Страницы

пятница, 28 декабря 2012 г.

Лабиринт, устранение шумов, схемотехника и многое другое. Обзор интересных заданий PHDays CTF Quals

На прошлой неделе завершились отборочные соревнования по защите информации PHDays CTF Quals. 493 команды из более чем 30 стран мира соревновались в выполнении заданий по взлому и защите информации, которые были разбиты на пять категории от обратной разработки до задач из реального мира (подробности и результаты соревнований в нашем предыдущем посте). Каждая категория включала в себя пять заданий разного уровня сложности (от 100 до 500 баллов).

С большинством из них командам удалось справиться, с какими-то возникли сложности, а некоторые задачи вообще не были решены. Кроме того, для части заданий команды использовали способы решения, которые даже не предполагались организаторами. Сегодня мы представляем вашему вниманию обзор наиболее интересных (по нашему скромному мнению) и сложных заданий CTF Quals.

четверг, 27 декабря 2012 г.

Процесс загрузки Windows или что спрятано под стартовым логотипом

Автор: Артем Шишкин, исследовательский центр Positive Research.

А вы никогда не задумывались над тем, что же происходит с операционной системой в тот момент, когда она рисует свой логотип и говорит «Starting Windows»? И вообще, почему она долго загружается? Ведь при старте системы уж точно не решаются никакие задачи, сложные с вычислительной точки зрения!

Что тогда подразумевает под собой загрузка операционной системы? По большей части это проецирование в память исполняемых модулей и инициализация служебных структур данных. Структуры данных живут в памяти, поэтому операции с ними по идее должны быть быстрыми. Все наталкивает на мысль о том, что время съедается именно процессом загрузки исполняемых модулей в память.

Давайте интереса ради разберемся, какие модули, в каком количестве и в каком порядке загружаются при старте ОС. Чтобы выяснить это, можно, например, получить лог загрузки системы. Подопытная ОС в моем случае — Windows 7 Enterprise x64. Логировать процесс загрузки будем при помощи отладчика ядра. Существует несколько вариантов отладчиков ядра, лично я предпочитаю WinDbg. Также нам понадобятся некоторые вспомогательные средства для волшебного превращения лога в нечто более приятное глазу.

среда, 26 декабря 2012 г.

PHDays CTF Quals: BINARY 500, или как спрятать флаг ниже плинтуса

Авторы: Григорьев Максим, Ковалев Сергей, исследовательский центр Positive Research

15—17 декабря 2012 года прошли отборочные соревнования под названием PHDays CTF Quals. Более 300 команд боролись за право участия в конкурсе PHDays III CTF, который состоится в мае 2013 года в рамках международного форума PHDays III. В течение последних двух месяцев наша команда усиленно разрабатывала задания для отборочных соревнований, и эту статью мы решили посвятить разбору одного из них – Binary 500. Данное приложение весьма необычно, поэтому ни одна команда не смогла достать флаг, спрятанный в ее недрах.

Исполняемый файл представляет собой MBR-буткит, использующий технологию аппаратной виртуализации (Intel VT-x). В связи с этим мы решили сразу предупреждать пользователей, что приложение может нанести вред системе, и что его нужно запускать на виртуальной машине или эмуляторе.



Предупреждение и лицензионное соглашение

воскресенье, 16 декабря 2012 г.

Внутреннее устройство ASLR в Windows 8

ASLR — это Address Space Layout Randomization, рандомизация адресного пространства. Это механизм обеспечения безопасности, который включает в себя рандомизацию виртуальных адресов памяти различных структур данных, чувствительных к атакам. Расположение в памяти целевой структуры сложно предугадать, поэтому шансы атакующего на успех малы.

Реализация ASLR в Windows тесно связана с механизмом релокации (relocation) исполняемых образов. Релокация позволяет PE-файлу загружаться не только по фиксированной предпочитаемой базе. Секция релокаций в PE-файле является ключевой структурой при перемещении образа. Она описывает, какие необходимо внести изменения в определенные элементы кода и данных для обеспечения корректного функционирования приложения по другому базовому адресу.

среда, 5 декабря 2012 г.

Анализ безопасности Windows XP Embedded

Автор: Константин Иванищев, исследовательский центр Positive Research.

В этой статье речь пойдет об устройстве HP t5730 с предустановленной Windows XP Embedded.

Основным отличием Windows XP Embedded от Windows XP являются:

  • Enhanced Write Filter (EWF)
  • Hibernate Once, Resume Many (HORM) 

Оба этих средства предназначены для упрощения выполнения задач по администрированию устройств на базе Windows.

