В последнее время ходит немало разговоров о том, что социальные сети и мессенджеры заглядывают в личную переписку и используют ее в своих целях. После очередного вброса в сторону новомодного нынче Телеграмма, появились мысли провести очередное исследование, посвященное указанной тематике.

В начале прошлого года мною уже поднималась тема пост-эксплуатации в домене Microsoft Active Directory. В предложенном ранее подходе рассматривался вариант ориентированный больше на случай утери административных привилегий, нежели их непосредственное использование. При этом само действо по возврату этих привилегий подразумевало «шумные» события и визуально палевные манипуляции в каталоге. Другими словами, для того, чтобы вернуть себе административные привилегии в домене, требовалось стать участником соответствующей группы безопасности, например, группы «Domain Admins».

Надо сказать, что администраторы очень волнуются, когда неожиданно осознают присутствие в своей системе кого-то еще. Некоторые из них бросаются всеми силами обрабатывать инцидент безопасности. Порой, самыми непредсказуемыми действиями ;))

На правах архитектора уже не одного соревнования в стиле CTF/HackQuest мне хотелось поделиться с уважаемым читателем основными моментами подготовки и проведения подобных мероприятий на примере PHDAYS CTF 2011. Нижеизложенный текст не претендует на инструкцию к действию. Относитесь к нему с долей юмора ;)

Стартует набор команд на отборочные соревнования форума по информационной безопасности Positive Hack Days. В этом году все желающие могут попробовать свои силы в отборочном туре: CTF Quals или CTF Afterparty. Все участники попробуют свои силы в оценке защищенности, поиске и эксплуатации уязвимостей, выполнении заданий на реверсинг и просто хакерстве. Причем борьба будет проходить в условиях, максимально приближенных к боевым: уязвимости, использованные в PHD CTF Quals и CTF Afterparty, не выдуманы, а встречаются в «живой природе».

10 и 11 декабря в первом туре – PHD CTF Quals – определятся лучшие команды, которые примут участие в финале PHD CTF в мае. С 12 по 25 декабря состязания продолжатся в индивидуальном зачете: самые яркие участники PHD CTF Afterparty 2011 получат дипломы от Positive Technologies и персональные приглашения на форум PHD, который пройдет в Москве в мае 2012 года. А это уже уникальное общение, конкурсная программа и масса эмоций.

Как и несколько лет назад, веб-приложения по-прежнему остаются наиболее привлекательной мишенью для нарушителей всех мастей. Тут всегда хватит места и для матерых SEOшников, и для желающих нести свои мысли в массы путем подмены содержимого страниц, и, разумеется, веб-приложения являются первоочередной мишенью при преодолении внешнего периметра компаний, как в тестированиях на проникновение, так и в суровой жизни.

Повсеместно низкая безопасность веб-приложений обусловлена множеством факторов: от качества разрабатываемого кода и выбранного языка программирования, до используемых конфигураций на стороне веб-сервера. Масло в огонь добавляет еще тот факт, что безопасность веб-приложений держится особняком относительно общей стратегии безопасности. Менеджеры структурных подразделений инициируют процессы развития бизнеса, которые в свою очередь, так или иначе, базируются на веб-технологиях. При этом служба управления информационной безопасностью в среднестатистической компании как бы закрывает глаза на то, что приобретаемое решение может содержать уязвимости. Более того, из опыта проводимых работ, больше половины ИБ подразделений в российских компаниях даже не подозревают, кто ответственен за внешний, официальный сайт компании, не говоря уже о том, кто занимается его безопасностью. Потому веб-приложения и взламывают на потоке.

В настоящее время все известные ресурсы Яндекса не отвечают. Следим за ситуацией.

Обновлено. В общей сложности ресурсы Яндекса не были доступны приблизительно на протяжении двух часов 38 минут. Официальный ответ по инциденту — http://clubs.ya.ru/company/replies.xml?item_no=38521

Продолжая исследование атаки Http Parameter Contamination (HPC), мною был проведен примитивный фаззинг, в том числе в тех средах, которые не были затронуты Ivan Markovic в его оригинальном исследовании. Стоит сразу отметить, что ничего принципиально нового найдено не было. С другой стороны была выявлена интересная особенность интерпретатора Python, а также, получен боевой сплоит на отказ в обслуживании в отношении сервера Tomcat :) Но по последнему, пока non disclosure.

Полученные результаты представлены на картинке ниже.

Добиваем Яндекс: http://yandex.ru/yandsearch?p=12&text=url%3Awww.railwayticket.ru*%20|%20url%3Arailwayticket.ru*&lr=213

Возвращаясь к последним инцидентам, связанным с утечкой приватной информации через поисковые машины. У многих возникает вопрос, как «секретные ссылки» ограниченные по сроку жизни и защищенные достаточно серьезной энтропией в случайном параметрах запроса могли попасть в индекс поисковой машины.

Кроме явных причин таких, как:
1. Ошибки северной части веб-приложения, которая допускает утечку (индексация директорий).
2. Сами пользователи, публикующие в открытых источниках «секретные ссылки».
3. Системы сбора статистики, (Yandex-метрика), показа баннеров и другой внешний контент.

Причиной может являться ПО, установленное на компьютере пользователя. Одной из таких программ посвящено данное исследование. Это программа Яндекс.Бар.

Организаторы международного форума, посвященного практическим вопросам информационной безопасности, Positive Hack Days опубликовали в Интернет материалы и видео презентации события. На сайте http://phdays.ru/ можно ознакомиться с программой форума, результатами битвы хакеров и пр.

По результатам проведения форума на сайте составлен каталог материалов, благодаря чему каждый может ознакомиться с Бизнес-семинарами, Техническими семинарами, и Мастер-классами.

