С Новым 3733 годом!!!

Поздравляю всех с наступающим Новым годом! Желаю позитивно встретить новый год, хорошо отдохнуть и продуктивно провести новогодние праздники :))

Да прибудет с вами Зайка в новом году))


Итоги HQ2010

Вот и завершилось 14-ти дневное соревнование по хакерству или, как мы его называем – соревнование по защите информации :))

По результатам сражения в игровой инфраструктуре Hack Quest 2010 победителями стали участники, которые выполнили все задания и тем самым набрали ровно 100 баллов. Они получают подарки от организаторов и спонсоров соревнования.

По итогам соревнования, среди участников, которые успешно справились со всеми заданиями, лидерами являются следующие участники:

 первое место  
 второе место  

 третье место  
 nucro 

Hack Quest 2010: хроники с передовой

В половине третьего по Московскому времени рейтинг победителей хак-квеста снова был изменен. Группа darklife.ws взяли заветный ключ l33t :) Мои поздравления!

Текущий топ победителей выглядит следующим образом:


Подробности, каким образом команде darklife.ws удалось получить этот скилл, будут опубликованы позже. А мы пока следим за другими участниками хак-квеста: http://www.securitylab.ru/hq2010/list.php

Основные результаты Hack Quest 2010

Не смотря на то, что соревнование по защите информации (hq2010) еще не завершено, уже сейчас можно озвучить имена победителей, которые заняли основные призовые места. Тройка лидеров в общем рейтинге выглядит следующим образом:

Позиция Участник Баллы Проведенное время в игровой сети

100
4,5 дней

100
3,5 дней

nucro
100
6,5 дней

100% Virus Free Podcast #24

В конце прошлого месяца, в гостях у Александра Матросова, записали очередной позитивный подкаст вместе с легендарной личностью, человеком "старой школы" и моим хорошим другом – Александром Анисимовым.

Нами были затронуты следующие темы:

- как становились экспертами в области ИБ в суровые дни диалапного интернета;
- за что банили на BBS и были ли там вирусы;
- долгий путь к себе или как становятся пентестерами;
- российская компания Positive Technologies в "Зале Славы" Google;
- какие дальнейшие тенденции развития сканеров безопасности.



Скачать mp3 файл

Разность мышления и восприятия

Идея написать этот пост возникла после того, как зашел разговор с участниками проводимого сейчас хак-квеста на тему публикации совместного материала, который бы описывал прохождение hackquest глазами разработчика (как предполагалось прохождение) и того, как его в действительности проходили участники соревнования. Подобный материал, надеюсь, в светлом будущем осилим. А пока предлагаю Вашему вниманию заметку, посвященную разности мышления и восприятия хак-квеста разработчиком и его участником. Мысли этих двух персонажей действительно временами сильно различаются :))

Примечание: Материал данного поста не должен восприниматься, как попытка кого-то обидеть или оскорбить. Внимательный читатель заметит, что персонажи по обе стороны баррикад представлены не предвзято.

Hack Quest 2010 Online

Не смотря на продолжительное откладывание, как и было заявлено ранее [1], 15 декабря с 12:00 MSK стартует online-соревнование по защите информации - Hack Quest 2010, представляющий из себя урезанную игровую инфраструктуру Hack Quest, который проводился в конце августа на площадке фестиваля Chaos Constructions 2010. В рамках конкурса участники могут попробовать свои навыки в области оценки защищенности, поиска и эксплуатации уязвимостей, реверс-инжиниринга и просто хакерства. Событие приурочено к десятилетию портала SecurityLab.RU, который является спонсором проводимого соревнования. Победителей ждут призы! Общее время проведения соревнования составит 15 дней с момента запуска конкурса.

Всего игровая инфраструктура Hack Quest 2010 Online содержит 17 ключей (флагов) общей стоимостью 100 очков (баллов). Участника, набравшего более 100 очков, ждет специальный приз :))

Принять участие в соревновании может любой желающий. Подробности по следующей ссылке: http://www.securitylab.ru/hq2010

Have fun!

Rewarding web application security research (Google)

В прошлом месяце Google запустил программу награждения за обнаруженные уязвимости в своих веб-сервисах [1]. Размер базового вознаграждения за выявленную уязвимость составляет 500 долларов. Однако он может увеличиться до 3133,7 доллара в зависимости от степени важности отдельно взятой уязвимости. Дойти до элитной суммы в фоновом режиме без отрыва от производства мы не смогли, но свои 500 вечно зеленых за пару часов нагуглили :))


Cross-Site Scripting

Семинар по безопасности на ВМиК #2

В прошедший четверг провел второй мастер-класс на площадке ВМК МГУ. На этот раз численность аудитории была разбавлена аж целой группой позитивных лиц (включая соратников по подготовке CC HackQuest 2010), что повлекло за собой известные последствия по завершению семинара :)) Материалы мастер-класса будут опубликованы в следующем году.

Забегая несколько вперед в контексте тематики встречи на тему "Chaos Constructions HackQuest 2010" могу сообщить, что 15-го декабря планируется запуск инфраструктуры CC HackQuest 2010 на площадке портала SecurityLab. Таким образом, у всех желающих появится возможность, не покидая родные стены своего дома или любимой работы, немного развлечься перед новогодними праздниками. Детали online-соревнования будут доступны по адресу: http://www.securitylab.ru/hq2010

И, завершая этот пост и проведение семинаров на ВМиК в этом году, передаю эстафету Светлане Гайворонской и Никите Тараканову [1].

