

http://www.rian.ru/technology/20110113/321205530.html

ЗЫ. Поможет ли это от "сливов"? Неа. Но глупых "случайностей" может быть меньше. Если, конечно, контролировать исполнение запрета.

272 или не 272?!

2011-01-11T00:01:00.000-08:00

Интересный казус рассматривается тут.

Цитирую:

... Некий сайтовладелец отписал в местном форуме предложение посмотреть его новый сайт. .... А герой нашего рассказа решил проверить этот ресурс на уязвимости.
Долго искать дыру ему не пришлось. Сайт оказался сделан на распространённом движке (CMS), а доступ в его административный интерфейс был закрыт дефолтным паролем...

Наш герой поступил так, как ему подсказала совесть. Сменил дефолтный пароль на новый (чтоб закрыть уязвимость) и написал сайтовладельцу сообщение об этом...

Cайтовладелец немедля пишет заявление в милицию, и там возбуждают уголовное дело по ст.272. Неправомерный доступ к охраняемой законом компьютерной информации....

Ситуация неприятная, но понятная. Некто сглупил сменив пароль, некто повел себя как ..., в общем суд.

В блоге Infowatch разгорается полемика по вопросу - 272 или не 272. Чистая манипуляция имхо. Потому как 272. Если читать текст статьи а не только название, то ...

Неправомерный доступ к охраняемой законом компьютерной информации,
то есть информации на машинном носителе, в электронно-вычислительной машине
(ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование,
модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ
или их сети

Модификация и блокирование на лицо.

HackQuest 2010 закончен!

2010-12-30T11:28:00.000-08:00

В конкурсе приняло участие более 750 специалистов из 20 стран мира, включая Россию, Китай, Украину, Казахстан, Германию, США.

По итогам соревнования, среди участников, которые успешно справились со всеми заданиями, лидерами являются следующие участники:

rdot.org (первое место);
Andrey1800 (второе место);
nucro (третье место).

Примечательно также и то, что шесть из восьми победителей соревнования – из России, а двое из Украины.

Подробности:
http://devteev.blogspot.com/2010/12/hq2010.html
http://www.securitylab.ru/contest/403763.php

Огромное спасибо всем, кто приложил к конкурсу свою руку, голову и кошелек!
Хвала победителям!
И естественно - спасибо участникам!

Hack Quest +100

2010-12-21T10:26:00.002-08:00

Страсти накаляются!

Сумеет ли кто-то достичь заветного рубежа в 137 очков?

Следим тут:

http://www.securitylab.ru/hq2010/list.php

Seclab - 10 ЛЕТ!

2010-12-14T10:58:00.000-08:00

Ура!

Long Live SecurityLab!

Следите за анонсами, призами и конкурсами на портале http://www.securitylab.ru/!

Из того, что уже не секрет:

15 декабря с 12:00 MSK стартует online-соревнование по защите информации - Hack Quest 2010. У каждого есть возможность почувствовать себя настоящим злобным хакером (aka зохер) и за(по/пере)хокать все что найдет в игровой сети!

Подробности тут:

http://www.securitylab.ru/hq2010/

А еще они помогут выполнить требования 152 ФЗ, SOX, PCI DSS и СТО БР ИБСС!

2010-12-12T09:42:00.000-08:00

PS. Яркий пример победы маркетинга над разумом

Борьба с мошенничеством в сфере высоких технологий

2010-12-09T21:53:00.000-08:00

Вчера посетил конференцию "Борьба с мошенничеством в сфере высоких технологий".

http://antifraudrussia.ru/

Получилось достаточно живо, и "по теме".

Mobile telecom technical fraud

View more presentations from qqlan.

Жду комментариев

Shared Personal Data

2010-12-09T21:20:00.000-08:00

Две новости с минимальным разрывом. Очень забавно вышло.

