Страницы

понедельник, 22 декабря 2014 г.

Уязвимости публичных терминалов: как взломать велопрокат и поликлинику

В этом году Москву охватила настоящая велосипедная лихорадка. Количество станций велопроката было увеличено с 79 до 150, а услугами аренды воспользовались 90 тыс. человек. Пока двухколесные друзья отдыхают на зимних каникулах, расскажем об уязвимостях терминалов для оплаты аренды велосипедов, которые поставили под угрозу безопасность персональных данных и электронных кошельков пользователей, а также заставили задуматься о новой парадигме атак на корпоративные сети.


Платежные и информационные терминалы сегодня функционируют на улицах, в торговых центрах, в аэропортах, в поликлиниках, в метро. Большинство таких устройств работает на базе Windows, в режиме так называемого киоска, который позволяет запускать на компьютере одно основное полноэкранное приложение, заданное администратором. Функциональность терминала существенно расширяется, если выйти из режима киоска в операционную систему.

вторник, 2 декабря 2014 г.

DDoS-атака в обход балансировщика: защищайте свои cookie!

В процессе анализа защищенности IT-инфраструктур нам приходится работать с разным сетевым оборудованием. Бывают хорошо известные устройства и относительно редкие. Среди нечасто встречающихся можно выделить балансировщики нагрузки. Сегодня мы познакомим вас с механизмом поддержания сессий балансировщика F5 BIG-IP методом cookie. Особенность этого механизма в том, что он позволяет злоумышленнику атаковать систему, обходя заданный алгоритм балансировки нагрузки.



Что такое балансировщик нагрузки? Это сетевое устройство, распределяющее трафик приложений между серверами, а также позволяющее контролировать и изменять его характеристики в соответствии с заданными правилами. При использовании веб-приложений необходимо, чтобы сессию клиента обслуживал один и тот же сервер.

вторник, 25 ноября 2014 г.

Атака на банкомат с помощью Raspberry Pi


Что только не делают с банкоматами: их выдирают из стены, привязав тросом к автомобилю, сверлят, взрывают и режут (иной раз в здании Госдумы). По статистике EAST, преступники стали реже использовать скимминг, предпочитая траппинг и физические диверсии. Немало хлопот специалистам по безопасности доставляет и еще один новый тренд — вирусные атаки на банкоматы. Тут и Trojan.Skimer, и Backdoor.Ploutus, и совсем свежий зловред Tyupkin, и другие «приложения», известные и не очень. Малварь загружается в компьютер банкомата, как правило с внешних носителей, и используется для несанкционированной выдачи денег или перехвата карточных данных. Еще один способ атаки описали эксперты Positive Technologies Ольга Кочетова и Алексей Осипов на конференции по компьютерной безопасности Black Hat Europe 2014, проходившей в октябре в Амстердаме.

среда, 19 ноября 2014 г.

Безопасность 4G: захватываем USB-модем и SIM-карту с помощью SMS


Телеком-операторы активно рекламируют быструю и дешевую 4G-связь. Но насколько она защищена, знают немногие. Экспертам Positive Technologies в процессе исследования безопасности 4G-коммуникаций удалось найти уязвимости в USB-модемах, позволяющие взять под контроль компьютер, к которому подключён модем, а также аккаунт абонента на портале мобильного оператора. Кроме того, атаки на SIM-карту с помощью бинарных SMS позволяют перехватить и расшифровать трафик абонента, либо просто заблокировать заданную "симку".

понедельник, 6 октября 2014 г.

Исследование: внутренние угрозы в крупных компаниях оказались опаснее, чем вирусы


Крупные компании не любят рассказывать о своих неудачах в области безопасности, поскольку это подрывает их репутацию. Поэтому в России, где нет законов о раскрытии инцидентов, крайне мало статистики по этому вопросу. А раз нет статистики, то может сложиться ощущение, что нет и проблем.

