Служебка по безопасности

В целях повышения уровня безопасности компьютерной сети организации, планируется в ближайшее время предпринять следующие технические и административные мероприятия:

1. Запретить использование протоколов POP3, IMAP для приёма почты с внешних почтовых серверов. Доступ к внешним почтовым серверам должен осуществляться только через web-интерфейс.

2. Запретить использование внешних SMTP серверов для отправки почты из локальной сети. Для отправки сообщений должен использоваться только корпоративный почтовый сервер.

3. Запретить соединения по протоколам PPTP, L2TP ко всем подсетям, кроме «Билайн». Доступ к другим подсетям по этим протоколам должен осуществляться по предварительному согласованию с группой технической поддержки. Читать далее…

Анонимности нет, смиритесь. Steven Rambam, The Next HOPE (часть 2.1)

Вот молодой парень, который подумал, что парень его мамы изменяет ей, и поэтому ходил за ним с видеокамерой. Словил его с новой подружкой, и выложил это на YouTube, подписав «парень мамы Шейна», «хозяйка мамы Шейна».

И сейчас кстати даже смерть не спасет вас, уже есть социальная сеть для мертвых людей, ее запустил создатель Monster.com. Я отправил ему письмо, со словами «у меня есть гениальное название для вашей соц.сети, назовите ее Deadster». Почему-то они не ответили.

Добровольное, сознательное, безумное и безудержное распространение личных данных. Обратите внимание на этот экспонат – PMSbuddy. Хотите знать, когда поехать за город? Ребята, хотите знать когда, скажем, опасно находиться дома? Тогда заходите на PMSBuddy.com, и обратите внимание, новинка, помните, я говорил про кнопку Like в Facebook? Теперь вы можете связать PMSBuddy со своей страничкой в Facebook. Я не выдумываю, зайдите и посмотрите. Читать далее…

Анонимности нет, смиритесь. Steven Rambam, The Next HOPE (часть 1.2)

Вторая часть перевода первой части доклада Steven Rambam «Анонимности нет, смиритесь» на конференции The Next HOPE.

Теперь поговорим о Скайнете, или как я его называю, цель номер один для правительственного запроса.


Опять же, посмотрите на это фото. Это Сергей и Ларри. Это люди, которые знают ваши самые страшные, самые скрытые тайны. Посмотрите на них. Нравится?

Сеть, блоги, группы новостей, изображения, Gmail, Google Chat и GTalk, все чертовы книги, новости Google, если я знаю, на что вы кликаете, я знаю чем вы интересуетесь, на news.google.com. Карты – если вы вводите адрес на карте, вы не делаете просто из любопытства «Хм, а где это улица Third, 48». Этот адрес почему-то важен для вас. И если по этому адресу находится китайский ресторан, я знаю, что вы с кем-то встречаетесь в китайском ресторане. Если это клиника абортов, это выдает весьма пикантную информацию о вас. Музыка Google, Боже упаси финансы Google, Google Checkout (конкурент PayPal), Google Video на YouTube, мы поговорим об этом подробнее.

Телекоммуникации Google, для тех из вас кто в курсе телефонной системы, я думаю многие из вас, и некоторые не с самими благими намерениями, Google теперь телекоммуникационная компания, абсолютно законно. У них есть база номеров телефонов, есть база пользователей, они копируют и связывают ее со всем остальным, что у них есть. Froogle вроде как загнулся, но информация у них осталась. Chrome, теперь это уже не новинка, Android, аккаунты Google, запись IP адресов.

Мы поговорим об Android. Это ведь возмутительно. Если я хочу передать на Android свою адресную книгу или календарь, я должен передать их вначале в Google. Это никого не напрягает? Я не могу взять кабель USB, к своему Mac, и синхронизировать все. Я должен всех своих друзей, родственников, и деловых партнеров, отправить это все на базу. Поэтому я пользуюсь Palm. Подумайте об этом, я уверен, не многие из вас задумывались. Календарь, где я буду в ближайшие три месяца, я должен вначале отправить в Google, и только потом получить назад. И эта информация остается у Google. Календари. Вы удаляете календари, но они удаляются только на вашем телефоне. Вы должны их оставить им для изучения, иначе вы не сможете синхронизировать свой телефон. Читать далее…

