Інформаційна безпека

Безпека та захист інформації

USB-флешки. Остерігайтеся випадкових зв'язків.

Користувачі ПК останні роки плавно змінюють у задачах оперативного обміну інформацією традиційні дискетки на usb-носії. Це зручно, просто, ефективно. Аналогія між дискетою і флешкою насправді увійшла в життя досить глибоко.
Користувачі не задумуються над однією важливою особливістю флешки. Вона містить драйвер, який встановлюється на комп'ютер користувача при першому використанні носія.
Ця особливість USB-носіїв дає шанс здійснювати певного виду атаки на компютер користувача.
Прикладом такої атаки може служити випадок, що трапився на одній з парковок Лондона, де було розкидано кілька (?) флешок, які потім виявилися носіями шкідливого коду, що дозволяв викрасти банківські коди доступу та паролі користувачів. Про кількість флешок, та про кількість необачливих користувачів, що позасували собі до комп'ютера ці носії на жаль у повідомленні за адресою http://www.theregister.co.uk/2007/04/25/usb_malware/

Аналіз методів ідентифікації особи за відбитками пальців

Розглянуто методи ідентифікації особи за відбитками пальців. Приведено класичний підхід до проведення ідентифікації та на його основі здійснено аналіз модифікацій різних його частин. Виділено проблеми, які виникають на різних етапах у систем ідентифікації.

Вступ

Біометрія, як наука вивчення математичних або статистичних властивостей у фізіологічних і поведінкових людських характеристиках, широко використовується у сфері захисту інформації. Використання відбитків пальців в якості біометрії є одним з найстаріших методів автоматизоматизованої ідентифікації особи і водночас найбільш поширеною в наш час. До числа факторів, які сприяють поширенню використання систем такого типу можна віднести: незначні розміри та вартість апаратури для обробки зображень відбитків пальців, високопродуктивне апаратне забезпечення, степінь та швидкість розпізнавання, що відповідають вимогам програмного забезпечення, різкий ріст та розвиток мережних технологій та Інтернету, а також усвідомлення необхідності простих, базових методів захисту та безпеки інформації.

Поповни свій Kyivstar-рахунок

Зараз мережею і людьми поповзли чутки про можливість поповнення свого рахунку за допомогою якоїсь хакерської програми. Перша це звичайний вірус. Після його активації з’являється попередження, що якщо користувач не заплатить гроші хакеру, то вся інформація на вінчестері буде втрачена. І після проплати користувач отримує код, що зупинить роботу програми. Друга програма більш цікавіша. Це не вірус. З’явилась невідома група людей, що назвала себе Invisible group Software та пропонує людям, як вони самі називають, українські нелегальні програми. Побачити це можна на http://ukr.sitesled.com/download.html . Наразі пропонується 2 програми: UA-ID – програма, що виводить інформацію про людину з її ідентифікаційного коду, а саме дату народження та стать. Програма реально працює, на собі провіряв; та програма з назвою KyivstarGSM – для поповнення свого рахунку мобільного телефону з тарифними планами Kyivstar, Djuse. З цією вже виникли проблеми. Скачати можна тільки демоверсію. Оригінал коштує 80 дольців. Заплатіть гроші і вам вишлють код активації. Демоверсія не генерує останніх 4 цифр коду поповнення рахунку. Програма працює за наступною схемою – користувач вибирає суму номіналу поповнення рахунку (25, 50, 100, 300) і натискає кнопку генерування коду. Я спробував ризикнути і запустив 2 програми на свому компі і що найгірше, він ще працює і наразі жодних збоїв я не зафіксував, хоча і не користуюсь антивірусами.

Всі на екзамен!

Є в Штатах такий собі інститут SANS Software Security Institute , котрий, як видно з назви, займається проблемами написання безпечного коду. Проаналізувавши біля 7 тисяч різних вразливостей вони вирішили написати на базі цього екзамени з 4 напрямків програмування -- C/C++, Java/J2EE, Perl/PHP, .NET/ASP . Екзамени випробують у Вашингтоні і після цього будуть розповсюдять по світу. Питання в основному складатимуться із шматків коду, де потрібно буде ліквідувати вразливість. Після успішного складання іспиту буде видаватися сертифікат. Можливо це знайде поширення і в нас, особливо y software компаніях та програмістах які прагнуть підвищити свою самокваліфікацію. Особисто я вважаю, що кращого засобу при написанні якісного коду ніж презeрватив не існує. Мережі не потрібні аматори, котрі прочитавши брошурку чи якусь книжку, роблять із себе великих програмерів, а якість їхньої роботи бажає тільки кращого.

