пятница, 29 марта 2013 г.

Новости ИБ за 22 – 29 марта 2013 года



Блоги:
Брюс Шнайер рассказывает о контроле интернета государством (англ.); считает, что обучение работников информационной безопасности - это пустая трата времени и денег (англ.). 

Роскомнадзор одобрил согласие на обработку персональных данных на интернет-ресурсе www.rzd.ru, в котором сказано,  что ваши регистрационные данные являются общедоступными и не нуждаются в защите.

Алексей Лукацкий посоветовал,  как применять поведенческую психологию в сфере информационной безопасности.

Сергей Борисов опубликовал список инструментов для тестирования системы защиты.
  
Статьи:

Программное обеспечение:
Intercepter-NG v0.9.6 – сниффер

Interactive Kiosk Attack Tool (iKAT) - система для тестирования безопасности киосков, терминалов самоообслуживания и прочих подобных устройств.

Ghost v0.3 – USB-ловушка (honeypot)

Ресурсы:
Итоги Blackhat Europe 2013 (англ.).

Wepawet – бесплатная служба, осуществляющая анализ и обнаружение интернет-угроз. Поддерживает проверку Flash, JavaScript и PDF-файлов.

пятница, 22 марта 2013 г.

Новости ИБ за 15 – 22 марта 2013 года



Блоги:
Алексей Волков объяснил, что подразумевается под «оценкой соответствия» в новых НПА (ПП-1119 и проекте SOISO).

Михаил Емельянников поделился историей о  хищении денежных средств через услугу «Мобильный банк» посредством отправки SMS.

Перевод нескольких разделов стандарта NIST SP 800-82 Guide to Industrial Control Systems от Евгения Царева.

Статьи:
Олеся Шелестова, исследовательский центр Positive Research, описала примеры использования системы управления информацией о безопасности и событиях безопасности (SIEM) в сфере информационных технологий и информационной безопасности,  которая помогает в обеспечении непрерывности, повышении оперативности, в решении проблем и инцидентов.

Руководство по настройке конфиденциальности в браузере «Google Chrome» и Google-аккаунте.

Компания Sift Science разработала систему автоматического мониторинга и самообучаемую сеть, которая позволяет автоматически анализировать всех посетителей сайта по уровню доверия, исходя из доступной информации о его IP-адресе, cookie, месте жительства, истории сёрфинга и пр.

Законодательство:
Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 11 февраля 2013 г. N 15 «О внесении изменения в Административный регламент Федеральной службы по техническому и экспортному контролю по предоставлению государственной услуги по лицензированию деятельности по разработке и производству средств защиты конфиденциальной информации, утвержденный приказом ФСТЭК России от 12 июля 2012 г. N 84»

Документы:
Secunia Vulnerability Review 2013 – обзор уязвимостей за прошлый год.

ГОСТ Р 34.10-2012 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи».

ГОСТ Р 54582-2011 «Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности информационных технологий. Часть 2. Методы доверия».

ГОСТ Р 54583-2011 «Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности информационных технологий. Часть 3. Анализ методов доверия».

«The Tallinn Manual on the International Law Applicable to Cyber Warfare» - руководство по ведению кибервойн. Краткий обзор документа от Евгения Царева.

Программное обеспечение:
jSQL Injection v0.3 -  java-приложение осуществляет поиск форм с базами данных на  удаленном сервере.

The Social-Engineer Toolkit (SET) v4.7 - фреймворк, который используется для тестирования на проникновение.

The Cross-Site Scripting Framework (XSSF) v3.0 - инструмент для эксплуатации XSS-уязвимостей.

OWASP Bricks Feni – уязвимое веб-приложение, написанное на PHP и MySQL.

Evader – инструмент для тестирования надежности средств межсетевого экранирования, а также сетевых систем обнаружения и предотвращения вторжений. 

Вебинары:
Бесплатные вебинары по сетевых технологиям Cisco от Cisco Expo Learning Club и учебного центра «Микротест».