понедельник, 26 ноября 2012 г.

Удар по Mongo DB

На состоявшейся недавно в Москве конференции ZeroNights 2012 эксперт компании Positive Technologies Михаил Фирстов рассказал о возможностях для проведения атаки на популярную СУБД MongoDB.

Под катом — презентация и видеоматериалы с демонстрацией атак.

четверг, 22 ноября 2012 г.

Случайные числа. Take Two

Эксперты Positive Technologies Арсений Реутов, Тимур Юнусов и Дмитрий Нагибин  провели мастер-класс «Случайные числа. Take Two» на ZeroNights 2012.

Под катом - презентация и программа для перебора PHPSESSID и предугадывания псведослучайных чисел в PHP

четверг, 15 ноября 2012 г.

XML Data Retrieval

Язык XML потихоньку становится все более популярным, все чаще встречается в анализируемых веб-приложениях. И поэтому глубокие исследования в алгоритмах работы этого языка и создание новых способов атаки на него также становятся популярными: сейчас изучены техники, позволяющие читать данные с файловой системы с помощью ошибок (error-based attack), посимвольно перебирать содержимое XML-файлов с помощью XSD-схем (blind attack)...

Ничего не напоминает? :)

вторник, 13 ноября 2012 г.

Google Chrome для Android: уязвимость UXSS и раскрытие учетных данных

Итак, начнем. В июле 2011 года Roee Hay и Yair Amit из IBM Research Group обнаружили UXSS-уязвимость в используемом по умолчанию браузере Android. Эта ошибка позволяет вредоносному приложению внедрить JavaScript-код в контекст произвольного домена и захватить файлы Cookies или произвести другие вредоносные действия. Эта уязвимость была устранена в версии Android 2.3.5.

21 июня 2012 года для Android был выпущен Google Chrome. Я смог найти в нем весьма интересные ошибки. Взгляните сами.

воскресенье, 11 ноября 2012 г.

Управление инцидентами в ИБ: формальность или необходимость?

В нашей недавней серии статей про SIEM системы упоминалась, среди прочего, встроенная в некоторые продукты возможность управления инцидентами (incident management). Сегодня мы расскажем о некоторых аспектах этого процесса.

вторник, 6 ноября 2012 г.

Безопасность SCADA в цифрах

Атомные и гидроэлектростанции, нефте- и газопроводы, заводы, транспортные сети (метро и скоростные поезда), а также многие другие жизненно важные для человечества системы управляются с помощью различных компьютерных технологий.

Широкий интерес к защищенности промышленных систем возник после серии инцидентов с вирусами Flame и Stuxnet, которые стали первыми ласточками эпохи кибервойн. В России же есть еще один повод обратить внимание на защищенность подобных систем — новые требования регуляторов, направленные на повышение безопасности АСУ ТП (ICS/SCADA/PLC).

Для выбора адекватных мер безопасности необходимо понимать, какими возможностями обладает киберпреступник и какие векторы нападения он может использовать. Чтобы ответить на эти вопросы эксперты Positive Technologies провели исследование безопасности АСУ ТП (ICS/SCADA). Результаты под катом.

четверг, 25 октября 2012 г.

Безопасность случайных чисел в Python

Эта статья – вторая в ряде публикаций, посвященных уязвимостям генераторов псевдослучайных чисел (ГПСЧ).

В последнее время появился целый ряд публикаций, описывающих уязвимости ГПСЧ, начиная от самых основ ([1]) и заканчивая непосредственно уязвимостями в различных языках программирования и реализованных на их основе CMS и другого ПО ([2],[3],[4]). Эти публикации популярны по той причине, что ГПСЧ – основа многих аспектов безопасности веб-приложений. Псевдослучайные числа/последовательности символов используются для обеспечения безопасности веб-приложений в:

  • генерации различных токенов (CSRF, токены сброса пароля и т.д.);
  • генерации случайных паролей;
  • генерации текста в CAPTCHA;
  • генерации идентификаторов сессий.

В прошлой статье мы, опираясь на исследования George Argyros и Aggelos Kiayias ([3]) научились предугадывать случайные числа в PHP на основе PHPSESSID и уменьшать различными способами энтропию псевдослучайных чисел. Сейчас мы рассмотрим ГПСЧ в веб-приложениях, разработанных на языке Python.

