Навіяло розмовою з персоналом з ремонтів та заправки офісної техніки.

Окремі підприємства намагаються дуже сильно зекномити. На всьому. Особливо на канцтоварах та папері.

Працівникі часто використовують для чернеткового друку "односторонній папір". Типовим джерелом паперу є інші роздруки (у ВУЗах - реферати студентів :) )

Нажаль від такої економії виникають загрози економічній та інформаційній безпеці підприємства.

Економічна безпека.

Неякісний папір псує дорогі принтери та іншу офісну техніку.
Наприклад:

погіршує якість друку лазерного прінтера - папір з фарбами (сліди фломастера, ручки ....); папір з залишками клею; папір з обрізаними ножицями краями або з пилом/крихтами/дрібними шматочками паперу

може привести до суттєвих дефектів друку - папір з отворами та неровною поверхньою

призводить до виходу з ладу вузлів лазерного принтера - папір зі СКРЕПКАМИ; занадто жорсткий папір

Типовий приклад. Економія на папері примушує друкувати на папері з "вийнятими скрепками".

Черговій ремонт принтера з вийманням скрепки та заміною вузлів коштував як 8 пачок паперу (4000 листків).

Інформаційна безпека.

Замість того, щоб знищити непотрібну копію, її відкладають.
Хто її використає, для чого, у який відділ підприємства переміститься цей "односторонній папір"?
Вашу зайву копію прочитає мінімум 2 додаткові особи - хто буде на ній друкувати та той для кого.
Деталі зайві...

Якщо знаєте інші типові приклади типової "економії" додавайте як коментар

Зараз існує ціла серія програмних сканерів безпеки які цілком якісно можуть провести діагностику захисту сервера. В більшості серверів сканер видає повідомлення про наявність(функціонування) методу trace. Чомусь прийнято вважати, що це діра в захисті і її можна використати для взламування. Це правда, але часково. Метод TRACE призначений для діагностики мережі. Принцип роботи приблизно наступний – клієнт відсилає серверу певну інформацію, а сервер у свою чергу відпраляє отриману інформацію назад. Якщо в результаті була отримана видозмінена інформація – що десь не спрацювало. Проте цей метод був використаний для здійснення XSS атак: в TRACE запиті на сервер передаються кукіси, якщо вони є. Тому можна запит перехватити і витягнути звідти все що потрібно.

Якось нещодавно довелось мені зустрітись із проблемою недовіри користувачам. Проблема є тривіальною, проте програмери роблять стільки помилок, що аж волосся випадає, при чому не тільки в мене. У даному випадку я наведу приклад від якого можна відштовхуватись і на його базі буде представлена концепція взаємодії з користувачами. А суть проста, як двері – не довіряти нікому, навіть якщо користувачем є рідна мама. Наприклад є така форма

1.form action=log.php method=GET
2.input maxlength=10 type=”input” name=”username”>Username /input
3./form

От ніби класична форма, яку завше використовують(тут ще повинні бути розставлені символи < та >, але фільтр it.ridne.net їх не пропускав, тому я їх видалив, скористайтесь фантазією і поставте їх де потрібно). Але вона містить потенційну вразливість. І полягає вона в обмеженні довжини до 10 символів(2-а стрічка). Справа в тому, що це обмеження спрацьовує на стороні клієнта, а не сервера. Це означає, що я можу : використати браузер який нехтує параметром maxlength , можу написати свій браузер який буде нехтувати цей параметр і зрештою направити наступний url :

Але перед тим як дати опис тої фігні хотілося б дати опис програм для пошуку точок входу у програму. Для застарілої Windows NT перелік засобів для перегляду реєстра і файлової системи розміщені за адресою http://www.sysinternals.com . Найбільш популярні програми це filemon та regmon. Інший тип програм це АРІ монітори. Ці програми підключаються до певних викликів АРІ і дозволяють визначити, які параметри передаються цим викликам.
Для зміни викликів функцій АРІ можна використати програму Failure Simulation Tool компанії Cigital. Програма FST працює між програмою і DLL за допомогою перезапису таблиці адрес переривань. Завдяки такому підходу видно, які функції АРІ викликаються і які параметри передаються. Програму можна використовувати для генерації рапорту про помилки в програмах. А якщо є помилки – то програма швидше ламається. Цей відступ був для загального розвитку, просто щось собі нагадалось.

