Интересно то, что некоторые .onion-ресурсы содержались не только в заголовках referrer, но и в других частях пакета, поэтому, чтобы ничего не упустить, лучше записывать полный дамп HTTP-сессии. Возможно, лучше ограничить набор портов для exit-ноды, чтобы сократить размер дампов.
Упоминание шеллкода как «боевой нагрузки» или «полезной нагрзуки» принес с собой Metasploit Framework, где синонимом слова «shellcode» выступает «payload» (подробности: ru.wikipedia.org/wiki/Metasploit)
Примечателен тот факт, что создатели, при передаче панели управления ботнетом конкретному заказчику, заботятся об уникальности ее темы оформления и .css-файлов, что позволяет однозначно идентифицировать инициатора утечки даже по скриншотам. Будем ждать комментариев «из первых уст».
«Anonymous угрожает...», УБН США рекомендует…
Создается впечатление, что лейбл «Anonymous» становится инструментом морального давления на свою цель посредством СМИ. В данном случае этот инструмент, кажется, находится в руках УБП США.
> Объясните пожалуйста подробней, как из одного следует другое?
Пользователь вводит информацию в браузере с установленным плагином от ПС => определенная информация попадает в кэш. Пользователь посещает страницу с установленным скриптом статистики => определенная информация попадает в кэш. Пользователь использует браузер fx.yandex.ru/ => определенная информация попадает в кэш. Таким образом: определенная информация от различных источников в сумме может образовать конфиденциальную информацию.
>Вы же в статье пишите, что
В статье я описываю результаты исключительно своего эксперимента. В моем случае он ничего не спровоцировал, но в СМИ была опубликована информация о том, что именно Я.Метрика послужила причиной утечки.
Автор привел результаты исследований, но предоставляет читателю возможность ответить на вопрос в заголовке статьи самостоятельно.
> Бары собирают данные и раскладывают их по пиринговым сетям?
Не совсем. Рассмотренные каналы утечки: 1) Я.Метрика/GoogleAnalytics — скрипты сервиса для веб-мастеров 2) Я.Бар/GoogleToolbar — расширения для браузеров. Каждый из указанных каналов передает информацию поисковой системе, таким образом в кэш попадают фрагменты конфиденциальных данных.
> Автор, по-видимому, придирчиво искал платёжную систему, так как передача конфиденциальных данных через GET — довольно замшелый косяк (оседают в истории браузера и логах сервера).
Автор искал банк для совершения платежной операции, а уязвимая (на тот момент) система интернет-банкинга нашла его сама.
Автор посчитал, что данный вектор утечки на момент исследования является менее приоритетным по указанным в статье причинам (комментарии разработчиков Яндекса и отсутствие результатов за длительный временной промежуток).
Уверяю Вас, что даже на текущий момент страницы, содержащие скрипт Я.Метрики не попали в поисковую выдачу.
>> Интересный пункт, кто это определяет аудитор? а если у меня приложение на brainfuck?
Аудитор проверяет актуальность установленных обновлений безопасности на всех системных компонентах и приложениях, анализирует регламенты внесения изменений в приложения и политику обновления программного обеспечения. Даже если приложение типа «brainfuck», оно, так или иначе, должно быть исследовано на наличие потенциальных уязвимостей (фаззинг, сканирование), однако существует риск, что данное программное обеспечение не будет удовлетворять некоторым пунктам требования 6 стандарта PCI DSS. В таком случае оценка «критичность» невыполнения подпунктов данного требования ложится на аудитора, которой в праве составить список компенсирующих мер.
>> много ли, каким порядками исчисляется количество PSI DSS compliance организаций, десятками, сотнями...?
Количество организаций, которые уже получили сертификат соответствия, определяется числом торгово-сервисных предприятий, которые являются партнерами МПС Visa и MasterCard, так как данные платежные системы обязывают всех своих партнеров проходить сертификацию.
«Тотальность» угрозы слегка преувеличена, но недооценивать ее тоже вредно, и в этом, кстати, смысл статьи. Часто, отключая автозагрузку с внешних носителей типа CD-ROM, без внимания оставляют разрешенными на подключения устройства, использующие периферийные порты. В данном случае, на примере USB рассматривается процедура создания средства, которое в автоматизированном режиме осуществляет кражу информации (по сути, автозагрузка граббера), тем самым демонстрируются возможности злоумышленника в случае политики, разрешающей подключение периферийных устройств.
Благодарю за содержательный и полезный комментарий.