Про банківський домен

Продовжуючи доменну тему, Європа запропонувала ICANN створити для банків та фінансових організацій окремий домен -- .bank, .safe, .sure . Основну ціль яку ставлять банки, так це уберігання клієнта від шахраїв. Домен будуть видавати тільки після проходження певної процедури. Фактично, схема буде такою самою як і з .gov .
Це вже наступна спроба банків перейти на наступний рівень безпеки роботи з клієнтами в Інтернет. Спочатку висувалась ідея модифікації веб-браузера – при відвідуванні безпечних сайтів фінансових структур, адресна стрічка браузера забарвлюється у зелений колір. Але щось ідея заглохла. Тепер банки хочуть мати окремий домен. ICANN наразі не подає жодних коментарів на цю тему. Особисто мені ця ідея сподобалась. Цей хід може значно скоротити кількість шахраїв. Оскільки, Україна теоретично рухається в Європу то напевне нам такого домену давати не будуть, ну це за умови що взагалі буде створено такий домен.

Рух життя або динамо. За Подерв’янським.

У даному матеріалі мова піде про загальні алгоритми проектування розподіленої обчислювальної мережі з повністю визначеною інформацією про її об’єкти. Метою написання матеріалу є виключення можливості роботи алгоритмів віддаленого пошуку.
Однією із причин успішної атаки на розподілену обчислювальну мережу (ОМ) є відсутність інформації про доступ до віддаленого об’єкту. І тому, якщо на початку створення ОМ таку інформацію повність визначити, то це може суттєво скоротити серію атак на цю мережу. Але при високій кількості таких об’єктів, таку мережу побудувати практично не реально.
Сцена поступово освічується місячним сяйвом. Так, що становиться видно перший алгоритм, що базується на використанні інформаційно-пошукового сервера, та другий із використанням широкомовного запиту. Раптом зверху падає кінець і по ньому швидко з’їжджає хакер і дає _____ другому алгоритму. Хакер:

True чи False? Ось запитання.

Пригадується, ще за часів життя короля Косяка, саме того який віддав свою Маріхуанну-Прекрасну і півцарства за Івана-Наркомана, був тоді галімий Інтернет без DNS серверів. І означало се, що доводилось тоді користуватись 32-розрядними ІР-адресами. Але знайшлися мудреці, котрі створили текстовий файл із відповідністю імен комп’ютерів до їх ІР-адрес – так званий host file. І абгрейдився цей файл кожного разу і передавався він від одного компа до іншого і тільки заради того, щоб юзер міг собі замість 127.0.0.1 набрати у стрічці браузера чарівне слово localhost. Але мережа росла, наркомани розмножувались і постала тоді необхідність у створенні єдиного інформаційного сервісу котрий б здійснював перевід мнемонічно зрозумілих імен у ІР-адреси та навпаки. І постала тоді доменна служба імен DNS (Domain Name Server) зі своїм спеціяльно створеним протоколом. Тоді всі зібрались, ширку прийняли, димедрол ковтнули, траву скурили та й вирішили, що буде працювати тоді цей DNS та ще й за таким алгоритмом :