Операторы персональных данных вновь получили отсрочку

Законопроект "О внесении изменений в статью 25 Федерального закона "О персональных данных" (в части продления срока приведения ранее созданных информационных систем персональных данных в соответствие с требованиями Федерального закона "О персональных данных") принят Госдумой в первом чтении.

http://www.securitylab.ru/news/400089.php

Россия: Сотовый оператор выложил в Сеть персональные данные абонентов

Дальневосточный оператор БИТ допустил утечку документов, в результате которой около года в открытом доступе находились персональные данные его 11 тыс. клиентов, а также данные о его обмене трафиком с другими операторами региона.

http://safe.cnews.ru/news/top/index.shtml?2010/12/09/419487

В последнем особенно позабавило

"Факт утечки был обнаружен экспертом по информационной безопасности Ильей Шабановым 8 декабря 2010 г. в результате регулярного мониторинга Сети. "

"Изучение документов, выложенных на ftp-сервере, позволило CNews ознакомиться с отчетностью, содержащей персональные данные более чем 11 тыс. абонентов БИТ."

Интересно, на каком основании Cnews осуществляет несанкционированный доступ к охраняемой законом информации и так спокойно об этом рассказывает. Или что-то изменилось у нас в законодательстве? Тот факт, что информация лежит на "открытом ftp" ничего не меняет.

И в конце, пользуюсь служебным положением, процитирую Дмитрия Кузнецова.

Как Вы расцениваете эффективность обсуждаемой сейчас очередной отсрочки (на полгода) вступления в силу требований к информационным системам, созданным до 2006 года? Действительно ли это позволит кому-то решить проблемы или же просто на полгода оттянет неизбежное?

В отличие от предыдущей отсрочки, данная отсрочка имеет исключительно технический характер. Сейчас Госдума готовится к рассмотрению во втором чтении законопроекта № 282499-5, который внесет очень существенные поправки в действующую редакцию, в том числе – в порядок государственного регулирования защиты персональных данных. Поэтому перенос сроков – ожидаемая мера, которая позволит операторам дождаться принятия этих поправок.

Если говорить о переносе сроков (особенно – прошлогоднем) как об “оттягивании неизбежного”, то такая постановка вопроса несправедлива ни по отношению к законодателю, ни по отношению к операторам. Скорее этот перенос свидетельствует о способности органов государственной власти не только совершать ошибки, но и признавать их. В августе 2007 г. Правительство выпустило распоряжение № 1055-р, поручив ФСБ и ФСТЭК в течение шести месяцев разработать требования по защите персональных данных. Таким образом, предполагалось, что с момента принятия требований у операторов будет два года на их выполнение. Впрочем, невыполнимость подобного распоряжения уже тогда была понятна специалистам, и дальнейшие события это подтвердили. Первые версии документов, выпущенные ведомствами, вызвали резкую критику со стороны профессионального сообщества и фактически так и не были введены в действие. Так что первый перенос сроков отчасти был вызван фактическим отсутствием на тот момент требований, которые должны были бы быть выполнены операторами. Действующие требования ФСТЭК появились только в феврале 2010 г., а требования по криптографической защите персональных данных не введены в действие и по сей день.

В настоящий момент всем хорошо понятно, что разработать единые требования для всех отраслей невозможно, и события развиваются по пути инициативной разработки отраслевых требований самими операторами (отраслевой стандарт Банка России, отраслевой стандарт операторов связи, ведомственные документы Минздравсоцразвитьия и т.п.). Есть надежда, что эта практика будет закреплена законодательно, и это позволит сдвинуть дело с мертвой точки.

Какую часть рисков, связанных с выполнением требований законодательства о ПДн, позволяют решить продукты и услуги Вашей компании, а какую часть работ заказчику неизбежно нужно решать самостоятельно?

В приказе ФСТЭК №58 от 05.02.2010, регулирующем методы защиты персональных данных, появилось одно важное на наш взгляд нововведение: оператор должен построить систему защиты персональных данных, но и контролировать ее, своевременно выявляя и устраняя недостатки в обеспечении безопасности, уязвимости, ошибки в конфигурации, которые неизбежно возникают в ходе эксплуатации любой информационной системы. Система контроля защищенности и соответствия стандартам MaxPatrol, разработанная нашей компанией и уже внедренная многими организациями, позволяет оператору самостоятельно реализовать и автоматизировать такой контроль для информационных систем любой сложности и любой территориальной распределенности с минимальными затратами человеческих ресурсов.

