пятница, 25 января 2013 г.

Новости ИБ за 18 – 25 января 2013 года



Блоги:
Лаборатория Касперского делится советами по защите нового компьютера.
Владимир Безмалый перечислил правила, которые рекомендуется соблюдать пользователям при совершении интернет-платежей, а также способы защиты от злоумышленников.

Обзор последних публикаций, утилит для пентеста и анализа безопасности АСУ ТП, а также презентации экспертов Positive Technologies.

Евгений Касперский описал ряд факторов, влияющих на результаты антивирусных тестов.

Александр Бодрик рассмотрел американский подход по категорированию услуг в сфере информационной безопасности.

«Безопасность браузеров: Google Chrome». Настройка встроенных в Google Chrome полезных функций, влияющих на уровень защиты.

Документы:

Журналы:

Статьи:
«Доктор Веб» запустил просветительский проект по борьбе с банковскими троянами.

Программное обеспечение:
Paladin 4.0 - бесплатный Linux-дистрибутив, основанный на Ubuntu, для создания образов при расследовании инцидентов.

Мероприятия:
4 февраля начнется NeoQUEST-2013 - открытое соревнование, к участию в котором приглашаются все, кто занимается на практике или интересуется областью информационной безопасности и хочет оценить свой уровень. Зарегистрироваться.

понедельник, 21 января 2013 г.

Browser Security Handbook. Глава 1, пункт 5

Руководство по безопасности браузеров (Browser Security Handbook). Глава 1


5.         Протокол передачи гипертекста (HTTP)

Это протокол прикладного уровня, основанный на технологии «клиент-сервер»: клиент инициирует соединение и посылает запрос серверу, а сервер производит необходимые действия и возвращает обратно сообщение с результатом.
Первая версия протокола была разработана Тимом Бернерсом-Ли и называлась HTTP/0.9 (в настоящее время не используется браузерами, но поддерживается некоторыми серверами). HTTP/1.1- текущая версия протокола, которая описана в RFC 2616.
Каждое HTTP-сообщение состоит из трёх частей, которые передаются в указанном порядке:
1. Стартовая строка (Starting line) — определяет тип сообщения.
2. Заголовки (Headers) — характеризуют тело сообщения, параметры передачи и прочие сведения.
3. Тело сообщения (Message Body) — непосредственно данные сообщения.
Заголовки и тело сообщения могут отсутствовать, но стартовая строка является обязательным элементом, так как указывает на тип запроса/ответа. Исключением является версия HTTP/0.9, у которой сообщение запроса содержит только стартовую строку, а сообщения ответа - только тело сообщения.
Каждый запрос начинается с однострочного описания метода HTTP (GET- используется для запроса содержимого указанного ресурса, POST -  применяется для передачи пользовательских данных заданному ресурсу). В HTTP/1.0 и выше, за методом HTTP следует версия протокола. Ниже идут строки, содержащие разделённую двоеточием пару параметр-значение, называемые заголовками HTTP. Эти заголовки могут указывать различные мета-данные: имя хоста, информацию о клиенте, поддерживаемые типы MIME, параметры кэша, источник запроса и т. д. Заголовки должны отделяться от тела сообщения хотя бы одной пустой строкой. Тело HTTP сообщения, если оно присутствует, используется для передачи тела объекта, связанного с запросом или ответом. Присутствие тела сообщения в запросе отмечается добавлением к заголовкам запроса поля заголовка Content-Length или Transfer-Encoding.


Пример HTTP-запроса:
POST /fuzzy_bunnies/bunny_dispenser.php HTTP/1.1

  Host: www.fuzzybunnies.com

  User-Agent: Bunny-Browser/1.7

  Content-Type: text/plain

  Content-Length: 12

  Referer: http://www.fuzzybunnies.com/main.html
 
HELLO SERVER
Сервер отвечает в том же порядке: код состояния,  версия протокола и заголовки, если таковые имеются:
HTTP/1.1 200 OK