Форум Міністерства науки та освіти. Український досвід

Натрапив на форум офіційного сайту Міністерства науки та освіти України http://www.mon.gov.ua/phpbb/index.php
У перший момент не повірив - один з двох розділів - "Хабарництво у навчальних закладах". Якщо чесно, ситуація мене зацікавила, а навіть і вразила. Я вже п'ять років адмініструю досить популярний форум http://misto.ridne.net і знаю, як важко буває, коли на форумі зявляється компрометуючий когось допис (особливо про корупцію).
А тут - цілий розділ. Та ще й на офіційному сайті міністерства. А тепер питання - навіщо воно їм? Адже по анонімному допису якось складно вживати заходів, з другого боку - інформація з форуму не видаляється. І так виходить, що на офіційному сайті міністерства висить повідомлення, що "такий-то директор садочку взяв у мене 100 баксів". Для більшості людей, що не близькі до інтернету, різниці між форумом та сайтом нема жодної. Як і для юристів (до речі, можна переглянути наприклад, ось цей матеріал про відповідальність власників та модераторів форумів http://it.ridne.net/moderators-law).
Зразу моделюю ситуацію - хтось на замовлення кидає повідомлення, де "жертва" виступає як "хабарник", далі дається відмашка для проведення комплексної перевірки і пішло-поїхало...
Думаю, форум МОНУ - це помилка. Форуми при державних органах можуть і повинні існувати, але не в форматі Гайд-Парку, а в форматі "громадської приймальні" та "бази знань"
P.S.Не думайте, що тут щось особисте. Форум переглянув, жодного знайомого прізвища чи закладу не знайшов.

Holidays in Greece
HDR and 4K TV Review

Байка про експлойти 80 порта

[13:31] ВОНО: піпл, дайте ай-пі якогось придурка!!
[13:32] Хтось: 127.0.0.1
[13:32] ВОНО: дякую!
[13:32] ВОНО: зараз він здохне
[13:33] ** ВОНО вийшло з чату
А щоб вияснити прізвище та ім’я ВОНО необхідно прочитати даний матеріал до кінця. Я наведу перелік простих сигнатур котрі залишаються в логах після спроб взлому веб-сервера. Вони охоплюють перелік поширених дір сервера apache, а також можуть використовуватись для аналізу захищеності веб-проектів.

А почну я мабуть із найбільш поширеної вразливості – переповнення буферу. При такій вразливості стрічка може мати вигляд : http://ip-host/cgi-bin/test?type= 1111111111(256 разів).

Якщо веб-сервер запущений під root то зловмисник може отримати повний доступ до системи. Тобто, якщо у логах знайдете стрічку такого типу, значить сервер тестувався на предмет переповнення буферу.
Використання «<?»
Передбачає спробу внесення РНР коду. Наприклад : http://ір-host/andr.php=<? passthru("id");?> , при чому запит може бути написаний у 16-й системі числення.

Використання «<» та « >»
Символи передбачають перенаправлення вводу-виводу у файл. Приклад : "http://ip-host/andr.php=Hello" . Це належить до атаки типу SSI (Server Side Include).

Використання «!». Може статися халепа, якщо користувач натисне на таке посилання http://ip-host1/andr.php= . У такому разі файли зільються докупи andr.php та andr-bad.php, стануть одним цілим. Це також SSI.
При такій стрічці : http://ір-host/andr.php= зловмисник запустить команду id . А при такій http://ip-host/andr.php= взагалі приєднає файл із паролями .htpasswd. За замовчуванням apache не повинен бачити і мати доступ до файлів, що починаються із .ht . Проте тут ситуація трохи інша і SSI обходить цю заборону.

Використання «|». В Юнікс ця команда передбачає виконання кількох команд одночасно. Команду можна використати, наприклад, так : http://ip-host/cgi-bin/andr.cgi?page=cat%20access_log|grep%20-i%20"andr"
Використання «%00»
Це є 16-ве представлення нульового байту. Використувається для емуляції запиту іншого файлу : http://ip-host/cgi-bin/andr.cgi?page=../../../../etc/motd%00.html . Вразливість використвується при дозволених запитах виду http://ip-host/cgi-bin/andr.cgi?page=index.html .
Використання «.» «..» «...»
Ця сигнатура використовується для зміни директорії на сайті. Її найчастіше використовують у CGI дірах. Наприклад http://ip-host/cgi-bin/andr.cgi?file=../../../../etc/mount

Більшість систем-аналізаторів запитів досліджує їх «прямо», пропускаючи семантичне навантаження. Тобто, якщо представити запит у 16-й системі числення то більшість IDS можуть такий запит пропустити. І в результаті получається як в тім анекдоті : «Один процесор іншому – Які ті люди є тупими. Бешкетуємо ми, а гримають вони по моніторам.»

Тобто при створенні веб-проектів не варто використовувати тільки засоби захисту, які пропонує сервер. Цей комплект необхідно доповнити ще й своєю системою захисту. І нехай connect буде з вами ...

Для чого потрібний брандмауер?