Еще одним направлением нашей деятельности является разработка технических стандартов, определяющих безопасную конфигурацию наиболее распространенных программ и программно-аппаратных платформ, используемых в основе многих информационных систем персональных данных. Не секрет, что требования методических документов по защите персональных данных достаточно общи, и далеко не всегда операторы способны оценить достаточность применяемых ими механизмов защиты. Использование наших стандартов в качестве связующего звена между методическими документами и фактически используемыми средствами защиты информационных систем позволит операторам и надзорным органам выработать одинаково понимаемые критерии оценки деятельности операторов по технической защите персональных данных.

Кроме того, ЗАО «Позитив Текнолоджиз» оказывает услуги по анализу защищенности информационных систем, помогая компаниям выявлять и устранять недостатки, которые могут использоваться злоумышленником для несанкционированного доступа к информационным системам. Эти услуги востребованы кредитными организациями, операторами связи, промышленными предприятиями и другими организациями, в деятельности которых информационные системы играют ключевую роль.

Испытываете ли Вы как поставщик услуг в сфере информационной безопасности какие-либо сложности и затруднения в связи с действующим законодательством в сфере ПДн (проблемы компаний - операторов ПДн понятны)? Если да, то в чем они проявляются?

Напротив, на сегодняшний день мы наблюдаем повышеный интерес компаний к вопросам информационной безопасности. Причем, если несолько лет назад одним из мотивов было соответствие формальным требованиям (будь то требования государственных регуляторов, ISO 27001 или PCI DSS), то сегодня на первое место ставятся имено практические аспекты защиты от фактически используемых методов атак. Складывается ощущение, что постоянно муссируемая тема защиты персональных данных заставляет руководство компаний задуматься над вопросами безопасности и более трезво оценивать готовность своих компаний к современным вызовам. И это не может не радовать.

Google hacking hands-on

2010-12-08T00:26:00.001-08:00

Мы - молодцы!

Исследовательский центр «Positive Research» отмечен благодарностью компании Google за помощь в повышении безопасности сервисов и приложений этой компании и помещен в виртуальный «Зал Славы» Google Security Hall of Fame.

Программа «Google Security Reward» привлекла внимание множества исследователей. В рамках программы была предоставлена легальная возможность проанализировать безопасность сервисов и приложений компании Google. Открытой оценке защищенности могли быть подвергнуты не только приложения, такие как Google Chrome, но и интерактивные сервисы: поисковая система google.com и почтовый сервис gmail.com, видеосервис youtube.com, сервис блогов blogger.com, социальная сеть orkut.com.

По результатам проведенного экспертами Исследовательского Центра «Positive Research» анализа было обнаружено несколько уязвимостей различной степени риска, которые были проанализированы и устранены специалистами Google. В качестве благодарности за помощь в повышении защищенности, Исследовательский центр «Positive Research» помещен в вириальный «Зал славы безопасности Google» Google Security Hall of Fame ( http://www.google.com/corporate/halloffame.html ).

Детали:

http://devteev.blogspot.com/2010/12/rewarding-web-application-security.html

http://www.securitylab.ru/news/400057.php

Compliance как угроза

2010-11-22T03:47:00.000-08:00

Статья "Compliance как угроза", опубликована в ИКС ИКС № 9 2010.

Соответствие требованиям регуляторов – одна из основных прикладных задач обеспечения безопасности компаний и организаций различных отраслей и масштабов. Несмотря на тенденцию усиления регуляторных рисков, процесс compliance management может быть разумно встроен в систему управления ИТ и ИБ, реализованную на основе общепризнанных методик и рекомендаций.

http://www.securitylab.ru/analytics/399689.php

Зачем ворошить старое?

2010-11-21T21:40:00.000-08:00

В США вспомнили апрельский инцидент с ошибкой China Telecom, допущенной при конфигурации BGP.