Ваш фонарик может отправлять SMS: еще один повод обновить ваши устройства до iOS 6

Сегодня я не буду рассказывать вам, как устроена система безопасности iOS 5. И мы не будем собирать крохи информации через недокументированные возможности. Мы просто отправим SMS из приложения без ведома пользователя.

среда, 17 октября 2012 г.

Корреляция SIEM — это просто. Сигнатурные методы

Для лог-менеджмента мне syslog достаточно
(А. Лукацкий).

Предыдущие две части были посвящены тому, как устроена система SIEM и зачем интегрировать ее со сканером уязвимостей. В них я рассказывала о корреляционных механизмах — неотъемлемой части функциональных способностей SIEM. Без корреляции событий SIEM превращается в простой «логгер», что попросту делает нерентабельным внедрение этого дорогостоящего решения. Постараюсь изложить материал как можно проще, чтобы поняли все, вне зависимости от квалификации. Поэтому не обращайте внимания на нарочно допущенные небольшие ляпы :)

понедельник, 1 октября 2012 г.

SIEM и (или) сканер уязвимостей

Благодаря отдельным маркетинговым публикациям, в умах интеграторов накрепко засел миф о том, что внедрив какое-то одно средство защиты, вы покроете весь периметр сети магическим защитным колпаком невероятной надежности. В беседах часто мелькают фразы «зачем вам хостовые IDS, если можно поставить пограничные и этого хватит за глаза?», «зачем сканер безопасности, если стоит SIEM?», «зачем сканер уязвимостей, если все надежно прикрыто IDS?»... Давайте посмотрим, как обстоят дела в реальности.

Что такое SIEM?

Системы защиты постоянно развиваются и адаптируются к новым видам угроз. Количество источников информации, из которых поступают данные по текущему состоянию защищенности, растет с каждым днем. Когда инфраструктура слишком сложна, невозможно уследить за общей картиной происходящего в ней. Если своевременно не реагировать на возникающие угрозы и не предотвращать их, толку не будет даже от сотни систем обнаружения вторжений. На помощь приходят системы Security Information and Event Management (SIEM). О них мы сегодня и поговорим.

АСУ ТП, 3G и мобильная безопасность. Terra Incognita?

На проходившей в эти дни в Москве конференции InfoSecurity 2012 рассматривалось большое количество актуальных вопросов сферы ИБ. Наша компания приняла в нем участие, став организатором одной из секций, посвященной тем областям информационной безопасности, для которых по большей части еще не выработаны адекватные меры защиты. Прежде всего это защищенность АСУ ТП, практические подходы к аудиту SCADA, построение процессов Compliance Management для телекоммуникационных сетей и новейшие уязвимости мобильных устройств. Подробности докладов, а также слайды презентаций наших сотрудников под катом.

вторник, 18 сентября 2012 г.

Обзор технологии Intel SMEP и её частичный обход на ОС Windows 8

С приходом нового поколения процессоров Intel на базе архитектуры Ivy Bridge было представлено новое средство безопасности. Оно называется  Intel SMEP, что расшифровывается как “Supervisor Mode Execution Prevention”  — предотвращение исполнения кода в режиме супервизора. Технология заключается в предотвращении выполнения 
кода, расположенного на пользовательской странице, при текущем уровне привилегий равном 0. С точки зрения атакующего, данное средство значительно усложняет эксплуатацию уязвимостей режима ядра, потому как в данных условиях отсутствует место для хранения шелл-кода. 

понедельник, 17 сентября 2012 г.

Уязвимости в смартфонах на Android позволяли похищать деньги и пароли

Эксперт Исследовательского центра Positive Research Артем Чайкин обнаружил две критические уязвимости в браузере Chrome для платформы Google Android. Они могут поставить под угрозу безопасность большинства новейших смартфонов и планшетов, поскольку, начиная с Android 4.1 Jelly Bean, Chrome является основным браузером системы.

Воспользовавшись первой из найденных уязвимостей, злоумышленник мог получить доступ ко всем пользовательским данным в браузере Google Chrome, включая историю посещений, файлы cookie, кэшированную информацию и т. п.

понедельник, 20 августа 2012 г.

Случайные числа. Take Two

Недавно вышла замечательнейшая работа про атаки на генератор случайных чисел в PHP, однако в ней никаких практических примеров представлено не было. Мы провели собственное исследование данной темы, которое вылилось в создание набора инструментов для реализации подобного рода атак.

четверг, 9 августа 2012 г.