Secunia's DNS/domain hijacked

Вот такой симпатичный дефейс можно было наблюдать чуть более часа сегодня ночью на сайте компании Secunia:


Инцидент имел место по причине успешной атаки на DNS-сервера, отвечающие за размещение зоны secunia.com.

Официальный ответ: http://secunia.com/blog/153
Ссылки по теме: [1,2,3]

XSPider 8 has been released

После долгих усилий разработчиков компании Positive Technologies появился XSpider восьмого поколения, который базируется на ядре своего старшего брата – MaxPatrol. XSpider прошел тернистый путь от бесплатного решения по оценке защищенности сети до решения уровня enterprise. Фактически XSpider в новой редакции – это MaxPatrol с урезанным функционалом. В частности в XSpider 8 отсутствуют такие модули, как "Аудит" и "Compliance". Имеются и другие различия. В XSpider отсутствует возможность добавления внешних "сканеров", отсутствует разграничение прав доступа и прочее. С другой стороны, некоторый функционал MaxPatrol был сохранен, например, оставлена расширенная проверка Windows с учетной записью.

XSpider нового поколения очень схож с интерфейсом MaxPatrol.

Семинар по безопасности на ВМиК #1

В прошедший четверг провел семинар по принципу "мастер класса" на тему методов эксплуатации заложенных уязвимостей в инфраструктуре РусКрипто CTF 2010. Мероприятие было организовано Андреем Петуховым и проходило в рамках спецсеминаров "Информационная безопасность" ВМК МГУ.

Нужно сказать, что было очень приятно видеть в числе слушателей, помимо студентов МГУ, студентов из других московских ВУЗов, а также сотоварищей, которые пришли меня поддержать (или наоборот) :) Спасибо вам!

Материалы семинара можно получить по следующим ссылкам:
- Презентация
- Раздаточные материалы

В качестве демонстрации прохождения части заданий, представленных на РусКрипто CTF 2010, смотрим мультик, который представлен ниже.

Free Secure Email Certificate

Несмотря на то, что Thawte больше не предоставляет бесплатных услуг по использованию персональных цифровых сертификатов для защиты сообщений электронной почты [1], подобная услуга доступна у Comodo Group. Любой желающий может воспользоваться бесплатной услугой Comodo для создания аналогичного доверенного цифрового сертификата по следующей ссылке:

http://www.instantssl.com/ssl-certificate-products/free-email-certificate.html

PS. Используемый мною сертификат для S/MIME обновлен.

Эффективный патчинг

И такое можно увидеть, когда операционная система и все ее компоненты приведены к состоянию up-to-date :))

Бесплатные семинары по практической безопасности

В этом месяце, на площадке ВМиК в рамках спец-курса "Информационная безопасность и Сети ЭВМ", пройдут бесплатные семинары по практической безопасности (преимущественно по веб-безопасности). Подробности можно узнать на странице: http://secsem.ru/

Желающим посетить семинары обращаться к инициатору сего действа - Андрею Петухову.

ЗЫ. Рекомендую сегодня попасть к 18:00 на выступление Воронцова Владимира по теме "PHP unserialize, _SESSION and dynamics. Hints and Tricks". Если я правильно мыслю, то Владимир собирается рассказать про свой довольно интересный ресерч в этой области (можно даже сказать, что речь пойдет о нулл-дей) [1,2,3].

ЗЫЗЫ. К слову, Владимир совсем недавно побывал в российском представительстве компании ESET и его можно послушать в "100% Virus Free Podcast #23".

Мероприятие: Cisco Expo 2010

Посетил на этой неделе 11-ю по счету конференцию Cisco Expo 2010, которая проходила уже в привычном для всех месте, в здании международной торговли. При входе на конференцию посетителей встретила очаровательная проекция красивой девушки, вещающая о великих достижениях компании Cisco. По числу скопившихся людей, проекция девушки явно привлекала к себе внимание.


Пройдя checkpoint и переместившись на второй этаж, взгляду открывалась привычная картина для такого рода мероприятий.

Мегасплоит теперь и в версии PRO

Такое событие ваш покорный слуга пропустить просто не мог. И сегодня остаток дня провел в красивой оболочке пробной версии Metasploit Pro (загрузка версии PRO доступна по ссылке). Что можно сказать про enterprise версию metasploit? Это нереально круто! Парни действительно постарались на совесть и реализовали достойную обертку ко многим возможностям консольного метасплоита. Таким образом, текущая реализация metasploit pro вполне способна в светлом будущем потеснить другие решения на рынке в этом направлении. Интерфейс PRO-версии разработан в лучших традициях WEB 2.0 Т.е. можно смело утверждать, что эксплоитинг стал доступен простым домохозяйкам :)


Xakep hacked

Какие дела творятся :)) взломана партнерка оф. сайта журнала Xakep и сегодня многие могут наблюдать такую картину:


ИнфоБезопасность 2010 (мини резюме)

На этой неделе прошло мероприятие, которое когда-то являлось частью всем известной выставки InfoSecurity Russia. Ваш покорный слуга не мог не побывать на нем и заскочил на секундочку в 7-ой павильон Экспоцентра, чтобы поздороваться с коллегами и оценить новую выставку INFOBEZ. Впечатление нужно сказать от этой выставки осталось крайне не однозначным. С одной стороны не наблюдалось толпы девушек модельной внешности с элементами бодиарт, с другой, стенд Positive Technologies находился в центре внимания той незначительной толпы людей, которые посетили это мероприятие:



Как говорится "первый блин комом". Желаю организаторам выставки в следующем году большей аудитории и позитивных стендов :)

ЗЫ. другие отзывы и материалы с мероприятия [1,2,3]

Честно: Аферы высоких технологий (или придет спаситель часть II)

...и снова на большом экране MaxPatrol (на 16-й минуте), смотрим :)

PS. nikitozz, респект!

