Личные блоги Андрей Комаров
Анализ защищенности автоматизированных и информационных систем, тесты на проникновение, эксплуатация уязвимостей в ПО, новости отдела аудита и консалтинга компании Group-IB
-
Лучшие сообщения
- Совместный онлайн-семинар Cisco и Group-IB - 16 мая
- Социальный пентест - "инсайд" от Group-IB
- Снятие скриншота при реализации XSS-атаки
- Group-IB на SCADA & Smart Grid Cyber Security Summit 2012
- Первое совместное решение InfoWatch и Group-IB
- AT&T Cyber Threat Report - Operation Global Blackout, Zeus Takedown, Phishing & Internet Weather
- 2012 Data Breach Investigations Report - Verizon
- Задержаны участники крупнейшей преступной группы, занимавшейся мошенничествами в системах интернет-банкинга
- Incident Object Decription Exchange Format - формат описания инцидентов ИБ
- IPv6 NIDS evasion and improvements in IPv6 fragmentation/reassembly
- Group-IB и HostExploit: размер не имеет значения
- Group-IB запускает новую услугу — «Защита рабочего места клиента ДБО»
- Утвержден ГОСТ Р 54471-2011/ISO/TR 15801:2009 «Информация, сохраняемая в электронном виде. Рекомендации по обеспечению достоверности и надежности»
- VolksBank ZU Application - обход авторизации, защищенность банковских приложений
- Group-IB вступила в Ассоциацию документальной электросвязи
- PWNEDlist - скомпрометированы ли твои данные или еще нет?
- Ariadne Chronicles
- Встроенные и скрытые пароли в телеметрических устройствах АСУ ТП - не Stuxnet'ом единым
- Уязвимость в WiFi Protected Setup позволяет реализовать перебор PIN-кода
- Использование "злонамеренного" аппаратного обеспечения в целях НСД
- Штатное применение Nessus и NMAP привело к нарушению корректного функционирования систем SCADA
- Ariadne - новый фреймворк для reverse engineering и анализа вредоносного кода
- Использование доверенных приложений (GUI, на примере OpenOffice) для порождения шелла (Linux)
- Безопасность АСУ ТП - совершенствование механизмов обеспечения безопасности протокола DNP3
- Использование необновленных расширений браузера в качестве требуемых для доступа к системе ДБО - неумышленная брешь в безопасности клиента
-
Поиск
10.05.2012
Совместный онлайн-семинар Cisco и Group-IB - 16 мая
Совместно с компанией Cisco мы рады пригласить Вас на бесплатный онлайн-семинар, посвященный теме расследования инцидентов на базе оборудовании Cisco, который состоится 16 мая через систему Webex.
Специалисты Cisco и Group-IB расскажут о том, как с помощью оборудования Cisco проводить расследования инцидентов и правильно собирать цифровые доказательства.
Программа онлайн-семинара:
«Мониторинг в сфере ИБ: апробированные методы обнаружения инцидентов», Василий Томилин (Cisco)
«Сбор и фик...
10.05.2012
Социальный пентест - "инсайд" от Group-IB
Group-IB — лидер российского рынка в области расследования компьютерных преступлений — запускает эксклюзивную услугу "Социальный пентест". В отличие от классического теста на проникновение данная услуга позволяет неформально оценить состояние защищенности корпоративной ИТ-инфраструктуры и добросовестность собственных сотрудников самыми нестандартными способами.
Загрузка плеера
window.bxPlayerOnloadbx_flv_player_510 = function(config)
{
if (typeof config != 'object')
config = {'f...
27.04.2012
Снятие скриншота при реализации XSS-атаки
Возможности HTML5 позволяют осуществить "фотографию" экрана жертвы при реализации XSS.
Подробности: http://www.idontplaydarts.com/2012/04/taking-screenshots-using-xss-and-the-html5-canvas/
14.04.2012
Group-IB на SCADA & Smart Grid Cyber Security Summit 2012
Компания Group-IB стала золотым спонсором SCADA & Smart Grid Cyber Security Summit 2012 (Лондон, Великобритания), где выступит с отдельным докладом "Расследование инцидентов ИБ в АСУ ТП".
Специалисты из самых различных стран, организаций и ведомств примут участие в обсуждении наиболее важных вопросов обеспечения информационной безопасности промышленных и распределенных энергетических систем.
03.04.2012
Первое совместное решение InfoWatch и Group-IB
Группа компаний InfoWatch и компания Group-IB представляют первое совместное комплексное решение, позволяющее защитить корпоративные данные от утечек и обеспечить проведение расследований инцидентов информационной безопасности.
