28 апр. 2011 г.

Саморазвитие в области ИБ
Посмотрел презентацию Александра Бондаренко о саморазвитии в ИБ. ППКС. Очень все верно, даже я бы сказал насыпал информации с горкой - можно это всю жизнь оттачивать и становиться все лучше и лучше :)

23 апр. 2011 г.

Никогда не думал что Visio Stencils так свободно распространяются, например нашел их для всего сетевого оборудования HP, включая продукты TippingPoint:

HP-Networking-A5xxx-Switches.vss – Added TAA compliant versions of several A5120, A5500 and A5800 switches – Updated several of the older shapes with new images
HP-Networking-A12500-Switches.vss – Added Power Supply Expansion for A12518
HP-Networking-Security.vss – Added TippingPoint JC182A Core Controller and JC577A S6100N Intrusion Protection System – Added S5100N IPS, S2500N IPS, S1400N IPS and S660N IPS front views

http://www.visiocafe.com/hp.htm
Описание работы HP TippingPoint на русском языке.

Постепенно подготавливаю материалы для своих заказчиков. Вот эта презентация длится два часа и рассказыает об основных вещах, необходимых при развертывании и использовании TippingPoint IPS: скоростях, интерфейсах, дополнительном функционале SSL расшифрования, программном IPS для VmWare, трех методах подключения IPS: на SPAN порт, в разгрыз или к большим свитчам методом VLAN трансляции. Также здесь рассказал об исследованиях DVLabs и рассказал как 1500 участников- исследователей работают в нашей программе Zero Day Initiative, в результате чего TippingPoint получает самое большое покрытие имеющихся в мире угроз, с нереально быстрой скоростью реагирования на zero-day уязвимости. DVLabs, благодаря ZDI стал лидером в области исследований в области безопасности. Ну и Dan Holden - руководитель DVLabs тоже ведет правильную политику, аналогичную тем временам, когда он руководил исследованиями в IBM X-Force.

21 апр. 2011 г.

Итак, компанию RSA взломали через уязвимость Microsoft Excel + Adobe Flash (на английском интересней описание)- в принципе модный способ взлома безопасных компаний. Достаточно сложный и изощренный, мало кто из обычных компаний был готов к такому, RSA тоже оказалась не готова. Обновлять софт никто не успевает - слишком быстро там находят дырки и слишком быстро пищут эксплойты. Системы предотвращения атак использовать начнут, но сколько должно быть компаний сломано до этого? Страшно представить...

Кстати говоря, сработает ли IPS против этой атаки? ДА! Чтобы остановить эту атаку нужно лишь чтобы сработал фильтр номер 10920 'SMTP: Malicious Adobe Shockwave Flash Player File Download' который отвечает в HP TippingPoint IPS за CVE-2011-0609

http://threatlinq.tippingpoint.com/blog/?p=1997

On March 14, 2011 Adobe Systems Incorporated released a notification related to the existence of a critical vulnerability in its Adobe Flash Player 10.2.152.33. The vulnerability in question also had certain implications on other, earlier versions of the tool. A complete list of the versions of the Adobe tool and corresponding operating systems affected can be seen below:

• Adobe Flash Player 10.2.152.33 and earlier versions for Windows, Macintosh, Linux and Solaris operating systems
• Adobe Flash Player 10.2.154.18 and earlier for Chrome users
• Adobe Flash Player 10.1.106.16 and earlier for Android
• The Authplay.dll component that ships with Adobe Reader and Acrobat X (10.0.1) and earlier 10.x and 9.x versions for Windows and Macintosh operating systems.
The resultant condition associated with this vulnerability (CVE-2011-0609) may result in application / system crashes or allow for an attacker to seize control of an affected system. Reports of this vulnerability having been exploited in the wild have been noted as part of targeted attacks via a Flash (.swf) file embedded within a Microsoft Excel (.xls) file that is delivered to its targeted as an email attachment. While the team at Adobe Systems Incorporated works to finalize its fix for this vulnerability we wanted to ensure that our customer base was aware that HP DVLabs is working on a filter to address it. Our intent is to release the filter Thursday March 17, 2011 barring no unforeseen quality assurance (QA) issues. We encourage you to continue visiting this blog for information regarding this vulnerability and filter. We encourage you to monitor the following blog for the latest on Adobe Systems Incorporate vulnerability information.
У меня весеннее обострение. Мне каждый день кто-нибудь рассказывает как его взломали. Я уже переполнен такими историями. И, самое главное, я понимаю что такие истории надо пересказывать повсюду, а лучше даже книжку написать или передачу выпустить "примеры мошенничеств с сотовыми телефонами, почтовыми ящиками и аськами и т.д". Может хоть это поможет людям понять как их ломают, но ведь никто же не будет это все читать и смотреть - всем некогда. Все задумываются только когда у них уже что-то увели. А до этого момента - никому не интересно.