Ресурсы:
Задайте вопрос регулятору, ответы на которые будут даны на конференции «РусКрипто».



Презентации с IV Международной конференции по безопасности платежных систем «PCI DSS Russia 2013».

Презентации с конференции CanSecWest 2013.

пятница, 15 марта 2013 г.

Новости ИБ за 11 – 15 марта 2013 года



Блоги:
Артем Агеев анонсировал версию 1.1 экселевского файла для проведения самооценки по 382-П.

Тарас Злонов поделился результатами проведённого опроса, касающегося вебинаров по информационной безопасности.


Евгений Царев опубликовал презентацию «Нормативное регулирование вопросов безопасности платежных систем банка и ДБО», с которой он выступал на конференции PCI DSS Russia 2013.


Владимир Стыран опубликовал, описанные в книги «Security Engineering 2nd Edition», результаты исследования на предмет того, какие из вариантов паролей являются более надежными: выдуманные пользователями, сгенерированные случайно или составленные на основе парольных фраз.

Журналы:
(IN)SECURE Issue 37 (март 2013)

Статьи:
Противостоять вредоносному коду можно с помощью изменения пути к папке «etc»,  подмены cmd.exe и другими неочевидными методами защиты.

Краткий обзор Kali Linux ( на «Хабре», в «Хакере»)  - нового дистрибутива для тестирования на проникновение (взамен Backtrack).

Компания Digital Security опубликовала «Анализ безопасности мобильных банковских приложений за 2012 год». В исследовании описаны угрозы, уязвимости и векторы атак для банк-клиентов, разработанных для мобильных платформ (Android и iOS). Краткое изложение документа.

Компания Google создала раздел для веб-мастеров, в котором будет размещаться информация по предотвращению и устранению последствий взлома веб-ресурсов.

Скот Чарни (Scott Charney) предложил новый метод коллективной защиты – ввести сертификат о состоянии «здоровья», который будет показывать наличие проблем на компьютере.

Программное обеспечение:
Wireshark версии 1.8.6 - анализатор сетевых протоколов.

Kali Linux v1.0 - дистрибутив для тестирования на проникновение.

Вебинары:
21.03.2013 в 14:00, «Безопасность сетей мобильной связи (продолжение)» от компании Positive Technologies

Законодательство:
Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 11 февраля 2013 г. N 16 «О внесении изменения в Административный регламент Федеральной службы по техническому и экспортному контролю по предоставлению государственной услуги по лицензированию деятельности по технической защите конфиденциальной информации, утвержденный приказом ФСТЭК России от 12 июля 2012 г. N 83»

Ресурсы:
Kali Linux Documentation – русскоязычный ресурс содержит документацию по Kali Linux.

Презентации и записи выступлений по кибербезопасности от компании Cisco.

среда, 13 марта 2013 г.

Browser Security Handbook. Глава 1, пункт 6


  Руководство по безопасности браузеров (Browser Security Handbook). Глава 1 

 

    6.         Язык разметки гипертекста (HTML)

Язык разметки гипертекста - основной формат документов, предоставляемых современным браузерам, который произошел от Standard Generalized Markup Language (SGML) - стандарта для машиночитаемых документов.

Официальной спецификации HTML 1.0 не существует. До 1995 года существовало множество неофициальных стандартов HTML. Чтобы стандартная версия отличалась от них, ей сразу присвоили второй номер. Версия 3 была предложена Консорциумом всемирной паутины (W3C) в марте 1995 года и обеспечивала много новых возможностей, таких как создание таблиц, обтекание изображений текстом и отображение сложных математических формул. Даже притом, что этот стандарт был совместим со второй версией, реализация его была сложна для браузеров того времени. Следующей версией стандарта HTML стала 3.2 (версия 3.1 официально не утверждалась), в которой были опущены многие нововведения версии 3.0, но добавлены нестандартные элементы, поддерживаемые браузерами Netscape Navigator и Mosaic. W3C и WHATWG  стремились «навести порядок» в стандарте и сделать HTML строгим и качественным. Им это почти удалось реализовать в HTML 4 и XHTML (вариант HTML, который строго соответствует XML-синтаксису). Также продолжаются работы по HTML 5.