Практический пример внедрения инспекции кода


Поскольку наша предыдущая статья с описанием процесса внедрения инспекций кода в нашей компании вызвала определенный интерес у аудитории, мы решили написать внеочередное продолжение. Сегодня мы рассмотрим пример внедрения данной практики на конкретном проекте.

Positive Technologies официально стала технологическим партнером Cisco

Корпорация Cisco Systems присвоила компании Positive Technologies официальный статус Cisco Registered Developer. Примечательно, что наша компания стала первым российским партнером Cisco по направлению разработки. На текущий момент в список Cisco Registered Developers входит 341 компания из разных стран мира.Теперь у Positive Technologies есть своя страница на официальном сайте Cisco Systems.

четверг, 2 августа 2012 г.

Внедрение инспекций кода в процесс разработки

Внимание! Данная статья рассчитана на людей, имеющих представление о том, что такое инспекции кода, и желающих внедрить эту методику в своей компании.



Когда мы начинали заниматься процессом внедрения инспекций кода (code review) в своих проектах, то были неприятно удивлены отсутствием толковых материалов по организации этого процесса с нуля. Еще один крайне скудно освещенный аспект — это масштабирование процесса инспекций.

Восполняя этот пробел, мы хотим поделиться опытом внедрения этой замечательной практики в нашей команде. Конструктивная критика в комментариях приветствуется.

Итак, начнем.

понедельник, 16 июля 2012 г.

«Занимательный XenAPI», или «Новые приключения Citrix XenServer»

Привет, коллеги!

Сегодня я хотел бы продолжить свое повествование о Citrix XenServer 5.6 и о разных аспектах работы с ним. В этот раз мне пришлось решать довольно простую (казалось бы!) проблему: исполнение команд в dom0 без применения SSH. Изучение возможностей для реализации привело к обнаружению некоторых забавных нюансов HTTP API данной ОС: способов получения /etc/passwd, удаленного выполнения rsync и набросков XenSource thin CLI protocol. Сейчас я расскажу вам, что называется, историю одного ресёрча…

среда, 11 июля 2012 г.

Контроль над облачной инфраструктурой на раз-два-три

Несколько месяцев назад исследовательский центр Positive Research проводил анализ безопасности системы Citrix XenServer. Помимо прочего, мы изучали безопасность интерфейсов администрирования, и в частности веб-интерфейсов различных компонентов системы. В результате нам удалось обнаружить несколько критических уязвимостей, которые позволяют получить контроль не только над этими компонентами, но и над мастер-сервером, а значит над всей облачной инфраструктурой. О найденных уязвимостях мы незамедлительно сообщили компании Citrix. После того как бреши были закрыты ([1], [2], [3]), результаты были представлены на форуме Positive Hack Days в рамках секции FastTrack.

среда, 20 июня 2012 г.

Новый статус MaxPatrol

Корпорация MITRE, создавшая и развивающая стандартизированную систему имен для обозначения уязвимостей в IT-системах — Common Vulnerability and Exposures (CVE), провела оценку MaxPatrol на предмет надлежащей поддержки идентификаторов CVE. По результатам проверки продукт первым в России получил официальный статус CVE-Compatible. Это значит, что MaxPatrol официально признан совместимым с CVE и удовлетворяет всем требованиям, предъявляемым создателями стандарта.

вторник, 19 июня 2012 г.

Остаться в живых. Безопасность SCADA

Еще буквально пару лет назад мало кто предполагал, что вирусы шагнут из киберпространства в реальный мир и смогут не только воровать данные и мешать работе ПО, но и атаковать целые производственные системы, выводить из строя машины и промышленные установки. Казалось бы, сети на производстве как правило изолированы от сетей общего пользования и внутренних сетей предприятия, оборудование и ПО в них значительно отличаются от обычных сетей, — уж не говоря о том, что все процессы четко регламентированы и строго контролируются...

суббота, 9 июня 2012 г.

MaxPatrol поддерживает SkyBox® Security Risk Control

Skybox Security – ведущий поставщик решений в области проактивного управления корпоративной безопасностью.



Интеграция Skybox Security Risk Control и системы контроля защищенности и соответствия стандартам MaxPatrol обусловлена популярностью этих продуктов в корпоративных сетях заказчиков.

пятница, 8 июня 2012 г.

Веб-уязвимости. Невероятное — очевидно

В ходе тестирования на проникновение, аудита безопасности и других работ, выполненных экспертами Positive Technologies в 2010 и 2011 годах, собралась статистика по защищенности более сотни корпоративных веб-приложений. Именно приложений, а не сайтов-визиток. Сайты электронного правительства, системы интернет-банкинга, порталы самообслуживания сотовых операторов — вот далеко не полный список объектов исследования.

