http://www.securitylab.ru/blog/company/nosecure-info/ В современном мире существует множество мифов. Мы верим в технологическое превосходство машин над людьми, в то, что самописные движки веб-сайтов безопаснее наиболее популярных и т.д. На наш взгляд, наиболее развитым заблуждением является весьма прелюбопытный “миф об абсолютно защищенной информации“. Казалось бы, чем больше специалистов и знаний об информационной безопасности и защите информации, тем более безопасным должен стать РуНет и вообще Интернет в целом. Однако, это не так, а иногда кажется, что и наоборот. Вот ведь незадача - с каждым новым сайтом “об информационной безопасности” мир почему-то не становится “безопасней”, как не становится проще вылечить абсолютно все болезни с каждым новым врачом или не построить более технологически совершенное здание с каждым новым строителем. Кажется символичным создать новый информационный ресурс не о том, что “мы сделаем вашу информацию самой защищенной на восточном побережье”, а как раз наоборот - о людях и технологиях , которые думают о том как бы сделать ее НЕ ЗАЩИЩЕННОЙ, уничтожая вашу безопасность и все наши с вашими созидательные усилия. Веб-ресурс NOSECURE.INFO старается объяснить, почему информационная безопасность касается не только компьютерной сферы и почему терроризм и настройки в конфигурационном файле Apache связаны намного теснее, чем нам всем кажется. ru http://backend.userland.com/rss2 Tue, 31 Jan 2012 12:09:44 +0300

====quote====
Сезон летних скидок и распродаж снова радует сердца милых дам и огорчает кошельки их кавалеров. Многие известные брэнды распродают коллекции уходящего сезона за сущие копейки, чтобы освободить место на складе для свежих поступлений.

Естественно, это касается не только магазинов, торгующих маечками и платьицами, но и магазинов кожаных и меховых изделий. Получить в конце августа — начале сентября рассылку безымянной фирмы «Шубы и дубленки по ценам ниже рыночных» — это не сюрприз, а такая традиция. Шубу ведь надо готовить летом.

Но вот когда получаешь подобную СПАМЕРСКУЮ рассылку от уважаемого брэнда — приходится призадуматься. Сегодня мы получили такую рассылку от известного магазина «Снежная Королева».

=============

Далее аналитик повествует о том, что написание целевого сайта в спамерской рассылке не www.SNOWqueen.ru, который принадлежит компании “Снежная Королева”, а www.SNVVqueen.ru, который зарегистрирован на работников Черкизона. Оригинальный контент спам-рассылки можно посмотреть здесь. Соответственно, вывод сделан воистину чарующий - это злостные конкуренты компании потратили сколько-то килодолларов, чтобы очернить таким способом честного конкурента. Жалко, мол, что спамерский сайт уже перестал существовать:



Мы оказались немного удачливее и совершили необычайное открытие - в поисковых системах сохранились копии сайта, исчезнувшего после 13 августа 2009 года, как раз под закрытие рекламируемой кампании.



Читать далее...
Подробнее...]]> http://www.securitylab.ru/blog/company/nosecure-info/9724.php http://www.securitylab.ru/blog/company/nosecure-info/9724.php Tue, 25 Aug 2009 17:32:20 +0400
Далее...
Подробнее...]]> http://www.securitylab.ru/blog/company/nosecure-info/9544.php http://www.securitylab.ru/blog/company/nosecure-info/9544.php Fri, 07 Aug 2009 17:39:29 +0400 сайта Дэна Камински, автора нескольких весьма громких уязвимостей в архитектуре DNS и реализациях DNS-серверов BIND.

http://www.wired.com/threatlevel/2009/07/kaminsky-hacked/

Хакеры разместили на главной странице сайта Каминского пост со следующим содержанием:


====quote====
We hacked Dan’s assets first through finding bugs and writing 0day, and then through abusing him giving away passwords and his silly password scheme. Check out just some of his passes: fuck.hackers, 0hn0z (root account on his mail box), fuck.omg, fuck.vps, ohhai

Five character root password? Niiiiiiice.

From .mysql_history:

SET PASSWORD FOR ‘root’@'localhost’ = PASSWORD(’fuck.mysql’);

See the pattern?
=============

Подробнее...]]> http://www.securitylab.ru/blog/company/nosecure-info/9463.php http://www.securitylab.ru/blog/company/nosecure-info/9463.php Thu, 30 Jul 2009 15:48:44 +0400 Те, в свою очередь, стараются высосать новость из любого бита, пробегающего по витой паре рядом… Так, на прошлой неделе появилась (и, кстати, бешено
раскручивалась отечественным потоком СМИ) новость про цифровые данные, которые якобы уничтожают себя сами. Отличный заокеанский
бред (по-нашему, security hoax) очень сильно похож на прошло-летние новости о поиске террористов в чате игры Warcraft On-line. Смеем напомнить,
что тогда деньги американских налогоплательщиков осваивали ученые, получившие небольшой грант на проверку отсутствия Бен Ладена в чатах онлайновых игр.

