Pull to refresh

Вебинар DataLine «Аудит информационной безопасности компании своими силами» 19 мая

DataLine corporate blog Information Security *IT Infrastructure *Cloud services *

На вебинаре расскажем, как проверить работу ИБ в компании своими силами и с помощью бесплатных инструментов.

Подключайтесь к нам, если:

вы ИБ-специалист и хотите получить общее представление о состоянии ИБ в компании, а большого бюджета нет;

у вас нет выделенной службы ИБ, но вы хотите выполнять хотя бы минимальный набор мер для обеспечения практической безопасности.

Подробности и регистрация
Total votes 10: ↑10 and ↓0 +10
Views 1K
Comments 0

Кембридж: особенность компиляторов позволяет добавлять в исходный код вредоносы и обходить ручной аудит

Information Security *Compilers *Research and forecasts in IT *

Исследователи Кембриджского университета описали способ вставки в исходный код программ уязвимости или вредоносного кода, который позволяет успешно проходить ручной аудит. Фактически, они рассказали о методе атак, который использует особенность компиляторов.

Читать далее
Total votes 12: ↑11 and ↓1 +10
Views 1.9K
Comments 2

Семейная тайна: аудиторы Group-IB проверили безопасность приложения FamilyGo

Group-IB corporate blog Information Security *

Специалисты компании Group-IB провели комплексное исследование защищенности нового мобильного приложения FamilyGo. Приложение совмещает функции мессенджера и GPS локатора, который в режиме реального времени позволяет членам семьи отслеживать местонахождение друг друга, в том числе и детей. 

В начале декабря FamilyGo вышло на рынок США и оно уже доступно в магазинах мобильных приложений Google, Apple, Amazon, Samsung и Huawei. По состоянию на ноябрь 2021 года общее количество загрузок на всех платформах превысило 20 000 пользователей, в России число пользователей приближается к 10 000.

Читать далее
Total votes 5: ↑5 and ↓0 +5
Views 646
Comments 1

Правительство утвердило список организаций, которые должны проверить безопасность своих ИС

Information Security *IT Infrastructure *IT-companies

Правительство РФ подписало распоряжение, утверждающее список 72 организаций, которым надо оценить уровень защищённости своих информационных систем.

Читать далее
Total votes 1: ↑1 and ↓0 +1
Views 2.6K
Comments 2

Самый частый шаблон SQL инъекций в РНР — бесполезное экранирование символов

Information Security *
Sandbox
По роду своей деятельности, мне приходится выполнять аудиты безопасности исходного кода веб-приложений.
Много веб-приложений и много кода…

В этой статье я хотел бы поделиться одной простой (очень простой) истиной и статистикой, которые вывел и многократно проверил в течении трех последний лет просмотра тонн РНР кода.

Не секрет, что уязвимости внедрения операторов СУБД (SQL injections) являются самыми распространенными из всех серверных уязвимостей веб-приложений. Есть платформы и фреймворки, где такие вещи практически полностью исключены, например ORM'ом и прочим. Но статистика упорно говорит нам об абсолютном преобладании на просторах Интернета веб-приложений с простыми конкатенированными SQL запросами. Кроме того, есть случаи, где ORM вообще применим быть не может. Например, когда от пользовательских данных должны зависеть не только параметры выражений, но и сама логика запроса на уровне операторов.
Читать дальше →
Total votes 90: ↑78 and ↓12 +66
Views 34K
Comments 148

Google Chrome хакеру не помощник

Information Security *Website development *Google Chrome
О том, как Chrome мешает мне искать XSS-уязвимости.


Почему я ищу уязвимости?


Как и многие из вас, я делаю Code Review и первое, что ищу это конечно уязвимости. Когда уязвимость найдена в коде, хорошо бы проверить есть ли она на самом деле через браузер, потому что бывают «ложные тревоги». Это те случаи, когда данные уже приходят фильтрованными и XSS невозможен. Всегда полезно иметь возможность показать разработчику атаку в действии, потому что это хороший аргумент и помогает быстрее перейти к конструктивному решению проблемы, если есть сомнения, что уязвимость таки существует. Но проверку в браузере я делаю не часто — либо проблема очевидна прямо из кода, либо верят на слово. В общем искать уязвимости — это интересно.