Вот сегодня нашел интересное описание вариантов "взломов" почты

18 апр. 2011 г.

Готовимся к лету Надо сказать что сразу советовался с установщиками на тему кондеев, один советует Daikin FTX25JB другой Mitsubishi Heavy (MHE) серии ZJ. По цене они почти одинаковые, по размеру и потреблению энергии одинаковые. Есть у обоих функции самодиагностики, инвертор, модный хладагент R410, обогрев и охлаждение, моющийся фотокаталитический фильтр, гарантия 3 года, автоматическое восстановление функций после исчезновения питания. Хотя на форумах говорят что ломаются они обычно лет через 6. Есть небольшая разница в шуме внутренних блоков Daikin 22 дБА, а MHE 21 дБА. Предлагаю считать шум одинаковым. Мне приятно что в DAIKIN по описанию есть больше функций: сушка, обтекание человека воздухом (дует в потолок), оттайка инея, антикоррозийная защита, автоматически сам выбирает греть или охлаждать (климат-контроль) и др. Однако у MHE автоматическое перемещение жалюзи возможно не только в горизонтальном, но и вертикальном направлении, тем самым обеспечивается трехмерное управление потоком воздуха. В Daikin вертикальные жалюзи есть, но они руками сдвигаются.

10 апр. 2011 г.


Интересно, архитекторов учат, что каждое здание создает пробки?

На улице Бутырский вал недавно возникло несколько офисов, один из них "Бейкер плаза", придуманный архитекторами Бархин Д.Б., Бархин А.Д., Басангова Н.А. взято из этой сслыки http://mos-archi.ru/pages/release/12/ Больше всего потрясяет то, что уже при проектировании было заложено аж 4 машиноместа, это описано здесь: http://www.veles-invest.com/oc-beiker-plaza Возникает вопрос, о чем они думали? В результате открытия офиса в радиусе 1 км все заставлено машинами, что по улице Бутырский вал в обоих направлениях, что во дворах। В результате Бутырский вал встал। В рабочее время у него есть только одна полоса, потому что вторая полоса занята весь день машинами. И ситуация ухудшается. Судя по всему московским властями это не контролируется никак, и поэтому паркующиеся не просто занимают полосы они это делают максимально плотно, так что даже троллейбус не может повернуть, идущий по маршруту 78 и 56.

Надо сказать, что я не в пустоту спрашиваю: нашел почту архитектора на его же сайте http://www.barhin.ru и написал ему письмо

Обновление 13 апреля: на письмо Бархин так и не ответил :)

9 апр. 2011 г.

Безопасность банк клиентов

Мы много говорим о происках хакеров. Но что делать, когда сам банк нас подставляет: случайно выдает другому человеку информацию о наших счетах? Что делать в этом случае?

Прочитал с утра пост человека, который явно в шоке увидев в своем клиенте информацию о чужих счетах, с нехилыми суммами.

8 апр. 2011 г.

Если вы пользуетесь Сбербанк ОнЛ@йн

В выписках Сбербанка слишком мало информации (для безопасности?) - приходится звонить по телефону 5000005. Там нет никакой информации почему и что самое страшное - КОГДА были списаны деньги. Объясняю: в выписке есть графа "Дата совершения операции", но это не дата совершения операции! Это дата когда сам Сбербанк списал деньги с вашего карточного счета. А вот сам процесс совершения операции вами мог быть неделей раньше: в ресторане или магазине. И в выписке этой даты нет, а ведь именно ее вы помните, поэтому приходится звонить в службу поддержки. И это удручает. Но зато поддержка по телефону мне нравится - быстро берут трубку и дают сразу же ответы на вопросы. В Raiffeisen Connect в выписку специально введены две даты для каждой транзакции: дата совершения транзакции (вы совершаете оплату и в этот момент деньги блокируются на карте) и дата этой же операции в банке (когда заблокированные деньги списываются с вашего счета в банке).
На сайте Сбербанка заведен специальный раздел, где клиенты могут подсказать Сбербанку что их не устраивает и как можно улучшить сервис и видно что люди стараются и пишут что они хотят. Но судя по тому, что ничего не сделано из перечисленного - никто это не читает.