Впервые в России заказчики InfoWatch и Group-IB получают возможность:
защищать информацию и отслеживать все события, касающиеся конфиденциальных данных (изменение, перемещение, удаление и пр.);
хранить копии перемещаемых документов;
расследовать случаи нелегитимного ...
02.04.2012
AT&T Cyber Threat Report - Operation Global Blackout, Zeus Takedown, Phishing & Internet Weather
AT&T запустило серию интерактивных подкастов, в которых резюмирует итоги месяца последними тенденциями в мире киберпреступности и противодействия ей.
http://techchannel.att.com/showpage.cfm?Cyber-Threat-Report
23.03.2012
2012 Data Breach Investigations Report - Verizon
Компания Verizon выпустила очередную версию DBIR, описывающую статистику утечек информации в зависимости от их природы.
http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2012_en_xg.pdf
20.03.2012
Задержаны участники крупнейшей преступной группы, занимавшейся мошенничествами в системах интернет-банкинга
20.03.2012, г. Москва. Group-IB — первая российская компания, которая комплексно занимается расследованием ИТ-инцидентов и нарушений информационной безопасности — сообщает об итогах совместного с ФСБ и МВД России расследования, результатом которого стало пресечение деятельности организованной преступной группы, на протяжении 2 лет занимавшейся хищениями денежных средств через системы дистанционного банковского обслуживания. От действий злоумышленников пострадали клиенты свыше 100 банков по всему...
29.02.2012
Incident Object Decription Exchange Format - формат описания инцидентов ИБ
Группа специалистов сообщества Internet Engineering Task Force (IETF) разработала документ Incident Object Decription Exchange Format (IODEF), который существует ныне в статусе рабочего предложения (RFC) этого сообщества. Формат с помощью XML-структур описывает представление данных, обычно используемых в информационном обмене по поводу ИБ-инцидентов.
В качестве примеров практического использования следует отметить опыт служебного обмена данными между соответствующими структурами в рамках дейст...
21.02.2012
IPv6 NIDS evasion and improvements in IPv6 fragmentation/reassembly
Интересная статья на тему возможности обхода сетевых IDS при обработке протокола IPv6.
Уточню, что в отличие от IPv4, фрагментация в IPv6 выполняется только узлами-отправителями, а не маршрутизаторами вдоль пути доставки.Уточню, что в отличие от IPv4, фрагментация в IPv6 выполняется только узлами-отправителями, а не маршрутизаторами вдоль пути доставки.
http://blog.si6networks.com/2012/02/ipv6-nids-evasion-and-improvements-in.html
Документы, разрабатываемые в рамках Internet Engineering Task...
15.02.2012
Group-IB и HostExploit: размер не имеет значения
Group-IB — первая компания в России, которая комплексно занимается расследованием ИТ-инцидентов и нарушений информационной безопасности — совместно с сообществом HostExploit представляет очередной отчет Топ 50 «Самые плохие сети и хосты» по итогам IV квартала 2011 года (The Q4 Top 50 Bad Hosts & Networks Report). Самый опасный хост зарегистрирован в Литве, а Латвия, Виргинские острова и Люксембург — мировые лидеры по уровню вредоносной активности.
В IV квартале 2011 года позицию № 1 в списке с...
31.01.2012
Group-IB запускает новую услугу — «Защита рабочего места клиента ДБО»
Компания Group-IB объявила о запуске услуги «Защита рабочего места клиента ДБО», направленной на обеспечение безопасности персональных компьютеров с установленными системами интернет-банкинга.
Разработчик считает услугу является уникальной, благодаря объединению технических решений и круглосуточного мониторинга, осуществляемого ситуационным центром Group-IB.
Услуга «Защищенное рабочее место клиента ДБО» представляет собой комплекс технических и организационных мер, нацеленных на повышение уров...
26.01.2012
Утвержден ГОСТ Р 54471-2011/ISO/TR 15801:2009 «Информация, сохраняемая в электронном виде. Рекомендации по обеспечению достоверности и надежности»
Согласно информации, полученной от технического подкомитета ПК6 технического комитета по стандартизации «Жизненный цикл электронного документооборота», приказом Федерального агентства по техническому регулированию и метрологии от 18.10.2011 № 466-ст утвержден подготовленный подкомитетом национальный стандарт ГОСТ Р 54471-2011/ISO/TR 15801:2009 «Системы электронного документооборота. Управление документацией. Информация, сохраняемая в электронном виде. Рекомендации по обеспечению достоверности и ...