Шум поднимается сильный, со всеми положенными атрибутами, включая целый доклад Конгресса США.

http://hitech.newsru.com/article/19nov2010/15percent

http://blogs.computerworld.com/17376/china_hijacking_hacking_hit_15_of_net_us_says

Удивительным образом ошибка оказалась "перехватом" трафика и "попыткой установить контроль над Интернетом".

В принципе можно предложить, что Китай отрабатывал сценарий "закукливания" своей сети в рамках сценария масштабной кибер-войны, но немного переборщил. Надо отдать должное, Китай и в этой области рассматривает сценарий самостоятельного существования своего сегмента сети Интернет и активно к этому готовится.

Технические детали инцидента тут:

http://bgpmon.net/blog/?p=282

PS. Если у кого-то вдруг возникнет вопрос о том, как такое могло произойти, то ответ тривиален: очень даже запросто.

الحرب الإلكترونية

2010-11-10T05:42:00.000-08:00

А вот так :)

Передача Russia Today о кибервойне.

Безопасность Интернет-покупок

2010-11-08T23:11:00.000-08:00

По просьбе британских коллег комментировал для BBC вопрос безопасности Интернет-покупок в российских Интернет-магазинах.

Слушать:

Интересен сам факт интереса слушателей BBC к российским Интернет-магазинам.
По личному опыту, Gormiti для племянника проще все-таки заказывать на Ebay, чет в Озоне. И дешевле и быстрее.

Полный эфир "Вечер на BBC".

PCI DSS 2.0

2010-11-02T00:03:00.000-07:00

Опубликованы неплохие обзоры нововведений PCI DSS 2.0 и PA DSS 2.0.

http://pcidss.ru/articles/22.html

https://www.pcisecuritystandards.org/pdfs/summary_of_changes_highlights.pdf

Сам стандарт:

https://www.pcisecuritystandards.org/documents/pci_dss_v2.pdf

В целом ничего революционного, работа над ошибками.

Хакеры использовали сети Microsoft

2010-10-14T22:52:00.000-07:00

На протяжении последних трех недель интернет-адреса, входящие в сети, принадлежащие корпорации Microsoft, были использованы для маршрутизации трафика с более чем 1000 мошеннических сайтов, управляемых известной группой российских киберпреступников.

http://www.securitylab.ru/news/398515.php

Официальная причина инцидента: ошибки конфигурации сетевого оборудования.

“We have completed our investigation and found that two misconfigured network hardware devices in a testing lab were compromised due to human error”

http://www.theregister.co.uk/2010/10/14/microsoft_confirms_ip_hijack/

Что же сказать?!
.... happens...

MaxPatrol мог спасти :)

ЗЫ. На взломанных серверах использовался Linux/Unix.

Auditors Wanted!

2010-10-14T22:45:00.000-07:00

Соратники!
Срочно ищем ведущего аудитора под задачи консалтинга в области ИБ.
Нужен вменяемый человек с пониманием и опытом комплексных аудитов, "больших" пентестов, навыками как организационной, так и в технической части. Основная задача: координация действий группы, актуализация методик.

Если есть знакомые/полузнакомые, или просто люди за которыми можно поохотится, сообщите пожалуйста. Можно просто ссылкой на блог :)

Работа – супер, я бы пошел.

Формальные требования:
http://hh.ru/vacancy/3392479

Инфобез 2010 - День первый

2010-10-05T10:56:00.000-07:00

В рамках деловой программы конференции Инфобез 2010 делал обзорный доклад по тебе безопасности мобильных устройств.

Mobile

View more presentations from qqlan.

RAHack - червь для Radmin

2010-09-29T21:29:00.000-07:00

В продолжение вчерашнего сообщения.
DrWeb добавил сигнатуру и опубликовал описание червя Win32.HLLW.RAhack.

От себя могу сказать, что программа чересчур агрессивна и в крупных сетях в ходе размножения создает средней силы DDoS, занимая обслуживанием своего трафика сетевые устройства и канал связи.