Анонимности нет, смиритесь. Steven Rambam, The Next HOPE (часть 1)

Меня зовут Стив Рамбам, и я буду заменять вашего учителя в ближайшие три часа.
Начав с любой отправной точки, можно составить полное досье на кого-либо. Не важно, с чего начинать – номера социального страхования, MAC-адреса, адреса электронной почты, автомобильного номера. Из этой информации можно получить все о ком-либо. Иногда вы можете связать один кусочек информации только с одним другим, иногда вы получаете все оптом.

Прежде чем мы продолжим, я хочу сделать акцент на следующем. Все, что мы будем обсуждать сегодня, это либо открытые, либо полуоткрытые источники. Под полуоткрытыми источниками я подразумеваю источники, доступные следователям, специалистам по безопасности, вероятно доступные более чем половине людей в этой комнате. Мы не будем обсуждать FINSEN, NCIC, и любые другие государственные базы данных, или что-либо другое по определению конфиденциальное или закрытое. Мы обсудим то, что легко и просто можно получить на каждого в этой комнате. Читать далее…

Немного о анонимности

1. в сети анонимности нет

2. privacy личной жизни надо охранять (конституция РФ, статья 23), отсюда у меня крайне негативное отношение ко всяким сервисам с соц. профилями типа вконтакте, и весьма положительное отношение к профилям типа linkedin, ибо служебное положение это не личная жизнь.

Есть разные уровни анонимности.

0. Дается браузеров в режиме «анонимного» серфинга. Отключение скриптов, флеша. И что все постоянно забывают: блокирование ряда доменов. Главную опасность представляют сервисы рекламы и счетчики посещений. Они имеют возможность собирать информацию с существенной доли рунета/интернета. Закрывает вас для интернет сервисов (не будет учитываться ваша история и пр.).

0.1. Важный момент. Строка «информация о браузере» уникальней, чем кажется на первый взгляд. По моим измерениям на 1.000.000 уников по кукам, уникальность была около 30%. Связка этой строки с ip очень сужает круг поиска. Так что ее надо менять. Лучше — на самую популярную. Но есть нюанс: если вы вдобавок отключили скрипты и флеш, то это тоже сузит круг. Очень сузит. Читать далее…

Backdoor в Active Directory

В свое время, менее года назад, на хабре мелькала публикация с аналогичным заголовком [1]. В ней автор предлагал способ по сокрытию привилегий администратора домена путем использования в качестве контейнера, для размещения «скрытой» учетной записи, служебное хранилище «Program data», в совокупностью с агрессивным разграничением прав с целью предотвращения доступа к «спрятанной» учетной записи. Однако, несмотря на заверения автора, обнаружение «скрытой» учетной записи и ее последующее удаление можно было выполнить всего в несколько кликов.

1. Обнаружение и беспрепятственное удаление учетной записи (несмотря на обратные заверения автора [1]).
Читать далее…

Новые уязвимости возникающие в облаке

Можно выделить следующие уязвимости, возникающие в пуле виртуальных машин, образующих облачную инфраструктуру.

Несанкционированное взаимодействие между виртуальными машинами и хостами. Теоретически инфраструктура облака должна исключать любое взаимодействие между отдельными виртуальными машинами или виртуальными машинами и физическими машинами, на которых они работают. Однако подобного рода взаимодействие возможно через общие или распределенные области обмена данными (shared clipboard), оставляющие лазейку для распространения паразитных кодов. Примерно такую же возможность создают технологии виртуализации, использующие общий для всего хоста буфер хранения введенных с клавиатуры символов. Иногда считается, что в случае, когда виртуальная машина и хост работают под управлением разных операционных систем, утечка такого рода невозможна, но это утверждение доказательства еще не получило. Читать далее…

Защита от DDoS используя any cast

 

