Личные блоги Агиевич Игорь aka Shanker
Мысли о собственной жизни ИТ-аналитика, обретающие очертания в голове и формируемые средством их выражения - родной речью
-
Лучшие сообщения
-
Поиск
10.05.2012
Угон аккаунтов Yahoo, AOL, Hotmail
В популярных почтовых сервисах Yahoo, AOL и Hotmail недавно были найдены уязвимости, позволяющие получить доступ к чужим аккаунтам.
Суть уязвимостей везде одинаковая: использовалась логическая ошибка при восстановлении пароля, в результате которой можно было задать новый пароль в обход проверки легитимности пользователя (ответа на контрольный вопрос и т.д.). Каждому этапу восстановления пароля соответствует свой набор переменных в запросе. Мы просто «перескакиваем» один из этапов, создавая з...
20.03.2012
Боевое тестирование Wifi Protector: защищаем ARP-таблицу
Не так давно я проводил сравнительный тест программ под Android, предотвращающих атаку на ARP-таблицу. Тогда некоторые пользователи пожелали, чтобы я провёл тестирование программы Wifi Protector, не попавшей в мой обзор.
Наконец, у меня дошли руки и до неё.
Подробнее
16.03.2012
Обзор Avast Mobile Security для Android
Летом прошлого года прошла информация, что Avast выпустит версию под Android.
Признаюсь, я несколько скептически относился к этой информации. Т.к. был опыт установки антивирусов под Linux Desktop системы для защиты именно самих этих систем. И так и не увидел от этого всего толка. Поведенческого анализатора не было. Тестируемые руткиты свободно устанавливались в систему и т.д. В общем, одно разочарование. Но моя врождённая любознательность не давали мне покоя и я решился установить сие чудо на...
11.03.2012
Сравнительный тест программ под Android, предотвращающих атаку на ARP-таблицу
Не так давно большой интерес (1, 2) вызвала программа DroidSheep, перехватывающая аккаунты пользователей он-лайн сервисов, которые пользуются ими через общедоступный Wi-Fi. На исконно русский вопрос: «что делать?» кто-то предложит воспользоваться программами для защиты от подобного рода атак, написанными под Андроид. Вот их я и решил протестировать.
Собственно, мне удалось разыскать всего 2-х кандидатов на тесты: DroidSheepGuard и shARPWatcher (обе программы для полноценной работы требуют налич...
11.03.2012
Отслеживание параметров браузера и ОС пользователя как мера предотвращения угона аккаунтов
Многие он-лайн сервисы стремятся обезопасить аккаунты своих пользователей самыми различными способами. Кто-то отслеживает IP-адрес, сбрасывая кукисы при его изменении (так происходит на Секлабе; вКонтакте просто просит подтвердить последние 4 цифры мобильника). У кого-то сессия живёт ограниченное время, заставляя пользователя авторизоваться снова и снова. У этих способов есть свои достоинства и недостатки. Но какой бы из механизмов не использовался, отслеживание параметров браузера и ОС пользова...
06.02.2012
На Mail.Ru появились спам-боты
Недавно мой товарищ просматривая почту через интерфейс Mail.Ru столкнулся с интересным ботом. Вот такое сообщение у него всплыло прямо в окне Mail.Ru:
Адрес бота высветился как: naastasiyatimoqs@mail.ru
Бот в «Моём Мире»: my.mail.ru/mail/naastasiyatimoqs/
Как видно, создан аккаунт недавно.
Лог переписки:
ЦитатаОльчи Богданова
рада видеть!
11:09
Ольчи Богданова
ау
11:11
Alex Nevelov
здрасте. чем привлёк внимание?
11:11
Ольчи Богданова
незаметно пока не примерз?
11:12
Alex...
26.12.2011
Снова о раскрытии IP-адреса собеседника в Skype
Подробности
Видео демонстрация:
Загрузка плеера
window.bxPlayerOnloadbx_flv_player_9704 = function(config)
{
if (typeof config != 'object')
config = {'file':'https://www.youtube.com/watch?v=dbMYXpxM3mM','height':'420','width':'640','dock':true,'id':'bx_flv_player_9704','controlbar':'bottom','players':[{'type':'html5'},{'type':'flash','src':'/bitrix/components/bitrix/player/mediaplayer/player.swf'}],'logo.hide':'true','skin':'/bitrix/components/bitrix/player/mediaplayer/skins/bitrix.swf','...