Вот и сейчас в сети Интернет снова паника - правда угрозы террориста уже не так волнует обывателя, да и новый грант на ту же тему взять (продлить) тяжело.
Гвоздем нынешнего жаркого сезона стали цифровые данные, которые “по слухам” могут самоуничтожаться. Самостоятельно и по истечении заданного их
владельцем срока. Почему-то сразу вспомнилось “преобразование Фурье, которое преодолевает наш межсетевой экран“.

Собственно, оригинальная новость выглядит так:




====quote====
Vanish is a research system designed to give users control over the lifetime of personal data stored on the web or in the cloud.
Specifically, all copies of Vanish encrypted data — even archived or cached copies — will become permanently unreadable at a specific time,
without any action on the part of the user or any third party or centralized service.

For example, using the Firefox Vanish plugin, a user can create an email, a Google Doc document, a Facebook message, or a blog
comment — specifying that the document or message should “vanish” in 8 hours. Before that 8-hour timeout expires, anyone who has access to
the data can read it; however after that timer expires, nobody can read that web content — not the user, not Google, not Facebook, not a
hacker who breaks into the cloud service, and not even someone who obtains a warrant for that data. That data — regardless of where stored
or archived prior to the timeout — simply self-destructs and becomes permanently unreadable.
=============


Однако, отечественные ресурсы все-таки сделали героя из портного. Особо порадовали CNews и RBC. Самоликвидация, самоуничтожение… в общем, данные
живут сами по себе, люди и машины - сами по себе. Скайнет близко и все такое… Не отстают и наши эксперты - одни только комментарии по поводу того,
что “ПО для шифровки и дешифровки” есть не у всех, “шифрование сообщений не дает 100-процентной гарантии конфиденциальности переписки, но точно
сделает ее на порядок более приватной” и предложения по усовершенствованию системы - стоят присуждения коллективной Пулитцеровской премии в области
информационной безопасности (могли бы уж ради приличия отличать в комментариях для серых масс процессы расширования и дешифрования).

Ближе всех к источнику оказались англичане (они видимо попытались-таки найти карпа в этой мутной воде):


====quote====
Self-destructing code developed by researchers that automatically deletes files

A code has been developed by researchers at the University of Washington that will automatically delete files after a pre-set time limit.

As reported by itnews.com.au, the software is named Vanish and will be presented next month at USENIX Security ‘09 exhibition in Canada.
It allows the user of any web-based service to specify to encrypt messages.

The key does not need to be managed as it is put into a global P2P network for a specified time before disappearing, rending the
message unencryptable.

The system currently uses the Vuze BitTorrent distributed hash table as its P2P network and sets default time limits on messages as eight
hours, although longer periods should be possible. The team is also reported to be developing a Firefox application for Vanish.
=============


Тем не менее, все становится на свои места, если прочесть отчет и тезисы уважаемых авторов чудо-разработки, посланные на конференцию Usenix’09.

Данные, конечно же, никуда не исчезают чудесным образом, не стираются они сами из почтовых ящиков и не являются электронными письмами. (-:
Пользователь сети Интернет может, используя специальный сервис Vanish (и плагин веб-браузера Firefox), зашифровать и передать/переслать
шифрованное сообщение адресату. Случайно сгенерированный ключ разделяется на несколько частей с перекрытиями, а затем эти части раздаются
известным “неизвестным” серверам, составляющим сеть типа “Peer-to-Peer” (как, например, Kazaa или BitTorrent). В момент “Ч” все серверы,
хранящие ключ, должны уничтожить его.

Почему-то во время исследования никто не задался вопросом, а что будет, если:

* записать ключ во время расшифрования и потом использовать этот ключ в момент, когда это необходимо;
* сохранить расшифрованное сообщение в открытом виде

Как выразился бы секретарь какого-нибудь ученого совета “не очень ясна актуальность этой работы, проясните”. Собственно, зачем (кроме как
освоить деньги по гранту) было создавать колосса на глиняных ногах, непонятно. Но тем не менее, это сделали новостью месяца. Зато понятно
зачем добавили в исследование p2p-технологию - это модно. В общем, очередной hoax - не поддавайтесь, до всеобщей киборгизации нам еще очень далеко.