Анализ результатов работ помог нам найти ответы на извечные вопросы ИБ:
  • сколько сайтов заражено «зловредами»?
  • какая CMS безопасней — коммерческая, OpenSource, или проще разработать самому?
  • что безопасней — Java, PHP или ASP.NET?
  • выполнить требования стандарта PCI DSS– миф или реальность?
Ответы на некоторые из этих вопросов нас, признаться, удивили. Подробности — под катом.

Устранена уязвимость в nginx — третьем по популярности веб-сервере в мире


Опасная уязвимость в nginx под Windows обнаружена экспертом Исследовательского центра Positive Research Владимиром Кочетковым.

При работе под Windows существует много способов получить доступ к одному и тому же файлу, и nginx учитывал не все такие способы. Уязвимость «Обход ограничений безопасности» была найдена в Windows-версиях программы (начиная с 0.7.52 вплоть до 1.2.0 и 1.3.0 включительно). Ошибка позволяла злоумышленнику направлять HTTP-запросы к некоторым URL в обход правил, определенных в директивах location конфигурации веб-сервера.

четверг, 24 мая 2012 г.

Positive Technologies присоединяется к сообществу OVAL

Долгое время в мире не существовало единого стандарта, который позволял бы профессионалам в области информационной безопасности формальным образом описывать уязвимости в информационных системах, ошибки конфигурирования и отсутствующие обновления безопасности. Простым и универсальным способом обмена контентом в области ИБ стал открытый язык описания и оценки уязвимостей OVAL.

Open Vulnerability and Assessment Language (OVAL) — специализированный язык на основе XML, предназначенный для автоматизированной оценки безопасности систем, предоставляющий средства для описания исследуемой системы, анализа ее состояния и формирования отчетов о результатах проверки.

пятница, 18 мая 2012 г.

SAP устраняет уязвимости, обнаруженные экспертами Positive Research

В конце 2011 года в одном из продуктов SAP были найдены сразу несколько достаточно серьезных уязвимостей (раз, два и три), позволяющих злоумышленнику провести атаку типа «Отказ в обслуживании». Уязвимости обнаружил эксперт исследовательского центра Positive Research Владимир Заричный.

Данные о выявленных проблемах были предоставлены производителю ПО, и в мае 2012 года был выпущен пакет исправлений, закрывающий эти и некоторые другие «дыры» безопасности. Проделанная работа была отмечена командой SAP Product Security Response: Владимир попал на доску почета SAP.

четверг, 17 мая 2012 г.

Пишем модуль безопасности Linux

Linux Security Modules (LSM) — фреймворк, добавляющий в Linux поддержку различных моделей безопасности. LSM является частью ядра начиная с Linux версии 2.6. На данный момент в официальном ядре «обитают» модули безопасности SELinux, AppArmor, Tomoyo и Smack.

Работают модули параллельно с «родной» моделью безопасности Linux — избирательным управлением доступом (Discretionary Access Control, DAC). Проверки LSM вызываются на действия, разрешенные DAC.

Применять механизм LSM можно по-разному. В большинстве случаев это добавление мандатного управления доступом (как, например, в случае с SELinux). Кроме того, можно придумать собственную модель безопасности, реализовать ее в виде модуля и легко внедрить, используя фреймворк. Рассмотрим для примера реализацию модуля, который будет давать права на действия в системе при наличии особого USB-устройства.

вторник, 15 мая 2012 г.

Онлайн-сражения на PHDays 2012

Если вы по какой-либо причине не попали в список участников форума Positive Hack Days 2012 или не сможете 30 и 31 мая посетить московский техноцентр Digital October, где будет проходить форум, это не может лишить вас возможности поучаствовать в мероприятии. Сразитесь с соперниками со всего мира в увлекательных онлайн-конкурсах Positive Hack Days 2012! Под катом — описание и условия участия.

воскресенье, 13 мая 2012 г.

SELinux на практике: DVWA-тест

После публикации предыдущей статьи про SELinux поступило много предложений «на практике доказать полезность» этой подсистемы безопасности. Мы решили произвести тестирование. Для этого мы создали три уязвимых стенда с типовыми конфигурациями (Damn Vulnerable Web Application на CentOS 5.8). Отличия между ними были лишь в настройках SELinux: на первой виртуальной машине он был отключен, на двух других были применены политики «из коробки» — targeted и strict.


