Давненько тут не писали, а новостей то накопилось! Ну например про Мак...


читать дальше →

Проснувшись утром и зайдя посмотреть на яндекс очередное "триллер шоу" из разряда "что-то взорвали", "кого-то убили" и другую подобную хрень, которую только и публикуют в топе новостей яндекса, решил глянуть на топы блогов.

читать дальше →

Давно не заходил во Вконтакте и давно потерял интерес для друзей там, поэтому очень сильно был удивлен, когда с утра обнаружил в почте нотификацию о

«...что-то написал на Вашей стене.
Просмотреть запись можно на Вашей странице . . .»

«Вкусный» вирус подумал я и ринулся смотреть.

читать дальше →

Вчера/Сегодня во всех новостях идёт buzz по поводу "Ботнета на linux серверах". Я честно говоря в ахуе удивлён от всего происходящего, так как к linux'у это имеет такое же отношение как лемуры к финансовому кризису (что наверняка правда). А всё началось с какого то Дениса Синегубки эксперта по ИБ, который не имея ни какого понятия о троянах, открыл миру Бредолаб. Я бы честно говоря посоветовал автору обновить интернет по этому поводу, но вся эта буча натолкнула нас на обновление информации по этому вопросу к уже имеющимся данным. Результаты чесн говоря оказались прикольными...

читать дальше →

Не так давно я опять подсел на линейку. Да я понимаю, что я — наркоман... но зачем дэфченки, когда ты — эльф 80го уровня? Так вот. Гуляя по просторам Инета в поисках свежей базы по игре, мне попалась ссылка, о которой мне гуугль сообщил, что:

читать дальше →

Немножко соскучившись по аналайзу кода и прошвырнувшись по утренним блогам, наткнулся на описание новой волны распространения троянцев через популярную социальную сеть Facebook.
Panda Blog

Новость сама из разряда нахождений новых велосипедов, опять популярная социальная сеть, опять куча похаканых говно-сайтов, и заканчивается все, конечно же, новым злобным Rogueware "Total Security". За последние полгода, такие новости стали своеобразным штампом антивирусных блогов. Каждая уважающая себя антивирусная компания, просто обязана написать о чем-нибудь подобном.

читать дальше →

Думаю кому-нибудь будет интересно почитать.
Описывается копание в бинарнике sshd в IDA на тему, что оно делает, а также процедура анализа способа криптовки файла с логами user/pass/host.

Линк.

С подачи DVi сделал лог подключения Агента от mail.ru.

читать дальше →

Еще весной этого года в Сети появилась весьма интересная заметка по поводу того, каким образом можно атаковать пользователей современных веб-браузеров. Суть идеи, предложенной sirdarckcat, заключается в использовании особенностей программной библиотеки Google Ads и современных веб-серверов. Смысл в том, что в коде от Google наличествует архитектурное решение, вынужденное позволить сторонним сайтам устанавливать определенные cookie в области произвольных доменов. Используя два простых механизма, любой сторонний (читай — зловредный) сайт может поставить определенные cookie любому другому сайту. Правда, таких cookie значений немного и для их установки необходимо:

* чтобы на этом сайте был установлен Google Analytics (попробуйте найти достаточно большой ресурс без него);
* чтобы у пользователя был включен интерпретатор языка JavaScript.

Набор интерфейсов и программная библиотека Google Analytics устанавливает два значения cookie:

* с помощью GASO (Google Analytics Site Overlay), для этого пользователю достаточно перейти по ссылке “http://yourwebsite.com/page.html#gaso=somevalue“;
* c помощью самого Google (используя Referer, для этого пользователю подставляется ссылка “http://google.com/search?q=somevalue“.

читать дальше →

Давайте посмотрим на экономический фактор, оказывающий брутальное влияние на проблемы информационной безопасности. Экономика и, в частности, экономическая целесообразность всегда являлись определяющими факторами в вопросах безопасности. В самом деле, есть ли смысл нанимать сотню охранников для конвоирования почтового поезда в Небраску, если их зарплата будет больше, чем половина стоимости перевозимых грузов? Необходимо ли покупать итальянский сувальдный замок с ручным набором за $1700, если дверь в которую его могут врезать стоит $30? Зачем платить за MaxPatrol или XSpider почти 2 миллиона рублей, если сотрудник, имеющий дело с самой ценной частью защищаемой информации, получает всего 12 000 руб.? Ну и что, что вокруг хакеры? Самый главный — обязательно сидит внутри. Правда, этот миф про инсайдера мы постараемся развеять чуть позже.

Роль тестов на проникновение на сегодняшний день больше похожа роль страшилок. Каждая организация-пентестер пытается показать “игру мышц”, рассказывая страшные истории о сотнях и тысячах взломов, использованных для проникновения уязвимостях, собственном профессионализме и тотальной некомпетенции частных системных администраторов. Да и как иначе? С одной стороны — кризис и неготовность владельцев инфраструктуры к принятию аутсорсинга услуг защиты информации, а с другой — отсутствие практической возможности продемонстрировать свои реальные возможности (если они, конечно, есть).

