Інформаційна безпека

Безпека та захист інформації

Конференція “UniversITy 3: IT-Startups”. Запрограмуй власну фінансову незалежність!

20 лютого 2010 року в освітньому центрі “Master Klass” завдяки плідній роботі організаторів AIESEC та i-Klass розпочнеться дводенна конференція “UniversITy 3: IT-Startups”, тематика якої присвячена аналізу сучасної ситуації ІТ ринку України та нюансів роботи стартапів напротязі періоду від оформлення ідеї до створення та реалізації продукту. Головна ціль – стимулювання талановитої молоді до втілення власних креативних розробок. Задля досягнення найбільш плідного діалогу між учасниками та спікерами формат «конференція» об’єднано з «кемпом». Наряду з класичними доповідями проходитимуть неформальні семінари, які будуть направлені на практичне закріплення набутих знань. Майстер-класи проводитимуть засновники найуспішніших українських стартапів таких як BayViewInnovations, InvisibleCRM, Viewdle.

Критична вразливість Windows та вірус Net-Worm.Win32.Kido

На днях зіштовхнувся з наступною проблемою: в ОС Windows постійно почало з'являтись повідомлення про критичну помилку Generic Host Process, після чого не працювали ні мережа, ні служба маршрутизації. Подивившись журнал безпеки, побачив, що дана помилка (код помилки 1000) генерується файлами svchost.exe та kernel32.dll.

"Взлам ICQ". Реакція соціуму

Пройшов уже добрий тиждень від того часу, як WWW (особливо близькі нам сегменти) сколихнула новина про можливий взлам ICQ.
Уже відомо, що саме трапилося, і з якою метою з'явився таємничий контакт в списках користувачів ICQ. У принципі уже нема що і обговорювати.
Тому я про інше. Я про реакцію соціуму на події навколо таємничих змін у контакт-листі.
Можна сказати, що цей допис є елементом “третьої хвилі” реакції соціуму. Хвилі слабої та непомітної.
Перша хвиля була створена користувачами. Це була масова тривога на різних форумах та інших спільнотах. У цій хвилі переважали некомпентні заяви користувачів про можливий взлам комп'ютерів, користувачі займалися взаємним підтвердженням появи проблеми на взірець заяв “у мене також”. Важливим елементом хвилі стали повідомлення інтернет-ЗМІ про можливий взлам ICQ.
Друга хвиля, як це не дивно, накрила першу. Це була хвиля сакразму з приводу низької комп'ютерної грамотності користувачів, що згенерували першу хвилю. Маса вигуків навзірець “вони думають, що запит на авторизацію може зламати ICQ!!” і тому подібне.
Характерно, що ця хвиля накрила першу ще до появи офіційних роз'яснень з боку адміністрації сервісу ICQ про те, що насправді відбулося. Характерною ознакою цієї хвилі (за винятком професійних спільнот з комп'ютерної безпеки) була відсутність якогось змістовного аналізу, чому саме це не взлам.
Ну що ж, давайте трохи розберемо цю ситуацію.
Xiaomi does not turn on. user Experience

Економічна безпека та здоровий глузд або економія на ....

Навіяло розмовою з персоналом з ремонтів та заправки офісної техніки.

Окремі підприємства намагаються дуже сильно зекномити. На всьому. Особливо на канцтоварах та папері.

Працівникі часто використовують для чернеткового друку "односторонній папір". Типовим джерелом паперу є інші роздруки (у ВУЗах - реферати студентів :) )

Нажаль від такої економії виникають загрози економічній та інформаційній безпеці підприємства.

Економічна безпека.

Неякісний папір псує дорогі принтери та іншу офісну техніку.
Наприклад:

    погіршує якість друку лазерного прінтера - папір з фарбами (сліди фломастера, ручки ....); папір з залишками клею; папір з обрізаними ножицями краями або з пилом/крихтами/дрібними шматочками паперу
    може привести до суттєвих дефектів друку - папір з отворами та неровною поверхньою
    призводить до виходу з ладу вузлів лазерного принтера - папір зі СКРЕПКАМИ; занадто жорсткий папір

Типовий приклад. Економія на папері примушує друкувати на папері з "вийнятими скрепками".

Черговій ремонт принтера з вийманням скрепки та заміною вузлів коштував як 8 пачок паперу (4000 листків).