У матеріалі мова йтиме про слабкості фільтрів вхідних даних при роботі з веб-серверами. Так наприклад, стрічки http://server/dir\..\..\..\winnt та http://server/dir/../../../winnt є еквівалентними. А це означає, що якщо проходить фільтрація символу «/» то я спокійно використаю символ «\» . А ще існує така річ як кодування url, utf-8, Unicode. Наприклад, стрічка, еквівалентна до попередньої прийме вигляд http://server/dir\..%5C..%5C..\winnt ( %5C те саме що і символ «\»). Багато фільтрів виконують пошук мета символів, але можуть пропустити деякі з них при наявності символу ESC . Він, зазвичай, встановлюється на початку керуючої послідовності символів. Без цього символу керуюча послідовність буде перетворена на інший символ:

Ще колись в давні часи постало питання виміру програмного забезпечення. І найкраще для цього підійшла одиниця – кількість стрічок коду. Відповідно до цього критерію ввели поняття кількості помилок на 1000 стрічок коду. Це значення повинне лежати в діапазоні від 5 до 50. Системи, що пройшли контроль якості (Quality Assurance) повинні містити не більше ніж 5 помилок на 1000 стрічок коду. Зараз програмне забезпечення тільки ускладнюється і значно зростає в об’ємі. Так наприклад, система Netscape містить 17 млн. стрічок коду, космічна станція – 40 млн., windows 95 – 5млн., windows xp – 40млн., Linux – 5млн. Для наведених систем частота помилок коливається від 5 до 50 на 1000 стрічок коду. Подивившись на цю статистику найбільш приємний той факт, що Linux потенційно стабільніший від windows xp у 8 разів.

При аналізі та пошуку вразливих місць у програмах використовується кілька підходів. В даному випадку я наведу найпростіший. Схема роботи буде проста як двері. Компанія Rational створила програму Purify для динамічного дослідження програмного забезпечення. Ось її і будемо використовувати. За допомогою програми Hailstorm запускаємо процес внесення помилок у SQL Server 7 і за допомогою Purify будемо відслідковувати стан програми. Враховуючи, що у даному СУБД більше помилок, ніж стрічок з програмним кодом, використаємо хоча б одну з них. Наприклад, при внесенні некоректних даних в пакет протоколу SQL Server виникає проблема затирання даних в пам’яті. Збій проходить в результаті неправильної обробки даних. SQL сервер приймає запити по 1443 порту. Для цього порту жодних специфікацій не існує. Направимо на цей порт випадкові дані( нехай це будуть згенеровані цифри) з інтенсивністю 20 пакетів в секунду. SQL Server буде сприймати ці пакети без жодних проблем. Вхідні дані обробляються різними фрагментами коду. Фактично ці фрагменти виконують читання заголовків протоколу. Через деякий час Purify вкаже на виникнення помилки і на зміну даних у пам’яті. Такого роду помилка призводить до відмови в роботі сервера. І як результат нашої роботи ми отримаємо звіт програми Heilstorm, а програма Purify вкаже на точне місце в програмному коді, де міститься помилка. Як використовувати цю помилку вже залежить не від мене. Якби мені довелось б піти іншим шляхом ( наприклад, вводяться в програму дані і досліджується фрагмент коду, що відповідає за обробку цих даних) напевне це зайняло б у мене кілька днів. Наведений метод є ефективний хіба для продуктів мікрософту, де помилка помилку поганяє. Для нормального програмного забезпечення існують складніші методи та підходи до взламування.

