Гостей форума Positive Hack Days III ждут не только интересные доклады, конкурсы и соревнования CTF, но и многочисленные мастер-классы. Hands-On Labs на PHDays — это практические занятия, проходящие под девизом «меньше слов, больше дела». Под руководством ИБ-гуру со всего мира слушатели глубоко погружаются в тему и своими руками решают практические задачи из области информационной безопасности. Чтобы принять участие в занятиях, нужно лишь иметь базовую подготовку, тягу к новым знаниям и принести с собой ноутбук.

В процессе разработки многокомпонентной системы автоматизированного тестирования сканера безопасности мы столкнулись с проблемой контроля целостности кода отдельных тестовых функций и проведения ревизий.

Число написанных функциональных тестов, которые запускает система, уже превысило несколько тысяч и продолжает увеличиваться. В нашем случае один функциональный тест — это одна функция. При таком методе разработки после присвоения тесту статуса «Готов» о нем надолго забывают.

Между тем в процессе разработки других тестовых функций часто возникает необходимость рефакторинга. Причем этот процесс по невнимательности тестировщика-автоматизатора может затронуть и уже готовые отлаженные тесты.

Сам по себе рефакторинг любой программы, даже если он затрагивает множество модулей и функций, — обычное и вполне полезное дело. Однако в отношении тестовых функций это не всегда так. Каждый тест разрабатывается для реализации конкретного алгоритма проверки. Логика проверки, которую закладывал автор, может быть нарушена даже при незначительных изменениях в коде теста.

Чтобы избежать негативных последствий подобных ситуаций, мы разработали механизм ревизий кода тестовых функций, с помощью которого можно одновременно и контролировать целостность функций, и дублировать их код.

Летом прошлого года мы рассказывали о своей попытке облегчить процесс ориентирования в офисе, вылившейся в создание карты, на которой можно посмотреть местонахождение всех сотрудников компании. За прошедшее время мы переехали в новый офис, поэтому (ну и потому что хотелось все сделать еще лучше) было решено перепроектировать карту с учетом накопленного опыта.

Кратко напомним, зачем нам вообще понадобилось создавать карту своего офиса. Наша компания в последние годы достаточно бурно развивается, и количество сотрудников постоянно увеличивается (сейчас нас больше 300 человек). Соответственно, и найти нужного тебе коллегу среди такого количества людей бывает непросто, а с помощью карты легко можно узнать, где именно в офисе он сидит. Часто приходится решать и обратную задачу: бывает, что визуально человек знаком, известно и местонахождение его рабочего места, но вот ни имени, ни адреса электронной почты вспомнить не удается. Эти данные можно получить, кликнув по нужному столу на карте.

Два с половиной месяца остается до форума по информационной безопасности Positive Hack Days, который пройдет 23 и 24 мая в московском Центре международной торговли. В этом году в работе форума примут участие 2000 экспертов в области ИБ со всего мира. Если вы хотите поделиться результатами своих исследований, если вам есть о чем рассказать сообществу, то мы ждем вас на PHDays в качестве докладчика.

Подать заявку на участие в программе PHDays III можно до конца второго этапа Call for Papers, который завершится 14 апреля 2013 г. После первого этапа Call For Papers стали известны первые участники, которые выступят на форуме.

С появлением первых средств защиты информации возникли первые насущные вопросы: как узнать, что возведенные баррикады работают и защищают? как быстрее реагировать на оповещения? как понять, какие угрозы удалось предотвратить? Работает ли наш файерволл, можно узнать, выполнив ICMP ping: если правила в ACL (access control list) работают, то ответов, содержащих echo reply, быть не должно. Можно через консоль устройства просмотреть журнал событий, разбирая сотни или тысячи строк вручную и пытаясь увидеть отраженную или выявленную угрозу.

С проблемой увеличения времени сборки проекта сталкиваются практически все разработчики как минимум раз в год. Сборка — дело небыстрое, что особенно неприятно при использовании практики Continuous Integration с ее постоянными пересборками и сопутствующими активностями. Длительная сборка сводит на нет все плюсы непрерывной интеграции, а простое увеличение вычислительных мощностей не всегда дает желаемый эффект.

В процессе разработки и дальнейшего развития крупного разнородного проекта мы также столкнулись с проблемами оптимизации. Но должны же быть способы уменьшить время сборки? Мы решили найти способ решения этой задачи. Собрать за 60 секунд!..



О том, чего в итоге удалось добиться, и пойдет речь в нашем топике.

Английский термин compliance означает соответствие одному из высокоуровневых стандартов (таким как SOX, PCI DSS, Basel II, GLBA). Проводить проверку на соответствие этим документам необходимо для того, чтобы определить, насколько хорошо в вашей организации соблюдаются требования, описанные данными стандартами (разрешенная длина паролей, наличие внутренних регламентов и политик, время устранения уязвимостей и т. п.).