Однако новое исследование Positive Technologies показывает, что это не так: в 2013 году заметные инциденты в сфере информационной безопасности происходили во всех крупных компаниях, руководители которых были опрошены в ходе исследования. И более чем в половине компаний инциденты привели к существенным проблемам, включая финансовые потери.

среда, 24 сентября 2014 г.

Атаки на SS7: вчера для спецслужб, сегодня для всех


В конце августа газета Washington Post обнародовала буклет американской компании Verint, которая предлагает своим клиентам сервис Skylock по выслеживанию абонентов мобильных сетей в разных странах мира – без ведома самих абонентов и операторов. Хотя предложения локационных сервисов давно можно найти в Интернете, но случай Verint, пожалуй, один из первых, когда такие услуги предлагаются вполне официально и на глобальном уровне.

Как такое возможно? В качестве реакции на истории о мобильной слежке чаще всего выдвигается версия о сложных технологиях, которые могут использоваться лишь спецслужбами. На практике всё проще. Телекоммуникационная сеть состоит из множества подсистем различного технологического уровня, и уровень безопасности всей сети зачастую определяется уровнем самого слабого звена.

воскресенье, 31 августа 2014 г.

Исследование: самыми уязвимыми для хакеров оказались сайты на PHP

Атака на корпоративный сайт не только нарушает работу онлайновых услуг и подрывает репутацию владельцев, но зачастую становится первым этапом взлома внутренних сетей крупных компаний. При этом, согласно исследованию компании Positive Technologies, в последнее время заметно возросло количество сайтов с уязвимостями высокой степени риска. Исследователи выявили самые распространенные уязвимости и оценили, насколько эффективны методы их обнаружения.

Всего в ходе тестов по анализу защищенности, проводившихся компанией в 2013 году, было изучено около 500 веб-сайтов, для 61 из них проводился более углубленный анализ.

понедельник, 18 августа 2014 г.

Даже неопытный хакер может взломать 8 из 10 крупных компаний

Крупному бизнесу с каждым годом сложнее защищаться от кибернападений и все больше успешных атак может провести злоумышленник низкой квалификации. Такие выводы содержатся в исследовании компании Positive Technologies на основе тестов на проникновение, проведенных в 2013 году, и сравнения полученных данных с результатами аналогичного исследования за 2011—2012 гг.

Для исследования были выбраны 14 систем крупных государственных и коммерческих компаний — как российских, так и зарубежных. Большинство из них относятся к сфере промышленности, также в список вошли телекомы, банки, строительные компании. Более трети исследованных компаний представляют собой распределенные системы с множеством филиалов в разных городах и странах.

Согласно полученным данным, в 2013 году 86% корпоративных систем оказались подвержены уязвимостям, позволяющим получить полный контроль над критически важными ресурсами — платежными системами, электронной почтой, хранилищами персональных данных и документов, ERP-системами (например, SAP), АСУ ТП. Половина рассмотренных систем позволила получить полный контроль над критическими ресурсами со стороны внешнего злоумышленника. Для каждой третьей системы (29%), чтобы получить контроль над такими ресурсами, достаточно иметь доступ к пользовательскому сегменту внутренней сети.


Только 14% важнейших ресурсов защищены на практике, а не на бумаге

Более половины (57%) систем, исследованных в 2013 году, содержали критические уязвимости, связанные с использованием устаревших версий ПО и ОС, что хуже результатов предыдущих лет (45%). Средний возраст наиболее устаревших неустановленных обновлений составляет 32 месяца. В одной из систем была выявлена опасная уязвимость 9-летней давности (2004 год).

четверг, 10 июля 2014 г.

Разбор заданий конкурса WAF Bypass на PHDays IV

В этом году на Positive Hack Days проходил конкурс WAF Bypass, участники которого могли попробовать свои силы в обходе PT Application Firewall. Для нас проведение такого конкурса было отличным шансом проверить продукт в бою, ведь на конференции собрались лучшие специалисты в области информационной безопасности.