На сегодняшний день распространены следующие браузерные движки для отображения веб-страниц:
- Trident (MSHTML) - используется в Internet Explorer, начиная с версии 4.0 и выше;
- Gecko - используется в Firefox, Netscape и т.п.;
- WebKit - используется в Safari, Chrome и мобильных платформах для смартфонов и планшетов;
- Presto - используется в Opera.

Способность приложений правильно отображать в браузере структуру HTML-документа является важным атрибутом безопасности. Наличие различных версий HTML в сочетании с кодом (JavaScript, Flash, Java-applets) и отображаемыми данными делают стандарт уязвимым, что также отражается и на безопасности сайта (см. статьи о веб-безопасности).

К сожалению, из-за совместимости, синтаксических анализаторов, работающих не в режиме XML, и собственных функций трудно предвидеть, как будет интерпретироваться  сторонний HTML-документ или его отдельные части. Следующие примеры могут быть истолкованы как скрипты для вывода окна с сообщением: 

01: <B <SCRIPT>alert(1)</SCRIPT>>

  02: <B="<SCRIPT>alert(1)</SCRIPT>">

  03: <IMG SRC=`javascript:alert(1)`>

  04: <S[0x00]CRIPT>alert(1)</S[0x00]CRIPT>

  05: <A """><IMG SRC="javascript:alert(1)">

  06: <IMG onmouseover =alert(1)>

  07: <A/HREF="javascript:alert(1)">

  08: <!-- Hello -- world > <SCRIPT>alert(1)</SCRIPT> -->

  09: <IMG ALT="><SCRIPT>alert(1)</SCRIPT>"(EOF)

  10: <![><IMG ALT="]><SCRIPT>alert(1)</SCRIPT>">
  
    Другое интересное свойство HTML - сross-site scripting (XSS) - уязвимость позволяет подменить кодировку в заголовке страницы:

<title>
+ADw-/title+AD4APA-meta http-equiv+AD0-'content-type' content+AD0-'text/html+ADs-charset+AD0-utf-7'+AD4-
</title>
<meta http-equiv="content-type" content="text/html; charset=utf-8">

Не все атрибуты HTTP-EQUIV обязательны, например, синтаксический анализатор HTML к тому времени уже определял Content-Type, Content-Length, Location или Content-Disposition, но мы увидели, что некоторые значения могут быть настроены выше представленным способом.

Стратегия для решения HTTP-HTML-конфликтов не указана в W3C-стандарте. На практике, значимые http-заголовки, имеют приоритет над HTTP-EQUIV; с другой стороны, HTTP-EQUIV имеет приоритет над непризнанными значениями HTTP-заголовков. HTTP-EQUIV-теги также будут иметь преимущество, когда страница открывается локально с диска, а не загружается с веб-сервера.

В Internet Explorer присутствуют следующие уникальные особенности:
- В то время как все другие браузеры принимают значение параметра строки в кавычках, только если кавычка стоит перед параметром, MSIE ищет закрывающую кавычку подстроки где-нибудь в середине: <img src=test.jpg?value=">Yes, we are still inside a tag!">
- Распознавание условных комментариев: <!­­--[if IE]> Специальные инструкции для IE <![endif]-->
- Тэг <comment>: <p>Это <comment>не</comment> IE.</p>
- Распознавание url-кодирования.