Інформаційна безпека.

Замість того, щоб знищити непотрібну копію, її відкладають.
Хто її використає, для чого, у який відділ підприємства переміститься цей "односторонній папір"?
Вашу зайву копію прочитає мінімум 2 додаткові особи - хто буде на ній друкувати та той для кого.
Деталі зайві...

Якщо знаєте інші типові приклади типової "економії" додавайте як коментар

Нова синтетична атака у WWW

Якщо вірити ось цьому повідомленню: http://blog.trendmicro.com/more-than-a-half-a-million-web-sites-compromised/
з'явився новий троян, який з одного боку - інфікує окремі форуми на базі вразливих версій phpBB, а потім, після розміщення на серверах (використовується механізм SQL-ін'єкції), робить спроби інфікації персональних комп'ютерів відвідувачів форумів.
На мою думку, такий вид атаки є чи ненайнебезпечнішим. Адже, в даному випадку користувач може необдумано клікнути по посиланню чи завантажити файл з сайту, якому він звик довіряти та де він спілкується, можливо, роками. Тим більше, що небезпечне посилання може бути розміщене від імені його приятеля чи адміна форуму.
За даними джерела, на цей час постраждало до півмільйона (!) сайтів.

Відзначаємо 30-ту річницю електронного спаму

30 років тому, 1 травня 1978 року маркетолог фірми DEC здійснив розсилку небажаного електронного листа адресатам мережі Arpanet. Усього и даними розсилка охоплювала біля 400 адресів.
З текстом цього пам'ятного листа можна ознайомитися тут
http://www.templetons.com/brad/spamreact.html#msg
Там же ж є і тодішні реакції користувачів на цей спам. Досить жорсткі я для абсолютно нового феномену, з вимогою блокування хоста. Чесно кажучи, мене це наштовхнуло на думку, що можливо, цей випадок був не перший, а "перший задокументований".
Можливо, щоправда, що поява таких розсилок була прогнозованою, і люди уже усвідомлювали їх небезпеку (за аналогією з паперовим спамом).

Особливості організації міжмережної взаємодії при використанні операційної системи FreeBSD

В сучасних умовах обмін даними між комп’ютерами став невід’ємною частиною життя. Мережні засоби застосовуються у всіх сферах діяльності. В навчальних закладах всіх рівнів, починаючи від початкових і закінчуючи спеціальними, комп’ютерні мережі дозволяють студентам і викладачам отримати миттєвий доступ до інформації в бібліотеках всього світу. На даний час зростає потреба у використанні інформаційних технологій в управлінні навчальним процесом у всіх навчальних закладах.
З розширенням комп’ютерних систем і їх взаємодії з різними за структурою мережами спостерігається щораз більша залежність як організацій, так і окремих людей від інформації, що передається по мережі, і зберігається в таких системах. Це, у свою чергу, дозволяє зрозуміти необхідність захисту даних і ресурсів від можливого несанкціонованого доступу, важливість використання спеціальних засобів для забезпечення достовірності отриманих даних та повідомлень, а також захисту систем від мережних атак.
Із появою та поширенням комп’ютерів і засобів автоматизованої обробки інформації виникла потреба в автоматизованих засобах захисту файлів та іншої інформації, що зберігається на комп’ютерах. Особливо гостро потреба в засобах захисту відчувається в багатокористувацьких системах, таких як системи, до яких можна отримати доступ по звичайних телефонних лініях зв’язку або відкритих комп’ютерних мережах.

Атаки на відмову: причини виникнення, огляд, класифікація.

Мережу Інтернет (спочатку відому під назвою ARPANET) було створено в 1969 році як дослідницьку мережу на замовлення Міністерства Оборони Сполучених Штатів Америки. Початкова мета розробки полягала в створенні відкритої мережі для обміну науковими ресурсами між ученими. Виходячи з цієї концепції проектувалася і схема його функціонування. В результаті було розроблено мережу на основі комутації пакетів (packet switching), яка принципово відрізнялась від відомих тоді систем комутації ліній (circuit switching), таких як телефонна мережа. Це дозволило значно підвищити гнучкість та живучість системи. Однак успіх був досягнуто ціною ослаблення безпеки. В мережі Інтернет будь-хто може надіслати будь-який пакет будь-кому і при цьому одержувач повинен обробити пакет, який прийшов належним чином. Ослаблення безпеки полягає в тому, що зловмисник може сформувати фальшиву ідентичність та безкарно надсилати шкідливий трафік, тому всі системи, що з’єднані з мережею Інтернет перебувають в потенційній небезпеці, оскільки відкритість робить їх доступними для атакуючого.

