Практика проведения работ по анализу защищенности внутренних информационных систем показывает, что все используемые СУБД Oracle содержат от одной до нескольких уязвимостей. Так, 60% всех выявленных уязвимостей связано с плохим patch management, а 10% приходится на проблемы, связанные с парольной политикой.
Уязвимости в СУБД составляют 5% от общего числа всех выявляемых недостатков во внутренних информационных системах при их обследовании.
LOPHTCRACK IS BACK
Сегодня на блоге SpxnezzaR увидел пост о том, что разработка легендарной утилиты L0phtCrack будет продолжена. Не смог удержаться, чтобы не заценить новую версию L0phtCrack 6, благо она уже доступна в триале.
Насколько часто встречается уязвимость SQL-Injection?
Недавно проводил небольшое исследование на тему распространенности уязвимости "Внедрение операторов SQL" в реальных условиях. Не выдумывая сложных сценариев, перешел на один из тематических каталогов на Yandex портале и последовательно переходил на web-страницы, приведенные в нем. Для поиска SQL Injection использовал самые элементарные и только безопасные проверки (такие, как одинарная и двойная кавычка, отрицательные значения переменных типа int и т.п.), уделяя на каждый сайт не более 1-2 минут. Таким образом, я мог детектить только самые грубые ошибки в реализации web-приложений. И что же с результатами? Из 40 web-узлов, 15 содержали уязвимость SQL Injection (эксплуатабельность не проверял:)) т.е. 37,5% из тестового набора. На мои оповещения, на адреса админов о наличии серьезной уязвимости на их сайте, был получен только один ответ благодарности (случайно зацепил известную CMS;)).
Заметка об антивирусах
Эпизодически ко мне обращаются, чтобы я порекомендовал выбрать наиболее качественный антивирус. Для того, чтобы не повторяться, решил озвучить свое мнение в блоге.
Итак, во-первых, я искренне сочувствую домашним пользователям:) При активном серфинге сайтов эротического содержания с правами локального администратора, никакое антивирусное средство, увы, не спасет. Добавив к этому грамотность среднестатистического домашнего пользователя в вопросах обеспечения информационной безопасности, как у компьютера остается слишком мало шансов сохранить себя в первозданной чистоте без различного рода паразитов. Тут и ярко выраженный человеческий фактор, и проблемы с патчменеджментом, и работа с повышенными привилегиями и т.п. Безусловно, вендоры за последние несколько лет двигаются семимильными шагами, но, даже будучи очень бдительным и подкованным домашним пользователем, подцепить какую-нибудь заразу, когда компьютер используется в качестве развлекательного ресурса, достаточно просто. Подтверждением тому служит то, что опорную сеть крупных ботнетов составляют именно компьютеры домашних пользователей:) Сама идеология такого пользователя такова, что вроде как секретов на компьютере нет, потому и нет ничего страшного в том, что компьютер поучаствует в распределенной DoS-атаке... К сожалению, достаточно часто слышу подобную позицию.
Итак, во-первых, я искренне сочувствую домашним пользователям:) При активном серфинге сайтов эротического содержания с правами локального администратора, никакое антивирусное средство, увы, не спасет. Добавив к этому грамотность среднестатистического домашнего пользователя в вопросах обеспечения информационной безопасности, как у компьютера остается слишком мало шансов сохранить себя в первозданной чистоте без различного рода паразитов. Тут и ярко выраженный человеческий фактор, и проблемы с патчменеджментом, и работа с повышенными привилегиями и т.п. Безусловно, вендоры за последние несколько лет двигаются семимильными шагами, но, даже будучи очень бдительным и подкованным домашним пользователем, подцепить какую-нибудь заразу, когда компьютер используется в качестве развлекательного ресурса, достаточно просто. Подтверждением тому служит то, что опорную сеть крупных ботнетов составляют именно компьютеры домашних пользователей:) Сама идеология такого пользователя такова, что вроде как секретов на компьютере нет, потому и нет ничего страшного в том, что компьютер поучаствует в распределенной DoS-атаке... К сожалению, достаточно часто слышу подобную позицию.
Безопасность языком цифр #3
Как показывает проведение внутренних тестов на проникновение, наиболее критические (экстренные) уязвимости чаще всего встречаются в операционных системах - 57,3%, и в используемых Web-приложениях - 37,3%. Меньший impact, но также достаточно высокого уровня опасности уязвимости, можно встретить в СУБД - 30,6%, и снова в используемых Web-приложениях - 51,3%.
Наибольшее число проблем, связанных с несоблюдением парольной политики во внутренних сетях, встречается в сетевом оборудовании - 49,3%. А наиболее печальная ситуация с процессом установления обновлений безопасности замечено у используемых Web-приложений - 44,3%.
Наибольшее число проблем, связанных с несоблюдением парольной политики во внутренних сетях, встречается в сетевом оборудовании - 49,3%. А наиболее печальная ситуация с процессом установления обновлений безопасности замечено у используемых Web-приложений - 44,3%.
И нет конца борьбы со спамом
Забавное сообщение появилось у меня в блоге, после публикации последнего поста:
В полученном письме меня поблагодарили за борьбу с международным спамом:)
Проследовав по предложенной ссылке, передо мной извинились от лица всех ботов (особенно улыбнуло;)), но сказали, что меня ожидает ручная верификация...
Однако забавно даже то, что данный пост удалось опубликовать без труда (капча не в счет), а говорилось, что «я не могу публиковать новые сообщения, пока блог не будет разблокирован». Небольшие формальные несоответствия, но в целом...