Что там прячет ModRewrite?

ModRewrite является замечательным инструментом администрирования, позволяющий менять URL "на лету" за счет использования регулярных выражений. Этот модуль веб-сервера Apache может применяться, как для сокрытия структуры сайта, так и для задач поисковой оптимизации (SEO) или даже с целью разграничения доступа. Довольно широкое применение ModRewrite связано с преследованием цели спрятать реальную структуру сайта подальше от посторонних глаз (каталоги, серверные сценарии и поступающие в них запросы). Нужно сказать, что кто-то даже предлагает использовать ModRewrite с целью защиты от SQL-инъекций. Разумеется, спасаться от инъекций с применением этого модуля равносильно стрельбе из пулемета по воробьям, и является довольно опасным мероприятием.

А ты еще не работаешь в Позитиве??!

Активно ищем людей, желающих влиться в позитивный коллектив компании Positive Technologies :)

Особенно активно:

- Пресейл-консультант
- Technical Account Manager
- Эксперт по безопасности СУБД и прикладных систем

http://hh.ru/employer/26624

you are welcome!

Web Hacking Incident Database 2010 Bi Annual Report

Trustwave SpiderLabs опубликовали отчет по анализу инцидентов веб-приложений за первую половину 2010 года. Отчет подготовлен на основе данных проекта Web Hacking Incident Database (WHID), в котором, с недавних пор, активное участие принимает ваш покорный слуга.

Основные выводы, приводимые в отчете:

  • Заметно участились случаи проведения атак на системы онлайн-банкинга с использованием банковских троянов и с дальнейшим похищением требуемых полномочий для вывода денежных средств из подобных систем.
  • Атаки, направленные на отказ в обслуживании (DoS, Denial of Service) интернет-сервисов, по-прежнему являются распространенной угрозой.
  • Большинство организаций безответственно относятся к расследованию произошедшего инцидента. Во многом это связано с тем, что коррективные контроли не задействованы в продуктивных системах. В конечном счете – это приводит к тому, что организации не обладают необходимой информацией по исправлению уязвимостей, которые были использованы злоумышленником для реализации атаки.

SurfPatrol в массы

Использование устаревших версий веб-браузеров и их плагинов, как правило, приводит к заражению компьютера вирусами, потере важной информации и пр. Системы обновления следят обычно только за компонентами операционной системы, а уязвимыми на практике [1] оказываются плагины браузера, о необходимости обновления которых пользователь может и не подозревать.

Решение SurfPatrol компании Positive Technologies позволяет оперативно проводить экспресс-оценку безопасности компьютера, основываясь на данных о веб-браузере и его расширениях.

100% Virus Free Podcast #17 (обсуждение CC'2010)

В конце прошлой недели ваш покорный слуга вновь посетил российское представительство компании ESET и пообщался с Александом Матросовым и Антоном Карповым на тему прошедшего не так давно мероприятия Chaos Construction'2010.

Мы затронули следующие темы:

- что такое Chaos Construction и как все начиналось?
- HackQuest, кто его придумал и с какой целью?
- немного про политику разглашения 0-day уязвимостей на публичных мероприятиях
- в чем отличия HackQuest и CTF?
- моральные аспекты проведения конкурсов подобных HackQuest



Скачать mp3 файл

Chaos Constructions 2010 (резюме)

В прошедшие выходные в славном городе Питере состоялся компьютерный фестиваль под названием Chaos Construction 2010. Ваш покорный слуга, являясь соорганизатором в разработке и подготовке HackQuest, прибыл на место проведения CC еще до начала обустройства здания к приему множества гиков компьютерного сообщества. Встретился со старыми друзьями, послушал интересные выступления и... провел эти дни в постоянно нарастающем позитиве :)

Chaos Constructions 2010 (презентация с выступления)

Выступил сегодня на СС'10 с темой "Развитие систем анализа защищенности. Взгляд в будущее!". Презентация с семинара представлена ниже. Видео моего выступления и других спикеров будет доступно несколько позже.

Chaos Constructions 2010 (начало)

Совсем скоро, буквально через пару недель, состоится мероприятие под логотипом CC'10. В рамках демопати привычно пройдет соревнование за звание лучшего хакера – HackQuest, который в этом году готовится силами целой команды талантливых людей из разных компаний. Вместе с коллективом, собравшимся у истоков HackQuest, мы учли все промахи прошлых лет. И на этот раз предлагаемые задания должны удовлетворить потребности большинства из его участников. Будут предложены, как классические (простые) задания, так и довольно сложные, для любителей "поковырять" одно направление. В числе предлагаемых заданий будет и сложный реверсинг в стиле "квеста", а также задания из категории on site. По моему личному мнению, хак-квест этого года должен побить все рекорды по сложности и интересности предлагаемых заданий в предыдущие годы. Чего только стоит задание с соц. инженерией "соблазни жгучую брюнетку и получи заветный ключ" :) но это был секрет, потому тс-сс-сс!))

