• Passive DNS в руках аналитика

      Система доменных имен (DNS) является подобием телефонной книги, которая переводит удобные для пользователя имена, такие как «ussc.ru», в IP-адреса. Так как активность DNS присутствует практически во всех сеансах связи, независимо от протокола. Таким образом DNS логирование является ценным источником данных для специалиста по информационной безопасности, позволяющее им обнаруживать аномалии или получать дополнительные данные об исследуемой системе.


      В 2004 году Флорианом Ваймером был предложен такой метод логирования, как Passive DNS, позволяющий восстанавливать историю изменений DNS данных с возможностью индексации и поиска, которые могут предоставлять доступ к следующим данным:


      • Доменное имя
      • IP-адрес запрошенного доменного имени
      • Дату и время ответа
      • Тип ответа
      • и т.д.

      Данные для Passive DNS собираются с рекурсивных DNS-серверов встроенными модулями или с помощью перехвата ответов от DNS-серверов, ответственных за зону.


      image

      Рисунок 1. Passive DNS (взят с сайта Ctovision.com)

      Читать дальше
      • +13
      • 3,5k
      • 2
    • Аналитическая записка. Обзор приказа Минэнерго РФ от 6 ноября 2018 года N 1015

        Авторы

        К.Е. Полежаев, Аналитик
        А.А. Заведенская, Помощник аналитика

        Список использованных сокращений

        АРМ – Автоматизированное рабочее место
        АСУТП – Автоматизированная система управления технологическим процессом
        БДУ – Банк данных угроз
        ИБ – Информационная безопасность
        МЭ – Межсетевой экран
        НДВ – Недокументированные (недекларированные) возможности
        ПО – Программное обеспечение
        СрЗИ – Средства защиты информации
        СУМиД – Система удаленного мониторинга и диагностики основного технологического оборудования
        ФСБ России – Федеральная служба безопасности Российской Федерации
        ФСТЭК России – Федеральная служба по техническому и экспортному контролю Российской Федерации

        Введение

        Настоящая Аналитическая записка содержит обзор опубликованного на официальном интернет-портале правовой информации 18 февраля 2019 года Приказа Министерства энергетики Российской Федерации от 06.11.2018 № 1015 «Об утверждении требований в отношении базовых (обязательных) функций и информационной безопасности объектов электроэнергетики при создании и последующей эксплуатации на территории Российской Федерации систем удаленного мониторинга и диагностики энергетического оборудования» (Зарегистрирован 15.02.2019 № 53815) (далее – Приказ Минэнерго).
        Читать дальше →
      • NetBIOS в руках хакера

          В данной статье пойдёт краткое повествование о том, что нам может рассказать такая привычная с виду вещь как NetBIOS. Какую он может предоставить информацию для потенциального злоумышленника/пентестера.
          Читать дальше →
          • +26
          • 16,2k
          • 2
        • Анализ безопасности корпоративной беспроводной сети

            На сегодняшний день беспроводные Wi-Fi сети используются почти повсеместно: благодаря простоте использования сети, высокой мобильности пользователей и дешевизне установки данная технология всё чаще и чаще становится обязательной составляющей не только домашних, но и корпоративных сетей. При этом, как и любая технология передачи данных, Wi-Fi при небезопасном использовании несёт в себе определённые угрозы. Злоумышленник, используя некорректные настройки точки доступа или неосторожность пользователя, может перехватить персональные данные этого пользователя, провести атаку на его устройство или проникнуть во внутреннюю сеть компании.

            В рамках исследования был проведён анализ безопасности гостевой сети нашей компании – «USSC-Guest». Тестирование проводилось по модели внешнего нарушителя, то есть без наличия прямого доступа к выбранной сети, поэтому основной целью возможного злоумышленника стало получение пароля для подключения к ней.
            Читать дальше →
          • Влияние GDPR на российских операторов персональных данных

              Автор: Анастасия Заведенская, помощник аналитика, Аналитический центр ООО «УЦСБ»
              Рецензенты: Екатерина Рублева и Константин Саматов, руководители направления, Аналитический центр ООО «УЦСБ»


              Компания, осуществляющая обработку персональных данных, считается их оператором. Скорее всего, в этой компании знают о Федеральном законе от 27.07.2006 №152-ФЗ «О персональных данных» и его требованиях. А если у компании есть клиенты в Евросоюзе или есть желание таковых привлечь? Или просто есть сайт в сети Интернет с формами для заполнения пользователем? Тогда нужно понимать, что такое GDPR и его сферу действия.
              Читать дальше →
            • Подбираем пароли с помощью Google Chrome

                Согласно многочисленным исследованиям в области компьютерной безопасности, в ТОП-3 уязвимостей информационных систем входит подбор пароля.