Полагаю, что зловред долго не проживет, поскольку не использует дополнительные векторы размножения, такие как CIFS/WMI. Хотя, учитывая высокие привилегии службы Radmin вполне мог бы. Тогда было бы менее приятно, поскольку за счет CIFS/WMI мог бы активно расходится внутри корпоративных сетей, а используя Radmin - переходить из сети в сеть, благо этого добра на периметрах хватает.

PS. Информация virustotal по ipz.exe.

Попытки взлома шведской избирательной системы

2010-09-27T21:58:00.000-07:00

Какие-то остряки вписывали в бюллетени код SQL Injection и XSS.

http://www.securitylab.ru/news/398065.php

PS. Интересно, old school перевелись или устали вписывать от руки 0xAAAA...(>4096)...AA???

Без комментариев

2010-09-27T03:27:00.001-07:00

http://devteev.blogspot.com/2010/09/ii.html

Кибервойна?!!!

2010-09-20T01:15:00.000-07:00

Недавно комментировал "план кибервойны против России" для журнала NewsWeek.
Как водится, комментарии обрезали до неузнаваемости. Привожу полную версию.

Давайте рассмотрим основные цели и возможности США в рамках военных действий против России (рассматриваются только гражданские системы).

1. Разведка. Получение важной информации.
2. Разрушение. Нарушение работоспособности критичных систем.
3. Управление системами. Навязывание информации (например радио/телевиденье), перехват управления автоматизированными системами.

1. Разведка
С точки зрения глобальной разведки (т.е. отслеживания внешних коммуникаций) США не требуется создавать что-то новое. США и в настоящий момент:
1. Имеют доступ и контролируют (напрямую или через блок НАТО, Японию и пр.) большую часть внешних коммуникаций России использующих сети общего доступа.
2. Имеют доступ к содержимому «защищенных» систем передачи информации общего доступа (Skype, BlackBerry, сертификаты SSL/TLS и т.д.).
3. Контролируют многие сервисы и приложения, а также зарубежные хостинг-площадки, используемые для размещения служб и приложений российскими компаниями.
4. Имеют наработанные технологии по сбору и анализу данных из разнородных источников (Эшелон, Google и т.д.).

С точки зрения локальной разведки (т.е. отслеживание внутренних коммуникаций) США также не требуется создавать что-то новое. США и в настоящий момент:
1. Контролируют (напрямую или через союзников, например Израиль) большую часть программной продукции (включая и мобильные устройства) и имеют практически неограниченные возможности по добавлению специальных возможностей в ПО.
2. Имеют мощнейший исследовательский и даже промышленный потенциал в части обнаружения и использования недостатков в компьютерных системах, проведения практических атак (Core Security Technologies, Immunity Inc., eEye Digital Security, Fortify Software).
3. Контролирую большую часть рынка средств защиты, что может использоваться для разработки и сознательного игнорирования определенных видов атак.
4. Имеют обученный персонал (68th Network Warfare Squadron, 710th Information Operations Flight, Air Force Intelligence, Surveillance and Reconnaissance Agency и т.д.), проводят активную кадровую политику (BlackHat, Defcon)

Т.е. фактически – США сейчас может вести активную сетевую разведку (или если угодно – шпионаж) против любого государства.

2. Разрушение

Приведенных выше фактов вполне достаточно для проведения масштабных атак, направленных на блокирование коммуникаций и информационных систем.
Также следует учитывать тот факт, что США контролирует чувствительные части инфраструктуры Интернет (магистрали, DNS, маршрутизация) и имеет возможно практически моментально блокировать внешние коммуникации государство. В финансовом секторе блокирование коммуникаций с международными платежными системами фактически равносильно коллапсу.
Поскольку, в отличие от Китая, который сознательно проводит политику построения «Интернет в отдельно взятом государстве», многие системы и компании будут испытывать серьезные затруднения при нарушении связности Сети. В принципе Россия имеет техническую возможность «закуклить» Интернет в рамках своего сегмента, но остается открытым вопрос, насколько эффективно в этом случае будет функционировать сеть (т.е. предоставляемые посредством сети сервисы).
Временный эффект, даваемый атаками типа DDoS в принципе может быть использован в качестве отдельных акций, но в рамках военных действий он мало интересен. Только в отношении специализированных систем, которые зачастую не подключены к Интернет, и соответственно не подвержены данному виду атак.
Учитывая широкие наработки в области проведения атак, для блокирования внутригосударственных информационных систем могут использоваться атаки, направленные на захват управления с дальнейшим выводом систем из строя (удалением/изменение конфигураций, удаление ОС).

