пятница, 30 августа 2013 г.

Новости ИБ за 23 - 30 августа 2013 года



Блоги:
Андрей Прозоров рассмотрел «универсальную» формулу, по которой можно посчитать вероятный ущерб для компании / субъектов ПДн и автоматизировал данный процесс с помощью excel-файла.

Алексей Лукацкий выяснил, что регуляторы подразумевают по словом «сотрудник» в контексте ПП-1119.

Статьи:
Документы под грифом «Секретно» вызывают больше доверия, чем точно такие же документы без грифа.

Третья часть трилогии «В помощь пентестеру: простые и полезные трюки для анализа бинарных файлов», посвященная простым методам декомпиляции бинарных файлов.



Doxing и его отличие от сбора данных (reconnaissance | footprinting | information gathering) (англ.).

Первая часть серии статей о ГОСТ 28147-89, в которой освещены известные атаки на данный алгоритм  блочного шифрования, а также текущие оценки его стойкости.


Документы:
Risk Rater Endpoint Report – результаты опроса сотрудников ИТ-сферы по обеспечению ими информационной безопасности. Источник: Rapid7.

Metasploit - The Exploit Learning Tree – документ не является инструкцией по использованию Metasploit. В нем рассматривается исходный код инструмента, чтобы показать читателю, как различные классы и модули взаимодействуют между собой. Автор: Мохан Сантохи (Mohan Santokhi).

Законодательство:
Приказ Министерства связи и массовых коммуникаций Российской Федерации (Минкомсвязь России) от 27 июня 2013 г. N 149 г. "Об утверждении Требований к технологическим, программным и лингвистическим средствам, необходимым для размещения информации государственными органами и органами местного самоуправления в сети "Интернет" в форме открытых данных, а также для обеспечения ее использования". 

Программное обеспечение:
oclHashcat-plus v0.15 – бесплатная программа для восстановления паролей по хешу.

Мероприятия:
Алексей Лукацкий приглашает всех желающих выступить с докладом на InfoSecurity Russia 25-27 сентября и Инфобез-Экспо 8-10 октября.

Ресурсы:
Securing Web Application Technologies (SWAT) Checklist – сборник лучших практик призван повысить осведомленность разработчиков для создания безопасных интернет-приложений.

Презентации с круглого стола «Эффективное управление информационной безопасностью», организованной ассоциацией «DLP-Эксперт» и ГК InfoWatch.

пятница, 23 августа 2013 г.

Новости ИБ за 16 - 23 августа 2013 года



Блоги:
Обзор Указания Банка России от 21 июня 2013 г. N 3024-У от Алексея Лукацкого.


Список нормативных документов, регламентирующих вопросы информационной безопасности в рамках законодательства о Национальной платежной системе.

Артем Агеев описал способы извлечения и удаления метаданных из документов MS Office.

Наталья Храмцовская поделилась судебным разбирательством относительно правомочности передачи банком персональных данных должника коллекторскому агентству.

Статьи:


Часть 1 и часть 2 трилогии «В помощь пентестеру: простые и полезные трюки для анализа бинарных файлов».

Законодательство:
Приказ Министерства связи и массовых коммуникаций Российской Федерации (Минкомсвязь России) от 5 июля 2013 г. N 164 г.  «О признании утратившим силу приказа Министерства связи и массовых коммуникаций Российской Федерации от 8 июня 2011 г. N 137 «Об утверждении Административного регламента Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги по организации приема граждан, обеспечению своевременного и полного рассмотрения устных и письменных обращений граждан, принятию решений и направлению ответов заявителям в установленный законодательством Российской Федерации срок».

Программное обеспечение:
OWASP Xenotix XSS Exploit Framework v4 – фреймворк для тестирования на проникновение, способный находить и использовать XSS-уязвимости.

Nmap v6.40 – сканер безопасности.

ZMap v1.0.3 – сетевой сканер с открытым исходным кодом.

Вебинары:
27 августа 2013 года в 11.00, тема: «Реализация требований по защите информации в соответствии с положением Банка России № 382», ведущий: Антон Свинцицкий, Руководитель отдела консалтинга ЗАО «ДиалогНаука».

Аналитика:
Спам в июле 2013г. Источник: «Лаборатории Касперского».

Ресурсы:
PCI DSS v2.0 – русская версия Стандарта с официального сайта Совета по стандартам безопасности данных индустрии платежных карт (PCI Security Standards Council).

Презентации с 16 встречи Defcon Russia.

среда, 21 августа 2013 г.