За повідомленням компанії Calyptix Security у програмному забезпеченні мережних пристроїв багатьох відомих виробників віднайдена серйозна вразливість. Це вразливість, що дозволяє реалізацію CSRF атак. Суть атаки полягає у можливості контролювання атакуємий пристрій шляхом генерації запиту від імені авторизованого користувача. Для реалізації такої атаки на мережний пристрій потрібно заставити користувача, що має доступ до пристрою, під’єднатися через до пристрою через веб-інтерфейс і в цей момент відкрити в браузері сформований певним чином сайт.
Атакам такого типу можуть підлягати апаратні брандмауери, маршрутизатори, мережні принтери та ін. Через вразливість можна створювати нові облікові записи, змінювати паролі користувачів, налаштування. Найцікавіше тут, те що виробники мережних пристроїв чомусь не збираються виправляти помилки програмного забезпечення (крім Check Point Software Technologies, яка блискавично відреагувала на виявлення вразливості і відразу її ліквідувала ). Інші компанії намагаються відмовчатися.

У даному матеріалі буде розглянуто найновішу концепцію захисту інформації у банківській інформаційній системі.
Спочатку створюється база працівників банку. І відповідно кожному з них надається індивідуальний ідентифікатор та пароль(зазвичай це робить адміністратор). По цьому ідентифікатору визначаються права доступу у банківську мережу та привілеї роботи. Далі адміністратором визначається перелік можливих робочих місць користувача, при цьому мережний ідентифікатор та пароль користувачу не повідомляються. Натомість користувач отримує спеціальний ключ у вигляді елементу Touch Memory, де криптографічно записано паспорт ключа, мережний ідентифікатор та пароль, пароль входу у банківську систему. Для автентифікації користувача створена спеціальна програма, що контролює ввід пароля, читає елемент Touch Memory і здійснює криптографічний контроль вмісту пам’яті ключа, проводить ідентифікацію користувача, і надає доступ до мережі відповідно до прав та привілеїв. Передача даних по каналам зв’язку забезпечується комбінованою криптографічною системою. Платіжні документи клієнта, банк отримує виключно при наявності цифрового підпису( криптосистема з відкритим ключем). Захист пересилання файлу з платіжними документами забезпечується криптосистемою із закритим ключем. Ну а носієм закритого ключа клієнта банку є елемент Touch Memory.
При такій організації захисту визначені дві вразливості – адміністратор та програма, що проводить ідентифікацію користувачів. Проблемою також є втрата чи передача іншій особі елементу Touch Memory.

А почну я із файлу /etc/inetd.conf. Звідти необхідно видалити все, що не використовується сервером( зокрема команди shell,exec,login). У файлах /etc/rc.* , /usr/local/etc/rc.d/ міститься весь перелік програм, що запускаються. Тому його потрібно проаналізувати і також забрати весь непотріб. У файлі /etc/rc.conf виставити параметр tcp_extensions=”NO” для запобігання DoS атакам. Хоча тут все залежить від версії ядра. У старіших версіях цей параметр прописувався при перекомпіляції ядра, у новіших – його винесли у вказаний файл. Для контролю за цілісністю сервера можна використовувати готові утиліти – tripwire, mtree . Мені ліньки їх описувати, тому детальніше про на лаштування і роботу цих демонів можна нарити в Інтернет.

Розглянуто методи ідентифікації особи за відбитками пальців. Приведено класичний підхід до проведення ідентифікації та на його основі здійснено аналіз модифікацій різних його частин. Виділено проблеми, які виникають на різних етапах у систем ідентифікації.

Вступ

Біометрія, як наука вивчення математичних або статистичних властивостей у фізіологічних і поведінкових людських характеристиках, широко використовується у сфері захисту інформації. Використання відбитків пальців в якості біометрії є одним з найстаріших методів автоматизоматизованої ідентифікації особи і водночас найбільш поширеною в наш час. До числа факторів, які сприяють поширенню використання систем такого типу можна віднести: незначні розміри та вартість апаратури для обробки зображень відбитків пальців, високопродуктивне апаратне забезпечення, степінь та швидкість розпізнавання, що відповідають вимогам програмного забезпечення, різкий ріст та розвиток мережних технологій та Інтернету, а також усвідомлення необхідності простих, базових методів захисту та безпеки інформації.