Помимо международных стандартов существуют их отечественные аналоги, корпоративные политики и требования NIST.Проводить оценку соответствия этим документам также необходимо. Стандарты содержат наборы требований: выполнение всех требований стандарта фактически означает соответствие ему. Пример отдельного требования: «Должен иметься дисциплинарный процесс для служащих, которые произвели нарушение защиты» (ИСО/МЭК 2005 A.8.2.3).

Одиннадцатого декабря прошлого года вышел бюллетень Microsoft, связанный с уязвимостью, обнаруженной в Microsoft File Handling Component. Уязвимости был присвоен ранг критической и категория Remote code execution. Удаленное выполнение кода происходит при открытии жертвой общего сетевого ресурса с содержимым, сформированным злоумышленником особым образом. Подробности эксплуатации приводятся в данном отчете.

Результаты, были получены на Windows XP SP3 x86. Сама уязвимость находится в функциях FindFirstFileExW и FindNextFileExW библиотеки kernel32.dll, которые осуществляют копирование данных, полученных из нативной функции NtQueryDirectoryFile, с помощью memmove. Проблема заключается в том, что в качестве размера буфера-источника для функции копирования передается число, полученное из NtQueryDirectoryFile, хотя возможна ситуация, при которой размер буфера-приемника может быть меньше, чем результат выдачи NtQueryDirectoryFile.

Влияние данной уязвимости распространяется на все приложения, использующие функции семейства FindFirstFile/FindNextFile. Первым таким приложением, которое пришло мне в голову, было explorer.exe. Для эксплуатации злоумышленнику достаточно будет заставить пользователя открыть ссылку на зловредный ресурс, и при удачном исходе он сможет получить возможность исполнить код с правами пользователя, открывшего ссылку. Сценарий удаленной эксплуатации, как подсказывает раздел FAQ бюллетеня Microsoft, возможен через UNC share или через WebDAV-путь. Путь UNC (Universal Naming Convention) может указывать на сетевой ресурс обмена файлами, который работает на основе протокола SMB. Для теста был выбран Linux с сервисом Samba, который позволяет создавать «расшаренные» папки на основе этого протокола. В итоге хотелось смоделировать следующую схему удаленной атаки.

Чтобы понимать, в каком хрупком цифровом мире мы сейчас живем, не обязательно читать новости: достаточно посмотреть сериалы. Николас Броуди из Homeland дает террористу код от кардиостимулятора вице-президента США, противник Декстера взламывает компьютер, чтобы скомпрометировать главного героя, а персонаж Breaking Bad размагничивает жесткий диск с уликами в ноутбуке полицейского отделения.

Благодаря всеобщей компьютеризации современные злоумышленники могут одинаково легко телепортировать любую необходимую команду что домашнему телевизору с оболочкой SmartTV, что промышленному роботу на автомобильном заводе. Ежедневно во всем мире регистрируется 10 млн атак на компьютерные сети.

Проводя ежегодный конкурс среди молодых исследователей, мы пытаемся понять — есть ли в стране, которую населяют страшные «русские хакеры», молодые и талантливые специалисты по защите информации, способные в будущем остановить надвигающийся на планету хаос?

Всем привет! В одной из наших предыдущих статей мы рассказали о реализации функции асинхронного пинга в рамках задачи по созданию «пингера» для его дальнейшего использования при пентестах организаций с большим количеством рабочих станций. Сегодня мы поговорим о покрытии нашего пингера (логика и сетевая часть) модульными тестами.

Понятно, что необходимость написать код, который пройдет тестирование, — дисциплинирует и помогает грамотнее планировать архитектуру. Тем не менее, первая мысль о покрытии юнит-тестами асинхронного кода на Boost.Asio была примерно такая: «Что?! Это абсолютно невозможно! Как можно написать тест, основанный на сетевой доступности узла?»

15—17 декабря 2012 года прошли отборочные соревнования под названием PHDays CTF Quals. Более 300 команд боролись за право участия в конкурсе PHDays III CTF, который состоится в мае 2013 года в рамках международного форума PHDays III. В течение последних двух месяцев наша команда усиленно разрабатывала задания для отборочных соревнований, и эту статью мы решили посвятить разбору одного из них – Binary 500. Данное приложение весьма необычно, поэтому ни одна команда не смогла достать флаг, спрятанный в ее недрах.

Исполняемый файл представляет собой MBR-буткит, использующий технологию аппаратной виртуализации (Intel VT-x). В связи с этим мы решили сразу предупреждать пользователей, что приложение может нанести вред системе, и что его нужно запускать на виртуальной машине или эмуляторе.



Предупреждение и лицензионное соглашение

ASLR — это Address Space Layout Randomization, рандомизация адресного пространства. Это механизм обеспечения безопасности, который включает в себя рандомизацию виртуальных адресов памяти различных структур данных, чувствительных к атакам. Расположение в памяти целевой структуры сложно предугадать, поэтому шансы атакующего на успех малы.