Подарунок для Цьоці Асі. ICQ та інтелектуальна власність.

Найпопулярнішим сервісом миттєвих повідомлень на просторах СНД була і є така собі ICQ. Якось так історично склалося, що не мати і не користати ICQ є практично моветоном для активного користувача Інтернету в наших краях. Навіть мене, що я дуже не люблю цей сервіс, життя таки заставляє інколи ним користати.
Проте є речі, які виділяють “Асю” з числа подібних сервісів. Притому не в кращу сторону (хоча інші сервіси миттєвих повідомлень також дуже далекі не те, що від ідеалу, а просто від нормальної телекомунікаційної служби).
Зупинюся на одній особливосі ICQ. Дуже суттєвій. Чи пробував хтось читати угоду користувача, коли підписував її при активації сервісу? Там є справжній шедевр. А всласне ось тут http://www.icq.com/legal/policy.html

Поверхневий аналіз реалізації Dos атаки

Щось цим пасмурним вечором згадалася мені весна, коли сніг розстанув, на дворі вже проблискувало тепле сонечко, в Естонії проводили акцію перезахоронення радянських вояків і у зв’язку з протестом невідомих ( ну, це офіційно невідомих) була здійснена потужна DoS-атака на найпотужніший банк країни SEB Eesti Uhispank та газету Eesti Paevaleht.
DoS- атака ( атака на відмову в обслуговуванні) це скерування великої кількості запитів на веб-сервер. Зазвичай така атака проводиться роботами-ботами і призводить до зупинки роботи сервера. Середня вартість такої атаки на українському ринку складає 60-80 дольців.
Зазвичай DoS атака зупиняється блокуванням ІР-адреси атакуючої машини, проте зазвичай доводиться відключати цілі фрагменти мережі, жертвуючи потенційною аудиторією, що може відвідати сайти. Такі атаки проводяться бот-мережами, вважається, що зараз у бот-мережі задіяно біля 150 млн. комп’ютерів.

Інформаційне суспільство по-українськи

Десь весною цього року (ще до парламентської кризи) ВРУ прийняла, а Президент підписав закон "Про Основні засади розвитку інформаційного суспільства в Україні на 2007-2015 роки".

Закон сам по собі чарівний. Прочитав. Одна суцільна декларація. При тому безсистемна. Єдині цифри, що є в законі - це роки :). Іншої конкретики також катма.

Ну Бог з ним.
Прикололо інше.
Натрапив на сторінку http://www.stc.gov.ua/uk/publish/article/56836 , де мають бути "план заходів з виконання завдань, передбачених Законом України "Про Основні засади розвитку інформаційного суспільства в Україні на 2007-2015 роки"" - а це вже цікавіше і ближче до життя.

Але на жаль, після клацу на лінк " „Про затвердження плану заходів з виконання завдань, передбачених Законом України "Про Основні засади розвитку інформаційного суспільства в Україні на 2007-2015 роки”" де власне, напевне і є напевно перелік заходів включно фінансуванням, виконавцями і термінами потрапляю на сторінку з печальним текстом
"Цього документу немає в базі даних "

Отака вона, реальність інформаційного суспільства в Україні. :(

Google Bombing. 3 роки за образу Президента Польщі

3 роки ув'язнення загрожує поляку, який використав технологію розкрутки сайту за допомогою зовнішніх посилань з метою образи Президента Польщі. Він успішно досягнув того, що за одним лайливим польським словом офіційний сайт Президента Польщі кілька місяців займав перше місце на Гуглі.
Такий вид "оптимізації" не є чимось новим, і має навіть власний термін - Google Bombing. І ніби (за деякою інформацією з тематичних форумів) Google якось пробує від нього захиститися, але видно, поки що не дуже успішно. Новим тут є притягнення чоловіка до кримінальної відповідальності за такі дії. Звичайно, така справа нова для правосуддя, тому не виключено, що жорсткої кари не буде, проте сам факт такого "бомбування" встановлено достеменно.
Детальніше про справу можна почитати тут http://wiadomosci.gazeta.pl/Wiadomosci/1,80269,4477719.html