Для конкурса мы подготовили набор заданий. Каждое представляло собой сценарий с типовой уязвимостью: с ее помощью нужно было добыть флаг. Все задания имели решение, но решения не всегда были очевидными. Участникам был доступен отчет о сканировании исходных кодов заданий с помощью другого продукта нашей компании — Application Inspector. В этом посте мы расскажем о заданиях, обходах и полученном опыте.

вторник, 8 июля 2014 г.

Разбор заданий конкурса Hash Runner на PHDays IV

В этом году конкурс Hash Runner проводился в течение трех дней перед форумом Positive Hack Days, с семи вечера 16 мая до семи вечера 19 мая (время московское, UTC+4). Тем самым мы постарались учесть интересы всех команд, разбросанных по земному шару, и позволить участникам эффективно использовать все 48 часов выходных дней, в каком бы часовом поясе они ни находились. Многие написали нам, что играть на выходных действительно было очень удобно, так что постараемся делать так и впредь.

Итак, поздравляем победителей!

  1. InsidePro с результатом 22.81% (write-up: www.phdays.ru/download/Write-up.pdf) выиграли две видеокарты R290x.
  2. Hashcat с результатом 21.23% (write-up: hashcat.net/forum/thread-3397.html) выиграли видеокарту R290x.
  3. John-users с результатом 12.78% (write-up: openwall.com/lists/john-users/2014/05/29/2) взяли бронзу.

Всем призерам мы вручили сувениры на память о форуме.

четверг, 3 июля 2014 г.

Чем опасны «умные» электросети


Электричество дорожает, и глобальная экономика усиленно ищет способы повысить свою энергоэффективность. Помимо солнечных и ветряных установок во всем мире идет активное строительство «умных» сетей распределения электроснабжения, так называемых Smart Grid, которые позволяют использовать энергию рационально. Они обычно автоматизированы и подключены к интернету, что вызывает естественный интерес к уровню их защищенности.

пятница, 20 июня 2014 г.

Прослушка украинских мобильников: как это сделано и как защититься

В лентах новостных сайтов вы уже не раз читали о том, как спецслужбы разных стран отслеживают переговоры и передачу данных обычных граждан. Сейчас набирает обороты новый скандал с прослушкой украинских абонентов, осуществляемой якобы с территории России.

Мы уже писали о том, какие угрозы существуют в мире мобильной связи, и сегодня хотим еще раз рассказать об одном из векторов атак, направленных на мобильных абонентов.

Если коротко, схема такая. Атакующий внедряется в сеть сигнализации SS7, в каналах которой отправляет служебное сообщение Send Routing Info For SM (SRI4SM), указывая в качестве параметра телефонный номер атакуемого абонента А. В ответ домашняя сеть абонента А посылает атакующему некоторую техническую информацию: IMSI (международный идентификатор абонента) и адрес коммутатора MSC, который в настоящий момент обслуживает абонента.

Далее атакующий с помощью сообщения Insert Subscriber Data (ISD) внедряет в базу данных VLR обновленный профиль абонента, изменяя в нем адрес биллинговой системы на адрес своей, псевдобиллинговой системы.

суббота, 7 июня 2014 г.

Разбор заданий конкурса «Конкурентная разведка» на PHDays IV

Сегодня мы расскажем о некоторых практических аспектах сбора конфиденциальных данных на примере онлайн-конкурса «Конкурентная разведка», состоявшегося 15, 16 и 17 мая. По сравнению с прошлым годом задачи стали гораздо сложнее. В арсенале конкурентного разведчика должны быть самые разнообразные навыки, включая владение тулзами и плагинами, поэтому уровень хардкора было решено немного повысить. Впрочем, никуда не делись и традиционные требования к дедукции и умению искать связи.

