среда, 21 ноября 2012 г.

Чуть-чуть об ИБ-терминологии

Под впечатлением от вчерашнего просмотра большого количества вебинаров и докладов по ИБ от представителей типаИБшных компаний и типаИБшных подразделений софверных компаний:

То, что хочет сделать с информацией атакующий, называется угрозой
То, благодаря чему он может это сделать, называется уязвимостью
То, как он может это сделать, называется атакой
То, с какой вероятностью у него это удастся и какие последствия может повлечь, называется риском
То, что мешает атакующему сделать то, что он хочет, называется защищенностью
То, что снижает вероятность успеха атакующего и минимизирует последствия, называется безопасностью

Господа докладывающие, ну неужели это так трудно запомнить?( Вас же слушать невозможно, когда SQL-injection за 7 минут оказывается и уязвимостью, и атакой, и угрозой, и (внезапно) риском. Это атака и ничего больше. Также, как неправильная обработка данных является уязвимостью, а не угрозой. Также, как нарушение конфиденциальности информационного потока является угрозой, а не уязвимостью или риском. Я уже молчу о том, что безопасность у вас означает все, что угодно (причем в рамках одного и того же вебинара/доклада): от защищенности до риск-менеджмента, патч-менеджмента и прочих SDL (что, конечно же, имеет отношение к безопасности, но никак не является ей самой).

Потратьте PLS 20 минут своего времени и освойте эту терминологию. Если не по этому посту, то по "общим критериям", хотя бы. А то, помимо затруднения в восприятии ваших слов, еще и складывается ощущение, что вы совершенно не понимаете, о чем вообще докладываете =/

вторник, 7 августа 2012 г.

Вся правда об XSS или Почему межсайтовое выполнение сценариев не является уязвимостью?

(*Запоздалый кросс-пост с Хабра)

Должен признаться, что чтение комментариев на Хабре к практически любым постам, описывающим очередную XSS на каком-либо популярном сервисе или сайте, способно повергнуть в уныние любого, кто так или иначе связан с безопасностью веб-приложений. С учетом распространенных среди разработчиков мифов и заблуждений о межсайтовом выполнении сценариев, нет ничего удивительного в том, что он и по сегодняшний день входит в число наиболее распространенных проблем безопасности веб-приложений: согласно данным отчета Positive Technologies за 2010-2011 годы, XSS были подвержены 40% проанализированных веб-приложений, а из отчета Firehost за второй квартал 2012 года следует, что XSS составила 27% от числа зарегистрированных хостером атак.

И поскольку, заминусовать этот пост можно и за один только его заголовок, то поспешу пояснить: межсайтовое выполнение сценариев действительно не является уязвимостью, но только потому, что оно является атакой. В чем разница, почему это важно, как со всем этим бороться и какие еще мифы и заблуждения распространены об XSS - читаем под катом.

Все заблуждения сформулированы в заголовках, порядок произвольный, любые совпадения примеров конкретных атак и уязвимостей с реально существующими - случайны и непреднамеренны.

вторник, 5 июня 2012 г.

Если бы пентестеры работали как вирусные аналитики


1. В исследуемой системе обнаружены следы эксплуатации неизвестной уязвимости. Готовим пресс-релиз о принципиально новом классе атак, наводим шумиху в соц.сетях, пиаримся, что только мы можем его обнаруживать.

2. Принципиально новый класс атак использует неизвестный доселе язык запросов. Готовим пресс-релиз, наводим шумиху в соц. сетях, собираем онлайн-консилиум экспертов по языкам, чтобы опознать творение черного разума. Приходим к выводу, что язык был специально разработан для реализации атак, подобно выявленной.

3. Прозрачно намекаем о госдеповском следе в выявленном запросе, попутно списывая на него все ранее не обнаруженные уязвимости.

4. Через несколько дней, ведущие эксперты в области неизвестных уявзимостей приходят к выводы, что это была SQL-инъекция.

5. Не теряя лица заявляем, что хоть это и была SQL-инъекция, но на неизвестном языке и от госдепа, поэтому старательно поддерживаем шумиху.

6. Еще через несколько дней, выясняется, что неизвестным языком внезапно оказался SQL.

7. Версия с госдепом разваливается на глазах, но тут ведущие эксперты по поискам госдеповских следов обнаруживают, что если текст первой половины запроса проксорить со второй и взять хэш от результата, то он совпадет с хэшем девичьей фамилии матери Барака Обамы.

8. Уверенно готовим пресс-релиз, выступаем на конференциях на тему происков госдепа, уклончиво отвечаем на вопросы о том, откуда мы узнали девичью фамилию матери Обамы.

9. Медленно, но уверенно шумиха стихает, но внезапно наши эксперты обнаруживают в исследуемой системе следы эксплуатации неизвестной уязвимости...

воскресенье, 3 июня 2012 г.

PHDays 2012 - мои впечатления

"Итак, как чувствуете вы себя? Как прошел этот утомительный бал? — Потрясающе! — затрещал Коровьев. — Все очарованы, влюблены, раздавлены, сколько такта, сколько умения, обаяния и шарма!" (C) М. Булгаков, "Мастер и Маргарита"

Продолжу уже наметившуюся тенденцию и опишу свои собственные впечатления от прошедшего форума PHDays 2012. На объективность можете даже не рассчитывать, буду субъективен настолько, насколько это возможно :) Так получилось, что этот форум был первым мероприятием подобного рода, в котором я не то, что принял участие, но и вообще - посетил, как таковое. То есть, я не знал, какой должна быть труъ-хакерская конференция, что там должно быть и на каком уровне это все должно быть организовано. Теперь я это знаю. Собственно, на этом можно было бы и закончить, но так как остальные отметившиеся описали свои впечатления чуть более подробно, последую их примеру...

среда, 4 апреля 2012 г.

О vx.netlux.org, PHDays и белых воротничках

Честно говоря, я не собирался писать на эту тему, но читая обсуждения в свете последних событий вокруг изъятия сервера сайта vx.netlux.org и наткнувшись на многочисленные мнения мол “давно было пора этот ресурс закрыть”, “чем больше таких ресурсов закроют, тем лучше” и т.п. от пиджаков и белых воротничков той же отрасли, в которой работаю сам… Просто промолчать я теперь не могу.