                Почти для каждой информационной системы сегодня существуют свои дефолтные учётные записи, которые широко распространены в сети Интернет. Например, их можно взять отсюда.


                В случае, если мы имеем какой-либо портал, где пользователи – это люди, то бОльшую часть уязвимых слабых паролей можно отнести к одной из 4 групп:


                1. Пароли, входящие в топ самых популярных фраз (такие как «123456», «password», и т.п.).
                2. Пароли, представляющие собой сочетание клавиш – так называемые keyboard-walks пароли (например, «qwerty», «qazwsx», и т.п.).
                3. Пароли – искажённые логины («user123», «user321», и т.п.).
                4. Либо использование в качестве пароля популярных русских слов или имён в «перевёрнутой» раскладке («ljcneg», «fylhtq»)
                Читать дальше →
              • Анализ трафика Android-приложений: обход certificate pinning без реверс-инжиниринга

                  Иногда нужно исследовать работу бэкенда мобильного приложения. Хорошо, если создатели приложения не заморачивались и все запросы уходят по «голому» HTTP. А что, если приложение для запросов использует HTTPS, и отказывается принимать сертификат вашего корневого удостоверяющего центра, который вы заботливо внедрили в хранилище операционной системы? Конечно, можно поискать запросы в декомпилированом приложении или с помощью реверс-инжиниринга вообще отключить применение шифрования, но хотелось бы способ попроще.

                  image
                  Читать дальше →
                • Анализ обнаружения обфусцированных вирусов мобильными антивирусными приложениями на платформе Android

                    image
                    Команда УЦСБ провела независимое исследование для того, чтобы протестировать работу популярных антивирусных приложений для Android. С результатами этого исследования я делилась на конференции phdays VI, но хотелось бы более подробно остановиться на применении обфускаторов для обхода механизмов обнаружения вирусов.
                    Читать дальше →
                    • +7
                    • 11,9k
                    • 8
                  • НЕтехнологические проблемы защиты от утечек. Практика полевого инженера

                      Мне недавно задали вопрос: «DLP-система – все еще модная игрушка или реальный инструмент?». И я растерялся. Вот молоток – это инструмент, оружие или модный аксессуар? Если он резиновый, розовый и размером с ключи от машины – скорее всего, это модный аксессуар. Если он в крови и к нему прилип клок волос – наверное, он побывал оружием. Но в большинстве остальных случаев это все-таки инструмент.
                      Читать дальше →
                    • Ищем уязвимости с помощью google

                        Любой поиск уязвимостей на веб-ресурсах начинается с разведки и сбора информации.
                        Разведка может быть как активной — брутфорс файлов и директорий сайта, запуск сканеров уязвимостей, ручной просмотр сайта, так и пассивной — поиск информации в разных поисковых системах. Иногда бывает так, что уязвимость становится известна еще до открытия первой страницы сайта.

                        Читать дальше →
                      • Easy Hack: Java application

                        Время от времени пентестерам приходится сталкиваться с Java-приложениями. Это могут быть различные серверы, клиенты или просто десктопные программы. И иногда возникает необходимость «пропатчить» такое приложение. Зачем это нужно? Каждый случай возникновения такой необходимости уникален. К примеру:

                        • Сложный протокол общения между сервером и клиентом. Чтобы отправлять произвольные запросы – патчим;
                        • Захардкожены настройки. Чтобы поменять – патчим;
                        • Для демонстрации последствий проблем типа «race condition» – патчим.

                        Конечно, в каждом случае можно решить проблему, не прибегая к модификации приложения. Но зачастую это самый простой и быстрый способ добиться необходимого результата. В этой статье мы расскажем, как легко и быстро изменить функционал в приложении на Java.
                        Читать дальше →