Неизбежным экономическим последействием сложившейся обстановки является “русская бизнес-модель ИТ“. Поэтому, для того, чтобы компенсировать затраты на подготовку и оказание услуг, пентестер пытается решить все свои проблемы одним заказом… или двумя… или продать сетевой сканер за 2 000 000 руб. Неважно, что 2000 клиентов не купят его ни в каком из ужаснейших случаев ИБ в своей жизни. Купит один госзаказчик и тут же окупит остальные “две тысячи” вечно потенциальных покупателей.

Отчего же тогда мы наблюдаем столь бурный рост количества компаний, занимающихся каким только возможными аудитами, консалтингами и аутсорсингами? Это явление является классическим образчиком для любых маркетинговых исследований и носит название “потревоженный спрос“. Как и все “импортное”, чужое и непонятное, но будучи однажды выложенное на прилавок, оно затем становится модным просто в силу того, что “а у соседа есть“. Все-таки надо признать показателем зрелости рынка не количество компаний, а уровень их специализации — в отсутствие рынка ни один из существующих “экспертов-по-ИБ” не может позволить себе сколь-нибудь серьезной специализации производства. Сегодня стратегия выживания — стратегия диверсификации услуг.

Дорог ли на самом деле пентест? Правильный ответ — не настолько, как его продают сейчас. Дешев ли на самом деле пентест? Правильный ответ — не настолько, сколько сегодня платят способным адекватно проводить его специалистам. Истина, как обычно, где-то рядом…

Для того, чтобы оценить корректность стоимости тестов на проникновение необходимо адекватно представить себе процесс его организации. Поставить “на поток” тесты на проникновение очень сложно, если подходить к ним творчески. Поэтому, как правило, компания-аудитор прибегает к формализации процесса тестирования. Осуществляет это очень просто — единовременно пишется типовая методика тестирования нескольких стандартных служб современной сетевой инфраструктуры, а затем она с небольшими корректировками представляется различным Заказчикам. Поскольку методика типовая, то и подход к анализу — тоже типовой, из раза в раз — с одним и тем же набором инструментов, причем по большей части бесплатных.

Думаете, пентестеры такие жадные, что предпочитают бесплатные программы для тестирования? Вовсе нет! Парадоксально, но факт — бесплатные программы в области тестов на проникновение зачастую просто лучше, чем их коммерческие аналоги, а иногда коммерческих аналогов просто нет.

Кроме того, методика, утвержденная неподготовленным Заказчиком, является еще и серьезным аргументом при оплате — “Вы нам методику утвердили? — Утвердили! — По методике нами все сделано? — Сделано! — Платите!”.

Итак, у нас на руках методика тестирования на проникновение, а также две дюжины специалистов, готовых “порвать” ресурсы Заказчика по первому синему свистку. Каждому из этих замечательных специалистов выплачивается денежное вознаграждение в размере зарплаты — именно это основная статья расходов компании-аудитора. Фонд оплаты труда достаточно велик — ведь это услуга должна оказываться профессионалами, а вот другие статьи — как правило невелики, ну разве что накладные расходы по статье “Связь/Интернет” и “Коммунальное хозяйство/Электроэнергия”.

Возьмем в руки счеты. По данным всевозможных HeadHunting‘ов только один высококвалифицированный специалист-по-ИБ получает никак не меньше 50 000 руб. в месяц. Легко можно посчитать, что если выполнение расписанной “под хохлому” методики тестирования займет не меньше 2 месяцев, а трудится должны быть 4 начальника и пентестер, то общая сумма договора на проведение тестов составит:

S(total) = ( ( 50 000 среднего размера оклада * 5 человек * налоги ) + накладные + прочие) * норма прибыли * 2 месяца

Положим, компания все-таки платит ЕСН и прочие налоги, имеет невысокие накладные расходы (офис, реклама, связь и бесплатные обеды сотрудникам — в пределах 80% от ФОТ). Тогда формулка выше приобретет из академического перейдет в разряд вполне себе бухгалтерских:

S(final) = ( ( 50 000 * 5 * 1,269 ) + ( 50 000 * 5 * 1,269 ) * 0,8 + 10 000) * 1,15 * 2 = (317 250 + 253 800 + 10 000) * 2,3 = 1 336 415 руб.

Неплохо, правда? А ведь мы упростили — там нет даже НДС. (= Да и пять человек со средней зарплатой 50 000 не вполне похожи на российскую действительность. Но все же, итоговая сумма должна впечатлить владельца какого-нибудь небольшого бизнеса — она вполне может оказаться сопоставима с его ежемесячным оборотом. Поэтому, выбирая между итальянским сувальдным замком с ручным набором за $1700 и его “сельмашевским” эквивалентом за 200 рублей, он очевидно выберет вариант “подешевше”. Да еще и на непонятные “тесты на проникновение”.