30.10.2011
DLL HiJacking в Qt-приложениях
Подробное описание
Видео демонстрация:
Загрузка плеера
window.bxPlayerOnloadbx_flv_player_10195 = function(config)
{
if (typeof config != 'object')
config = {'file':'http://www.youtube.com/watch?v=Xzx7MuAPQhI','height':'420','width':'640','dock':true,'id':'bx_flv_player_10195','controlbar':'bottom','players':[{'type':'html5'},{'type':'flash','src':'/bitrix/components/bitrix/player/mediaplayer/player.swf'}],'logo.hide':'true','skin':'/bitrix/components/bitrix/player/mediaplayer/skins/...
26.08.2011
И снова о докладе
Очередной перенос. Теперь на 18 часов. Всё готово, всё сверстали. Если повезёт - покажем небольшой бонусный скриншот: нашли небольшую багу на сайте фестиваля Chaos Constructions. Покажем впервые в рамках своего доклада, а подробности позже опубликуем тут.
Утрясённый план доклада:
Разница между расследованием инцидента и исследованием
Цели исследований
Чем помогут антивирусные лаборатории в Вашем исследовании инцидентов? Пример из жизни
Сетевые взаимодействия вируса. Вчера и сегодня
Вирмейкеры...
26.08.2011
Ещё один показ видео на Chaos Conctruction 2011 в рамках семинара
Как я сообщал ранее, планировался показ видео на тему "Демонстрация обнаружения попыток эксплуатации уязвимости в Adobe Reader альтернативным методом без использования антивирусов"
Видео снято. И, если останется время, будет показано в рамках доклада. В принципе, наш доклад последний. Так что есть шанс, что покажем даже есть слегка выйдем за отведённые рамки. Если слушатели к этому времени не уснут
24.08.2011
Очередной перенос времени доклада на Chaos Construction
Теперь доклад перенесён на 21 час. Посетителей прошу не торопиться уходить слишком рано, а всё же досидеть до конца Мой доклад как раз будет завершать первый день докладов.
Поклонники ESET NOD32 (Antivirus, Smart Seсurity), крепитесь! Вас ждёт неприятный сюрприз... Видео демонстрация обхода антивируса (и межсетевого экрана) уже снята и планируется к показу. Настройки стандартные, "из коробки". Ничего не отключали, защиту не ослабляли. Да простит меня Матросов Может быть, успеем по...
22.08.2011
Перенос времени доклада на Chaos Constructions
Мой доклад перенесён на 22 часа. Искренне надеюсь, что в это время ещё останутся люди, готовые слушать и впитывать новую информацию
18.08.2011
Мой доклад на chaos constructions 2011
В субботу, 27 августа, 13:00 я выступлю с докладом на chaos constructions 2011 (Санкт-Петербург)
Тема доклада: "Исследование инцидентов собственными силами"
Основные тезисы доклада:
- Разница между исследованием инцидента и его расследованием
- Взаимодействие с антивирусными лабораториями в рамках исследования вируса
- Приводится пример расследования инцидента, показывающий наличие проблем в отдельно взятой компании на практике
- Список программ и ресурсов, способных помочь в исслед...
16.05.2011
VirtualBox DLL Hijacking, часть 2
Вот такой ответ пришёл от представителей Virtual Box:
ЦитатаThis isn't DLL hijacking IMHO - you've spotted that Qt optionally loads
a library which normally isn't there at all.
If it really is security related, you'd need to report it to Nokia, as
they currently own Qt. We'd appreciate a pointer to the problem report
if possible, so that we can check what they're doing.
Судя по всему, многие приложения, написанные на QT подвержены данной атаке
14.03.2011
VirtualBox <=4.0.4 DLL Hijacking (wintab32.dll , dwmapi.dll)
В последней, на текущий момент, версии VirtualBox (4.0.4) обнаружилась возможность провести атаку типа DLL Hijacking.
