Страницы

четверг, 24 мая 2012 г.

Positive Technologies присоединяется к сообществу OVAL

Долгое время в мире не существовало единого стандарта, который позволял бы профессионалам в области информационной безопасности формальным образом описывать уязвимости в информационных системах, ошибки конфигурирования и отсутствующие обновления безопасности. Простым и универсальным способом обмена контентом в области ИБ стал открытый язык описания и оценки уязвимостей OVAL.

Open Vulnerability and Assessment Language (OVAL) — специализированный язык на основе XML, предназначенный для автоматизированной оценки безопасности систем, предоставляющий средства для описания исследуемой системы, анализа ее состояния и формирования отчетов о результатах проверки.

пятница, 18 мая 2012 г.

SAP устраняет уязвимости, обнаруженные экспертами Positive Research

В конце 2011 года в одном из продуктов SAP были найдены сразу несколько достаточно серьезных уязвимостей (раз, два и три), позволяющих злоумышленнику провести атаку типа «Отказ в обслуживании». Уязвимости обнаружил эксперт исследовательского центра Positive Research Владимир Заричный.

Данные о выявленных проблемах были предоставлены производителю ПО, и в мае 2012 года был выпущен пакет исправлений, закрывающий эти и некоторые другие «дыры» безопасности. Проделанная работа была отмечена командой SAP Product Security Response: Владимир попал на доску почета SAP.

четверг, 17 мая 2012 г.

Пишем модуль безопасности Linux

Linux Security Modules (LSM) — фреймворк, добавляющий в Linux поддержку различных моделей безопасности. LSM является частью ядра начиная с Linux версии 2.6. На данный момент в официальном ядре «обитают» модули безопасности SELinux, AppArmor, Tomoyo и Smack.

Работают модули параллельно с «родной» моделью безопасности Linux — избирательным управлением доступом (Discretionary Access Control, DAC). Проверки LSM вызываются на действия, разрешенные DAC.

Применять механизм LSM можно по-разному. В большинстве случаев это добавление мандатного управления доступом (как, например, в случае с SELinux). Кроме того, можно придумать собственную модель безопасности, реализовать ее в виде модуля и легко внедрить, используя фреймворк. Рассмотрим для примера реализацию модуля, который будет давать права на действия в системе при наличии особого USB-устройства.

вторник, 15 мая 2012 г.

Онлайн-сражения на PHDays 2012

Если вы по какой-либо причине не попали в список участников форума Positive Hack Days 2012 или не сможете 30 и 31 мая посетить московский техноцентр Digital October, где будет проходить форум, это не может лишить вас возможности поучаствовать в мероприятии. Сразитесь с соперниками со всего мира в увлекательных онлайн-конкурсах Positive Hack Days 2012! Под катом — описание и условия участия.

воскресенье, 13 мая 2012 г.

SELinux на практике: DVWA-тест

После публикации предыдущей статьи про SELinux поступило много предложений «на практике доказать полезность» этой подсистемы безопасности. Мы решили произвести тестирование. Для этого мы создали три уязвимых стенда с типовыми конфигурациями (Damn Vulnerable Web Application на CentOS 5.8). Отличия между ними были лишь в настройках SELinux: на первой виртуальной машине он был отключен, на двух других были применены политики «из коробки» — targeted и strict.


В таком составе стенд виртуальных машин подвергся тестированию на проникновение. Взглянем на результаты?

суббота, 12 мая 2012 г.

Google снова платит за обнаруженную уязвимость

Не так давно в одном из сервисов корпорации Google была обнаружена уязвимость, позволяющая злоумышленнику произвести удаленное выполнение команд в целевой системе — например, загрузить и выполнить программы, прочитать и модифицировать файлы, получить данные из СУБД.

Уязвимость обнаружил эксперт Positive Research Дмитрий Серебрянников, а устранили ее совместными усилиями экспертов исследовательского центра и Google Security Team. Проделанная работа была отмечена командой Google в рамках Vulnerability Reward Program и вознаграждена премией, которая полагается за столь значимые находки.