Використання методу TRACE для здійснення XSS/SCC атаки

Зараз існує ціла серія програмних сканерів безпеки які цілком якісно можуть провести діагностику захисту сервера. В більшості серверів сканер видає повідомлення про наявність(функціонування) методу trace. Чомусь прийнято вважати, що це діра в захисті і її можна використати для взламування. Це правда, але часково. Метод TRACE призначений для діагностики мережі. Принцип роботи приблизно наступний – клієнт відсилає серверу певну інформацію, а сервер у свою чергу відпраляє отриману інформацію назад. Якщо в результаті була отримана видозмінена інформація – що десь не спрацювало. Проте цей метод був використаний для здійснення XSS атак: в TRACE запиті на сервер передаються кукіси, якщо вони є. Тому можна запит перехватити і витягнути звідти все що потрібно.

не довіряй нікому

Якось нещодавно довелось мені зустрітись із проблемою недовіри користувачам. Проблема є тривіальною, проте програмери роблять стільки помилок, що аж волосся випадає, при чому не тільки в мене. У даному випадку я наведу приклад від якого можна відштовхуватись і на його базі буде представлена концепція взаємодії з користувачами. А суть проста, як двері – не довіряти нікому, навіть якщо користувачем є рідна мама. Наприклад є така форма

1.form action=log.php method=GET
2.input maxlength=10 type=”input” name=”username”>Username /input
3./form

От ніби класична форма, яку завше використовують(тут ще повинні бути розставлені символи < та >, але фільтр it.ridne.net їх не пропускав, тому я їх видалив, скористайтесь фантазією і поставте їх де потрібно). Але вона містить потенційну вразливість. І полягає вона в обмеженні довжини до 10 символів(2-а стрічка). Справа в тому, що це обмеження спрацьовує на стороні клієнта, а не сервера. Це означає, що я можу : використати браузер який нехтує параметром maxlength , можу написати свій браузер який буде нехтувати цей параметр і зрештою направити наступний url :

Взлам бази даних Oracle 9i

Але перед тим як дати опис тої фігні хотілося б дати опис програм для пошуку точок входу у програму. Для застарілої Windows NT перелік засобів для перегляду реєстра і файлової системи розміщені за адресою http://www.sysinternals.com . Найбільш популярні програми це filemon та regmon. Інший тип програм це АРІ монітори. Ці програми підключаються до певних викликів АРІ і дозволяють визначити, які параметри передаються цим викликам.
Для зміни викликів функцій АРІ можна використати програму Failure Simulation Tool компанії Cigital. Програма FST працює між програмою і DLL за допомогою перезапису таблиці адрес переривань. Завдяки такому підходу видно, які функції АРІ викликаються і які параметри передаються. Програму можна використовувати для генерації рапорту про помилки в програмах. А якщо є помилки – то програма швидше ламається. Цей відступ був для загального розвитку, просто щось собі нагадалось.

Про альтернативне кодування

У матеріалі мова йтиме про слабкості фільтрів вхідних даних при роботі з веб-серверами. Так наприклад, стрічки http://server/dir\..\..\..\winnt та http://server/dir/../../../winnt є еквівалентними. А це означає, що якщо проходить фільтрація символу «/» то я спокійно використаю символ «\» . А ще існує така річ як кодування url, utf-8, Unicode. Наприклад, стрічка, еквівалентна до попередньої прийме вигляд http://server/dir\..%5C..%5C..\winnt ( %5C те саме що і символ «\»). Багато фільтрів виконують пошук мета символів, але можуть пропустити деякі з них при наявності символу ESC . Він, зазвичай, встановлюється на початку керуючої послідовності символів. Без цього символу керуюча послідовність буде перетворена на інший символ:

Сумна статистика

Ще колись в давні часи постало питання виміру програмного забезпечення. І найкраще для цього підійшла одиниця – кількість стрічок коду. Відповідно до цього критерію ввели поняття кількості помилок на 1000 стрічок коду. Це значення повинне лежати в діапазоні від 5 до 50. Системи, що пройшли контроль якості (Quality Assurance) повинні містити не більше ніж 5 помилок на 1000 стрічок коду. Зараз програмне забезпечення тільки ускладнюється і значно зростає в об’ємі. Так наприклад, система Netscape містить 17 млн. стрічок коду, космічна станція – 40 млн., windows 95 – 5млн., windows xp – 40млн., Linux – 5млн. Для наведених систем частота помилок коливається від 5 до 50 на 1000 стрічок коду. Подивившись на цю статистику найбільш приємний той факт, що Linux потенційно стабільніший від windows xp у 8 разів.