Брандмауер (Firewall) – це захисна стіна, що стоїть між мережним адаптером та операційною системою. Будь-який IP-пакет, перш ніж потрапити на обробку операційної системи (наприклад, для маршрутизації або передачі його web-серверу) проходить через строгий контроль. Будь-який вихідний пакет також натрапляє на цю стіну, і може бути пропущений, відкинутий, підрахований або змінений. Якщо пакет проходить через операційну систему наскрізь (маршрутизується), то його перевірка відбувається як на вході, так і на виході. При складній обробці пакету він може проходити через брандмауер і більшу кількість разів.
Брандмауер дозволяє заборонити доступ до певних портів системи, з певних хостів або по деяких протоколах. Він може запобігти переважній більшості атак, пропускаючи тільки ті пакети, які адміністратор визнав допустимими. За допомогою брандмауера можна робити дві речі. По-перше, фільтрувати пакети по заданих критеріях і, по-друге, вести облік, зберігаючи статистичну інформацію про використання системи, стежачи за тим, які об'єми інформації і звідки надходять.

Знову біометрія: робота з відбитками пальців

На сьогодні виділяють 3 базові класи для роботи із відбитками пальців. Перший клас базується на порівнянні візерунку відбитків. Алгоритм працює за наступною схемою. Відскановане зображення розбивається на множину секцій ( чим менша секція, тим вища точність). Місцезнаходження папіляру у цій секції описується певною синусоїдою ( початковий зсув фази, напрям поширення). Потім порівнюються хвильове представлення відповідних секцій шаблону та відсканованого зображення.
Другим класом є кореляційне порівняння. Коли два відбитки накладаються один на інший та проводиться розрахунок кореляції між відповідними пікселями. Зображення можна зміщати та повертати.

Біометричні системи доступу

Цього разу я спробую провести короткий огляд біометричних систем.

На перше місце я б поставив сканери сітківки ока. Інфрачервоний промінь малої інтенсивності скеровується на зіницю для фотографування малюнку, який утворюють кровоносні судини. Коштує така цяця біля 500 дол. Сканери такого типу вважаються найкращими. З цього ж класу можна придбати трохи таньші системи (десь 300 дол), але менш надійніші. Такі системи записують картинку плям та прожилок поверхні ока. Вони є менш надійними. Якщо зробити фотографію ока з високим розширенням, то такий сканер можна обійти. Пригадується, як у якомусь фільмі для того, щоб обійти сканер злочинцю довелось виколупати очі авторизованій особі.

Справа Поносова: "підстава" року?

Все більшого розголосу набуває справа простого директора сільської школи в російській глубинці, якого "злий майкрософт" хоче засадити на 5 років за використання в комп'ютерному класі неліцензійного Віндовса.
Чим раз, тим ця історія стає вже драматичнішою, уже розгорнуто масовий суспільний рух за врятування Поносова, "правильні" політичні сили та молодіжні рухи Росії пікетують американську компанію, освітяни проклинають авторське право і терміново переставляють софт по школах і ВУЗах.
Проте, усе це чим раз тим більше починає нагадувати якусь комедію, де почесна роль "офірного козла" відведена Майкрософту.

Якось вже дуже нелогічно виглядає наїзд за неліцензійність на дуже глубоку сільську школу в Пермській області.
От у мене і народилася інша версія подій. Хтось у Росії вирішив підготувати ідеологічний грунт для певних змін у питанні інтелектуальної власності, можливо і в питанні регламентації використання ліцензійного програмного забезпечення у сенсі поступового переводу держави на вільновживане ПЗ.
От і "зробили людську жертву". Зверніть увагу на вибір – директор сільської школи на просторах колишнього союзу – постать майже сакральна (заледве не заміна священнику). Та й прізвище у нього таке "народне", що саме по собі викликає співчуття. А тут злі "америкоси" заганяють його в тюрму, залишаючи сільських діток без освіти, державу без майбутнього… Жах…
А тепер зверніть увагу на російські форуми та блоги. Вони всі переповнені благородним гнівом дописувачів, зазвичай дуже недурних і передових людей в сторону Майкрософта, і того всього, що фірма символізує.
А тут ще і Путін нарешті висловився. І висловився однозначно на підтримку Поносова, але як і слід було чекати – набагато ширше: "работа по защите интеллектуальных прав «не должна проводиться формально". Розумій як хочеш – чи не повинна така робота проводитися взагалі, чи повинна проводитися "неформально"…