Посмотреть пост со ссылками и картинками можно здесь.
Подробнее...]]> http://www.securitylab.ru/blog/company/nosecure-info/9426.php http://www.securitylab.ru/blog/company/nosecure-info/9426.php Mon, 27 Jul 2009 13:46:44 +0400
Как это обычно бывает в российском сегменте информационной безопасности, о безопасности веб-ресурса “про безопасность” можно слагать песни - как говорил известный поэт-песенник, “столько песен сложено, слажаю еще одну…”

Давайте посмотрим, чему может нас научить этот на самом деле замечательный информационный портал. Во-первых, пароли пользователей на нем хранятся в открытом виде, что будет весьма приятно тому, кто доберется до базы данных (интересно, пароль администратора сайта тоже в открытом виде? в таблице users?). Такой вывод можно сделать, банально запросив утерянный пароль.



Итак, урок от avschool №1 - храните пароли пользователей в Интернет-базах данных в открытом виде, чтобы их было легче украсть и использовать, когда украдете.

Кстати, как там поживают пользователи? Как и на всяком форуме, здесь есть страничка с информацией о пользователях:



Адрес страницы с пользовательским профилем: “http://www.securelist.com/ru/userinfo/номер_UID_пользователя“. Путь к профилям статичен и информацию о пользователях можно собрать с помощью автоматических средств (благо разметка стилей позволяет быстро автоматизировать процесс). Немного посканировав, можно увидеть, что пользователи добавлялись блоками (видимо для разных исходных сайтов - spamtest.ru, viruslist.com). Текущие регистрации открыты с позиций с номерами 19000.

В процессе регистрации пользователю предлагают указать два имени - одно для наглядного отображения на этой странице и еще одно в качестве имени учетной записи (login) для входа… Контроля качества пароля при этом нет. Контроля совпадения имени учетной записи и отображаемого имени пользователя также нет. Зачем это нужно? Резонный вопрос в ответ - а зачем тогда различать эти имена? Думаете, чтобы труднее было угадать “login” для входа? Запомним в уме этот коварный ход и смотрим дальше...
Подробнее...]]> http://www.securitylab.ru/blog/company/nosecure-info/9364.php http://www.securitylab.ru/blog/company/nosecure-info/9364.php Tue, 21 Jul 2009 16:26:53 +0400
Успешному взлому препятствует множество проблем - украденные авторизационные данные (как правило в виде “cookie“) могут быть привязаны к конкретному сетевому адресу пользователя, имеют ограниченное время действия, не дают возможности восстановить пароль и т.д.

Однако, на самом деле, большинство ресурсов предоставляет бонусы наиболее внимательным злоумышленникам. При определенной подготовке специальной инфраструктуры заранее, хорошем понимании того, как устроены механизмы аутентификации и авторизации на разных ресурсах можно добиться желаемого результата. Например, украсть немного со счета или подсмотреть список звонков у мобильного оператора, разослать адресную рекламу в “дошкольниках.ру” или прочитать/отправить личную почту через веб-форму… Но хуже всего дело обстоит с определением наличия такого рода уязвимостей. Для этого юному “скрипткидди” даже не понадобится специальных программ - только браузер и заветная строчка “<script>alert(document.cookie);</script>“, которую можно опробовать разными способами.

Еще одна проблема - автоматизация. Да, большинство XSS-атак заметны невооруженным глазом - пользователь может довольно быстро осознать, что то, что он делает не является вполне себе корректной работой привычного веб-ресурса. Вот только, автоматизированное вредоносное средство, которое уже получило к этому моменту его авторизационные данные, как правило не думает - оно реагирует и явно быстрее, чем человек. Реакция как правило заключается в очистке украденных данных у пользователя (в этом случае он не может корректно завершить сеанс работы), и последующем постоянном поддержании этих данных в актуальном состоянии. Последняя операция достигается путем постоянного взаимодействия с веб-ресурсом, а первая - с помощью сценариев на “Javascript“.

Давайте рассмотрим живой пример (по состоянию на 17.07.2009 г.) - информационный ресурс “Система управления услугами “Мой Билайн” компании “Билайн“. Используя простую строку “><script>alert(”NOSECURE.INFO”);</script>” мы подставляем ее в форму для ввода имени учетной записи и пароля… Вуаля! Веб-браузер получает ответ и выполняет Javascript. Что еще надо?



Продолжение...
Подробнее...]]> http://www.securitylab.ru/blog/company/nosecure-info/9343.php http://www.securitylab.ru/blog/company/nosecure-info/9343.php Sat, 18 Jul 2009 11:01:06 +0400
В России также создано представительство (ISC)2 — ассоциация RISSPA (Russian Information Systems Security Professional Association). Информационный ресурс раскрывает вот такую информацию об Ассоциации:

«Данная Ассоциация создана летом 2006 года в целях создания и развития системы сертификации российских профессионалов по информационной безопасности, популяризации идей информационной безопасности, а также повышения уровня знаний специалистов. Консорциум (ISC)2 является мировым лидером в области международной сертификации специалистов по безопасности информационных систем. Принципы сертификации основаны на общепринятом объеме знаний CBK, разработанном Международным советом институтов управленческого консультирования ICMC, для специалистов по информационной безопасности.»