В таком составе стенд виртуальных машин подвергся тестированию на проникновение. Взглянем на результаты?

суббота, 12 мая 2012 г.

Google снова платит за обнаруженную уязвимость

Не так давно в одном из сервисов корпорации Google была обнаружена уязвимость, позволяющая злоумышленнику произвести удаленное выполнение команд в целевой системе — например, загрузить и выполнить программы, прочитать и модифицировать файлы, получить данные из СУБД.

Уязвимость обнаружил эксперт Positive Research Дмитрий Серебрянников, а устранили ее совместными усилиями экспертов исследовательского центра и Google Security Team. Проделанная работа была отмечена командой Google в рамках Vulnerability Reward Program и вознаграждена премией, которая полагается за столь значимые находки.

среда, 25 апреля 2012 г.

eBay. Что купил твой сосед?

Посещая eBay, я наткнулась на очевидное упущение идеологов. Там есть такая фишка (feedback), которая влияет на рейтинг покупателей и продавцов. После совершения покупки и получения товара вас настоятельно просят оценить продавца («оставить feedback»).

Вы переходите на страницу, выставляете оценку по нескольким показателям — и вроде бы все. Но! Тем самым вы оставляете запись на странице продавца, в которой указаны ваше имя пользователя, стоимость оплаченного товара, его наименование, дата. Зайдя на страницу к любому продавцу, мы можем видеть — кто, когда, что и на какую сумму покупал у него.

воскресенье, 22 апреля 2012 г.

Популярное сетевое оборудование и статистика уязвимостей

По данным аналитических агентств производителем наиболее популярного оборудования коммутации и маршрутизации для средних и крупных предприятий является Cisco Systems (около 64% мирового рынка). На втором месте HP Networking (приблизительно 9%). Далее следуют Alcatel-Lucent (3%), Juniper Networks и Brocade (по 2,3%), Huawei (1,8%) и прочие производители, которые менее заметны на фоне гигантов, но сообща занимают, тем не менее, около 17,6% рынка.
В России ситуация особая. Кроме продукции названных выше производителей у нас достаточно распространены коммутаторы Nortel и Allied Telesis. Кроме того, часто встречаются устройства производителей D-Link и NetGear, предлагающих оборудование для малых и средних предприятий. Brocade на отечественных просторах пока что редкая птица.

четверг, 19 апреля 2012 г.

Введение в SELinux: модификация политики targeted для сторонних веб-приложений

Привет, коллеги!
Многие из нас занимаются настройкой рабочих серверов для веб-проектов. Я не буду рассказывать о том, как настроить Apache или Nginx: вы знаете об этом больше меня. Но один важный аспект создания frontend-серверов остается неосвещенным: это настройки подсистем безопасности. «Отключите SELinux», — вот стандартная рекомендация большинства любительских руководств.

Мне кажется, что это поспешное решение, ибо процесс настройки подсистем безопасности в режиме «мягкой» политики чаще всего весьма тривиален.

Сегодня я расскажу вам о некоторых методах настройки подсистемы безопасности SELinux, применяемой в семействе операционных систем Red Hat (CentOS). В качестве примера мы настроим связку для веб-сервера Apache + mod_wsgi + Django + ZEO на CentOS версии 5.8.

воскресенье, 15 апреля 2012 г.

Модный тренд APT — беспечность и как с ней бороться

Компании делятся на две категории: те, которые знают, что они скомпрометированы, — и те, которые еще не в курсе.<

Термин APT (advanced persistent threat) был введен Военно-воздушными силами США в 2006 году для описания нового вида атак. Тогда впервые была предпринята попытка проанализировать проведенную атаку, сделать выводы и попытаться противостоять новой угрозе. APT — это не какой-то навороченный эксплойт и не новомодный троян. APT — это парадигма атаки.

Общие принципы, на которых строится APT, давно известны. К примеру, применение социальной инженерии, чтобы спровоцировать пользователя открыть ссылку или прикрепленный файл. Или использование уязвимостей для получения доступа к атакуемой системе. Чем же так страшна APT? Попробуем разобраться.

среда, 11 апреля 2012 г.

Введение в XCCDF

XCCDF (The Extensible Configuration Checklist Description Format, Расширяемый формат описания контрольных листов настроек) — это спецификационный язык на основе XML для описания контрольных листов настроек безопасности (security configuration checklists) и других подобных документов. XCCDF является одним из языков Протокола автоматизации контента безопасности (Security Content Automation Protocol, SCAP). XCCDF — важный инструмент для специалистов, связанных с автоматизацией процессов информационной безопасности. На этом языке описаны, к примеру, обязательные требования по настройке рабочих станций федеральных агентств США и их контрагентов (программа FDCC/USGCB).