20.01.2012
VolksBank ZU Application - обход авторизации, защищенность банковских приложений
В составе одного из WEB-приложений Volksbank, использующегося в сфере Интернет-банкинга, была обнаружена критическая уязвимость, позволяющая осуществить обход процедуры авторизации клиента. Злоумышленник может осуществить проникновение, заполучив всю информацию о клиентах системы, ее настройки и многое другое. По заявлению разработчика, данная уязвимость была исправлена.
Тем не менее, повторная проверка показала повторное наличие уязвимости, но уже в другом фрагменте, при схожей сложности эксп...
18.01.2012
Group-IB вступила в Ассоциацию документальной электросвязи
Group-IB — первая российская компания, которая комплексно занимается расследованием ИТ-инцидентов и нарушений информационной безопасности — вступила в Ассоциацию документальной электросвязи (АДЭ), что позволит ей принимать активное участие в вопросах технической стандартизации, включая сферу информационной безопасности.
«Вопрос гармонизации существующей нормативно-технической базы в сфере обеспечения высокого уровня защищенности существующих систем интернет-банкинга является приоритетным для о...
17.01.2012
PWNEDlist - скомпрометированы ли твои данные или еще нет?
https://pwnedlist.com/ - сервис, позволяющий проверить были ли Ваши данные уже скомпрометированы или нет на основе проверок в самых известных утечках (STRATFOR, и другие). В настоящий момент насчитывает более 4 000 000 учетных записей из самых различных баз данных, которые были похищены злоумышленниками.
17.01.2012
Ariadne Chronicles
http://ariadne-project.blogspot.com/ - новый блог проекта на Blogspot
http://www.ariadne.group-ib.ru/ - официальная страница
Проект продолжает активно развиваться и становиться знакомым и популярным для специалистов по reverse engineering'у и анализу вредоносного кода.
КодAriadne – это фреймворк для всех, кто занимается reverse engineering и смежными
задачами (анализ вирусов, защита ПО и ее анализ, forensic и т.д.). Во всех этих случаях Ariadne
позволит сэкономить существенную часть времени...
08.01.2012
Встроенные и скрытые пароли в телеметрических устройствах АСУ ТП - не Stuxnet'ом единым
В одной из справок US-CERT (http://www.us-cert.gov/control_systems/pdf/ICS-ALERT-11-346-01.pdf) указало на наличие заведомо предустановленных паролей к промышленному сетевому устройству (SCHNEIDER ELECTRIC QUANTUM ETHERNET MODULE), используемом в секторе АСУ ТП для организации ЛВС. Использование подобного рода "закладок" в промышленных контроллерах является большой опасностью, которая может быть связана с внезапным отключением связи между устройствами, входящими в состав АСУ ТП, либо в...
08.01.2012
Уязвимость в WiFi Protected Setup позволяет реализовать перебор PIN-кода
Сразу после Нового года мир узнал о возможности перебора WPS PIN, что позволяет злоумышленнику неавторизированно подключиться к беспроводной сети (в том числе, без знания WEP/WPA ключа).
Другой, наиболее интересный, нюанс заключается в том, что при наличии WPS PIN мгновенно может быть восстановлен ключ сети в явном виде.
В настоящее время WPS используется практически всеми популярными моделями Wi-Fi-роутеров, что говорит о большом спектре воздействия с использованием данной уязвимости. Эк...
28.12.2011
Использование "злонамеренного" аппаратного обеспечения в целях НСД
"Hardware involved software attacks" - отдельный блок уязвимостей, связанных в первую очередь с аппаратным обеспечением компьютера (прошивки и драйверы графических адаптеров, сетевых карт, HID-устройств), эксплуатация которых позволяет повлиять на программное окружение ОС, в том числе для реализации НСД к хранимой информации.
Атаки с использованием данных уязвимостей являются особенно неоднозначными по причине их многопрофильного использования (нарушение работы, хищение информации, в...
06.12.2011
Штатное применение Nessus и NMAP привело к нарушению корректного функционирования систем SCADA
Совсем недавно, 17 ноября 2011 года, более 75 крупнейших организаций различных отраслей промышленности, входящих в состав NERC, приняли участие в первом "боевом учении" по обеспечению информационной безопасности критически важных инфраструктур, в состав автоматизированных систем которых входят системы SCADA.
"GRIDEX" (http://www.nerc.com/fileUploads/File/News/A_GRIDEX_17NOV11.pdf) - кодовое название проекта, фигурирующего в качестве логического продолжения "Cyberstorm&q...