У даному матеріалі мова піде про загальні алгоритми проектування розподіленої обчислювальної мережі з повністю визначеною інформацією про її об’єкти. Метою написання матеріалу є виключення можливості роботи алгоритмів віддаленого пошуку.
Однією із причин успішної атаки на розподілену обчислювальну мережу (ОМ) є відсутність інформації про доступ до віддаленого об’єкту. І тому, якщо на початку створення ОМ таку інформацію повність визначити, то це може суттєво скоротити серію атак на цю мережу. Але при високій кількості таких об’єктів, таку мережу побудувати практично не реально.
Сцена поступово освічується місячним сяйвом. Так, що становиться видно перший алгоритм, що базується на використанні інформаційно-пошукового сервера, та другий із використанням широкомовного запиту. Раптом зверху падає кінець і по ньому швидко з’їжджає хакер і дає _____ другому алгоритму. Хакер:

Пригадується, ще за часів життя короля Косяка, саме того який віддав свою Маріхуанну-Прекрасну і півцарства за Івана-Наркомана, був тоді галімий Інтернет без DNS серверів. І означало се, що доводилось тоді користуватись 32-розрядними ІР-адресами. Але знайшлися мудреці, котрі створили текстовий файл із відповідністю імен комп’ютерів до їх ІР-адрес – так званий host file. І абгрейдився цей файл кожного разу і передавався він від одного компа до іншого і тільки заради того, щоб юзер міг собі замість 127.0.0.1 набрати у стрічці браузера чарівне слово localhost. Але мережа росла, наркомани розмножувались і постала тоді необхідність у створенні єдиного інформаційного сервісу котрий б здійснював перевід мнемонічно зрозумілих імен у ІР-адреси та навпаки. І постала тоді доменна служба імен DNS (Domain Name Server) зі своїм спеціяльно створеним протоколом. Тоді всі зібрались, ширку прийняли, димедрол ковтнули, траву скурили та й вирішили, що буде працювати тоді цей DNS та ще й за таким алгоритмом :

[13:31] ВОНО: піпл, дайте ай-пі якогось придурка!!
[13:32] Хтось: 127.0.0.1
[13:32] ВОНО: дякую!
[13:32] ВОНО: зараз він здохне
[13:33] ** ВОНО вийшло з чату
А щоб вияснити прізвище та ім’я ВОНО необхідно прочитати даний матеріал до кінця. Я наведу перелік простих сигнатур котрі залишаються в логах після спроб взлому веб-сервера. Вони охоплюють перелік поширених дір сервера apache, а також можуть використовуватись для аналізу захищеності веб-проектів.

А почну я мабуть із найбільш поширеної вразливості – переповнення буферу. При такій вразливості стрічка може мати вигляд : http://ip-host/cgi-bin/test?type= 1111111111(256 разів).

Якщо веб-сервер запущений під root то зловмисник може отримати повний доступ до системи. Тобто, якщо у логах знайдете стрічку такого типу, значить сервер тестувався на предмет переповнення буферу.
Використання «<?»
Передбачає спробу внесення РНР коду. Наприклад : http://ір-host/andr.php=<? passthru("id");?> , при чому запит може бути написаний у 16-й системі числення.

Використання «<» та « >»
Символи передбачають перенаправлення вводу-виводу у файл. Приклад : "http://ip-host/andr.php=Hello" . Це належить до атаки типу SSI (Server Side Include).

Використання «!». Може статися халепа, якщо користувач натисне на таке посилання http://ip-host1/andr.php= . У такому разі файли зільються докупи andr.php та andr-bad.php, стануть одним цілим. Це також SSI.
При такій стрічці : http://ір-host/andr.php= зловмисник запустить команду id . А при такій http://ip-host/andr.php= взагалі приєднає файл із паролями .htpasswd. За замовчуванням apache не повинен бачити і мати доступ до файлів, що починаються із .ht . Проте тут ситуація трохи інша і SSI обходить цю заборону.

Використання «|». В Юнікс ця команда передбачає виконання кількох команд одночасно. Команду можна використати, наприклад, так : http://ip-host/cgi-bin/andr.cgi?page=cat%20access_log|grep%20-i%20"andr"
Використання «%00»
Це є 16-ве представлення нульового байту. Використувається для емуляції запиту іншого файлу : http://ip-host/cgi-bin/andr.cgi?page=../../../../etc/motd%00.html . Вразливість використвується при дозволених запитах виду http://ip-host/cgi-bin/andr.cgi?page=index.html .
Використання «.» «..» «...»
Ця сигнатура використовується для зміни директорії на сайті. Її найчастіше використовують у CGI дірах. Наприклад http://ip-host/cgi-bin/andr.cgi?file=../../../../etc/mount

Більшість систем-аналізаторів запитів досліджує їх «прямо», пропускаючи семантичне навантаження. Тобто, якщо представити запит у 16-й системі числення то більшість IDS можуть такий запит пропустити. І в результаті получається як в тім анекдоті : «Один процесор іншому – Які ті люди є тупими. Бешкетуємо ми, а гримають вони по моніторам.»