В этой статье мы рассмотрим, каким образом описываются контрольные листы настроек безопасности на языке XCCDF — на примере USGCB-контента для RedHat Enterprise Linux.

пятница, 6 апреля 2012 г.

Настраиваем пользовательский синий экран смерти

Он посинел, ему плохо?

BSOD – реакция ядра на неразрешимую исключительную ситуацию. Если вы его видите, то это значит, что случилось что-то определенно нехорошее.


Среда ядра накладывает множество ограничений на свободу действий программиста: учитывай IRQL, синхронизируй доступ к разделяемым переменным, не задерживайся в ISR, проверяй любые данные из «юзерленда»… Нарушив хотя бы одно из правил, вы получите настоящий выговор из штампованных фраз в стандартном VGA-видеорежиме с худой палитрой.

четверг, 5 апреля 2012 г.

(Не)безопасный серфинг?

Сегодня многие популярные браузеры поддерживают автообновление, однако значительную часть плагинов к ним нужно обновлять самостоятельно. Внушительное количество пользователей делает это крайне редко, не задумываясь или не зная, что в большинстве случаев атакуются не только браузеры, но и плагины!



Под катом - любопытная статистика проверок безопасности браузеров и плагинов на наличие потенциальных уязвимостей по результатам работы онлайн службы SurfPatrol в 2011 году. Данные предоставляются по Рунету.

0day/текила/криптография

На прошлой неделе прошла конференция «РусКрипто». Насколько я знаю, это старейшая из ныне здравствующих конференций по информационной безопасности. Несмотря на почетный возраст, конференция живет и развивается, за что огромное спасибо организаторам: Ассоциации «РусКрипто» и АИС.


В свое время именно на этой площадке я обкатывал свои идеи, которые позже привели к появлению Positive Hack Days. Именно тут прошел первый масштабный CTF под руководством Дмитрия Евтеева. В общем, отношение к «РусКрипто» у меня крайне теплое и в некоторой степени даже ностальгическое.

В этом году конференция проходила на площадке загородного отеля «Солнечный». Кстати, на веб-сайте отеля уютно расположилась mobile malware – расценил это как тест на профпригодность =)

понедельник, 2 апреля 2012 г.

Citrix XenServer 5.6 Free/Advanced Security Guide

Многие из вас работают с операционной системой Citrix XenServer 5.6. Компания Citrix предлагает весьма ограниченный набор документов по безопасной настройке системы. Он состоит из Common Criteria Documents и User Security Guide. Полноценные же Security Guide или CIS Benchmark отсутствуют.

Чтобы решить эту проблему, специалисты исследовательского центра Positive Research провели анализ операционной системы Citrix XenServer 5.6. Результатом работы стал документ «Positive Technologies: Citrix XenServer 5.6 Free/Advanced Hardening Guide (Public Beta)». Надеемся, он заполнит пробел в документации по данной операционной системе в сфере информационной безопасности.

Документ готов к открытому бета-тестированию, которое продлится до 30.04.2012. Пожалуйста, не производите тестирование на production-серверах. Помните, что все операции Вы выполняете на свой страх и риск. Ваши комментарии и пожелания можете высылать на KErmakov (at) ptsecurity.ru непосредственному участнику в разработке данного документа.

Выражаем благодарность пользователю amarao за его вклад в составление данного документа. 

пятница, 30 марта 2012 г.

Интервью с Юрием Гольцевым

Наш эксперт в журнале "Хакер"


Denis Makrushin [D]: Расскажи, пожалуйста, о себе, о жизненных этапах, которые ты отметил в календаре личностного роста: от успехов за школьной партой по отдельным предметам до недавних побед.

Yuriy Goltsev [Y]: На самом деле, даже не знаю с чего и начать. В таком случае, обычно, начинаешь с начала. :)

Мое детство и отрочество не отличались ничем особенным, все так же, как и у многих детей, родившихся в СССР. Банально, но первый компьютер мне собрал отец, когда мне было лет 6 – это был ZX Spectrum. Хотя, скорее он для себя его собирал, но подготовил результат к моему подарку на новый год. Я тогда так и не понял - компьютер собрал папа, а подарил - Дед Мороз...

четверг, 29 марта 2012 г.