Отдельно хочется отметить семинары, которые пройдут во время фестиваля Chaos Constructions 2010. Дело в том, что в этом году как никогда много семинаров посвящено именно тематике информационной безопасности. В числе спикеров были замечены такие выдающиеся люди, как: Никита Тараканов (CISS), Алексей Синцов (Digital Security), Иващенко Тарас и Сидоров Дмитрий (Yandex), Андрей Комаров (ITDEFENCE), Владимир Воронцов (ONSec) и другие, не без участия PT Security :)

В целом Chaos Constructions этого года обещает быть (не)реально интересным и соберет на своей площадке очень много интересных личностей! До встречи на CC'10!!

Воины будущего: Да придет спаситель

...а вместе с ним и MaxPatrol :)) но не на широком экране... пока...



Другая альтернатива null-byte

Многие из вас, безусловно, помнят, как около года назад Raz0r поднял тему альтернативы "ядовитому нулю", а группа ush провела соответствующие исследования в этом направлении [1,2,3]. К слову, в это же время ваш покорный слуга пополнил новым методом базу знаний XSpider/MaxPatrol, дополнив реализацию метода своими наработками [4].

Так к чему я вновь затронул эту тему? Дело в том, что в упомянутом методе основная идея была затереть конец файла (расширение), который в свою очередь попадает в инклуд. Это возможно, потому как PHP использует нормализацию пути и не может обратиться к файлу превышающему MAX_PATH. А почему бы используя все те же ограничения PHP (длина MAX_PATH), не попробовать заполнить длину имени файла, но только от начала файла? Именно такая идея пришла в голову молодому человеку (Гольцев Юрий), которому был задан соответствующий вопрос на собеседовании. И ведь действительно! Это должно работать.

100% Virus Free Podcast #16

Продолжая позитивные встречи в здании Российского представительства компании ESET, ваш покорный слуга встретился с Александром Матросовым, а также с человеком, который все это время оставался за кадром. Кто он? Слушаем подкаст :)

Обсуждаемые темы:

- RISSPA, что это такое и чем интересно?
- семинар Безопасность веб-приложений в Яндексе
- Linux глазами обычного пользователя
- насколько актуальны вирусы для Linux
- способы заражения Linux-систем
- целевые атаки с использованием вредоносных программ
- HackQuest на Chaos Constructions'2010



Скачать mp3 файл

Facebook Full Disclosure

Как сказал один очень уважаемый мною человек на тему повторных sql injection в известных проектах: "Проблема глобальнее - ошибка не в скриптах, а в ДНК некоторых людей!" :) Что тут можно еще добавить...

Ох, уж эти пентесты

Никогда не перестану удивляться человеческой глупости! :) Себя я в полной мере отношу к человекам, потому и сам не редко допускаю разного рода оплошности. Довольно часто можно услышать, что однофакторная аутентификация с использованием паролей без каких-либо механизмов противодействия удаленному атакующему в контексте большого числа идентификаторов – это всегда реализация успеха для (не)плохого парня. Более того на руках вполне живые метрики: "удаленный атакующий способен скомпрометировать 10-15% учетных записей системы", "40% паролей могут быть взломаны из-за простоты".

100% Virus Free Podcast #15


Продолжая традицию записи позитивных подкастов, Сергей Гордейчик посетил Российское представительство компании ESET и пообщался с Александром Матросовым.

Обсуждаемые темы:

- немного о том, как Сергей докатился до жизни такой :)
- пентесты, зачем нужны и что под этим понимают эксперты
- внутренние тестирование защищенности соц. сети Facebook
- целевые вредоносные программы и насколько может быть эффективна такая атака?
- нужен ли анонимный доступ к беспроводным сетям, хорошо это или плохо?
- ближайшие планы PT на проведение соревнований СTF



Скачать mp3 файл

The Pirate Bay hacked

Появилась информация, что исследователю Ch Russo удалось продемонстрировать эксплуатацию множества критических уязвимостей на популярном варезном трекере "The Pirate Bay". Как это ни странно, но ресурс, находящийся под постоянным "прицелом" со стороны Американской ассоциации звукозаписывающих компаний RIAA оказался дырявым, как дуршлаг, и, фактически светил всей своей "откровенной" базой [1] пользователей в Интернет. Уязвимости, которые были обнаружены исследователем, банальны – "Внедрение операторов SQL".


Ниже представлен мультик компрометации данных в базе "The Pirate Bay".

Семинар RISSPA на площадке Яндекс

Сегодня проходил семинар RISSPA под лозунгом "Безопасность веб-приложений". В формате мероприятия выступили Тарас Иващенко (Яндекс), Вороченко Владимир (Защищенные контент-системы), Денис Безкоровайный (Trend Micro), а также Ваш покорный слуга с темой "WAF наше все?!". Презентация на тему того, как "правильное" использование Web Application Firewall позволяет "реально" повысить степень защищенности веб-приложений, представлена ниже. 

Семинар по MaxPatrol

Сегодня прошел технический семинар по использованию сканера системы контроля защищенности и соответствия стандартам MaxPatrol. Ваш покорный слуга выступил на указанном мероприятии с темой "Ломаем (и строим) вместе!". Материалы с выступления представлены ниже.

Безопасность языком цифр #8

Практика проводимых тестирований на проникновение показывает, что в случае, когда в информационной системе отсутствуют ограничения по длине и сложности используемых паролей пользователями и не используются какие-либо противодействия удаленному перебору, то, обладая всей базой идентификаторов, удаленный атакующий способен скомпрометировать 10-15% учетных записей системы, преимущественно, используя лишь цифровые комбинации в качестве паролей.

Примечательно также, что 1-1,5% используемых паролей от числа скомпрометированных учетных записей – это пароли, совпадающие с именем пользователя.