3. Управление системами

Если рассмотреть открытую статистику, например статистику полученную в ходе работ по анализу защищенности Positive Technologies (http://www.securitylab.ru/analytics/397848.php), то видно, что задача получения доступа к критичным элементам гражданской сетевой инфраструктуры не требует специализированных инструментов и навыков.

Принимая во внимание что в рамках проводимой модернизации в промышленном, финансовых секторах и в секторе гос. Услуг широко внедряются информационные системы (системы АСУТП, электронные платежные системы, система электронного правительства) вероятность эффективности данного направления атак будет только увеличиваться по мере развития промышленного и экономического потенциала России.

Резюме
Таким образом, приведенный сценарий выглядит однобоким и несколько запоздавшим.
Приведенный сценарий «долгого развития и эволюции» атаки в принципе нереален, поскольку чем дольше развивается атака, тем выше вероятность обнаружения.
Сетевая война, это постоянные целенаправленные удары и отходы, поскольку структура атакуемого объекта постоянно меняется.

Анализ проблем защиты от внешнего нарушителя

2010-09-20T00:01:00.000-07:00

Опубликована в сети статья Дмитрия Кузнецова (Positive Technologies) и Артема Сычева (Россельхозбанк)

http://www.securitylab.ru/analytics/397848.php

Хотелось бы обратить внимание на один график, полученный нами в ходе анализа статистики по аудитам и тестам на проникновение:

Вывод напрашивается сам по себе - банки в целом заращены серьезнее чем другие отрасли. Что предсказуемо.

Ищем хороших людей

2010-09-14T22:38:00.000-07:00

Активно ищем людей, желающих влиться в экспертное сообщество Positive Technologies.

Особенно активно:

- Пресейл-консультант
- Technical Account Manager
- Эксперт по безопасности СУБД и прикладных систем

http://hh.ru/employer/26624

Присоединяйтесь!

ЗЫ. "Ценник" довольно условный, не обращайте внимания.

www.surfpatrol.ru - новый проект Positive Technologies

2010-09-09T22:07:00.000-07:00

Запустили новый проект безагентной проверки безопасности серфинга.

www.surfpatrol.ru

Часть функционала данного сайта недоступна из-за того, что в Вашем браузере отключена поддержка фреймов.

Затянули с разработкой, в пентестах технологию используем с 2006, выступать с этой темой планировал аж на Рускрипто 2008, а первые technology preview опубликован в начале 2009.
Но... Лучше поздно, чем никогда.

PS. Для использования на своем сайте следуйте инструкциям:

http://surfpatrol.ru/setupbanner.aspx

Обратная связь приветствуется.

Юридические аспекты консалтинга в области безопасности

2010-09-06T08:19:00.000-07:00

Давно обещанная статья опубликована на Seclab:

http://www.securitylab.ru/analytics/397449.php

Там же интересное чтиво про Cisco, PCI DSS и MaxPatrol:

http://www.securitylab.ru/analytics/397416.php

Вечная тема. Пароли по умолчанию.

2010-08-23T22:51:00.000-07:00

В интернете появились скриншоты, доказывающие взлом почты Федеральной службы охраны на сервере gov.ru

В течение нескольких часов любой пользователь интернета мог, перейдя по ссылке и введя простые имя пользователя и пароль, получить доступ к системе мониторинга и архивирования электронной почты "Дозор".

Уязвимость достаточно простая - тривиальный пароль .

Что в принципе не новость. Слабые пароли - распостраненная причина успешных внешних атак.

Где учат "на хакеров"?