1. Intro

По легенде игрок предстает новичком в хакерской андеграунд-тусовке Anneximous и получает задание обнаружить адрес электронной почты кого-либо из сотрудников ATH:
Hi, 
I heard you wanted to join the Anneximous group. That’s fine but you should prove you’re worth it. 
Rumor has it that feds are close to us. Those dumbasses from ATH (Bureau of Alcohol, Tobacco, Hackers and Cookies) must be spying on us! 
Teach one of the agents a lesson and maybe we’ll accept you. Get his email address.
Мы специально оставили intro-задание достаточно простым, чтобы никого не отпугнуть. Это задание решалось в один запрос в Гугле:

вторник, 3 июня 2014 г.

Эксперты Positive Technologies помогли устранить уязвимость в распределенной системе управления Emerson DeltaV


При проведении работ по анализу защищенности специалисты Positive Technologies обнаружили серьезную ошибку безопасности в программном обеспечении распределенной системы управления предприятием Emerson DeltaV. Злоумышленник, имеющий локальный доступ к системе, может просматривать и подменять ее конфигурационные файлы, а также выполнять команды с правами любого пользователя. Уязвимости подвержены версии 10.3.1, 11.3 и 12.3 продукта DeltaV. Данная система используется для контроля процессов на предприятиях нефтяной, газовой и химической промышленности по всему миру.

понедельник, 26 мая 2014 г.

Лучшие доклады PHDays IV: слежка, взлом и национальные особенности кибервойны


На больших конференциях, где доклады идут в несколько потоков, часто работает особый вариант закона Мерфи, согласно которому наиболее интересные (лично для тебя) секции поставлены одновременно. Выберешь одну — не попадешь на другие. Что же делать?

В случае международного форума по безопасности Positive Hack Days решить эту проблему можно, просмотрев интересующих вас выступления в записи. Особенно актуально это будет для тех, кто вообще не попал на конферецию. Все видеофайлы лежат на сайте: phdays.ru/broadcast/

Однако смотреть записи всех залов подряд, за оба дня, это вариант для о-о-очень терпеливых людей. Логичнее смотреть по темам или по авторам: сначала прочитать описания докладов в программе, а потом выбирать конкретный доклад в списке видео.

Тут, впрочем, надо понимать: описания были написаны до конференции, когда было еще неизвестно, насколько хорошим будет тот или иной доклад. Может, у него только название крутое, а внутри — скукота?.. Поэтому предлагаем вам третий способ: по популярности. Мы проанализировали отзывы участников PHDays и собрали десяток самых удачных докладов. Вот они:

среда, 7 мая 2014 г.

Битвы хакеров: разбор заданий PHDays CTF Quals

Positive Hack Days CTF — международные соревнования по защите информации, которые проводятся по игровому принципу Capture the Flag. Несколько команд в течение заранее отведенного времени защищают свои сети и атакуют чужие. Основная задача участников — выявлять уязвимости в системах противников и получать доступ к секретной информации (флагам), при этом обнаруживая и устраняя подобные уязвимости в своей системе.

В сегодняшнем топике мы представим разбор некоторых интересных заданий, с которыми сталкивались участники прошедших соревнований.

История и география

В этом году PHDays CTF состоится уже в четвертый раз. Впервые соревнования прошли во время форума Positive Hack Days в 2011 году, тогда победителями стали участники американской команды PPP, в следующем году победила российская команда Leet More, а на PHDays III чемпионами стали Eindbazen из Голландии. Каждый год в PHDays CTF принимают участие команды со всего мира — от США до Японии.

Для участия в отборочных соревнованиях в этом году зарегистрировалось больше 600 команд.


Задания и атмосфера

По сложившейся традиции игровые задания и инфраструктура подготавливаются в соответствии с легендой соревнований — специальной сюжетной линией, которая превращает простой набор задач PHDays CTF в увлекательное состязание, у которого есть цель. Например, в прошлом году участники спасали от гибели вымышленный мир D’Errorim. Предстоящие соревнования продолжат этот сюжет.

вторник, 11 марта 2014 г.

Безопасность сетей доступа 3G/4G

Backhaul network — это сеть для подключения базовых станций (в терминологии 3G — NodeB) к контроллерам радиосети (RNC).