Тобто при створенні веб-проектів не варто використовувати тільки засоби захисту, які пропонує сервер. Цей комплект необхідно доповнити ще й своєю системою захисту. І нехай connect буде з вами ...

В даній статті розглянемо методи захисту від такого типу вразливості Веб-додатків як XSS ін’єкція. Що ж таке XSS ін’єкція?

XSS - (англ. Сross Site Sсriрting) - міжсайтовий скриптинг, тип вразливості комп’ютерної системи. Особливістю даного типу атак є те, що замість безпосередньої атаки сервера, використовується вразливий сервер в якості засобу для атаки на клієнта.

Cross-site scripting - це одна з найбільш поширених вразливості Веб-додатків. При такому типу атаки, атакуючий розміщує шкідливий JavaScript або інший вміст на Веб-сторінці (наприклад повідомлення на форумі), який пізніше може бути виконаний цим Веб-додатком. Тут ми говоримо про скрипти, які можуть бути вставлені в HTML-код, і потім виконані браузером користувача.
Розрізняють п’ять найбільш поширених таких скриптів:

• <script>: часто використовується для вставки JavaScript або VBScript;
• <object>: часто використовується для вставки Flash, ActiveX-компонентів та ін;
• <applet>: використовується тільки для Java applets; все частіше замінюється на <object>;
• <iframe>: використовується для вставки фреймів;
• <embed>: використовується для програвання медіа файлів; все частіше замінюється на <object>;

Варто зазначити, що картинка обробляється браузером з використанням тегу <img>, і є особливою формою <object>, а отже теж може використовуватися для XSS-ін’єкції.

На сьогодні виділяють 3 базові класи для роботи із відбитками пальців. Перший клас базується на порівнянні візерунку відбитків. Алгоритм працює за наступною схемою. Відскановане зображення розбивається на множину секцій ( чим менша секція, тим вища точність). Місцезнаходження папіляру у цій секції описується певною синусоїдою ( початковий зсув фази, напрям поширення). Потім порівнюються хвильове представлення відповідних секцій шаблону та відсканованого зображення.
Другим класом є кореляційне порівняння. Коли два відбитки накладаються один на інший та проводиться розрахунок кореляції між відповідними пікселями. Зображення можна зміщати та повертати.

Цього разу я спробую провести короткий огляд біометричних систем.

На перше місце я б поставив сканери сітківки ока. Інфрачервоний промінь малої інтенсивності скеровується на зіницю для фотографування малюнку, який утворюють кровоносні судини. Коштує така цяця біля 500 дол. Сканери такого типу вважаються найкращими. З цього ж класу можна придбати трохи таньші системи (десь 300 дол), але менш надійніші. Такі системи записують картинку плям та прожилок поверхні ока. Вони є менш надійними. Якщо зробити фотографію ока з високим розширенням, то такий сканер можна обійти. Пригадується, як у якомусь фільмі для того, щоб обійти сканер злочинцю довелось виколупати очі авторизованій особі.