Начало этой истории


Друг скинул ссылки на сайт, который ещё год назад имел XSS-уязвимость, о чем я писал владельцам ресурса. Стало интересно проверить снова. Проверил — XSS есть, но вот простейшего подтверждения выполнения JS я получить не смог!..



Я не ломаю сайты и не занимаюсь аудитом безопасности, поэтому возможно то, что я выяснил давно известно для специалистов, но для меня это было открытием.

Первые подозрения


Итак, стал проверять всевозможные варианты внедрения кода — но без результата. По ходу дела выяснил что и как фильтруется, какие есть проверки и прочее, но alert(1); упорно не выполнялся. По ходу дела нашелся ещё и XSRF — приятный бонус!
Далее я расскажу как я потреля кучу времени, но выяснил одну важную особенность браузера Chrome.
Total votes 116: ↑92 and ↓24 +68
Views 18K
Comments 42

Проверяем виртуальную инфраструктуру VMware на соответствие требованиям стандартов безопасности

Information Security *
vGate Compliance Checker — это бесплатная утилита разработки компании «Код Безопасности», позволяющее проверить соответствие виртуальных инфраструктур требованиям отраслевых стандартов и лучших мировых практик.

Результатом работы приложения является отчет (который можно выгрузить в HTML-формат), содержащий информацию о соответствии проверяемого сервера (нескольких серверов) требованиям отраслевых стандартов и лучших мировых практик.

Может стать полезным инструментом не только для специалистов по информационной безопасности.
Читать дальше →
Total votes 5: ↑5 and ↓0 +5
Views 5.7K
Comments 3

Методика аудита ИБ

Information Security *
Sandbox
Как определить степень защищенности системы (объекта информатизации)?
Сегодня существует два наиболее распространенных типа аудита ИБ: первый – оценка соответствия требованиям стандартов (compliance) и второй – моделирование угроз и оценка рисков.
Оба типа имеют недостатки, результатом которых может стать некорректная оценка. В первом случае мы проверяем соответствие нашей системы требованиям, предъявляемым к широкому кругу систем. Эти требования не могут учитывать специфику конкретной системы, и поэтому существует вероятность наличия излишних требований или недостатка необходимых. Во втором случае результат зависит только от квалификации и осведомленности аудитора.

Под катом описана методика аудита ИБ, минимизирующая эти недостатки.
Читать дальше →
Total votes 6: ↑4 and ↓2 +2
Views 8.2K
Comments 8

Что такое системы управления уязвимостями на примере облачной платформы QualysGuard

Information Security *
Sandbox

Почему я решил написать этот текст.


Моя профессиональная деятельность связана развитием каналов продаж и поэтому мне приходится часто знакомиться с решениями ИБ и ИТ в живую, чтобы прочувствовать их. Я решил написать о сервисе управления уязвимостями QulysGuard по причине того, что в русскоязычном интернете информации для понимание что это такое минимум. А сервис интересный и для российского рынка все ещё новый.

С причинами необходимости управления уязвимостями можно познакомиться по ссылке penetrationtest.ru/uslugi-i-resheniya/preventivnoe-snizhenie-riskov, на курсах обучения CSO и прочитав книгу Vulnerability Management by Park Foreman. Это понимание только начинает осознаваться в России и странах СНГ, но этому не стоит удивляться.
Читать дальше →
Total votes 11: ↑5 and ↓6 -1
Views 8.7K
Comments 9

Опыт работы c бесплатными облачными сервисами для проверки уровня защищенности web браузеров дома и в организациях

Information Security *
Добрый день, Друзья.
Хочу поделиться небольшим опытом работы с бесплатными решениями по проверке безопасности web браузеров в организациях и дома.


