Оригинал статьи на английском находится по этой ссылке
Эта статья о давно известном баге в конфигурации dns-серверов — разрешение на трансфер зоны любому юзеру. И о том, как я написал небольшой сканер для проверки конфигурации dns-серверов самых популярных сайтов. И где уязвимыми оказались банки, гос. сайты, провайдеры и многие другие важные ресурсы.
Передача зоны DNS, AXFR — вид транзакции DNS. Является одним из механизмов репликации баз DNS между серверами © wikipedia
Wi-Fi сопровождает нас повсюду. Концепция BYOD (принеси своё устройство на работу) активно захватывает рынок. Многие крупные компании и госструктуры начали внедрять беспроводные сети, полностью реализуя данную архитектуру, обспечивая должный уровень безопасности радиопространства и контроля доступа.
Тем не менее я до сих пор наблюдаю огромное количество случаев, где 5-50 домашних д-линков при построении беспроводной сети являются нормой. Причём причиной этому является не экономия. На рынке достаточно адекватных по цене решений, главное не заниматься фетишом на известный нам бренд.
Причиной этому является нежелание технического персонала комплексно подходить к решению поставленной задачи.
Читать полностью »
В нашем арсенале имеются точки доступа Avaya WLAN Access Point 8120 и контроллер Avaya WLAN Controller 8180.
Оборудование может обеспечивать безопасность в нескольких режимах.
• Access mode: клиенту предоставляется доступ, одновременно сканируются частоты только используемых в данный момент каналов. В данном режиме точки работают по умолчанию.
Читать полностью »
У нас тут в rails комьюнити опять драма.
Есть методы типа find_by_* которые проецируются на модели в find_by_title например и find_by_id.
Их можно использовать так
find_by_id(params[:id], select: «CUSTOM SQL»)
Но обычно их используют вот так
find_by_id(params[:id])
И происходит SQL Injection если в params[:id] лежит {:select => «CUSTOM SQL»}. Обратите внимание — :select это символ а не «select»(строка). Это значит что трюк ?id[select]=SQL не пройдет т.к. ключ окажется строкой.
И вообще params это хеш типа HashWithIndifferentAccess. Те у него ВПРИНЦИПЕ не может быть символов в ключах т.к. они все уничтожаются при создании.
Есть такой gem authlogic, в общем виде он использует find_by_token(token) где token это объект из сессии(которая хранится в куках и подписана session_secret). Чтобы в него записать :select => «SQL» вам нужно знать session_secret, поэтому уязвимость крайне редкая.
Весь этот SQL Injection CVE не стоит выеденного яйца! И ради чего пост? DDoS!
Читать полностью »
Всем привет!
Предлагаю сделать простую проверку безопасности на ваших серверах.
Суть проверки очень проста. Мы переключаемся под пользователя, из-под которого запущены сервисы, такие как вебсервер или база данных, и смотрим в какие файлы в системе он может читать и писать. Запускать надо из-под всех пользователей, из-под которых работают смотрящие в мир сервисы. Если раньше никогда не делали, могут окрыться бездны, но не паникуйте и быстренько все поправьте.
Замечу, что например апачевский юзер не должен иметь прав на изменение и удаление апачевских логов.
С Новым Годом!
Читать полностью »
Мобильные гаджеты стали неотъемлемой частью нашей повседневной жизни, мы доверяем им свои самые сокровенные тайны, а утрата такого устройства может привести к серьезным последствиям. Сегодня много внимания уделяется освещению вопросов мобильной безопасности: проводятся конференции, встречи, крупные игроки выпускают комплексные продукты для персональной и корпоративной защиты мобильных устройств. Но насколько такие средства эффективны, когда устройство уже утрачено? Насколько комфортны они в повседневном использовании – постоянные неудобства с дополнительным ПО, повышенный расход батареи, увеличенный риск системных ошибок. Какие советы можно дать беспокоящимся за сохранность своих мобильных данных? Не хранить ничего важного на смартфоне? Тогда зачем он такой нужен – не птичек же в космос отправлять, в самом деле?