В полученном письме меня поблагодарили за борьбу с международным спамом:)
Проследовав по предложенной ссылке, передо мной извинились от лица всех ботов (особенно улыбнуло;)), но сказали, что меня ожидает ручная верификация...
Однако забавно даже то, что данный пост удалось опубликовать без труда (капча не в счет), а говорилось, что «я не могу публиковать новые сообщения, пока блог не будет разблокирован». Небольшие формальные несоответствия, но в целом...
Сканеры безопасности, как инструмент реализация стратегии ИБ
Современный бизнес тесно связан с использованием информационных технологий, которые в свою очередь подвержены различным угрозам информационной безопасности (далее – ИБ). В случае реализации некоторой угрозы, может возникнуть ситуация, в которой нарушится некоторый бизнес-процесс или произойдет утечка важных данных и пр. Следствием этого может стать снижение стоимости акций компании, снижение уровня доверия со стороны партнеров/клиентов и т.п. Для того, чтобы минимизировать подобные риски, компании вынуждены заниматься вопросами, связанными с обеспечением ИБ. Более того, в ряде случаев эта необходимость вызвана желанием или требованием соответствовать различным критериям, как законодательным (ФЗ, указы президента и др.), так и международным (ISO/IEC 27005:2008, PCI DSS, SOX и др.).
Компания, которая уделяет должное внимание обеспечению ИБ, должна управлять своими информационными активами и угрозами, которым они могут быть подвержены. Сканеры безопасности как раз и являются инструментом, помогающим в решении данной задачи.
Компания, которая уделяет должное внимание обеспечению ИБ, должна управлять своими информационными активами и угрозами, которым они могут быть подвержены. Сканеры безопасности как раз и являются инструментом, помогающим в решении данной задачи.
Безопасность языком цифр #2
Сколько времени требуется при проведении внутреннего пентеста для возможности получения аудитором прав Enterprise Admins? Как показывает практика проведения подобных работ для Российских Компаний, при первом тестировании на проникновение получить подобные привилегии в корневом домене удается в среднем за два с половиной дня.
Полноценной аналогичной статистики по повторному тестированию на проникновение нет, но практика показывает, что последующие пентесты сопряжены с гораздо большими сложностями достижения аналогичных целей. Либо не представляется возможным реализовать данную угрозу за приемлемое время, которое выделено на проведение подобных работ. Конечно же, речь идет про Компании, которые после проведения первого тестирования на проникновение не только учли и закрыли выявленные бреши в своей информационной системе, но и организовали необходимые процессы СУИБ для отслеживания появления подобных уязвимостей в дальнейшем и своевременному закрытию векторов проникновения, связанных с их эксплуатацией.
Таким образом, получается, что внутренний пентест при правильном подходе, позволяет в значительной степени поднять уровень информационной безопасности у Заказчика этих услуг.
Наиболее простые и распространенные уязвимости, приводящие к компрометации корпоративного домена, приведены здесь.
Полноценной аналогичной статистики по повторному тестированию на проникновение нет, но практика показывает, что последующие пентесты сопряжены с гораздо большими сложностями достижения аналогичных целей. Либо не представляется возможным реализовать данную угрозу за приемлемое время, которое выделено на проведение подобных работ. Конечно же, речь идет про Компании, которые после проведения первого тестирования на проникновение не только учли и закрыли выявленные бреши в своей информационной системе, но и организовали необходимые процессы СУИБ для отслеживания появления подобных уязвимостей в дальнейшем и своевременному закрытию векторов проникновения, связанных с их эксплуатацией.
Таким образом, получается, что внутренний пентест при правильном подходе, позволяет в значительной степени поднять уровень информационной безопасности у Заказчика этих услуг.
Наиболее простые и распространенные уязвимости, приводящие к компрометации корпоративного домена, приведены здесь.
Безопасность языком цифр
Сегодня занимался расчетом метрик по PCI DSS на основе данных, полученных при проведении работ по тестированиям на проникновение. Так, по статистическим данным получается, что приблизительно 30% узлов из области проводимого сканирования, при проведении соответствующих работ, содержат от одной до нескольких уязвимостей. Если же рассматривать метрику только в отношении "живых" узлов, содержащих хотя бы один сервис, то ситуация будет еще более удручающей – 50-60% исследуемых систем содержат от одной до нескольких уязвимостей. Цифра действительно впечатляет, т.к. речь идет про внешний периметр сети. Безусловно, возможный impact будет гораздо меньше, потому как не все уязвимости эксплуатабильны и многие из них могут использоваться только для проведения DoS-атаки. Однако мораль сей басни такова, что во всех подобных случаях удавалось пробить внешний периметр сети.
XSpider - самый позитивный сканер безопасности
Способно ли программное средство выявить уязвимость аля проведение атаки методом социальной инженерии? На самом деле способно:)
Взломали qip.ru
Оригинальная новость сегодня пестрит в нете: "Сегодня ночью был взломан официальный сайт популярного мессенджера мгновенных сообщений qip.ru".
Сразу же напрашивается мысль о том, что сайт то могли прозохать не сегодня ночью, а скажем пару лет назад… и вместе с дистрибутивом на протяжении всего времени распространять руткита, который по команде своего создателя активируется:) респект всем любителям QIP;))
Оригинальная ссылка: http://www.securitylab.ru/news/379218.php
Сразу же напрашивается мысль о том, что сайт то могли прозохать не сегодня ночью, а скажем пару лет назад… и вместе с дистрибутивом на протяжении всего времени распространять руткита, который по команде своего создателя активируется:) респект всем любителям QIP;))
Оригинальная ссылка: http://www.securitylab.ru/news/379218.php