Недавно мои коллеги столкнулись с задачей проверки защищенности клиентских web браузеров и мы решили попробовать как можно решить эту задачу быстро, при минимальных капиталовложениях и эффективно. На просторах интернета мы смогли найти следующие бесплатные сервисы по проверке браузеров:

  • Surfpatrol (от компании Positive Technologies). Воспользоваться можно по ссылке www.surfpatrol.ru
  • Qualys BrowserCheck (от компании Qualys). Воспользоваться можно по ссылке browsercheck.qualys.com
  • BrowserCheck Business Edition (от компании Qualys). Позволяет проверять уровень защищенности браузеров в компаниях. Воспользоваться можно по ссылке www.qualys.com/forms/browsercheck-business-edition.

Описание работы данных сервисов в интернете в достаточном кол-ве и описывать пошаговую инструкцию работы с ними я не буду.
Но хочу поделиться результатами работы данных сервисов с разными браузерами, различием в функциональности и особенности работы. Т.к. эти сервисы на текущий момент стремительно развиваются, то я могу дать оценку их работам на момент проведения тестирования.
Читать дальше →
Total votes 2: ↑0 and ↓2 -2
Views 1.8K
Comments 0

Аудит безопасности от REG.RU – что это и для чего он необходим?

REG.RU corporate blog Information Security *
Recovery mode


Введение
Современный мир характеризуется чрезвычайно быстрым ростом объемов информации, глобализацией и компьютеризацией всех слоев общества. Информационные технологии прочно укоренились в нашей жизни – большая часть населения планеты практически постоянно использует доступ в Интернет для работы, обучения, игр, развлечения. Это закономерно влечет за собой монетизацию всех возможных сервисов. Следовательно, линейно возрастает общее количество затрачиваемого времени на совершение операций с использованием пластиковых карт: безналичный расчет при оплате покупок товаров, транзакции в системах онлайн-банкинга, валютный обмен и прочие платежные операции с поставщиками услуг. Соответственно расширяется «веб-пространство», в котором существует информация о владельцах карт и других аутентификационных данных.

Увеличение количества и разнообразия сервисов, доступных конечному пользователю через Интернет, прямо пропорционально расширению поля для мошенничества. В контексте рассматриваемой проблемы основные виды атак злоумышленников можно определить как:
  • Атака на поставщика услуг
  • Атака на конечного пользователя

В случае атаки на конечного пользователя борьба со злоумышленниками ведется преимущественно установкой клиентского программного обеспечения, соответствующего требованиям безопасности, и информированием пользователя о возможных угрозах. Когда же атака направлена на вендора – необходимы комплексные меры защиты, особым этапом которых является предотвращение вторжений. Столь важную роль предотвращения вторжения можно объяснить тем, что утечка даже части конфиденциальных данных и использования их злоумышленниками ведет к значительным финансовым потерям как поставщика услуг, так и конечного пользователя. Поэтому для уменьшения риска взлома сервиса, перебоев в работе, утечки данных, а также для сохранения репутации ресурса рекомендуется проводить аудит информационной безопасности.
Читать дальше →
Total votes 26: ↑6 and ↓20 -14
Views 14K
Comments 4

Payler: обновление сертификации PCI DSS до версии 3.0 — DONE

Payler corporate blog Information Security *Payment systems *Development for e-commerce *


Дорогие друзья,

Мы в Payler уделяем особое внимание защите данных держателей карт. Еще до нового года мы обозначили свои планы относительно обновления сертификации безопасности PCI DSS до версии 3.0, так как понимали, что в скором будущем текущая версия 2.0 устареет и перестанет отвечать постоянно растущим требованиям к уровню безопасности.

Мы прошли аудит PCI DSS версии 3.0 и спешим рассказать вам, как это было. Но сначала отметим ключевые изменения в процессе обеспечения безопасности, отличающие версию 3.0:
Читать дальше →
Total votes 13: ↑12 and ↓1 +11
Views 4K
Comments 5

Грамотный аудит безопасности сайта

Information Security *
Sandbox
Безопасность веб-приложений всегда была больной темой. Говорят о ней много, но общая картина от этого практически не меняется – хакерских атак по-прежнему немало, и зачастую они весьма успешны для злоумышленников и затраты для пострадавших.