Сегодня я хочу поговорить с вами об устройствах под управлением ОС Android, созданной глубокоуважаемой мною компанией Google. В качестве примера я использую неплохой смартфон прошлых лет от компании HTC – Desire HD. Почему его? Во-первых, именно с него мы начали свою исследовательскую деятельность в области безопасности Android-устройств, во-вторых – это все еще актуальный смартфон с полным набором функций среднестатистического гуглофона. Он поддерживает все версии Android, в нем стандартный взгляд HTC на организацию файловой системы и стандартная же раскладка разделов внутренней памяти. В общем, идеальный тренажер для защиты и нападения.
С этим докладом я выступил на вот-вот только прошедшей конференции ZeroNights 2012 и теперь хочу презентовать его хабрасообществу. Надеюсь он будет вам интересен и даже немного полезен.
Читать полностью »
Область Application Security очень молодая по сравнению с такими видами безопасности как Network, Personal, Organizational. Год назад для Application Security был опубликован международный стандарт ISO/IEC 27034, что свидетельствует о значимости этой области.
Но, несмотря на это, многие IT компании уделяют Application Security не достаточно внимания в рамках жизненного цикла продуктов. Все они вроде бы уже научились правильно конфигурировать firewall’ы, создавать white/black листы и организовывать права доступа на уровне операционных систем. К сожалению, это с трудом предотвращает уязвимости в приложениях. И большинство последних громких взломов и утечек данных было реализовано именно благодаря “дырам” в приложениях.
Но пост не об этом, вернее не совсем об этом, я хотел бы высказать свою точку зрения на вопрос: чем работа в области безопасности лучше работы разработчика?
А дело в том, что разработчики программного обеспечения замкнуты на определенной технологии и/или на логике приложения, которую требует заказчик.
И на мой взгляд, у разработчика есть следующие пути развития – и все они, к сожалению, тупиковые:
Читать полностью »
Пару дней назад мой начальник дал мне задание — пробежаться по всем девайсам в нашей сети и посмотреть каким образом можно улучшить безопасность сети в целом. Я человек далёкий от security, routing&switching — наше всё. Но тем не менее, я взялся за дело. Товарищи по работе подсказали, что стоит погуглить способы защиты management plane (имя в виду, конечно, MPP), я случайно погуглил «MOP cisco» и хорошо, что не сразу понял, что ошибся…
ООО «Газинформсервис» объявляет конкурс «Поиск уязвимостей в техническом решении по защищенному удаленном доступу» в целях привлечения внимания IT-сообщества и потребителей к вопросам информационной безопасности, поиску новых профессиональных решений.
Победитель получит приз в размере 100 000 рублей.
Искать уязвимости можно с 31 октября по 12 ноября 2012 (включительно), победитель будет объявлен на конференции ZeroNights.
Осталось всего 3 недели до мегасобытия – конференции ZeroNights 2012. Программа мероприятия сформирована на 90%, за что хочется сказать отдельное спасибо DCG#7812 и программному комитету. Организаторы конференции в лице Digital Security и Software People готовы представить вам финальный список докладчиков и рассказать обо всех событиях, которые вас ждут.
Итак, по порядку.
Основная программа и сердце нашей конференции – это технические доклады. В этом году у нас будет 21 доклад от лучших в своей области специалистов со всего света: США, Канада, Англия, Германия, Франция, Финляндия, Испания, Израиль, Тайвань, Румыния, Молдова и, конечно же, Россия.
В программе конференции намечается множество интересных событий:
• 3 ключевых доклада
• 21 технический доклад в 4 секциях:
• 7 воркшопов протяженностью от 2 до 5 часов
• Более 7 докладов на fast track (точное количество будет известно на конференции)
• 2 центра компетенции с демонстрациями атак на SAP и мобильные приложения
• Круглый стол
• 0-day шоу