02.12.2011
Ariadne - новый фреймворк для reverse engineering и анализа вредоносного кода
Демо-версия доступна для скачивания - http://ariadne.group-ib.ru/ru/download
Скачать плагин Ariadne для IDA 6.1 - http://ariadne.group-ib.ru/download/ida61_plugin.zip
ЦитатаAriadne – это фреймворк для всех, кто занимается reverse engineering и смежными задачами (анализ вирусов, защита ПО и ее анализ, forensic и т.д.). Во всех этих случаях
Ariadne позволит сэкономить существенную часть времени за счет предоставления решения нудных типовых задач. А ведь создание кода, решающего эти нудные типовы...
20.11.2011
Использование доверенных приложений (GUI, на примере OpenOffice) для порождения шелла (Linux)
Использование доверенных приложений, имеющих интерфейс, но по виду не имеющих возможностей для взаимодействия с системой (создание, удаление, редактирование, исполнение), может быть очень актуальным на станциях, где права пользователя урезаны политикой безопасности, либо на машине не хватает компонентов, которые можно так или иначе использовать для выполнения своего кода.
Одним из таких примеров может являться использование OpenOffice на ОС Linux, который так же как и Microsoft Office позволяе...
18.11.2011
Безопасность АСУ ТП - совершенствование механизмов обеспечения безопасности протокола DNP3
DNP3 является одним из наиболее популярных промышленных протоколов передачи данных, использующихся для работы в АСУ ТП. Совсем недавно, было анонсировано обновление стандарта, описывающего расширение DNP3 - Secure DNP3 (http://www.dnp.org/Lists/Announcements/Attachments/7/Secure%20Authentication%20v5%202011-11-08.pdf).
Данное расширение содержит встроенную проверку подлинности взаимодействующих устройств (включая мастер-станции, серверы управления, ПЛК, RTU), а так же механизмы проверки цело...
17.11.2011
Использование необновленных расширений браузера в качестве требуемых для доступа к системе ДБО - неумышленная брешь в безопасности клиента
Анализ защищенности систем ДБО в большой части касается исследования уровня безопасности конечного клиента при использовании ДБО. Механизмы, размещенные на стороне сервера, как правило, являются корректно написанными и прошедшими сертификацию PA-DSS. Динамика появления новых угроз в отношении клиентов Интернет-браузеров задает высокий темп повышения осведомленности банковских структур о таковых с целью оповещения своих клиентов о необходимом уровне информационной безопасности. Когда данная проце...
16.11.2011
Противодействие индексированию точек доступа Wi-Fi со стороны Google
Совсем недавно компания Google разработала информационную справку, поясняющую использование новых директив для SSID точки доступа, запрещающих ее индексирования (http://googleblog.blogspot.com/2011/11/greater-choice-for-wireless-access.html). Для этого требуется использовать директиву "_nomap", которую следует дописывать к названию сети.
Более подробно с работой механизмов Google Location Server (GLS) можно ознакомиться здесь.
14.11.2011
ATM-скимминг с использованием анализа теплового излучения
Одним из интересных способов скимминга, в том числе имеющего отношения к физическому периметру, является исследование теплового выделения, которое могло остаться после прикосновения пальцев человека. Подобная методика была успешно апробирована на банкоматах Dynasystems (00-101088-008B).
http://www.usenix.org/events/woot11/tech/final_files/Mowery.pdf
http://lcamtuf.coredump.cx/tsafe/
14.11.2011
Обновление утилиты для извлечения метаинформации - FOCA
Сравнительно недавно произошло обновление известной утилиты для извлечения метаинформации из популярных форматов электронных документов - http://www.informatica64.com/foca/.
Поддерживаются следующие форматы: .doc .ppt .pps .xls .docx .pptx .ppsx .xlsx .sxw .sxc .sxi .odt.ods .odg .odp .pdf .wpd .svg .svgz .jpg.
Очень часто, в ходе тестов на проникновение, использование выявленной метаинформации из корпоративного документооборота или почтовой переписки, позволяет определить:
- имя машины;
- ...
25.02.2010
Устройство безопасности сетевой архитектуры самолёта Boeing 787-8/-8F
FAA опубликовало документ, посвящённый рискам нарушения информационной безопасности на борту самолёта в его сетевой архитектуре. Не секрет, что на борту самолёте развёрнута обширная система управления, объединяющая систему управления полётом, коммуникации и навигацию, а так же пользовательскую среду, к которой могут обращаться пассажиры для получения интерактивных справок со своих мест. Последняя имеет прямой доступ в Интернет, которым можно пользоваться на протяжении полёта.
Согласно справке U...
25.06.2009
CISCO type "7" cracking
Иногда вместо ожидаемых "secret 7" хэшей на CISCO-роутерах встречаются "secret 5" (CISCO type "5" passwords).