С серьезной проблемой столкнулись владельцы южнокорейской торговой площадки Interpark – хакер проник в их базу данных, украл из нее информацию о 10 млн. клиентов и сейчас требует выкуп за ее неразглашение. Также в список громких инцидентов вошел взлом официального форума Ubuntu с помощью SQL-инъекции через хорошо известную уязвимость в движке vBulletin. Похищены персональные данные 2 млн. пользователей.

Все это – только за текущий июль. И только касательно крупных сайтов. Сложно представить, сколько происходит нападений на более мелкие проекты. Впрочем, исследователи из Wallarm не поленились и посчитали – за 2015 год ими было зафиксировано 100 млн. атак на веб-ресурсы своих клиентов.
Читать дальше →
Total votes 24: ↑10 and ↓14 -4
Views 8.1K
Comments 3

Проверка паролей пользователей домена Windows на стойкость к атаке по словарю без компрометации пароля

Information Security *
Sandbox
Добрый день, коллеги. Хочу рассказать о полученном мной интересном опыте. Может быть кому-то пригодится.

В современном мире пароли используются повсеместно. На корпоративном компьютере, на личном телефоне и планшете, в почте и т.д. И казалось бы всем уже неоднократно объяснялось, что пароль должен быть стойким. Показывались рекомендации, что пароль не должен содержать личные данные, словарные слова, простые комбинации и т.д. Но тем не менее, еще множество людей продолжают использовать простые пароли. Что является не только нарушением требований безопасности, но представляет серьезную опасность как личным так и корпоративным данным.

Соответственно, возникает задача с помощью подручных средств, без установки сложного ПО, проверить пароли пользователей домена на стойкость к атаке по словарю. При этом, нужно сохранить конфиденциальность паролей. Т.е. чтобы проверяющий не видел пароли в открытом виде, но при этом мог однозначно сказать, что пароль является словарным словом.

В связи с тем, что у нас домен построен на базе Microsoft Windows, для решения этой задачи было решено сравнивать хеши паролей пользователей домена с хешами словаря. В целом такой подход можно применить к хешам из любых систем. Изменятся только методы получения хешей пользователей.
Читать дальше →
Total votes 22: ↑21 and ↓1 +20
Views 25K
Comments 27

Check Point Security CheckUP — R80.10. Часть 2

TS Solution corporate blog System administration *IT Infrastructure *Cisco *Network technologies *
Tutorial
Продолжаем цикл статей посвященный аудиту безопасности сети с помощью Check Point Security CheckUP. В первой статье мы обсудили основные возможности, а вторая часть будет посвящена подготовке платформы для CheckUP. Кроме того, совсем недавно состоялся официальный релиз новой платформы R80.10 и именно ее мы рассмотрим.

Как было сказано ранее, схема работы CheckUP примерно следующая:
image
Т.е. нам необходимо мониторить копию трафика (подключение к SPAN порту). На рисунке трафик зеркалируется на Check Point Appliance, однако не всегда есть возможность (или желание) получить такую железку. В этом случае мы можем использовать виртуальную машину. Это гораздо быстрее и достаточно в 95% случаев. В качестве гипервизора поддерживается VMware ESXi (а также VMware Workstation), KVM и Hyper-V. Но на наш субъективный взгляд на VMware работает все шустрее.
Далее будет очень много картинок…
Читать дальше →
Total votes 5: ↑5 and ↓0 +5
Views 13K
Comments 2

Check Point Security CheckUP — R80.10. Часть 3

TS Solution corporate blog System administration *IT Infrastructure *Cisco *Network technologies *
Tutorial


Третья и заключительная часть, касающаяся возможности проведения бесплатного аудита безопасности сети с помощью Check Point Security CheckUP. Если вы пропустили прошлые части:


Закончив установку и инициализацию мы можем приступить к самой настройке. Далее будет следовать большое кол-во картинок. Если же вам лень читать, то можете подписаться на наш YouTube канал, где в скором времени появится видео инструкция по CheckUP.
Читать дальше →
Total votes 6: ↑6 and ↓0 +6
Views 9.7K
Comments 4