Вразливі місця Microsoft SQL Server

При аналізі та пошуку вразливих місць у програмах використовується кілька підходів. В даному випадку я наведу найпростіший. Схема роботи буде проста як двері. Компанія Rational створила програму Purify для динамічного дослідження програмного забезпечення. Ось її і будемо використовувати. За допомогою програми Hailstorm запускаємо процес внесення помилок у SQL Server 7 і за допомогою Purify будемо відслідковувати стан програми. Враховуючи, що у даному СУБД більше помилок, ніж стрічок з програмним кодом, використаємо хоча б одну з них. Наприклад, при внесенні некоректних даних в пакет протоколу SQL Server виникає проблема затирання даних в пам’яті. Збій проходить в результаті неправильної обробки даних. SQL сервер приймає запити по 1443 порту. Для цього порту жодних специфікацій не існує. Направимо на цей порт випадкові дані( нехай це будуть згенеровані цифри) з інтенсивністю 20 пакетів в секунду. SQL Server буде сприймати ці пакети без жодних проблем. Вхідні дані обробляються різними фрагментами коду. Фактично ці фрагменти виконують читання заголовків протоколу. Через деякий час Purify вкаже на виникнення помилки і на зміну даних у пам’яті. Такого роду помилка призводить до відмови в роботі сервера. І як результат нашої роботи ми отримаємо звіт програми Heilstorm, а програма Purify вкаже на точне місце в програмному коді, де міститься помилка. Як використовувати цю помилку вже залежить не від мене. Якби мені довелось б піти іншим шляхом ( наприклад, вводяться в програму дані і досліджується фрагмент коду, що відповідає за обробку цих даних) напевне це зайняло б у мене кілька днів. Наведений метод є ефективний хіба для продуктів мікрософту, де помилка помилку поганяє. Для нормального програмного забезпечення існують складніші методи та підходи до взламування.

Про вразливість мережних пристроїв

За повідомленням компанії Calyptix Security у програмному забезпеченні мережних пристроїв багатьох відомих виробників віднайдена серйозна вразливість. Це вразливість, що дозволяє реалізацію CSRF атак. Суть атаки полягає у можливості контролювання атакуємий пристрій шляхом генерації запиту від імені авторизованого користувача. Для реалізації такої атаки на мережний пристрій потрібно заставити користувача, що має доступ до пристрою, під’єднатися через до пристрою через веб-інтерфейс і в цей момент відкрити в браузері сформований певним чином сайт.
Атакам такого типу можуть підлягати апаратні брандмауери, маршрутизатори, мережні принтери та ін. Через вразливість можна створювати нові облікові записи, змінювати паролі користувачів, налаштування. Найцікавіше тут, те що виробники мережних пристроїв чомусь не збираються виправляти помилки програмного забезпечення (крім Check Point Software Technologies, яка блискавично відреагувала на виявлення вразливості і відразу її ліквідувала ). Інші компанії намагаються відмовчатися.

Покращуємо захищеність FreeBSD

А почну я із файлу /etc/inetd.conf. Звідти необхідно видалити все, що не використовується сервером( зокрема команди shell,exec,login). У файлах /etc/rc.* , /usr/local/etc/rc.d/ міститься весь перелік програм, що запускаються. Тому його потрібно проаналізувати і також забрати весь непотріб. У файлі /etc/rc.conf виставити параметр tcp_extensions=”NO” для запобігання DoS атакам. Хоча тут все залежить від версії ядра. У старіших версіях цей параметр прописувався при перекомпіляції ядра, у новіших – його винесли у вказаний файл. Для контролю за цілісністю сервера можна використовувати готові утиліти – tripwire, mtree . Мені ліньки їх описувати, тому детальніше про на лаштування і роботу цих демонів можна нарити в Інтернет.

Syndicate content

© Інформаційні технології. Аналітика , Рідна Мережа