Процесс получения пароля по хешу отличен от взлома "secret 7", который можно расшифровать с помощью известных скриптов, Cain and Abel и многих других программ.
Пример:
username jbash enable secret 5 $1$iUjJ$cDZ03KKGh7mHfX2RSbDqP.
username jbash password 7 07362E590E1B1C041B1E124C0A2F2E206832752E1A01134D
Нетрудно заметить, что алгоритм хэширов...
31.07.2008
Open-source средство для трекинга беспроводного хакера
http://securitystartshere.org/page-training-oswa-moocherhunter.htm
MoocherHunter - средство, включённое в OSWA live-cd, для позиционирования объектов в беспроводной среде Wi-Fi по замеру сигнала.
30.07.2008
Беспроводная безопасность Windows Vista
Non-broadcast Network Behavior with Windows Vista and Windows Server 2008
http://technet.microsoft.com/en-us/library/bb726942.aspx
Поведение клиента Vista при обнаружении Hidden SSID и дополнительная опция проверки сети на предмет HiddenSSID/Not.
23.04.2008
Интересующимся TEMPEST'ом посвящается.
«Wi-Fi proof Paint» (emsectechnologies.com)
Специальная краска, которой можно покрыть стены критически важных помещений, для концентрации сигнала внутри. Помнящие матчасть и основы физики, вспомнят об знаменитом опыте Фарадея и его "клетке" (Faraday Cage). Разработка известна под кодовым названием «EM-SEC 2060». Эта же компания распространяет средства персонального назначения такого же действия (PEM) – специальные чехлы для ПДА, ноутбуков, мобильных телефонов, выступающие в качестве эл...
26.01.2008
Hack In The Box Conference 2008
http://conference.hackinthebox.org/hitbsecconf2008dubai/
На мой взгляд, одно из достойных и интересных мероприятий из мира ИБ, которое проводится ежегодно. HITB является партнёром ITDEFENCE по сей день, поэтому не могу отказать и не поделиться информацией об апрельской конференции в Дубае. С расписанием конференци можно ознакомиться здесь:http://conference.hackinthebox.org/hitbsecconf2008dubai/agenda.htm
22.01.2008
Flying Squirrel
Сканнер безопасности Wi-Fi, который используется военными ведомствами США. Кому интересно, применяется в качестве WIDS и контроля геолокации клиентов. Доступ к подробной информации имеют только сотрудники DOD/DISA.
Цитата
Wireless Discovery Device - Flying Squirrel (WDD/FS)
http://iase.disa.mil/tools/index.html
"US Department of Defense’s (DoD) wireless security tool. The tool is For Official Use Only (FOUO) so no screen shot. If you have access to DoD Information Assurance Tools you can...
02.12.2007
Monitor Mode NM 3.1 Beta
В новую бетку Network Monitor 3.1 Beta внедрена способность анализировать фреймы IEEE802_11 в режиме монитора. Прекрасная возможность в условиях Vista пассивно мониторить беспроводной эфир.
Скачать его можно здесь http://connect.microsoft.com
("Network Monitor 3 project")
30.09.2007
Stumbler под Vista
OpenSource AutoIt Script, демонстрирующий возможности netsh для Wireless , о которой я говорил в "Мнении эксперта" к ещё апрельскому номеру (04) ITСпец'a. Конечно, не сказать, что это Active stumbling со скрипта, это всего лишь парсинг вывода содержимого гибкого инструмента Vist'ы, ровно в такой же степени, как это делают многие unixware-программы, заточенные на анализ iwlist. Как никак, стоит взять на заметку.
Без лишней философии переписал это в тривиальном виде на змеиный:
Кодimpo...
30.09.2007
Wibree VS Zigbee VS Bluetooth
В тему энергосберегающих технологий. Разработка концерна Nokia, позволяющая обмениваться информацией на скорости 1 мегабит в секунду на расстоянии до десяти метров. Увидим насколько Wibree будет способна к конкуренции на рынке, но похоже NOKIA немного "боится" шага навязать пользователям свои услуги для организации "умных домов", организовывая двойной чип Bluetooth-Wibree.
Обращаться к современным консолям, некоторой аппаратуре можно по Wi-Fi или BT. Лично дома использую ро...
30.09.2007
Chaos Contructions Hackaround 2007
http://cc.org.ru/cch7/index.php?uid=seminari_skvoznoy
Иностранная практика переносится на отечественные границы. До этого никогда не присутствовал на CC, но этой зимой планирую выступить там с семинаром по безопасности беспроводных технологий. Будет повод посетить некоторые достопримечательные места Питера.
Подписка
Вирусы