Видео-инструкция по Check Point Security CheckUP R80.10. Аудит безопасности сети

TS Solution corporate blog System administration *IT Infrastructure **nix *Network technologies *
Tutorial

Как мы и обещали ранее, подготовлена подробная видео-инструкция по самостоятельному проведению аудита безопасности сети с помощью Check Point Security CheckUP R80.10. Ранее были опубликованы три части:


Однако с помощью текста и картинок весьма трудно создать подробное описание. Специально для этого мы подготовили видео-инструкцию, которая также состоит из трех частей:
Total votes 8: ↑7 and ↓1 +6
Views 8.7K
Comments 0

«Взломайте нас, чтобы было красиво»

Information Security *IT systems testing *IT Infrastructure *Web services testing *


Дисклеймер


Данная статья отражает личный опыт и мнение её авторов и написана с целью призвать сообщество к обсуждению. Здесь не будут называться имена, ни на кого не будут показывать пальцем.


Мы попытаемся обратить внимание на то, что считаем проблемой современного российского рынка услуг в сфере информационной безопасности.


Введение


Чтобы читателям был понятен контекст, мы решили начать с бэкграунда. Статья написана аналитиком информационной безопасности (мной) и специалистом по тестированию на проникновение (моим коллегой InfiniteSuns ).


Работая с заказчиками, мы систематически сталкиваемся с непониманием сути оказываемых нами услуг. Нередко это непонимание вызвано тем, что оно перенеслось на заказчика от компании, которая оказывала эти услуги. Однажды в ходе проведения внутреннего пентеста повышение привилегий и устранение средств защиты на предоставленной заказчиком офисной машине вызвало недоумение у начальника службы ИБ.


Далее в ходе обсуждения выяснилось, что до этого под названием «пентест» заказчику продавали сканирование внутренней сети при помощи «nmap» с параметром «--script vuln». Естественно, в очередной раз заказчик ожидал от пентестеров подобного поведения и искренне удивился, когда они начали захватывать его контроллер домена.

Читать дальше →
Total votes 45: ↑40 and ↓5 +35
Views 34K
Comments 30

Двойка вам, или аудит со взломом

Information Security *Sport programming *IT systems testing *System administration *System Analysis and Design *

Как всегда без имен и названий, и так как я дополнительно связан подписью о неразглашении, еще и с немного видоизменённой историей (и опуская некоторые подробности, на публикацию которых я не получил разрешения).
Ниже следует реальная история проникновения на компьютер сотрудника… ну скажем некоторого частного банка. События, о которых повествует ваш покорный слуга, происходили в некоторой европейской стране не так что бы давно, еще до DSGVO (GDPR, RGPD) но в процессе становления оного, в преддверии так сказать.


Собственно началось всё с аудита безопасности — ..., интервью, разглядывания под лупой всего и вся, поиском и проработкой потенциальных лазеек и узких мест на пролезть (как туда, так и оттуда), ..., и собственно разбора полётов. На котором заказчик получил в итоге неутешительный для него вывод — "троечка с натяжкой".


Опустим слова, которые пришлось выслушать от краснеющих на глазах IT-безопасников, но общий лирический посыл таков — я бросаюсь голословными обвинениями, а у них — всё на замке, а ключ у CSO в кармане под сердцем.


Попытки объяснить, что система безопасности выстроенная вокруг firewall+proxy+webwasher like content-filter & antivirus, без какой-либо худо-бедно настроенной гибридной IDS (HIDS+APIDS), хонепотов и т.д. и т.п., во первых по определению не является безопасной, во вторых я же как бы показал уже несколько мест, где оно как минимум не комильфо. Попытки вернуться к конструктивному диалогу (собственно обратно к разбору) разбивались о трехэтажную стену обиды, выстроенную всем отделом.


Свернув совещание и отпустив сотрудников, CSO вкупе с двумя важными начальниками попытался всё-таки честно выяснить у меня где собака порылась и понять как дальше жить как собственно и что конкретно, по моему скромному мнению, нужно делать.

Читать дальше →
Total votes 58: ↑51 and ↓7 +44
Views 24K
Comments 88