6 апр. 2011 г.

Можно ли защищать WEB сервер при помощи IPS от DDoS


Сразу скажу, что у меня было несколько удачных и неудачных опытов защиты от DDoS при помощи IPS, поэтому я не теоретизирую, а скорее подвожу научную основу под увиденные опыты. Все случаи понятное дело мне неизвестны, поэтому ваши комментарии уместны и полезны. Также мы будем говорить сегодня об атаках именно на WEB серверы, ну хотя бы потому, что атака на livejournal сегодня в топе новостей. При этом надо понимать, что бывают атаки DDoS на DNS, почту и другие полезные сервисы.

Итак, атаки направленные на потерю доступности ресурсов сейчас уже устойчиво классифицируются как

- атаки на переполнение канала

- атаки на переполнение ресурсов WEB сервера

Я раньше выделял атаки, использующие уязвимости WEB серверов, когда при помощи такой уязвимости весь сервер исчезает (останавливается или стирается). Но сейчас уязвимости серверов скорее использут для незаметного проникновения, чем для DDoS.


Атаки на переполнение канала


Считается и вполне очевидно, что атаки на переполнение канала не могут быть остановлены возле сервера, то есть при помощи любой системы использующей аномальные, сигнатурные или репутационные признаки того что пакет – часть DDoS. Но тут вы можете бороться экстенсивно – увеличивая свои собственные ресурсы: использовать AKAMAI (так делают многие известные бренды), использовать резервные каналы(поставьте не 1 канал, а два или больше, еще и через разных провайдеров), использовать более широкие каналы(не хватает гигабита, поставьте 10 гигабит), использовать несколько серверов на канале (поставьте 2, 3, …, 100 WEB серверов - так это делает facebook), использовать юникаст (когда по одному IP адресу находятся несколько серверов, расположенных отдаленно географически – так работают коневые DNS сервера). Это можно решить, но опять же после этого надо как-то защищаться: настроить верно стек протоколов TCP/IP, настроить различные защитные механизмы веб сервера. И здесь все таки на помощь снова приходит IPS – атака уже не переполняет канал, значит теперь надо снова защищать WEB сервер: не пускать пакеты из бот-сетей, считать число SYN пакетов, считать число HTTP запросов от одного IP, их частоту и т.д., что явно не является задачей WEB сервера и должно выполняться каким то другим движком, например назовем этот движок Система Защиты от Атак, то есть IPS. А может ли он это делать?


Атаки на переполнение ресурсов сервера

Надо сказать, что атаки можно останавливать как аппаратными устройствами, так и обычными программными агентами, которые работают прямо на той же операционной системе, где установлен WEB сервер. Что может делать система защиы от атак в случае DDoS атаки. Как ни странно эти все методы защиты могут быть реализованы как на обычном Firewall, так и на IPS. Так что название устройства здесь не важно – важно спросить у вендора, а что оно умеет.

1. База репутации. Это приятно сразу же иметь у себя список IP адресов с которых обычно идут DDoS атаки и их блокировать, некоторые вендоры, эти списки поддерживают и постоянно обновляют, допустим раз в 2 часа. Соответственно если у вас есть продукт от такого вендора, то вы можете включить блокировку пакетов с таких вредоносных IP адресов. Обычно это будут компьютеры, которые входят в ту или иную бот-сеть с красивым названием, допустим ZeuS, Kraken, Srizbi, Torpia, Storm, Asprox, Gumblar, Koobface, Mariposa, Dark Energy. Вообще таких ботнетов тысячи. SANS называл цифру 3000, и, по моему, это оптимистичная оценка. Уж слишком просто создать бот сеть в наше время. Ну и та компания в которой я работаю на сегодняшний день: HP TippingPoint предоставляет такую базу в составе своих IPS.