Кто читает вашу почту

Уже в который раз при проведении оценки осведомленности пользователей замечаю, как в наш сценарий атаки через некоторое время вмешивается некто (или нечто) со стороны диапазонов IP-адресов бесплатной почтовой системы, которую мы используем для рассылки электронных писем (eq сервис mail.ru). Причем, все указывает на то, что вмешательство происходит именно человеком, а не автоматизированной системой, т.е. вмешательство происходит вполне себе осознанно.

RusCrypto CTF 2010 Full Disclosure

Провел вчера вебинар [1], на котором были рассмотрены следующие вопросы:
  • технические и организационные подробности подготовки и проведения РусКрипто CTF 2010
  • заложенные уязвимости, пути их обнаружения и эксплуатации
  • хронология событий на РусКрипто CTF 2010 и не найденные игроками уязвимости

Материалы вебинара представлены ниже.

SecurityLab.ru анонсирует запуск нового раздела сайта "Экспертные панели"

Раздел предназначен для посетителей сайта, которые желают задать вопрос по информационной безопасности и получить на него квалифицированный ответ от ведущих специалистов в этой области из компаний 1С-Битрикс, ESET LLC, Nokia Siemens Networks и Positive Technologies.

Мы надеемся, что этот раздел поможет многим читателям в поиске различных решений существующих проблем и сделает ваши сети и сервера более защищенными.

Ваш покорный слуга удостоен чести находиться в списке экспертов :) - http://www.securitylab.ru/expert/experts.php

Задать свой вопрос можно по этой ссылке: http://www.securitylab.ru/expert/

Статистика уязвимостей веб-приложений за 2009 год

Опыт компании Positive Technologies по проведению тестов на проникновение и аудитов информационной безопасности показывает, что ошибки в защите веб-приложений по-прежнему остаются одним из наиболее распространенных недостатков обеспечения защиты информации. Более того, уязвимости веб-приложений являются одним из наиболее распространенных путей проникновения в корпоративные информационные системы; существует множество факторов, делающих веб-сервисы привлекательной целью для атак злоумышленников.

При разработке приложений основные усилия разработчика обычно направлены на обеспечение требуемой функциональности. При этом вопросам безопасности и качества программного кода уделяется недостаточно внимания. В результате подавляющее большинство веб-приложений содержит уязвимости различной степени критичности.

Простота протокола HTTP позволяет разрабатывать эффективные методы автоматического анализа веб-приложений и выявления в них уязвимостей. Это значительно упрощает работу нарушителя, позволяя ему обнаружить большое число уязвимых веб-сайтов, чтобы затем провести атаку на наиболее интересные из них.

100% Virus Free Podcast #11

В конце прошлой недели удостоился чести побывать в новом офисе Московского представительства компании ESET. Где совместно с Александром Матросовым, пропустив пару стаканчиков пафосного кофе, был записан "100% Virus Free Podcast #11". Что из этого получилось, представлено ниже.

Обсуждаемые темы:

  • Что такое тесты на проникновение и кому они нужны?
  • Кто такие пентестеры и правда ли, что они все бывшие хакеры?
  • Использование вредоносного кода при проведении тестов на проникновение.
  • Безопасность сложных web-проектов.



Скачать mp3 файл

WASC WSTCv2 Mapping Proposal

Внося последние штришки в статистику уязвимостей web-приложений за 2009 год (дата публикации которого в этом году как-то слишком затянулась), неожиданно для себя обнаружил отсутствие сопоставления названий уязвимостей WASC WSTCv2 к SANS/CWE Top 25 2010. За неимением подобного сопоставления на официальном ресурсе [1], предлагаю свою версию.

Approaching Metasploit 3.4.0 and Metasploit Express

Занятный пост появился сегодня на официальном блоге проекта Metasploit. Помимо выпуска очередной сборки 3.4.0 с середины мая этого года сообщается, что в тоже время появится новая коммерческая ветка продукта - Metasploit Express:

WhiteHat Website Security Statistic Report 2009

Вначале прошлого месяца компанией WhiteHat Security была опубликована статистика уязвимостей в веб-приложениях за 2009 год. Десятка "лидеров" выглядит следующим образом:

РИТ++ / 2010: презентация с выступления

Довелось сегодня выступать на мероприятии под названием "Российские интернет-технологии 2010" (сокр. РИТ++) по теме "Анализ защищенности интернет-проектов". Презентация с выступления представлена ниже.




И скромный фото-отчет с мероприятия доступен здесь.

РусКрипто’2010: резюме по CTF

Состоялось первое соревнование по защите информации (Capture the flag, CTF), разработанное в свободное от работы время силами сотрудников компании Positive Technologies, при участии Александра Матросова (представителя компании ESET). По полученным отзывам от участников соревнования [1,2,3,4,5,6,7,8,9,10] можно говорить о том, что мы сумели провести это мероприятие на достойном, высоком уровне, что не может не радовать :)

По результатам состязания CTF, первое место заняла команда от института ИТМО CIT, во главе с очаровательной девушкой Дарьей Жуковой, которая является капитаном и координатором указанной команды. Питерская команда CIT сохраняла позиции лидерства на протяжении всего времени проведения CTF. Второе место заняла команда ХакерДом, участвующая в состязании от института УрГУ. Следом за Екатеринбургской командой ХакерДом, с небольшим отрывом, третье место завоевала Московская команда Bushwhackers (МГУ), вырвавшие его у Томской команды SiBears (ТГУ) на последних минутах соревнования. Нужно сказать, что на протяжении всего состязания CTF наблюдалась активная борьба за второе и третье места. При этом команда CIT стабильно держала разрыв в 50-100 очков от ближайших к себе соперников, не позволяя даже приблизиться другим участникам к первому месту.