Прямая линия с экспертами Microsoft MVP по Enterprise Security

Наши специалисты в области Enterprise Security - Сергей Гордейчик и Валерий Марчук - делятся своими знаниями в рамках русскоязычного форума Microsoft TechNet и MSDN. В течение нескольких недель в апреле и мае задавайте вопросы и получайте оперативные ответы от ведущих экспертов Microsoft MVP. Ближайшая встреча – со 2 по 8 апреля.

Кратко о наших экспертах
Валерий Марчук – Microsoft MVP по Enterprise Security с 2009 года. Занимает должность заместителя главного редактора портала по информационной безопасности SecurityLab.ru

Сергей Гордейчик – Microsoft MVP по Enterprise Security с 2007 года. Является техническим директором компании Positive Technologies. Ведущий разработчик курсов "Безопасность беспроводных сетей", "Анализ и оценка защищенности Web-приложений" учебного центра "Информзащита". Опубликовал несколько десятков статей в "Windows IT Pro/RE", SecurityLab и других изданиях.

Ссылки по теме: MVPs in Special Weeks

среда, 28 марта 2012 г.

Статистика уязвимостей в 2011 году

Портал по информационной безопасности SecurityLab.ru опубликовал отчет, содержащий статистику компьютерных уязвимостей за 2011 год. В центре внимания исследователей оказались SCADA-системы, CMS, программы компании Adobe, почти все браузеры и семейство операционных систем Windows. Данные приложения и системы в минувшем году часто становились доступными для проникновений. В этом обзоре мы расскажем о нескольких глобальных происшествиях, ставших результатом безобидных (на первый взгляд) уязвимостей, и приведем ряд статистических выкладок.

вторник, 27 марта 2012 г.

Android. Обзор боевых приложений

Доброго времени суток!

На ряду со статьей "iPhone: MiTM атака из кармана", родилась почти аналогичная статья про Android.

Мы уже знаем, на что способен iPhone. Уступает ли ему Android?

Было рассмотрено около 25 боевых приложений. Хочу предоставить вам результат маленького исследования. Многие приложения даже не запустились, некоторые подвесили телефон намертво, но некоторые даже работали!

Весь софт тестировался на телефоне LG Optimus, с версией Android 2.3.

Итак, краткий обзор боевого софта на Android:

понедельник, 26 марта 2012 г.

iPhone: MiTM атака из кармана

image Традиционным устройством для проведения атаки на сети Wi-Fi, пожалуй, является ноутбук. Это обусловлено многими факторами: возможностью использования «специфичных» модулей Wi-Fi, наличием необходимого ПО и достаточной вычислительной мощностью. Поэтому «классическим» образом злоумышленника является человек в машине с ноутбуком и торчащей из окна антенной. Но развитие мобильных платформ не стоит на месте, и многие операции давно уже можно выполнять «из кармана».

Многие из нас пользуются «яблочными» устройствами на операционной системе iOS. И ни для кого не является секретом, что iOS является по-сути представителем *nix-семейства со всеми вытекающими из этого плюсами, в числе которых и возможность использовать многие классические pentest-приложения. Сегодня нам хотелось бы рассказать об инструментах для проведения простейшей классической атаки Man in the Middle на клиентов сети Wi-Fi с использованием метода arp poisoning.

понедельник, 19 марта 2012 г.

Реализация инструментов для создания контента OVAL® на Python

 imageВ процессе исследования языка OVAL, про который написано ранее в одной из статей, и концепции SCAP-сканера мы столкнулись с довольно серьезной проблемой, а именно с отсутствием удобных инструментов для создания контента на языке OVAL. Нет, мы не утверждаем, что нет совсем ничего. Есть небольшой набор утилит, представленных на официальном сайте. Большая часть из них платная, остальные же представляют собой не очень удобные решения, больше всего похожие на XML-Notepad. В итоге мы решили создать небольшой необходимый для работы инструмент самостоятельно, используя в качестве языка Python

понедельник, 12 марта 2012 г.

OVAL® или «миф об идеальном сканере»

Вопрос автоматических сканеров безопасности стоит весьма остро на «корпоративном» рынке услуг. Конечно, кому же хочется проверять тысячи хостов вручную? Поскольку спрос рождает предложение, вы можете найти их на любой вкус, цвет и бюджет. Они призваны решать одни и те же цели: комплайнс-менеджмент. Тем самым сэкономить корпорации огромное количество денег при массовой стандартизации PCI DSS и подобным стандартам.