Другие различия между браузерными движками, влияющие на безопасность, приведены в таблице №7:
Таблица №7
Описание теста
MSIE7
MSIE8
FF3
Safari
Opera
Chrome
Android
Синтаксический анализатор восстанавливает вложенные теги (<FOO <BAR...)?
НЕТ
НЕТ
ДА
НЕТ
НЕТ
НЕТ
НЕТ
Рекурсивное восстановление вложенных тегов (FOO и BAR интерпретируются)?
НЕТ
НЕТ
ДА
НЕТ
НЕТ
НЕТ
НЕТ
Синтаксический анализатор сбрасывает поврежденные имена тегов (<FOO="<BAR...)?
НЕТ
НЕТ
ДА
НЕТ
НЕТ
НЕТ
НЕТ
Отслеживание на отсутствие тега закрытия
(<FOO BAR="><BAZ>"(EOF))?
ДА
ДА
НЕТ
НЕТ
ДА
НЕТ
НЕТ
Отслеживание на отсутствующий параметр закрытия (<FOO BAR="><JSV>(EOF))?
НЕТ
НЕТ
ДА
НЕТ
ДА
НЕТ
НЕТ
SGML-разметки комментариев допускаются в строгом режиме (-- и > могут применяться по отдельности)?
НЕТ
НЕТ
ДА
НЕТ
НЕТ
НЕТ
НЕТ
Блоки CDATA поддерживаются в обычных HTML-документах?
НЕТ
НЕТ
ДА
НЕТ
ДА
НЕТ
НЕТ
!– и ?-типы тегов анализируются отличным от HTML образом (<!FOO BAR="-->"... разрывы)?
НЕТ
НЕТ
ДА
НЕТ
ДА
НЕТ
НЕТ
Символы принимаются как  имя тега/параметр разделителя (за исключением \t \r \n \x20)
\x0B \x0C /
НЕТ
/
\x0B \x0C
\x0B \x0C \xA0
\x0B \x0C
\x0B \x0C
Символы игнорируются между именем параметра, знаком равенства, и значением (за исключением \t \r \n)
\0 \x0B \x0C \x20
\0 \x0B \x0C \x20
\x20
\0 \x0B \x0C \x20
\x20 \xA0
\0 \x0B \x0C \x20
\0 \x0B \x0C \x20
Символы принимаются вместо кавычек для HTML-параметров (за исключением ")
' `
' `
'
'
'
'
'
Символы принимаются в имена тегов (за исключением A-Z / ? !)
\0 %
\0 %
нет
нет
\0
нет
нет

Об этих и других особенностях HTML можно прочитать в книге "Web Application Obfuscation".

Примечание 1: специальные правила HTML-обработки иногда применяться к определенным разделам документа, например, в определенном контексте символ \x00 игнорируется Internet Explorer, символ \x08 – Firefox (в особенности, они игнорируются в тегах значения параметра).

Примечание 2: поведение синтаксического анализатора HTML, в частности у WebKit, быстро меняется в связи с разработкой HTML5.

Мнемоники в HTML

В HTML предопределено большое количество спецсимволов. Чтобы вставить определённый символ в разметку, нужно вставить определенную ссылку-мнемонику в HTML-структуру. Целью ссылки-мнемоники является замена определенного спецсимвола (например, < > &), а также безопасное выполнение символов старшего бита над 7-битными мультимедийными данными.

Допустимо три типа записи ссылок-мнемоник:
- в формате &<имя>;, например, &lt; - символ «<», &gt; - символ «>», &rarr; - символ «→»;
- в десятичном коде &#<nn>; с номером соответствующим нужному символу в Unicode, например, &#60; - символ «<», &#8594; - символ «→» и т.д.;
- в шестнадцатеричном коде &#x<nn>; Примеры: &#x3c; - символ «<», &#x2192; - символ «→».

В браузере ссылки-мнемоники декодируются только в значениях параметров и в отдельном тексте между тегами. Они не влияют на общую структуру документа  и не меняют смысла в таких блоках как <SCRIPT>. Возможность понимать и анализировать синтаксис является важным составляющим для правильного понимания значений параметров HTML. Например, как упоминалось в одном из предыдущих разделов, <A HREF="javascript&#09;:alert (1)"> может быть  воспринята как абсолютная ссылка на javascript<TAB>:alert (1) вместо ссылки на строку #09; alert (1), которая находится внутри страницы javascript&.