РусКрипто’2010: презентация с выступления

Во время CTF, проводимого на площадке РусКрипто, ваш покорный слуга успел выступить в секции "Penetration testing internals". Презентация на тему "Что такое тестирования на проникновение" представлена ниже.


 

РусКрипто’2010: Начало


Совсем скоро состоится мероприятие под названием РусКрипто'2010. Конференция "РусКрипто" представляет собой площадку для общения специалистов в области криптографии и защиты информации. В этом году команда Positive Technologies (и не только [1]) решили привнести в мир немного свежего позитива и занялись процессом воплощения соревнования по защите информации, проводимые по принципам игры в capture the flag - "РусКрипто CTF". И после долгих бессонных (дней и) ночей, я с уверенностью могу заявить, мы сделали этого монстра! :)) Сейчас он делает первые робкие шаги в направлении кошерных серверов, а уже в пятницу на этой неделе, станет размножаться и обустраиваться на новом месте. Но, я кажется, отвлекся... Приглашаем всех в качестве наблюдателей за соревнованиями. Предполагается много юмора и постойная динамика меняющегося мира CTF в контексте красивой легенды. Welcome!

Помимо проведения РусКрипто CTF, Сергей Гордейчик героически выступит в секции "Интернет и информационная безопасность" с докладом "Web Application Security Consortium. Перспективы развития", а ваш покорный слуга постарается за оставшееся время подготовить достойный материал на тему пентестов, и выступить в секции "Penetration testing internals" с докладом "Тестирование на проникновение, что за??!" (оригинальное название – "Penetration testing, WTF?", не пропустили модераторы:)).

До встречи на РусКрипто'2010!

Материалы с мастер-класса по Cross-Site Scripting

Проводил в субботу на прошедшей неделе лабораторную работу в институте МИФИ по теме "Межсайтовое выполнение сценариев" (базовый уровень). Материалы лабораторной работы представлены ниже.

Список допущенных команд до участия в РусКрипто CTF 2010

Список команд, принимающие участие в соревновании CTF, проводимом в рамках конференции РусКрипто'10, представлен ниже:

Институт: Уральский государственный университет имени А.М.Горького (УрГУ), г. Екатеринбург
Название команды: ХакерДом
Состав команды:
- Плотников К.
- Симонов Д.
- Соломонова О.
- Гейн А.
- Берсенев А.

IBM Full Disclosure SQL Injection

Всегда приятно посмаковать допускаемые ошибки теми, кто учит других построению информационной системы и вопросам обеспечения информационной безопасности :)) На этот раз под раздачей сайт в домене ibm.com - http://www.researcher.ibm.com/.

CENZIC Web Application Security Trends Report

Компания CENZIC, поставщик программного обеспечения и услуг по защите Web-приложений, на днях опубликовала отчет по тенденциям безопасности Web-приложений за период со второго квартала 2008 года по четвертый квартал 2009 года. Основные выводы, сделанные специалистами компании CENZIC по результатам проведенного анализа:

- 82% всех обнаруженных уязвимостей связано с Web-технологиями;
- Большее количество уязвимостей найдено в браузере Firefox;
- Компании Adobe, Sun (а теперь уже Oracle) и HP содержаться в числе 10 ведущих поставщиков с наиболее серьезными уязвимостями (на вторую половину 2009 года).

ISO.ORG Full Disclosure

На официальном сайте Международной организации по стандартизации (International Organization for Standardization, ISO), исследователем под псевдонимом GERTY9000, три недели тому назад, была обнаружена распространенная критическая уязвимость в Web-приложениях – "Внедрение операторов SQL". Международную организацию ISO знает каждый по многочисленным отраслевым стандартам, в том числе, стандартам в области информационной безопасности (вспоминаем ISO/IEC 27001:2005). Но давать напутствия другим – гораздо проще, чем придерживаться их самим :) Высокоуровневый взгляд проглядел "низы", и как следствие, недостатки в процессе обеспечения Web-безопасности вылезли наружу. Перейдем к разбору инцидента...

IBM X-Force 2009 Trend and Risk Report

Подразделением X-Force, компании IBM, опубликован очередной аналитический отчет "X-Force® 2009 Trend and Risk Report". В отчете охвачены следующие наборы данных:

- Уязвимости в целом (раскрытие уязвимостей, уровень опасности, вероятности эксплуатации, распределение уязвимостей по вендору и т.д.).
- Уязвимости и угрозы Web-приложений
- Уязвимости и угрозы на стороне клиента (client-side)
- Угрозы просмотра нежелательного контента
- Вредоносные программы
- Спам
- Фишинг

Стоимость одной неприкрытой SQL-инъекции

В своем последнем финансовом отчете, Heartland Payment Systems сообщила, что понесла убытки в размере 129 миллионов долларов по причине произошедшего инцидента в прошлом году. Heartland Payment Services выступает как стандартный банковский провайдер для почти 250 тысяч организаций. Инцидент был связан с крупной кражей данных кредитных и дебетовых карт, которая стала возможной, по причине использования злоумышленником самой обыкновенной SQL-инъекции :) А ведь Heartland Payment Systems - PCI Compliant.