Многие уже наслышаны о таком мероприятии как Positive Hack Days, первом в России форуме, посвященном практическим вопросам информационной безопасности, который проходит сегодня, 19 мая, в Москве. Здесь представители хакерской элиты и ИТ-компаний вместе обсудят самые наболевшие вопросы, а также продемонстрируют, насколько защищены современные информационные системы от iPhone до ERP.

Специально для тех, кто не смог сегодня попасть на форум, организаторы сделали онлайн-трансляцию всех значимых событий. Прямо сейчас на сайте форума www.phdays.ru можно посмотреть, как проходят семинары, мастер-классы и другие мероприятия, проходящие в рамках форума.

Если вам интересны вопросы кибервойн и киберпреступности, защиты систем ДБО и беспроводных сетей, безопасности браузеров и уязвимостей в SCADA, или если вы хотите узнать, сколько может выпить настоящий хакер при попытке обойти Web Application Firewall, — до встречи на PHD онлайн!

Большое место в программе форума Positive Hack Days занимают тематические конкурсы по самым разным вопросам практической безопасности: анализ защищенности веб-приложений, оценка эффективности средств защиты, анализ защищенности мобильных устройств, взлом интернет-браузеров и многие другие.

Практически во всех конкурсах, кроме двух, может принять участие любой желающий участник форума. Победители конкурсов получат ценные призы и денежные вознаграждения от Positive Technologies и спонсоров.

Организаторы обращают внимание, что для участия в конкурсах "iPhone – взломай и уноси" и "Ноутбук – взломай и уноси" необходимо заранее зарегистрироваться. Победители этих конкурсов получат технологические призы от Positive Technologies и до 100 тыс. руб. от спонсоров!

Заявки на регистрацию в конкурсах «iPhone – взломай и уноси» и «Ноутбук – взломай и уноси» принимаются в оргкомитете PHD до 16 мая. Осталось всего несколько вакантных мест!

Зарегистрироваться на участие в конкурсах, узнать подробную информацию и все важные контакты можно на сайте PHD: http://phdays.ru

Компания Positive Technologies проводит уникальное мероприятие – международную конференцию Positive Hack Day(s), которая посвящена практическим вопросам безопасности и предоставляет собой площадку для обмена мнениями, получения новых знаний, обретения контактов и практических навыков. Мероприятие проходит 19 мая в Культурно-развлекательном центре Молодая Гвардия г. Москва. Во время проведения мероприятия будет организовано online-вещание. Сайт мероприятия: http://phdays.ru/

Тематика конференции сформирована с акцентом на практические моменты актуальных вопросов информационной безопасности. Основными темами конференции являются: безопасность веб-приложений, защита облачных вычислений и виртуальной инфраструктуры, противодействие 0-day атакам, расследование инцидентов, защита от DDoS, противодействие мошенничеству, безопасность АСУ ТП (SCADA), защита бизнес-приложений и ERP.

В рамках конференции пройдут следующие мероприятия:

Деловая программа, которая включает в себя доклады ведущих отечественных и зарубежных экспертов отрасли.
Круглые столы, дающие возможность в компании коллег-профессионалов обсудить сложные, а подчас и щекотливые моменты информационной безопасности.
Мастер-классы, проводимые экспертами-практиками, дающие возможность получить практический опыт в решении сложных задач защиты информации, таких как поиск уязвимостей, анализ последствий взлома, анализ средств для проведения атак.
Конкурсы по взлому, в рамках которых каждый получит возможность попробовать свои силы во взломе iPhone, мобильных телефонов, браузеров и средств защиты.
Соревнования PHD CTF 2011 — открытые командные соревнования по защите информации, проводимые по правилам Capture The Flag, в рамках которых команды в течение 8 часов будет защищать свои сети и атаковать сети противников.

В свое время, менее года назад, на хабре мелькала публикация с аналогичным заголовком [1]. В ней автор предлагал способ по сокрытию привилегий администратора домена путем использования в качестве контейнера, для размещения «скрытой» учетной записи, служебное хранилище «Program data», в совокупностью с агрессивным разграничением прав с целью предотвращения доступа к «спрятанной» учетной записи. Однако, несмотря на заверения автора, обнаружение «скрытой» учетной записи и ее последующее удаление можно было выполнить всего в несколько кликов.

Вашему вниманию предлагается интересный двухуровневый квест по тематике информационной безопасности в сфере технологий WEB 2.0.

Сервер: http://46.4.187.243:8080/
Задача:

Минимум – получить часть исходного кода серверной части приложения.
Максимум – добиться выполнения своего кода на стороне сервера.

Задание не типичное и довольно сложное. Успехов в прохождении!

Примечание: сервер слабенький, поэтому использовать автоматизированные средства не рекомендуется. Более того, для решения задания автоматизация не поможет :)

Автор задачи Qwazar. Подробности по ссылке: http://qwazar.ru/?p=68

С 15 декабря стартовало online-соревнование по защите информации — Hack
Quest 2010, представляющий из себя урезанную игровую инфраструктуру Hack
Quest, который проводился в конце августа на площадке фестиваля Chaos
Constructions 2010. В рамках конкурса участники могут попробовать свои
навыки в области оценки защищенности, поиска и эксплуатации уязвимостей,
реверс-инжиниринга. Игровая инфраструктура содержит уязвимости «живой
природы». Таким образом участник может почувствовать себя настоящим
взломщиком :)

Всего игровая инфраструктура Hack Quest 2010 Online содержит 17 ключей
(флагов) общей стоимостью 100 очков (баллов). Принять участие в соревновании
может любой желающий. Подробности по следующей ссылке: www.securitylab.ru/hq2010