Реализация ASLR в Windows тесно связана с механизмом релокации (relocation) исполняемых образов. Релокация позволяет PE-файлу загружаться не только по фиксированной предпочитаемой базе. Секция релокаций в PE-файле является ключевой структурой при перемещении образа. Она описывает, какие необходимо внести изменения в определенные элементы кода и данных для обеспечения корректного функционирования приложения по другому базовому адресу.

Время от времени специалисты по защите информации встречаются на соревнованиях, проводимых по принципу Capture the Flag, чтобы лицом к лицу узнать, кто лучше умеет защищаться или нападать. Такие состязания привлекают все больше зрителей.

Вы знакомы с поиском уязвимостей и желаете поучаствовать?

В декабре стартует PHDays CTF Quals — отборочный этап международных соревнований по защите информации PHDays CTF. Шансы равны у всех: не только известные команды, но и начинающие исследователи могут попробовать завоевать путевку в финальную стадию хакерской битвы. Турнир пройдет в конце мая 2013 года на международном форуме Positive Hack Days III.

Формируйте свою команду, подавайте заявку — и вперед!

В начале ноября 2012 года ударная бригада PositiveTechnologies имела неосторожность принять приглашение организаторов и выступить на конференции Power of Community (POC) в Сеуле (Южная Корея).

Пока впечатления не развеялись, хочу поделиться тем, как делается безопасность в Стране утренней свежести.

Под катом много фото.

Итак, начнем. В июле 2011 года Roee Hay и Yair Amit из IBM Research Group обнаружили UXSS-уязвимость в используемом по умолчанию браузере Android. Эта ошибка позволяет вредоносному приложению внедрить JavaScript-код в контекст произвольного домена и захватить файлы Cookies или произвести другие вредоносные действия. Эта уязвимость была устранена в версии Android 2.3.5.

21 июня 2012 года для Android был выпущен Google Chrome. Я смог найти в нем весьма интересные ошибки. Взгляните сами.

Атомные и гидроэлектростанции, нефте- и газопроводы, заводы, транспортные сети (метро и скоростные поезда), а также многие другие жизненно важные для человечества системы управляются с помощью различных компьютерных технологий.

Широкий интерес к защищенности промышленных систем возник после серии инцидентов с вирусами Flame и Stuxnet, которые стали первыми ласточками эпохи кибервойн. В России же есть еще один повод обратить внимание на защищенность подобных систем — новые требования регуляторов, направленные на повышение безопасности АСУ ТП (ICS/SCADA/PLC).

Для выбора адекватных мер безопасности необходимо понимать, какими возможностями обладает киберпреступник и какие векторы нападения он может использовать. Чтобы ответить на эти вопросы эксперты Positive Technologies провели исследование безопасности АСУ ТП (ICS/SCADA). Результаты под катом.

Одним из этапов сканирования узла на наличие уязвимостей является определение его сетевой доступности. Как известно, сделать это можно несколькими способами, в том числе и посредством команды ping.

Для одного из проектов по анализу защищенности в организации с большим количеством рабочих станций нам понадобилось разработать собственный «пингер».

Всем привет! Приглашаем вас выступить с докладами в программе международного форума по практической безопасности Positive Hack Days III, который состоится 22-23 мая 2013 года.

Прошедший в 2012 году форум собрал 1500 специалистов по ИБ со всего мира. Состоялось более 50 докладов, мастер-классов, семинаров и круглых столов. Среди выступавших были виднейшие представители отрасли, такие как Брюс Шнайер и председатель IMPACT Датук Мохд Нур Амин. Александр Гостев из «Лаборатории Касперского» впервые подробно рассказал о шпионской программе Flame, а Хейзем Эль Мир поведал о противостоянии Туниса и Anonymous. На PHDays 2012 успешно взламывали Apple iPhone, Windows XP и FreeBSD, моделировали ситуации похищения финансовых средств из банкоматов и систем ДБО и захват управления над промышленными объектами через АСУ ТП (SCADA).

Если вы хотите поделиться своим опытом, результатами исследований или продемонстрировать свои навыки, то в конце мая 2013 года мы ждем вас в Москве. Без вас это событие не состоится!

Расширенный фильтр записи (Enhanced Write Filter, EWF) — это дополнительный компонент, использующийся в Windows Embedded. EWF делает дисковый том доступным только для чтения. При этом операции записи, которые выполняются с данными, хранящимися на этом дисковом томе, перенаправляются в его наложение, которое может находиться на другом диске или в памяти компьютера. Windows рассматривает наложение EWF и его дисковый том как единое устройство. При этом фактически на дисковом томе не происходит изменений. Все изменения сохраняются только в наложении EWF. Изменения можно сохранить на дисковый том в любой момент времени.

Инспекция кода — это хорошо. Мы используем эту технику в своих проектах не так давно — около трех месяцев, — однако положительные результаты налицо. Мы уже рассказывали на Хабре о внедрении инспекций в процесс разработки, о документообороте при инспекциях, рассказывали о том, как можно оптимизировать процесс инспектирования с помощью инструмента Code Collaborator. Сегодня мы хотим подвести итоги и представить результаты, которых нам удалось достичь за время инспектирования. Поехали!..