Чим Vista є безпечною

Як сказав свого часу Тарас Бульба свому сину: «Чим я тебе породив – тим я тебе і вб’ю». Це я про Microsoft та Vista. Аліса Шевченко на http://www.viruslist.com у своїй статті «Microsoft Vista против вирусов: кто кого?» ставить під сумнів всю безпеку середовища цієї ОС. Слід зауважити, що кубіта працює на Лабораторію Касперського. Ясна річ, що якби вона написала, що Vista така хороша ОС, що їй не потрібно ані антивіруса, ані файєрвола її стаття була б підписаною вже як «Аліса Шевченко. Шукаю роботу». Оскільки Касперський також хоче урвати шмат грошей від Vista. І якби я належав до працедавців, то на роботу я б її взяв.
Свого часу я вже згадував про технологію захисту ядра від модифікацій у Vista – PatchGuard. Правда тоді я забув добавити, що технологія ця працює тільки для 64-розрядної машини та цю фігню можна відключити. При чому, як її відключити та використовувати – написано до мене.

Телепузики – сила. Покемони – могила. Про РНР

« Мене задовбали трамваї і колії, кондуктори дибіли і профілакторії». Цей уривок із пісні «Олені» дуже гарно описав мої відчуття, коли я вкотре прочитав статтю на одному шанованому порталі про шкідливість застосування мови РНР. Знову вискочила цифра 43% ( саме стільки РНР-коду містить вразливості ). Та хіба винна та балярина, що їй мішає те, що мішає поганому танцюристу. От там використовують РНР і у них є недоліки і звісно тут винна мова програмування, а не програміст. Як противагу можна сказати, щоб відкрили код Windows і тоді чітко буде видно, чи винна мова програмування? Прочитавши одну мудру книжку, мудрий код писати не навчишся. Потрібно постійно пильнувати про всі події пов’язані із РНР, виявленні недоліки, підходи до побудови програмного коду. У даному матеріалі я спробую навести базові помилки із безпеки, які роблять початківці.

OpenID – ідентифікація для Вебу 2.0


Що це таке?
OpenID (http://openid.net) – це відкрита розподілена безкоштовна інфраструктура для користувацько-орієнтованої ідентифікації у Вебі.

Чому це потрібно?
Сукупність нових технологій та підходів до розробки й експлуатації Веб-ресурсів (Веб 2.0 - http://it.ridne.net/web2-overview) диктують учасникам великої гри під назвою "WWW" нові правила. Якісним проривом, наприклад, стало переведення рядового користувача Інтернету зі споживача інформації у ранг повноцінного он-лайн видавця контенту – від коментарів до чужих статей і дописів на форумах до величезних авторських опусів у власному блозі. Веб еволюціонував від read до read/write, що внесло принципові зміни до самої його структури і логіки побудови.

Правила використання SQL injection

Ціль яку ставить автор висвітлюючи даний матеріал полягає у організації кращого захисту розроблених веб проектів, а не способів їх взлому .
Це вразливість, яка існує через недосконалість чи відсутність механізму провірки даних отриманих від користувача. Наприклад, маючи наступну адресу http://site.ua/site.php?id=01 повинна завантажитись якась сторінка. Але якщо після знаку рівності користувач вкаже будь-які символи (наприклад ...php?id= test, .php?id=01’, .php?id=10 …) і в результаті все одно завантажиться дана сторінка, то сайт на 90% може бути взломаний через sql ін’єкцію, оскільки не проводиться фільтрування отриманого від користувача параметру. В гіршому випадку отримаєте повідомлення про помилку, в кращому - пустий результат. Наприклад, .php?id=10 – повинно би повернути пустий sql запит, а .php?id=10” – помилку. В основному, ціль яка ставиться при використанні sql ін’єкції полягає у отриманні доступу до бази даних (зазвичай це MYSQL, безкоштовна для не комерційних проектів та надійна СУБД). Для розуміння наступних дій необхідні деякі знання із побудови запитів до БД. Так для визначення який номер стовпця виводить на сторінку інформацію достатньо виконати запит типу /test.php?id=10+union+select+’test’,null,null/* чи /test.php?id=10+union+select+null,’test’,null/*. Якщо з бази читається кілька параметрів то необхідно знайти той, що має тип text . А ці запити потрібно виконувати доки не побачимо слово test у потрібному місці. Одною із цікавих властивостей MYSQL є перетворення числового типу даних до будь-якого іншого, без породження при цьому помилки. Це майже як у РНР, змінній не присвоюється певний тип даних, що можна можна використати при взломі сайту, простим перевизначенням цієї змінної ( наприклад, присвоїти їй якусь адресу скрипта) . Цю властивість можна використати при такому запиті, де лапки можуть фільтруватися .php?id=10+union+select+1,2,3/* . Ім’я таблиці можна отримати наступним запитом .php?id=01+union+select+null,null,null+from+table1/* . Так можна часом знайти таблицю з ім’ям users, passwords etc і працювати вже безпосереньо з нею. Назви стовпців в таблиці вичисляються так .php?id=10+union+select+null,row1,null+from+table1/* . Якщо користувач має права на select то в результаті запиту .php?id=10+union+select+null,mysql.user.password,null+from+mysql.user/* можна отримати хеш пароля, який потім розшифровується.