Затраты на подключение базовых станций — одна из значительных составляющих расходов оператора, поэтому издержки, связанные с построением и эксплуатацией этих сетей, стараются снижать, в частности используя новые технологии. Эволюция прошла путь от ATM-подключений до SDH/SONET, DSL, IP/MPLS и metro Ethernet. Сегодня весь трафик ходит в IP-пакетах. 

среда, 19 февраля 2014 г.

Очерк безопасности SIP

Интернет — прекрасная среда для общения. Общения при помощи писем, чата, голоса или видео. Если видеосвязь это достаточно ново, то телефоном люди пользуются уже сто лет. С прокладкой новых интернет-магистралей и развитием программ вроде интернета с воздушных шаров доступ в сеть будет в скором времени даже у пингвинов в Антарктиде. А раз есть такое покрытие, зачем использовать телефонные линии? Почему бы не пускать голос по интернет-каналам?

Одним из решений этой задачи является протокол SIP (Session Initiation Protocol). Это протокол с интересной историей, но сейчас мы коснемся только некоторых его особенностей. SIP — это протокол установления сеанса для последующей передачи данных; передает информацию в открытом виде. Среди данных могут присутствовать учетные данные абонента — логин, домен, пароль (в открытом или хешированном виде), а также многие другие интересные поля. Отметим, что в некоторых случаях аутентификация может отсутствовать вовсе (соединение настраивается на обоих сторонах как пара IP:port). Рассмотрим несколько угроз, возникающих при использовании протокола SIP, и способы эти угрозы реализовать.
image

пятница, 31 января 2014 г.

Две истории об уязвимостях в сервисах Google

История 1. О маленьком Content Type, который смог

Уязвимость была в сервисе под названием Feedburner. Сначала я создал фид и попробовал в него внедрить вредоносный код. Но на странице не появлялись внедренные данные — только безобидные ссылки. После нескольких безуспешных попыток я обнаружил множество сообщений на странице PodMedic. PodMedic просматривает каждую ссылку в фиде. Если была обнаружена проблема при создании вложения, PodMedic сообщает причину. В сообщениях говорилось, что ссылки некорректны: сервер отдает неправильный Content Type.


Хм. Хорошо. Бьюсь об заклад, что Content Type на этой странице не фильтруется. Простой скрипт для сервера:

<?php header('Content-Type: text/<img src=z onerror=alert(document.domain)>; charset=UTF-8'); ?> 

И мы получили то, что хотели:

вторник, 14 января 2014 г.

Chaos Communication Congress: Диснейленд для хакера, безопасность SCADA и не только


Chaos Communication Congress является одним из крупнейших в Европе мероприятий, которое посещают тысячи хакеров каждый год. В этот раз в Гамбурге собралось более 9000 человек. В их числе были и эксперты Positive Technologies, которые представили свои исследования в области безопасности АСУ ТП, провели мастер-класс, посвященный тестам на проникновение SCADA-систем, и рассказали о подготовке «Лабиринта» — одного из самых зрелищных соревнований форума PHDays III.

We already know
Первым делом Сергей Гордейчик и Глеб Грицай представили исследование безопасности промышленных систем. Выступление состоялось на CCC уже во второй раз: в прошлом году специалисты больше внимания уделили уровню безопасности АСУ ТП в мире. Было раскрыто немало новых уязвимостей в системах, разработанных Siemens. Некоторые наиболее интересные ошибки безопасности в соответствии с политикой ответственного разглашения не могли быть преданы огласке.

В этом году речь шла о промышленных протоколах и их недостатках. В ходе выступления были отмечены самые «сочные» уязвимости, которые остались за кадром в прошлом году. Кроме того, докладчики рассказали о новых ошибках безопасности и атаках, которые могут быть построены на их основе.