К сожалению, каждый браузер использует собственный набор правил для обозначения ссылок-мнемоник; все браузерные движки распознают ссылки-мнемоники без разделителя «и допускают длинные ссылки-мнемоники, и дополненные нулями условные символы; употребляется в следующих сочетаниях (таблица №8):
Таблица №8
Описание теста
MSIE7
MSIE8
FF3
Safari
Opera
Chrome
Android
Максимальная длина правильно определенной ссылки-мнемоники, представленной  в десятичном коде
7
7
Максимальная длина неправильно определенной ссылки-мнемоники, представленной  в десятичном коде
7
7
Максимальная длина правильно определенной ссылки-мнемоники, представленной  в шестнадцатеричном коде
6
6
Максимальная длина неправильно определенной ссылки-мнемоники, представленной  в шестнадцатеричном коде
0
0
Имеется ли ссылка-мнемоника со значением  2^32?
(Does entity value wraps around 2^32?)
НЕТ
НЕТ
НЕТ
ДА
НЕТ
ДА
ДА
Символы, разрешенные в формате &<имя>; (за исключением A-Z a-z 0-9)
нет
нет
- .
нет
нет
нет
нет

В движке WebKit после определенной длины ссылки-мнемоники неверно использовались для получения анализа, например, &#000000065; станет последовательностью из трех символов: \x06 5 ;. Эта ошибка уже исправлена. 

Интересная особенность, согласно требованиям кодирования ссылок-мнемоник, такие ссылки как http://example.com/?p1=v1&p2=v2 технически должны быть всегда закодированы в таких HTML-параметрах (но не в JavaScript) как <a href="http://example.com/?p1=v1&amp;p2=v2">Нажмите здесь</a>. Однако на практике веб-разработчики никогда не следовали этой «договоренности», и браузеры  компенсировали это путем обработки недопустимых ссылок-мнемоник как  строки, содержащие литерал &.

понедельник, 11 марта 2013 г.

Русская терминология в информационной безопасности




(Обновлено 07.10.2013г.)
В связи с развитием информационных технологий появляются и новые термины. Большинство терминов имеют зарубежное происхождение, которым и отдают предпочтение некоторые российские «безопасники». Одно дело, когда аналог зарубежного слова отсутствует в русском языке (1), другое – когда имеется (2), но используется иноязычное слово.

Примеры слов, которые относятся к первому типу:
phishing – фишинг;
forensic science (forensics) – форензика;
penetration test (pentest) – тестирование на проникновение.

Примеры слов, которые относятся ко второму типу:
парсинг – синтаксический анализатор;
вендоры – продавцы;
детектирование - обнаружение, диагностика.

В основе некоторых терминов заложены ассоциации, понятные только носителю языка. Например, файервол или брандмауэр: брандмауэром немцы называют стену, которая разделяет смежные здания, предохраняя от распространения пожара. Название «межсетевой экран» или «сетевой экран», по-моему, лучше ассоциируется с контролем и фильтрацией сетевых пакетов. А термин «куки» (от англ. cookie - печенье) коим образом ассоциируется с кондитерским изделием?

Предлагаю начать придумывать свои (русские) аналогичные термины или аббревиатуры вместо транслитерации, например, пентест – взломопроверка или ПНСД (проверка на несанкционированный доступ). Хоть термины и будут звучать «неавторитетнее», зато они будут наши, родные!

Также хочу рассмотреть пару примеров неправильного перевода. Например, такие известные слова как «хеш» и «флеш» даже в ГОСТ умудряются писать неверно. Еще один пример - Information security management system (ISMS). Многие переводят его как «Система менеджмента информационной безопасности (СМИБ)» вместо «Системы управления информационной безопасности (СУИБ)». А как насчет «риск-менеджмента»? Или всё же «управление рисками»? А как правильно перевести «Information security» - «информационная безопасность» или «безопасность информации»?

Чтобы ответить на эти вопросы, нужно (как минимум) знать этимологию слов, правила перевода иностранных слов и правила русского языка.

Дополнительная литература:
Говорите по-русски, пожалуйста.