2. Контроль SYN пакетов. К сожалению протокол TCP/IP так был придуман, что сам по себе имеет уязвимости. И его трехпакетная инициализация соединения позволяет посылать лишь первый пакет из трех, чтобы заставить сервер аллокировать память для ожидания второго пакета. Существует много способов избежать расходавания ресурсов. Систем защиты от атак может запоминать этот первый SYN пакет и не сообщать об этом серверу, пока не придет последующий SYN+ACK. Такой функционал есть и в TippingPoint и, например, (чтобы меня не обвиняли в лоббизме свой компании) в Checkpoint Firewall-1.

3. Контроль частоты пакетов. Любые соединения с сервером должны подчиняться какой-то логике работы сервера и браузера. Очевидно, что это можно отобразить в виде статистики прихода пакетов с одного IP или в виде поведенческого анализа с этого IP. Такой функционал как правило входит в IPS и позволяет статистически контролировать что делает сейчас данный IP с сервером и принимать его за атакующего или нет. Сложности как правило возникают с прокси серверами, за которыми работают несколько клиентов. Их отличить от зараженного бота сложнее.

4. Контроль за тем какие страницы грузятся и с какой частотой. Очевидно, что если с одного IP адреса грузят страницу http://www.server.ru/ 10 раз в секунду, то возникает вопрос - а почему? Если в IPS есть такие фильтры, то это очень хорошо и полезно. Например, подобными фильтрами можно даже обнаружить атаки конкурентов, которые обходят весь веб сайт по всем страницам и копируют все содержимое сервера себе.

5. Сканирование. Бывает так что атакующий сначала просто сканирует веб сервер используюя какую-то программу: веб анализатор или обычный IP сканер. Если IPS умеет обнаруживать такое поведение, то он вам сразу же расскажет что тут что-то не чисто, и вы можете настроить его на блокирование всех таких «любопытных», либо навсегда, либо на время. 6. Карантин. Это по сути список адресов, которые заблокированы IPS. Обычно блокируют атакующего не навсегда (чтобы исключить ложные срабатывания) а на время. Поэтому IPS содержит такой список, я видел как он доходил до 10 миллионов записей, что говорит о том, что сам IPS должен быть очень производительным и мощным (память, сеть, диски).

Да вот пожалуй и все, что я хотел обсудить в этой заметке. Будут комментарии – будет приятно.

Денис Батранков

1 апр. 2011 г.

Протестирована новая российская операционная система DimanOS

Слушателями Академии ФСБ выпущена в публичное обращение операционная система DimanOS, которая разрабатывалась изначально для внутреннего использования государственными служащими, включая президента России. Многие выпускники Академии помнят, как она называлась Maximus, но затем ее переименовали в DimanOS. Особенностью этой операционной системы (далее ОС) является строгое разделение доступа для выполняемых приложений. То есть одно приложение не может повлиять на другое приложение и таким образом украсть, изменить или уничтожить обрабатываемые или хранимые этим приложением данные. Вдобавок, встроенные механизмы эмуляции и виртуализации позволяют запускать в этой операционной системе приложения написанные как для Windows так и для Apple, что вызывает бурное распространение этой системы. Особенно интересно то, что эта система стала поддерживать приложения, написанные для iPad.



Про авторов этой операционной системы известно лишь, что они обучались в Институте Криптографии Связи и Информатики, начали этот проект как свою курсовую работу на втором году обучения и, увлекшись, и постепенно привлекая все большее число сторонников, смогли за несколько лет достичь выдающихся результатов, превратив это не только в диплом, но и в настоящий продукт, как смогли это сделать в свое время создатели Google и Linux, также начав разработки в институте


Одним из преимуществом этой системы является то, что ее не надо постоянно патчить - даже если в этой ОС запустить стороннее программное обеспечении в котором есть уязвимости, то они никак не могут навредить ни операционной системе, ни данным компьютера, на котором они хранятся.


Для обеспечения защиты от утечек данных в системе используется реализация одностороннего TCP/IP - то есть данные можно передавать только в одну сторону. Соответственно можно скачивать любые программы из Интернет, не боясь их запускать, и не боясь что любые данные могут уйти обратно - это контролируется операционной системой. Такая же разработка "Диод данных" уже давно существует в России и за рубежом на аппаратном уровне, для защиты обычных операционных систем.



с 1 апреля, кстати