Большие DDoS – ы бывают. Мне к примеру на гигабитный интерфейс + шейп прилетело 27 гигабит синфлуда. (сумма со слов нескольких аплинков). На 20 минут смыло и ДЦ и аплинков. Тут же была отправлена в блекхол айпишка, куда это все валилось и началась процедура разноса клиентов по разным ip-шкам, и поиск атакуемой точки делением пополам. С простоями, кучей недовольных клиентов… И вообще ничего романтичного, приятного и гордого в этой истории не помню.
т.е. с ддосами я таки немножко сталкивался. И вывод очень простой – если построение и обслуживание системы защиты информации стоит на порядки дороже чем (прибыль, которую эта система обеспечивает в сумме с убытками от простоя) – нет смысла заниматься защитой. Нужно останавливать систему и блекхолиться.
Если не секрет – уточните по чем вам обходится в месяц ваш, если не ошибаюсь 10 гигабитный гарантированный канал, и очень интересно сколько зарабатывает чистыми в сутки этот владелац адалт партнерки, что имеет возможность использовать такой канал для защиты от атаки хотя бы в течение нескольких суток?
Как отнеслись другие ваши жители, находящиеся вероятно в том же PI и которым вы обещали защиту к падению от ДДоС-а, к тому что они упали от атаки, напавленной не на них? Читать далее…

Лучшие инструменты пен-тестера: сканеры безопасности

У каждого из команды ][ — свои предпочтения по части софта и утилит для пентеста. Посовещавшись, выяснили: выбор так разнится, что можно составить настоящий джентльменский набор из проверенных программ. На том и решили. Чтобы не делать сборную солянку, весь список мы разбили на темы. Сегодня мы коснемся святая святых любого пентестера – сканера уязвимостей.

Nessus

Сайт: www.nessus.org/plugins/index.php
Распространение: Free/Shareware
Платформа: Win/*nix/Mac

Если кто-то и не пробовал Nessus, то, по меньшей мере, слышал о нем. Один из самых известных сканеров безопасности имеет богатую историю: будучи когда-то открытым проектом, программа перестала распространяться в открытых исходниках. К счастью, осталась бесплатная версия, которая изначально была сильно обделена в доступе к обновлениям для базы уязвимостей и новым плагинам, но позже разработчики сжалились и лишь ограничили ее в периодичности апдейтов. Плагины – ключевая особенность архитектуры приложения: любой тест на проникновение не зашивается наглухо внутрь программы, а оформляется в виде подключаемого плагина. Аддоны распределяются на 42 различных типа: чтобы провести пентест, можно активировать как отдельные плагины, так и все плагины определенного типа – например, для выполнения всех локальных проверок на Ubuntu-системе. Причем никто не ограничивает тебя в написании собственных тестов на проникновения: для этого в Nessus был реализован специальный скриптовый язык – NASL (Nessus Attack Scripting Language), который позже позаимствовали и другие утилиты.

Читать далее…

Особенности систем анализа информационных рисков на примере алгоритма ГРИФ

Основные термины и определения

Угроза безопасности - Потенциально возможное происшествие, которое может оказать воздействие на информацию в системе.

Уязвимость - Некая неудачная характеристика системы, которая делает возможным возникновение угрозы.

Атака – Действие по использованию уязвимости; атака – это реализация угрозы.

Угроза конфиденциальности - Угроза раскрытия информации.

Угроза целостности – Угроза изменения информации.

Угроза доступности - Угроза нарушения работоспособности системы при доступе к информации.

Ущерб - Стоимость потерь, которые понесет компания в случае реализации угроз конфиденциальности, целостности, доступности по каждому виду ценной информации. Ущерб зависит только от стоимости информации, которая обрабатывается в автоматизированной системе. Ущерб является характеристикой информационной системы и не зависит от ее защищенности.

Риск - Вероятный ущерб, который зависит от защищенности системы. По определению риск всегда измеряется в деньгах.

1. Существующие виды систем анализа информационных рисков

Ни для кого не секрет, что анализ информационных рисков является на сегодняшний день актуальной задачей для современного бизнеса – последние годы на каждой конференции по информационной безопасности в России можно услышать серьезные доклады на данную тему. При этом часто ускользают сами основы: что именно представляет собой задача анализа рисков, какие существуют способы ее решения, а также, какие проблемы возникают при выборе метода решения.

Читать далее…