На сей раз вектор атаки более реальный. Библиотеки ищутся в т.ч. в директории запуска ассоциированного с приложением файла:
Возможные варианты атаки:
*.vbox, *.xml - библиотека wintab32.dll
*.ova, *.ovf - библиотека dwmapi.dll
Представители VirtualBox были уведомлены через электронное письмо 11.03.2011. Но ответа от них не последовало
08.03.2011
nmap 5.51 DLL Hijacking (airpcap.dll)
В последней, на текущий момент, версии nmap (5.51) обнаружилась возможность провести атаку типа DLL Hijacking.
Происходит это в случае запуска с параметром вроде: Цитатаnmap t. Т.е. через пробел мы указываем любое слово (или букву) без дефиса.
Как видно из рисунка ниже, nmap пытается загрузить библиотеку airpcap.dll, обращаясь кроме своей рабочей директории, в директории, перечисленные в переменной окружения %PATH%
В случае наличия доступа к папке, попадающей в список %PATH% мы можем выполни...
16.03.2010
DoS-атака на сегмент Ethernet
Недавно в одном офисе обрушилась сеть. В процессе анализа оказалось, что оборудование, которое вышло из строя, затопило сеть кадрами Pause Frame. Эти кадры служат сообщением всем компьютерам сети о том, что требуется прекратить приём и передачу (эдакий аналог jam-сигнала в Ethernet). Недолго думая, я изучил структуру кадра, создал копию программой PackETH и послал в сегмент.
В результате все станции, подключённые к тому же коммутатору, что и я, прекратили передачу и приём пакетов. До следующе...
24.02.2010
XSS на сайте www.nationalgeographic.ru
15 мин поиска и...
Кодhttp://www.nationalgeographic.ru/Programmes/ProgrammesAz.aspx?FirstLetter=%3Cscript%3Ejavascript:alert();%3C/script%3E
16.02.2010
Ещё один "Аудит безопасности"
Наткнулся в интернете на ещё одно предложение провести аудит безопасности офисной сети
Цитата с этого ресурса:
ЦитатаАудит безопасности – это проверка локальной сети, насколько она подвержена атакам хакеров. Мы имеем всю базу возможных атак, при этом мы только «прослушиваем» реакцию сети на эти атаки, БЕЗ КАКОГО-ЛИБО ВМЕШАТЕЛЬСТВА в работу вашей системы.
Интересно: насколько справедливы будут их утверждения в отчёте, если они не вмешиваются в сеть? Это наводит на размышления. Либо они проводят...
31.01.2010
Чтение удалённых SMS и контактов из мобильных телефонов
В случае утраты телефона возможна компрометация даже тех данных, которые были удалены.Это относится к SMS, списку контактов а также истории звонков. При этом никаких спец средств не требуется: любой желающий может это сделать, имея программу типа Hyper Terminal и пару стандартных AT-команд.
Пример:
AT+CPMS ="ME" - переходим в нужную область памяти телефона
AT+CMGL= 4 - читаем все SMS сообщения (входящие, исходящие черновики и пр.)
Судя по всему, эта ситуация возможна из-за того, что...
17.01.2010
Интересное свойство Оперы
Браузер Opera (начиная ещё с 9-х версий, вроде бы) позволяет не только просматривать исходный код страницы, но и модифицировать его, заново исполнив на стороне клиента. Таким образом, если у вас есть, например, ограничение на количество вводимых символов в некую форму, а хочется её обойти - вам больше не нужно сохранять страницу локально, а потом редактировать исходник, изменяя предельное значение и меняя относительные пути на абсолютные. А только потом уже запускать в браузере. Достаточно прост...
02.12.2009
Впечатления от очевидца катастрофы 166 поезда
...обратный билет был на 21:55. Никогда не любил Москву, и встретиться с подругой после командировочного дня не удалось. Не найдя смысла торчать в столице, было решено вернуться на ж/д вокзал и попытаться взять билет на 19:00. Собственно, это я пытался сделать ещё с утра. Но утром билетов не было. Выслушав мнение коллег, вроде: "на пятницу вечер - хрен будут тебе билеты", всё же отправился на вокзал. Каким-то чудным образом билеты на меня и моего коллегу оказались! Мысль о том, что уже...
Подписка
Вирусы