  Server: Bunny-Server/0.9.2

  Content-Type: text/plain

  Connection: close

HELLO CLIENT

     Сеанс связи завершается после того, как был получен ответ на отправленный запрос. Поскольку устанавливать связь для каждого запроса неудобно, ввели дополнение к протоколу - постоянное HTTP-соединение (keep-alive connection), которое использует одно соединение для отправки и получения множественных запросов и ответов вместо открытия нового соединения для каждой пары запрос-ответ.
К сожалению, сам протокол неоднозначен и склонен к избыточности, что приводит к многочисленным проблемам и различиям между тем, как серверы, прокси-серверы, и клиенты могут интерпретировать ответы:
- Как и многие другие тексты протоколов того времени, HTTP не имел четкого определения текстового формата или формат полей. Из-за этого происходила обработка несовместимыми способами, что приводило к искажению вводимой информации, например, неверные символы новой строки (CR, LF, CR+LF, NEL) или другие искажения управляющих символов в тексте, ошибочное количество пробелов в разделителе полей и т.д.; различные реализации Head\0er: Value - может быть Head, Head: Value, Header: Value, или Head\0er: Value. В RFC 2616 в разделе 19.3 “Tolerant Applications” стандарт рекомендует анализировать определенные поля и неправильные значения. Один из наиболее ярких примеров ляпа в браузере Firefox - prtime.c - функция используется для HTTP-анализа поля «Date», которая указывает на сложности при решении простой задачи.
- Плохо задан набор символов старшего бита для HTTP-заголовков, поэтому символы старшего бита разрешены в HTTP/1.0 без дальнейших ограничений, разрешены они и в HTTP/1.1 (если не закодированы в соответствии с RFC 2047). На практике, подобные символы  допустимы в определенных полях (Cookie, Content-Disposition filenames), которые не поддерживаются RFC 2047 либо поддерживаются несовместимо с другими RFC (например, требования для заголовка "Cookie"). В некоторых реализациях это приводит к преобразованию данных в UTF-8, а в других - используется однобайтовое преобразование низкоуровневыми средствами операционной системы для работы со строками.
- Поведение, когда обязательные заголовки содержат дублирующие или противоречивые запросы; приоритет появление одного и того же параметра в HTTP-заголовках у различных клиентов (например, дублирование Content-Type) или наличие противоречивых сведений (например, Content-Length не соответствует длине полезной нагрузки). В случае если приоритет может определиться, но не наглядно - например, в разделе 5.2 стандарта RFC 2616 говорится, что абсолютные запросы URI-данных имеют приоритет выше, чем хост-заголовки.
- Когда новые функции, меняющие значения запросов, были введены в стандарт  HTTP/1.1, требований по маркировке их в запросах или ответах как HTTP/1.0 не было. В результате, смысл сообщения HTTP/1.0 может значительно отличаться между действующими агентами, например, некоторыми коммерческими веб-прокси и приложениями HTTP/1.1, такими, как современные браузеры (Connection: keep-alive, Transfer-Encoding: chunked, Accept-Encoding: ...).

Ниже приводится обзор общих отличий, относящихся к безопасности, введенных в http-протокол:
Описание теста
MSIE7
MSIE8
FF3
Сафари
Опера
Хром
Android
Поддерживаются ответы без заголовков (HTTP/0.9)?
Да
Да
Да
Да
Да
Да
Да
CR (0x0D) рассматривается в качестве разделителя строки заголовка?
Да
Да
Нет
Нет
Да
Да
Нет
Значение заголовка «Content-Length» превышает фактическую длину содержимого?
Да
Да
Нет
Да
Да
Нет
Да
Имеет ли преимущество первый HTTP-заголовок с таким же именем?
Да
Да
Нет
Да
Нет
Да
Нет
Первое значение поля в HTTP-заголовке имеет приоритет?
Да
Да
Да
Да
Да
Да
Да
Заголовок «Referer» отсылается на HTTPS → HTTPS переход?
Да
Да
Да
Да
Нет
Да
Да
Заголовок «Referer» отсылается на HTTPS → HTTP переход?
Нет
Нет
Нет
Нет
Нет
Нет
Нет
Заголовок «Referer» отсылается на HTTP → HTTPS → переадресация HTTP?
Да
Да
Да
Да
Да
Нет
Да
Заголовок «Referer» отсылается на псевдо-протокол → HTTP переход?
Нет
Нет
Нет
Нет
Нет
Нет
Нет
Фрагмент ID включен в заголовок «Referer» на обычный запрос?
Нет
Нет
Нет
Нет
Нет
Нет
Нет
Фрагмент ID включен в заголовок «Referer»  при XMLHttpRequest?
Да
Да
Нет
Нет
Нет
Нет
Нет
Тело ответа на недействительный 30х  redirect показывается  пользователю?
Нет
Нет
Да
Нет
Да
Да
Нет
Символы старшего бита обрабатываются в HTTP cookies?
перекодирование
в 7 бит
перекодирование
в 7 бит
искажение
UTF-8
UTF-8
UTF-8
UTF-8
Значения строк в кавычках поддерживаются для HTTP cookies?
Нет
Нет
Да
Нет
Да
Нет
Да
ПРИМЕЧАНИЕ 1: Referer всегда будет указывать на сайт, с которого был сделан переход, независимо от 30х redirect. Если нужно скрыть исходный URL от сайта-получателя, необходимо использовать переадресацию Refresh или переход с псевдо-протокола JavaScrip.
ПРИМЕЧАНИЕ 2: Разметка заголовка «Refresh»  в IE происходит странным образом, что делает невозможным переход к адресу, содержащему символ «, если этот параметр заключается в дополнительные кавычки. Разметка  также допускает проведение XSS-атаки через Url-адрес, например:

http://example.com;URL=javascript:alert(1)

В отличие от других браузеров, ранние версии Internet Explorer интерпретировали эту запись как два URL, причем последний адрес имел приоритет: 

Refresh: 0; URL=http://example.com;URL=javascript:alert(1)

пятница, 18 января 2013 г.

Новости ИБ за 11 – 18 января 2013 года



Блоги:
Пишем политику использования социальных сетей в контексте информационной безопасности вместе с Алексеем Лукацким.


Арбитражный суд Краснодарского края счел, что данные об инвалидности лица и показания к труду не являются сведениями о состоянии здоровья, а относятся к общедоступным персональным данным.

Статьи:
Анонимный веб-сёрфинг с помощью приложения JAP.

Рекомендации от «Лаборатории Касперского» по защите учетной записи в Twitter.

Марк Тобиас (Marc Weber Tobias) составил описание среднестатистического преступника, позволяющее выявить его в вашей организации (англ.).

Функциональные возможности смартфона на базе Android позволяют использовать его для тестирования на проникновение в сеть. Часть 1.

Программное обеспечение:
IDA версии 6.4 - интерактивный дизассемблер и отладчик в одном «флаконе».


Обновление антируткита GMER 2.0.

Advanced Win Service Managerспециализированная программа, способная обнаруживать вредоносные сервисы в среде Windows.

Законодательство:
Внесены изменения в некоторые акты Правительства Российской Федерации в связи с принятием Федерального закона «Об электронной подписи»; комментарии Натальи Храмцовской.


Указ Президента РФ № 31с от 15 января 2013 года «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации».

Книги:



Автор: Calderon Pale Paulino
Язык: английский
Описание: Руководство по работе со сканером безопасности  Nmap 6 и его скриптовым движком. Пентестеры и сисадмины найдут в ней множество полезных советов и практических решений.

Авторы: Seth Fogie, Jeremiah Grossman, Robert Hansen, Anton Rager, Petko D. Petkov
Язык: английский
Описание: Книга делится на теоретическую и практическую часть. В теории изложены концепции, методологии и технологии XSS-атак. В практической части приводятся примеры реализации данного типа атак, а также способы борьбы с ними.


Автор: Abhinav Singh
Язык: английский
Описание: Книга рассчитана как на профессионалов, так и новичков. С каждой главой увеличивается и уровень сложности, охватывающий аспекты фреймворка, начиная с его установки  и заканчивая написанием собственных эксплоитов для Metasploit.

пятница, 11 января 2013 г.

Новости ИБ за 29 декабря 2012 – 11 января 2013 года



Блоги:

Не знаешь, чем заняться в Новом году? Александр Бодрик предлагает начать с поиска уязвимостей и их устранения 

Михаил Емельянников рекомендует пересмотреть перечень информационных активов, содержащих коммерческую тайну, в связи со вступлением в силу Федерального закона от 06.12.2011 № 402-ФЗ «О бухгалтерском учете».

Статьи:
Алексей Волков дает рекомендации, как «безболезненно» пройти проверку Роскомнадзора.


Программное обеспечение:
Filezilla Password Decryptor v.2.0 – программа для восстановления логинов и паролей, хранящихся в FileZilla.

Security Onion v.12.04 -  Linux-дистрибутив для мониторинга сетевой безопасности.

Мероприятия:
Стартовал Forensic Challenge 13 “A Message in a Bottle Picture“ (provided by the PNW Chapter). Решения принимаются до 15 февраля.

Ресурсы:
NIST Special Publications 800 Series - подборка методических рекомендаций по ОИБ.