Действительно ли аудит информационной безопасности и тесты на проникновение так дороги? Нет, конечно. Существует множество путей оптимизации производства, единственный верный из которых — построение работающей не на бумаге системы менджмента и контроля качества, связанной единственной целью — повышения эффективности производства и оказания услуг. Да, 5 человек — это хорошо, но они все равно не будут работать над аудитом полных 2 месяца. Да и отвечать на звонки клиентов и клеить конверты, наверное, не их забота. Вместо них 2 месяца могут работать 2 высококвалифицированных специалиста, а также еще 12 человек, с гораздо меньшими окладами — ассистентов, причем их средняя зарплата окажется едва ли выше 20 000 руб./мес. Впрочем, это уже из разряда очевидного.

Вопросы классификации угроз информационной безопасности до сих пор активно исследуются. Закрепленного законодательным образом вида классификации угроз не существует, а потому каждый аудитор строит удобную для себя классификацию угроз информационной безопасности (ИБ). Основная же задача разработки классификации угроз состоит в том, чтобы обеспечить удобство использования данной классификации на практике и обеспечить возможность связывания этой классификации с событиями безопасности, о которых упоминалось выше.

Под разработкой классификации угроз информационной безопасности мы понимаем составление такого вида классификационной схемы, при которой изначальное действие, несущее вредоносных характер в рамках информационной системы (ИС) может быть отнесено к определенному виду угроз. Понятие угрозы мы трактуем согласно нормативам ФСТЭК, то есть угроза информационной безопасности — совокупность условий и факторов, создающих потенциальную (но реализуемую фактически) опасность, связанную с утечкой информации, несанкционированными или преднамеренными воздействиями на нее.


читать дальше →

Знаменитое “пентестер” (pentester) родом из словаря заимствованных иностранных слов (раздел сленговые обозначения и неословоформы). Родной английский вариант “penetration testing“, конечно, не имеет ничего общего с фильмами эротического жанра, но сюжет самого процесса неуловимо близок к этому стереотипному оригиналу.

Надо полагать, термин “пентестинг” (тест проникновением) прижился с легкой руки “безопасников” (или “секурити” (((-: ). По сути он обозначает симуляцию атаки методами, которые практикуют те, от кого построена система защиты. Тесты на проникновение популярны не только в информационной безопасности, но и (даже в первую очередь!) в безопасности физической (пожарной, охранной, радиоэлектронной и пр.)

Зачастую “пентест” путают с аудитом информационной безопасности. Но это, как у нас новорят, две большие разницы. Дело в том, что тест на проникновение подразумевает использование таких приемов и технических средств, которые должны быть неведомы людям, построившим систему защиту. Кратко говоря, это должны быть супер-хакеры, которые “порвут” Ваш межсетевой экран или почтовый сервер, а затем влезут в самые дебри ядра Linux самбы, достанут оттуда пароли, зальют на компьютер Директора троянскую программу и похитят самое ценное.

Разницу между “пентестом” и “аудитом” объяснить достаточно просто.

Аудит информационной безопасности начинается с анализа рисков и угроз информационной безопасности. Он призван выявлять наиболее опасные угрозы с точки зрения системы защиты. Аудит должен дать вразумительный ответ на вопрос “если где-нибудь взломают защиту, то где будет больнее всего для бизнеса?”. Именно эти места “залатывают” в первую очередь.

Тесты на проникновение (пентест) переворачивают все, что называется, “с ног на голову”. Специалист “по проникновению” опирается в первую очередь на видение систем защиты как бы “со стороны”. Его задача — ответить на вопросы “как проще всего попасть вовнутрь, нарушить работоспособность или что-нибудь получить?” и “какова минимальная цена взлома?”. Вообще говоря, настоящий хакер может и не анализировать безопасность Ваших веб-приложений или файловых серверов. Ему может быть проще запустить вредоносную программу через почтовый сервер или зараженный внешний веб-сайт.

К сожалению, следование “букве закона” в аудите приводит к тому, что цели для проверки пентестами и проведения аудита значительно отличаются. Именно поэтому, тест на проникновение — необходимая часть анализа безопасности современной системы. Но если с аудитом более менее всего понятно — его проводят “по книжкам”, используя как правило уже составленные и апробированные методики, то как быть с пентестом? Как правило, здесь исследователи стараются использовать в качестве базового набора тестов технические средства сканирования и вскрытия уязвимостей — сканеры безопасности. Причем, как коммерческие и платные, так и бесплатные с открытыми исходными текстами.

Именно здесь кроется самая большая ошибка — настоящее проникновение всегда осуществляется человеком и, как правило, он применяет весь свой опыт для преодоления установленных систем защиты. Использование только технических средств и расчет на их пробивную силу как правило заканчивается тем, что в системе остаются довольно простые, легко эксплуатируемые уязвимости, которые попросту не были замечены автоматическими средствами проверки. Большинство пентестеров же на основании автоматически сгенерированных отчетов говорят о полной безопасности системы.

Именно по этой причине высококвалифицированных специалистов, которые могут качественно провести тест на проникновение, крайне мало. Этот процесс — настоящий state of the art. Да еще и весьма трудоемкий — ведь зачастую приходится разрабывать вспомогательные средства обхода систем защиты, что называется, “на коленках”.