Ціль яку ставить автор висвітлюючи даний матеріал полягає у організації кращого захисту розроблених веб проектів, а не способів їх взлому .
Це вразливість, яка існує через недосконалість чи відсутність механізму провірки даних отриманих від користувача. Наприклад, маючи наступну адресу http://site.ua/site.php?id=01 повинна завантажитись якась сторінка. Але якщо після знаку рівності користувач вкаже будь-які символи (наприклад ...php?id= test, .php?id=01’, .php?id=10 …) і в результаті все одно завантажиться дана сторінка, то сайт на 90% може бути взломаний через sql ін’єкцію, оскільки не проводиться фільтрування отриманого від користувача параметру. В гіршому випадку отримаєте повідомлення про помилку, в кращому - пустий результат. Наприклад, .php?id=10 – повинно би повернути пустий sql запит, а .php?id=10” – помилку. В основному, ціль яка ставиться при використанні sql ін’єкції полягає у отриманні доступу до бази даних (зазвичай це MYSQL, безкоштовна для не комерційних проектів та надійна СУБД). Для розуміння наступних дій необхідні деякі знання із побудови запитів до БД. Так для визначення який номер стовпця виводить на сторінку інформацію достатньо виконати запит типу /test.php?id=10+union+select+’test’,null,null/* чи /test.php?id=10+union+select+null,’test’,null/*. Якщо з бази читається кілька параметрів то необхідно знайти той, що має тип text . А ці запити потрібно виконувати доки не побачимо слово test у потрібному місці. Одною із цікавих властивостей MYSQL є перетворення числового типу даних до будь-якого іншого, без породження при цьому помилки. Це майже як у РНР, змінній не присвоюється певний тип даних, що можна можна використати при взломі сайту, простим перевизначенням цієї змінної ( наприклад, присвоїти їй якусь адресу скрипта) . Цю властивість можна використати при такому запиті, де лапки можуть фільтруватися .php?id=10+union+select+1,2,3/* . Ім’я таблиці можна отримати наступним запитом .php?id=01+union+select+null,null,null+from+table1/* . Так можна часом знайти таблицю з ім’ям users, passwords etc і працювати вже безпосереньо з нею. Назви стовпців в таблиці вичисляються так .php?id=10+union+select+null,row1,null+from+table1/* . Якщо користувач має права на select то в результаті запиту .php?id=10+union+select+null,mysql.user.password,null+from+mysql.user/* можна отримати хеш пароля, який потім розшифровується.

Компанія Digital Security (www.dsec.ru) представила Digital Security ScreenSaver. Цей програмний продукт (скачати: www.dsec.ru/downloads/ds_screensaver_demo.zip, 1,2 Mb) це періодично обновлювальна серія скрінсейверів, що допомагає користувачам закріпити деякі правила з області інформаційної безпеки. Пропонується 3 версії програми : стандартна – сюжет та дизайн універсальні, логотип компанії заміняється на логотип вашої компанії; корпоративний дизайн – сюжет універсальний, дизайн за замовленням; корпоративна – сюжет та дизайн за замовленням.
В сумі кожен випуск містить 10 різних сюжетів, а обновлення відбувається один раз на два місяці. Програма дуже нагадує звичайнісіньку презентацію.
Річ ця звісно хороша, проте на мою думку – малоефективна. Скрінсейвер вмикається коли користувач зазвичай відходить від свого комп’ютера і інформацію, яка з’являється на моніторі можуть побачити хіба інші особи. Форма представлення такої важливої інформації, мені здається – занадто дитяча. Слід зауважити, що я оцінюю демо-версію. Наведу живий приклад. Я не користуюсь антивірусними програмами, хоч і мій комп’ютер-клієнт працює в локалці на 150 компів під’єднаних до Інтернет (зовсім віднедавна. Слава адміну!!!). І в цьому скрінсейвері з’являється картинка із малим щеням і внизу написано, що так беззахисно виглядає мій комп’ютер без антивірусного програмного забезпечення. І навіть після побаченого я не встановив навіть Касперского. Можливо було б ефективніше, якби мені показали ілюзію краху операційки та внизу написали, що таку каку може зробити мені вірус і обов’язково треба захищатися. Антивірус від побаченого я б все одно собі не поставив, але це могло б спонукати до більш рішучіших дій користувачів. Доки їх не настрашиш – не перехрестяться. А настрашити вірусами їх треба так, щоб вночі не спали і думали якби то від них відбитися.

З чим я всіх і вітаю. Свято засноване у 1988 році і підтримує його 50 країн. Для того щоб правильно його відсвяткувати і потім зранку ще й вийти на роботу майже з світлою головою можна скористатись лінком http://www.computersecurityday.org/. Тільки наперед кажу, що ця адреса від похмілля не рятує (але якщо хтось знає таку, обов’язково дайте знати).