На сайте открыта регистрация посетителей. В моменты, когда доступна регистрация, посетители сайта могут пользоваться своими учетными записям для регистрации участия в проводимых RISSPA семинарах. К сожалению, на данный момент сайт RISSPA.ORG сконфигурирован таким образом, что с помощью полученных авторизационных данных нельзя никуда попасть, кроме как в административную панель 1C:Битрикс.



С ее помощью можно получить персональную информацию о всех участниках проведенных семинаров. Для спам-рассылок и конкурентных DDOS-атак пригодится персональная информация и списки всех зарегистрированных на семинарах пользователей с указанием телефонов, адресов электроной почты и компании-нанимателя. Примечательный факт — в перечнях персональных данных присутствуют и сами сотрудники RISSPA.ORG.

Ни на минуту не усомнившись в профессионализме и качестве всех вышеупомянутых систем сертификаций и Ассоциаций, можно предположить, что в общем итоге, смысл существования сегодняшних общественных организаций, тренингов и сертификатов, посвященных теме "популяризации" информационной безопасности следует свести к одной простой народной мудрости: "Плати и получай". Но станете ли Вы получать сертификат у людей, которые так относятся к собственной безопасности и имиджу партнеров Ассоциации (ISC)2?

Подробнее...
Подробнее...]]> http://www.securitylab.ru/blog/company/nosecure-info/9298.php http://www.securitylab.ru/blog/company/nosecure-info/9298.php Tue, 14 Jul 2009 12:15:23 +0400
Роль тестов на проникновение на сегодняшний день больше похожа роль страшилок. Каждая организация-пентестер пытается показать “игру мышц”, рассказывая страшные истории о сотнях и тысячах взломов, использованных для проникновения уязвимостях, собственном профессионализме и тотальной некомпетенции частных системных администраторов. Да и как иначе? С одной стороны - кризис и неготовность владельцев инфраструктуры к принятию аутсорсинга услуг защиты информации, а с другой - отсутствие практической возможности продемонстрировать свои реальные возможности (если они, конечно, есть).

Далее...
Подробнее...]]> http://www.securitylab.ru/blog/company/nosecure-info/9276.php http://www.securitylab.ru/blog/company/nosecure-info/9276.php Fri, 10 Jul 2009 19:03:20 +0400
Кадр №1. Один из главных сайтов компании “Инфосистемы Джет” JETSOFT.RU уже неделю как взломан и его владельцы, похоже, даже не подозревают об этом.



Вместо главной страницы сайта — упрощенная версия индексного файла “index.html” и скрытый тег “”, указывающий на сайт с вредоносным содержимым (типичная ситуация — связка сплоитов, лоадер и пара вредоносных программ). Пользователь, пришедший на сайт, видит вместо главной страницы — страницу с адресом “http://jetsoft.ru/product/product.html“. Многим везет — из-за того, что заражение носило видимо массовый (автоматизированный) характер, тег “refresh” не дает времени для загрузки вредоносного содержимого с “brugeni.net“.

Кадр №2. Веб-браузер Mozilla Firefox приходится останавливать “на лету”, чтобы не успевала срабатывать переадресация.



Что интересно, например, известный вредоненавистник Google.com не считает сам ресурс уязвимым и вредоносным. Зато загружаемый контент определяет весьма точно.

Кадр №3. Реакция вирлаба google.com на brugeni.net — хранилище вредоносного содержимого.



До устранения вирусного заражения, мы рекомендуем Вам для доступа к “http://www.jetsoft.ru” использовать веб-браузер Mozilla Firefox и плагин “NoScript“.

PS. Компания “Инфосистемы Джет” уведомлена о данном инциденте.
Подробнее...]]> http://www.securitylab.ru/blog/company/nosecure-info/9257.php http://www.securitylab.ru/blog/company/nosecure-info/9257.php Thu, 09 Jul 2009 11:08:20 +0400
Под разработкой классификации угроз информационной безопасности мы понимаем составление такого вида классификационной схемы, при которой изначальное действие, несущее вредоносных характер в рамках информационной системы (ИС) может быть отнесено к определенному виду угроз. Понятие угрозы мы трактуем согласно нормативам ФСТЭК, то есть угроза информационной безопасности - совокупность условий и факторов, создающих потенциальную (но реализуемую фактически) опасность, связанную с утечкой информации, несанкционированными или преднамеренными воздействиями на нее.

Подробнее...
Подробнее...]]> http://www.securitylab.ru/blog/company/nosecure-info/9227.php http://www.securitylab.ru/blog/company/nosecure-info/9227.php Tue, 07 Jul 2009 12:08:24 +0400