Выдержка из интервью с Боб Руссо (Bob Russo), генеральным директором PCI Security Standards Council:

"But I thought Heartland executives said they were compliant.
They had that piece of paper that said they were compliant but they weren't. What happened at Heartland was a SQL injection attack [in which an attacker injects commands to a back end database using input fields on a Web site]. That's an old exploit and there are myriad ways to prevent that outlined in the standards. As it turns out they were not complaint at the time of the breach. [Heartland CEO Robert Carr eventually disclosed that the assessors had incorrectly informed the company that it was PCI compliant.]"

Компания Heartland Payment Systems также добавила, что она все еще имеет резерв в размере 100 миллионов долларов на покрытие дополнительных расходов.

Таким образом, SQL-инъекция для Heartland Payment Systems может стоить $229 миллионов.

Ссылки:
- Утечка данных в платежной системе Heartland
- Интервью с Боб Руссо (Bob Russo)
- Стоимость нарушения, Heartland Payment Systems

(20) Code Execution Vulnerabilities in an Adobe product

Много споров наблюдалось за последнее время на тему того, какой браузер обеспечивает большую защищенность компьютера (при посещении сайтов взрослой тематики;)). Причина тому - нашумевшая атака в отношении ИТ-гиганта Google, реализованная с использованием уязвимости нулевого дня в Microsoft Internet Explorer (CVE-2010-0249, "Aurora"). На этой волне Франция и Германия даже призывали своих граждан отказаться от IE и перейти на другой, более безопасный браузер...

Но пока пользователи выбирают и переходят на "защищенные" браузеры, реверсеры копают в сторону продуктов компании Adobe :) Так, VUPEN Security Research вновь радует общественность своими находками. А компания адобе, уже давно уставшая от такого пристального к себе внимания, не успевает выпускать релизы своих продуктов между выпуском потока заплаток к ним... [1] а сколько их еще впереди?

Welcome another 0-day in Adobe products :)

Результаты тестирований на проникновение

Снова коллегой затрагивается тема проведения тестирований на проникновение и тема о результирующих документах по окончанию подобных работ. В типовом отчете, предложенном Александром Дорофеевым, я больше увидел не отчет по тестированию на проникновение, а отчет по инструментальному обследованию с ручной верификацией уязвимостей. На этой ноте предлагаю вашему вниманию типовой шаблон по результатам проведения тестирований на проникновение, используемый в компании Positive Technologies.

SQL-инъекция на сайте ICQ.COM

Из сообщения в комментариях, ваш покорный слуга узнал про имеющуюся уязвимость типа "Внедрение операторов SQL" на сайте icq.com. Помимо самого явления SQL-инъекции на подобном ресурсе, интересен также тот факт, что информация об уязвимости была опубликована около двух лет назад [1], но уязвимость до сих пор является эксплуатабельной.


Несколько сайтов поставщика антивирусных продуктов avast! подверглись дефейсу

За последний месяц сразу восемь сайтов известного антивирусного решения avast! подверглись дефейсу:

 

 

Сайт Колумбийского правительства используется для атак на другие ресурсы Интернет

Зафиксирован случай использования сайта правительства Колумбии www.frentesdeseguridad.gov.co в качестве площадки для проведения атак на другие ресурсы Интернет:


Содержимое файла "respon1.txt", который, по всей видимости, используется в качестве контроля наличия уязвимости автоматизированными ботами, выглядит следующим образом:

Cisco Releases Multiple Security Advisories

Компания Cisco порадовала сегодня очередным выпуском обновлений безопасности. Среди заплаток к оборудованию, мое внимание привлекло уведомление cisco-sa-20100217-csa, в котором упоминалась популярная система проактивной защиты на уровне хоста (aka HIPS) - Cisco Security Agent (CSA). Каким же было мое удивление, когда в адвизори всеми любимого вендора за 2010 год можно прочитать буквально следующее: "The Management Center for Cisco Security Agents is affected by a directory traversal vulnerability and a SQL injection vulnerability". WOW :)

Пояснение. "Management Center for Cisco Security Agents" – это web-based консоль управления CSA на уровне всего предприятия. "directory traversal vulnerability" - уязвимость, которая позволяет выходить за пределы корневой директории Web-сервера (WASC-33). "SQL injection vulnerability" - уязвимость, занимающая вторую позицию в рейтинге CWE/SANS Top 25 Most Dangerous Programming Errors 2010...

Очень сильно сомневаюсь в недостаточной квалификации разработчиков компании Cisco, поэтому налицо недостатки в процессе управления качеством продуктов.

CWE/SANS Top 25 Most Dangerous Programming Errors 2010

Опубликован очередной документ CWE/SANS Top 25 наиболее опасных ошибок программирования, допускаемых разработчиками программного обеспечения, в том числе, и при разработке Web-приложений. Первая тройка распространенных ошибок выглядит следующим образом:

1. Недостаточная проверка поступающих данных в структуру Web-приложения.

Класс уязвимости - "Межсайтовое выполнение сценариев". Вектор атаки направлен на эксплуатацию на стороне клиента (client-side attack).
CWE-79, OWASP A1, WASC-8, WHID: XSS

"Межсайтовое выполнение сценариев" (Cross-Site Scripting (en.), сокр. XSS) связано с возможностью внедрения HTML-кода в уязвимую страницу. Внедрение кода осуществляется через все доступные способы ввода информации. Успешная эксплуатация уязвимости может позволить атакующему использовать значения различных переменных, доступных в контексте сайта, записывать информацию, перехватывать сессии пользователей и т.д.