Согласен, материал представляет собой некую компиляцию мыслей и тем самым становится очень размытым, однако, взаимосвязь между «прокачкой флешки» и «Аккордом» есть, пусть и малозаметная.
Псевдоанализ угроз в начале статьи знакомит с проблемой инсайдинга в общих чертах и устанавливает контекст дальнейших мыслей. USB мы не считаем «главным каналом утечки», но демонстрируем варианты его эксплуатирования и пытаемся показать, что в подавляющем большинстве случаев инициализации этого вектора вполне достаточно для осуществления кражи информации. В завершении материала, упоминается существование специализированных программно-аппаратных комплексов, предназначенных закрыть каналы утечки подобного типа. На примере «Аккорда» рассматривается вариант «обхода» программно-аппаратного комплекса и сохранение вектора атаки в виде USB.
Создается впечатление, что лейбл «Anonymous» становится инструментом морального давления на свою цель посредством СМИ. В данном случае этот инструмент, кажется, находится в руках УБП США.
Пользователь вводит информацию в браузере с установленным плагином от ПС => определенная информация попадает в кэш. Пользователь посещает страницу с установленным скриптом статистики => определенная информация попадает в кэш. Пользователь использует браузер fx.yandex.ru/ => определенная информация попадает в кэш. Таким образом: определенная информация от различных источников в сумме может образовать конфиденциальную информацию.
>Вы же в статье пишите, что
В статье я описываю результаты исключительно своего эксперимента. В моем случае он ничего не спровоцировал, но в СМИ была опубликована информация о том, что именно Я.Метрика послужила причиной утечки.
> Бары собирают данные и раскладывают их по пиринговым сетям?
Не совсем. Рассмотренные каналы утечки: 1) Я.Метрика/GoogleAnalytics — скрипты сервиса для веб-мастеров 2) Я.Бар/GoogleToolbar — расширения для браузеров. Каждый из указанных каналов передает информацию поисковой системе, таким образом в кэш попадают фрагменты конфиденциальных данных.
> Автор, по-видимому, придирчиво искал платёжную систему, так как передача конфиденциальных данных через GET — довольно замшелый косяк (оседают в истории браузера и логах сервера).
Автор искал банк для совершения платежной операции, а уязвимая (на тот момент) система интернет-банкинга нашла его сама.
Спасибо!
Уверяю Вас, что даже на текущий момент страницы, содержащие скрипт Я.Метрики не попали в поисковую выдачу.
Аудитор проверяет актуальность установленных обновлений безопасности на всех системных компонентах и приложениях, анализирует регламенты внесения изменений в приложения и политику обновления программного обеспечения. Даже если приложение типа «brainfuck», оно, так или иначе, должно быть исследовано на наличие потенциальных уязвимостей (фаззинг, сканирование), однако существует риск, что данное программное обеспечение не будет удовлетворять некоторым пунктам требования 6 стандарта PCI DSS. В таком случае оценка «критичность» невыполнения подпунктов данного требования ложится на аудитора, которой в праве составить список компенсирующих мер.
>> много ли, каким порядками исчисляется количество PSI DSS compliance организаций, десятками, сотнями...?
Количество организаций, которые уже получили сертификат соответствия, определяется числом торгово-сервисных предприятий, которые являются партнерами МПС Visa и MasterCard, так как данные платежные системы обязывают всех своих партнеров проходить сертификацию.
Со списком организаций, получивших статус QSA, можно ознакомиться на официальном сайте PCI SSC https://www.pcisecuritystandards.org/approved_companies_providers/qsa_companies.php
Спасибо за внимание к материалу.
Согласен, материал представляет собой некую компиляцию мыслей и тем самым становится очень размытым, однако, взаимосвязь между «прокачкой флешки» и «Аккордом» есть, пусть и малозаметная.
Псевдоанализ угроз в начале статьи знакомит с проблемой инсайдинга в общих чертах и устанавливает контекст дальнейших мыслей. USB мы не считаем «главным каналом утечки», но демонстрируем варианты его эксплуатирования и пытаемся показать, что в подавляющем большинстве случаев инициализации этого вектора вполне достаточно для осуществления кражи информации. В завершении материала, упоминается существование специализированных программно-аппаратных комплексов, предназначенных закрыть каналы утечки подобного типа. На примере «Аккорда» рассматривается вариант «обхода» программно-аппаратного комплекса и сохранение вектора атаки в виде USB.
Спасибо.