Взломали Macworld за 10 секунд

Kurt Grutzmacher (фахівець з області комп’ютерної безпеки) в свому блозі розповів як йому вдалось попасти на конференцію Macworld. Вхід на цю конференцію коштує 1700 $ . Сайт Macworld , за його словами, мав занадто низький рівень захисту і йому без проблем вдалося його взломати. А взломаний сайт був через неякісний JavaScript код. Під час відвідин сайту, він вже містив перелік під назвою "Priority Codes", котрий і був взломаний за 10 сек. Наступного дня про недоліки захисту він розповів IDG World Expo організатору Macworld . Компанія на це не відреагувала. Це мені нагадало історію, коли в Естонії, нещодавно, школяр посів перше місце з математики. Але в кінці, жюрі засумнівались у правдивості його перемоги.

Google просто вбиває на місці. Цензура повертається

А почалося все із проекту StopBadware.org власником якого є Berkman Center for Internet and Society (входить у склад Гарвардської школи права) і Internet Institute (Оксфордський університет), а також компанії Google, Sun Microsystems и Lenovo. Суть проету полягає у виявленні шкідливого ПЗ в інтернет. Коли користувач, в результаті пошуку, отримав у Google перелік сайтів, то декотрі з них можуть бути помічені як небезпечні. І додатково юзеру з’являється повідомлення про те, що відвідини цього сайту може спричинити шкоду вашому комп’ютеру. Адреса сайту не блокується, але щоб туди попасти в браузері адресу потрібно набирати руцями. От і посипався шквал протестів на Google Groups, за те що алгоритм виявлення цих сайтів є не ефективний. Занадто часто звичайні сайти помічались як небезпечні. Google Groups проблему коментувати відмовилась, проте зголосився StopBadware.org . Хлопці пообіцяли переглянути свої рішення. Дослівно це прозвучало десь так. "Ми розуміємо на скільки це може бути неприємно і часто власники сайтів самі і не знають, що їх сайт містить чи якось пов’язаний із шкідливим ПЗ". Якщо хтось попав в цю категорію, пишіть заявки за адресою appeals@stopbadware.org .

I.UA - рекламуємо злив компромату?

Добрі люди з служби I.UA прислали мені (і думаю - дуже багатьом іншим) лист з пропозицією створити блог на їхньому сервісі.
Блог так блог. Інша справа - здивував текст запрошення. У преамбулі дослівно "Теперь у Вас есть возможность вести свой личный дневник, в котором можно
рассказать все что угодно: от рассказов о прошедших праздниках до историй о
замучившем Вас шефе или о преподавателе"
Цікаво, невже головним призначенням блогів бачиться саме "истории о замучившем Вас шефе или преподавателе"? До речі, в народі таке називається "компромат", і є характерним для не дуже чистоплотних середовищ пошинення інформації. Особливо, якщо врахувати, що "Мы не ограничиваем Вас в тематиках". Отаке...
До речі, указаний сервіс уже відзначився нав'язливими запрошенняии усіх підряд до реєстрації скриньок у них на сервері.

Syndicate content

© Інформаційні технології. Аналітика , Рідна Мережа