Австралийский сайт Microsoft собирал ботнет

На этот раз – не Windows, как это можно было бы предположить из заголовка поста :) Компания WebSense обнаружили "заряженный" баннер вредоносным кодом на сайте help.ninemsn.com.au:


Автоматизированный эксплоитинг

В современном мире для атакующего/исследователя/аудитора доступны следующие продукты, объединяющие в себе возможности по обнаружению уязвимостей и функционал для проведения полуавтоматизированной атаки:

- CORE IMPACT компании Core Security Technologies
Лучший продукт данного сегмента по юзабилити. К ключевым возможностям можно отнести функционал пробрасывания сканера и модуля эксплуатации уязвимостей через успешно атакованную систему, а также механизмы аудита после проведения атаки.

- CANVAS, D2 and Tenable Nessus ProfessionalFeed Bundle
Сборка CANVAS (компании Immunity) с D2 Exploit Pack (компании Square Security) интегрированные со сканером обнаружения уязвимостей Nessus позволяют достигнуть аналогичного подхода, заложенного в продукте CORE IMPACT. В отличие от своего конкурента, под платформу CANVAS, помимо собственных сплоитов, доступны также сплоит-паки от третих лиц. Это позволяет CANVAS’у охватить гораздо больше уязвимостей для проведения атаки по сравнению с другими решениями данного сегмента. Вот некоторые из доступных сплоит-паков: VulnDisco, Agora Pack (вырос из Argeniss 0Day Pack), Voip Pack.

- SAINT Vulnerability Scanner && SAINTexploit
Аналог интегрированного CANVAS и Nessus с тем лишь отличием, что у SAINT Vulnerability Scanner и SAINTexploit один производитель (как можно догадаться из названия – компания SAINT).

ExxonMobil Full Disclosure

На сайте в домене exxonmobil.com, исследователем под псевдонимом aXceSS, была обнаружена уязвимость типа "Внедрение операторов SQL". Владельцем домена exxonmobil.com является компания Exxon Mobil (крупнейшая в мире нефтегазовая компания), которая занимается разведкой и добычей нефти и газа, производством нефтепродуктов, а также транспортировкой и продажей сырой нефти, природного газа и нефтепродуктов. Компания является крупнейшим производителем и поставщиком нефтехимической продукции. Тот факт, что компания в данной отрасли имеет недостатки в процессе обеспечения безопасности Web-приложений, лично у меня, не вызывает никаких удивлений :)

Исследователь обнаружил на сайте portsandservices.exxonmobil.com уязвимость класса "Слепое внедрение операторов SQL" (blind SQL Injection) и проэксплуатировал ее самым простым и быстрым методом (error-based SQL Injection):

Trustwave Analysis of 2009 Penetration Tests

Компания Trustwave, занимающаяся вопросами безопасности платежных систем, опубликовала отчет Global Security Report 2010. Помимо анализа произошедших инцидентов за год, рассматриваемых в отчете, большую часть документа занимает анализ основных путей успешно реализованных атак при проведении тестирований на проникновение. В опубликованном отчете собраны наиболее часто встречаемые проблемы при проведении подобных работ по направлениям:
  • Внешний сетевой пентест
  • Внутренний сетевой пентест
  • Атака на беспроводные сети
  • Физический/Социальный пентест
  • Технологический пентест
Рекомендую ознакомиться с данной публикацией: https://www.trustwave.com/whitePapersRequest.php.

CTF на РусКрипто’2010

Ассоциация "РусКрипто" приглашает принять участие в соревновании студенческих команд "РусКрипто CTF'2010", проводимом в рамках конференции 3-го апреля 2010 года. Организаторы соревнований ассоциация "РусКрипто", компания Positive Technologies и НОУ "Академия Информационных Систем".

РусКрипто CTF — это всероссийские соревнования по защите информации, проводимые по принципам игры в capture the flag (захват флага). В начале игры команды получают идентичные серверы с предустановленным набором уязвимых сервисов, выполняющих определенные функции и содержащие предустановленные уязвимости. Помимо уязвимостей, содержащихся в "самописных" сервисах, информационная среда команд соперников содержит распространенные уязвимости, характерные для реальных информационных систем: слабые пароли, публичные уязвимости в ОС/сервисах, недостатки администрирования, реальные уязвимости Web-приложениях (таких, как популярные CMS). В процессе соревнований в среде производятся подготовленные организаторами изменения, которые в свою очередь могут синхронно вносить дополнительные уязвимости в среду функционирования сервисов команд.

Эксплуатация SQL Injection в Insert, Update, Delete, etc

К данной публикации меня сподвигла появившееся на днях тема в форуме sla.ckers.org (SQL Injection, MySql, INSERT INTO). SQL-инъекцию довольно часто можно встретить в SELECT-запросе. Но ровно также уязвимый параметр к проведению инъекции может попасть и в конструкции Insert, Update, Delete, Replace и пр. Рассмотрим, каким же образом в подобных случаях можно получить максимум пользы с позиций атакующего.

Стоит сразу же отметить, что в серьезных СУБД, таких как Oracle, Microsoft SQL Server и им подобным существует возможность разделения запросов через точку с запятой. Поэтому для таких баз данных можно, например, выполнять insert, когда инъекция попадает в select-запрос и наоборот.

Weak passwords

Решил консолидировать все имеющиеся TOP’ы наиболее распространенных паролей в одной публикации. Собственно, подборка самых популярных (и как следствие уязвимых) паролей представлена ниже.

7Safe Security Breach Investigations Report

Компанией 7Safe опубликован отчет по анализу случаев компрометации данных (UK Security Breach Investigations) произошедших в 2009 году. По данным указанного отчета в прошедшем году основным источником компрометации данных был внешний нарушитель (80%):