2010-08-11T00:41:00.001-07:00

В комметариях к одной из заметок возник вопрос, где получить знания, необходимые для проведения работ по тестированию на проникновение?

Из того, с чем приходилось сталкиваться:

1. Очень неплохие online-курсы у Offensive Security.
2. Цикл курсов УЦ Информзащита, охватывающий практически все аспекты, которые могут пригодиться в ходе Pentest:

Безопасность компьютерных сетей

Анализ и оценка защищенности Web-приложений

Безопасность беспроводных сетей

Анализ защищенности сетей

3. Интересное начинание Esage Lab (больше в сторону антивирусной безопасности и forensic, но полезно)

http://www.esagelab.ru/services.php?s=av_basic

4. Курсы Immunity

Unethical Hacking

upd.

5. В свое время приходилось читать курсы MIS TI. В целом - идея здравая, но материал староват. Пришлось серьезно оживлять и вставлять свои куски.

http://www.microinform.ru/MIS/ITG411mis.htm

http://www.microinform.ru/MIS/asn403mis.htm

Цифровая подпись Касперского под зловредом?

2010-08-08T23:00:00.000-07:00

Компания Trend Micro сообщила об обнаружении в Сети вредоносных файлов с цифровой подписью, практически полностью совпадающей с подписью антивирусной компании "Лаборатория Касперского".

http://www.securitylab.ru/news/396483.php

Ключевое слово здесь "почти". И это слово совершенно не к месту, поскольку подпись совпадает полностью.

Т.е. она была скопирована с одной из утилит Касперского и естественно не является корректной, поскольку hash от файлов различаются. О чем собственно и пишет Trend.

Зачем же подпись, если она некорректная? Все просто. Некоторые антивирусы не проверяют саму подпись, им достаточно факта наличия. Ну или корректного сертификата. А подпись... Считать долго.

Pentest глазами телевизионщика

2010-08-08T21:16:00.000-07:00

Вот такие они, "добрые хакеры" глазами СТС

Кроме эпичных и мегаэтичных хакеров в съемках участвовал MaxPatrol. Приятно.

Обзор инцидентов: Verizon Breach Report 2010

2010-08-05T09:30:00.000-07:00

Опубликован обзор инцидентов Verizon Breach Report 2010. Рекомендую.

http://www.verizonbusiness.com/go/2010databreachreport/

PS. В отчете широко используется WASC WATCv2. Приятно.

PPS. Без комментариев:

История Хронопей продолжается

2010-08-03T04:00:00.000-07:00

История продолжает быть интересной.

Неизвестные хакеры выложили новые подробности взлома процессинговой системы

Напомним, что в середине июля неизвестная группа хакеров опубликовала информацию о взломе крупнейшей российской процессинговой системы Chronopay. В качестве доказательства взлома хакеры опубликовали схемы расположения серверов, конфиденциальную переписку, а также часть базы данных, содержащую около 5 тыс. номеров кредитных карт.

В результате новой порции “утечки” были выложен новый массив данных (как сообщается, это было сделано из-за бездействия Visa и Mastercard и других официальных лиц).....

По заявлению хакеров в ближайшее время в интернете будет опубликована полная база данных кредитных карт и личных данных. Данные по кредитным картам и транзакциям будут представлены в виде зашифрованной паролем базы данных на 10Гб, пароль к которой будет представлен только правоохранительным органам и журналистам крупных федеральных СМИ.

Однако компания Chronopay отрицает факт взлома и считает выложенные данные фальшивыми. Других официальных подтверждений факта взлома также не поступало.

Срочно вспоминаем свои online-платежи и блокируем карты?

2010-07-30T03:34:00.000-07:00

Без комментариев.

http://www.google.ru/search?hl=ru&source=hp&q=%D0%A5%D1%80%D0%BE%D0%BD%D0%BE%D0%BF%D1%8D%D0%B9+%D0%9C%D0%9F%D0%A1+%D0%90%D1%8D%D1%80%D0%BE%D1%84%D0%BB%D0%BE%D1%82&aq=f&aqi=&aql=&oq=&gs_rfai=