Видео выступления:




Пентесты SCADA и уязвимости СУБД
В продолжение темы Александр Тиморин провел мастер-класс, посвященный безопасности SCADA и исследованию протоколов, которые используются в системах АСУ ТП.


Алексей Осипов из группы анализа защищенности веб-приложений Positive Technologies выступил с докладом «Firebird/Interbase database engine hacks» об уязвимостях систем управления базами данных.

Слайды презентации:



Диснейленд для хакера
На третий день конференции Юрий Гольцев и Александр Зайцев рассказали о создании «Лабиринта» — увлекательного соревнования, настоящего хакерского аттракциона, который по достоинству оценили гости Positive Hack Days III. За один час участники конкурса должны были преодолеть целую полосу препятствий: перебраться через лазерное поле, миновать датчики слежения, победить в поединке с искусственным разумом, открыть секретные двери, очистить комнату от жучков и обезвредить бомбу. Видео доклада доступно на YouTube.


Участник PHDays III проходит лазерное поле «Лабиринта»

Кроме того, на конференции состоялся релиз новых средств для оценки безопасности SCADA-систем:

  • утилита Internet Connected ICS/SCADA/PLC: в комбинации с ICS/SCADA/PLC Cheat Sheet позволяет проводить исследование безопасности SCADA;
  • Hydra vs Siemens S7-300, специально выпущенная к CCC Hydra версии 7.6 с модулем и библиотекой для брутфорса паролей Siemens S7-300 PLC.

Внимание! Данные утилиты предназначены только для анализа безопасности промышленных систем.

Теперь подробнее о самом мероприятии.

Как это было
CCC известна тем, что обращается к технологическим, политическим и общественным аспектам информационных технологий.


Юбилейная, тридцатая по счету конференция, получившая по этому случаю название 30C3, не стала исключением: участники могли увидеть, как взламывают тамагочи, узнать о том, как можно отследить спутники, летающие вокруг Земли, а также послушать выступление создателя WikiLeaks Джулиана Ассанжа, которое он провел с помощью системы видеоконференции из посольства Эквадора в Лондоне, где до сих пор вынужден скрываться от властей.


Большое внимание докладчики уделили и проблемам, вызванным публикациями Эдварда Сноудена. Доклад «To Protect and Infect. Part II» одного из руководителей проекта TOR Джейкоба Аппельбаума (Jacob Appelbaum), представлявшего проект WikiLeaks на конференции HOPE в 2010 году, вызвал большую шумиху в прессе и дискуссии в профессиональном сообществе. Неудивительно — ведь даже спустя месяцы после обнародования секретных данных Эдвардом Сноуденом многим интересно, как АНБ подключалось к огромному количеству устройств по всему миру.



Всем, кто интересуется проблемами информационной безопасности, рекомендуем ознакомиться с докладами:

  • Triggering Deep Vulnerabilities Using Symbolic Execution [видео]
  • Electronic Bank Robberies [видео]
  • Bug Class Genocide [видео]
  • Fast Internet-wide Scanning and its Security Applications [видео]
  • Hillbilly Tracking of Low Earth Orbit [видео]
  • My Journey into FM-RDS [видео]
  • Hardware Attacks, Advanced ARM Exploitation, and Android Hacking [видео]
  • Revisiting “Trusting Trust” for Binary Toolchains [видео]
  • Android DDI [видео]
  • Persistent, Stealthy, Remote-controlled Dedicated Hardware Malware [видео]
  • Thwarting the Evil Maid Attacks [видео]
  • Script Your Car [видео]
  • The Exploration and Exploitation of an SD Memory Card [видео]

Обзор других интересных выступлений (на английском) можно прочитать на сайте Tech the Future.

Фото с конференции можно посмотреть по адресу: http://rolfomat.smugmug.com/Events/30c3.

P. S. Между тем не так много времени остается до Positive Hack Days IV. Полным ходом идет регистрация для участия в отборочных соревнованиях PHDays CTF. Зарегистрировались уже более 130 команд, присоединяйтесь и вы!