Browser Security Handbook. Глава 1, пункт 10

Руководство по безопасности браузеров (Browser Security Handbook). Глава 1

   CSS используется как средство оформления внешнего вида веб-страниц, например, часть текста может быть представлена в виде пронумерованного списка или написана шрифтом «Comic Sans» с размером 72 pt. Хотя это и удобно для использования на новых страницах, но сложно реализовать автоматическую настройку внешнего вида документа, не изменяя его структуры (например, сайт под мобильные устройства, версия для печати, требования доступности), или точно сохранить структуру документа при перемещении данных или смене макета сайта.
Несмотря на то, что идея таблиц стилей как таковых предшествует HTML, текущий вариант проекта был одобрен консорциумом W3C ближе к 1998 году: из-за сложных изменений, необходимых для визуализации, потребовалось несколько лет, чтобы технология обрела популярность.
Существует три способа встраивания CSS в HTML-документ:
1. Использование встроенного параметра STYLE="...", применяемого с HTML-тегами любого типа; атрибуты, указанные таким образом применяются только к данному и вложенным тегам (и в значительной степени поражают цели всей системы, когда речь заходит о смене внешнего вида документа).
2. Использование тега <STYLE>...</STYLE> в любой части документа. Он может изменить внешний вид, установленный по умолчанию другим тегом, либо установить правила для конкретных тегов с параметром CLASS="..." (т.к. данный стиль обладает более высоким приоритетом).
3. Подключение удаленных стилей с помощью <LINK REL="stylesheet" HREF="..."> с таким же глобальным эффектом, как  и блок <STYLE>[6].
В первых двух способах, таблица стилей, как правило, наследует набор правил документа и интерпретируется соответствующим образом, в последнем - набор символов может быть получен из заголовка Content-Type, конструкции @charset, или обнаружен автоматически, если не работают другие варианты.
Поскольку CSS предоставляет мощный и стандартизированный способ управления внешним видом блока HTML, многие приложения позволяют третьей стороне управлять подмножеством синтаксиса CSS, используемого в документах. К сожалению, задача довольно сложная.
Важнейшими последствиями безопасности, контролируемых злоумышленником таблиц стилей, являются:
- Риск выполнения JavaScript. Малоизвестно, что некоторые реализации CSS позволяют сценарию встраиваться в таблицы стилей. Есть, по крайней мере, три способа достижения этой цели: с помощью конструкции expression(), которая дает возможность вычислять произвольные операторы JavaScript и использовать их в качестве CSS-параметра; с помощью конструкции url('javascript:...'); или вызывая конкретные для браузера свойства, такие как -moz-binding в Firefox.
- Возможность свободно располагать текст в определенном месте. Если на странице разрешены таблицы стилей управляемые пользователем, различные свойства позиционирования CSS могут быть использованы для перемещения текста за пределы текущего контейнера и воспроизведения доверенных элементов пользовательского интерфейса (или в точности им соответствующих). Примерами свойств абсолютного позиционирования являются: z-index, margin, padding, bottom, left, position, right, top, или text-indent (многие из них имеют  подварианты, такие, как margin-left).
- Возможность повторного использования доверенных классов. Если управляемые пользователем атрибуты CLASS="..." разрешены в синтаксисе HTML, атакующему может повезти в "заимствовании" класса, используемом для отображения элементов доверенных элементов пользовательского интерфейса, и выдавать себя за данный класс.
Подобно JavaScript, таблицы стилей сложно обезвредить, потому что они следуют за синтаксическим анализом CDATA-стиля: буквенная последовательность </STYLE> завершает таблицу стиля независимо от её местоположения в синтаксисе CSS. Например, следующая таблица стиля будет завершена досрочно и приведет к выполнению javascript-кода:

<STYLE>
body{ background-image: url('http://example.com/foo.jpg?</STYLE><SCRIPT>alert(1)</SCRIPT>'); }
</STYLE>

Другое интересное свойство, специфичное для обработки <STYLE>, заключается в получении некорректного результата при наложении двух подобных CDATA-типов друг на друга. Например, следующая запись может быть истолкована как сценарий или как пустая таблица стилей (в зависимости от браузера):

<STYLE>
<!-- </STYLE><SCRIPT>alert(1)</SCRIPT> -->
</STYLE>

Еще одна характерная особенность, которая задает таблицу стилей - несмотря на всю строгость синтаксического анализатора CSS, синтаксическая ошибка не приведет к его полному отключению. Вместо этого, после следующего высокоуровневого элемента синтаксиса, будет принята попытка восстановления, что усложняет обработку строк, управляемых пользователем. Например, не правильно оформленный отдельный разделитель строк во введенной пользователем строке позволит злоумышленнику легко изменить таблицу стилей в большинстве браузеров:

<STYLE>
.example {
  content: '*** USER STRING START ***
  } .example { color: red; } .bar { *** USER STRING END ***';
}
</STYLE>
<SPAN CLASS="example">Hello world (in red)!</SPAN>

С дополнительными примерами данного направления можно ознакомиться на страницах Википедии.
Некоторые основные различия синтаксического анализа CSS в распространенных браузерах приведены в таблице № 11:
 Таблица № 11
Описание теста
MSIE6
MSIE7
MSIE8
FF2
FF3
Safari
Opera
Chrome
Android
Поддерживается конструкция expression(...)?
Да
Да
Да
Нет
Нет
Нет
Нет
Нет
Нет
Поддерживаются сценарии в url(...)?
Да
Нет
Нет
Нет
Нет
Нет
Нет
Нет
Нет
Поддерживается выполнение сценария в свойстве -moz-binding?
Нет
Нет
Нет
Да
Нет
Нет
Нет
Нет
Нет
</STYLE> приоритетнее анализатора блока комментариев?
Нет
Нет
Нет
Да
Да
Нет
Нет
Нет
Нет
Допустимые символы в CSS в качестве разделителя поле-значение (кроме \t \r \n \x20)
\x0B \x0C \ \xA0
\x0B \x0C \ \xA0
\x0B \x0C \ \xA0
\x0B \x0C \
\x0C \
\x0C \
\x0C \ \xA0
\x0C \ \xA0
\x0C \

Кодировка символов в CSS

Как и в случае с JavaScript, в интернет-приложениях строки таблицы стилей, управляемые пользователем, необходимо представлять безопасным способом. Для работы со спецсимволами требуются методы экранирования потенциально небезопасных значений. Странно, однако, что CSS формат не поддерживает ни кодирование HTML-объектов, ни любой другой метод кодирования символов, представленный в JavaScript. Вместо этого используется довольно необычная и несовместимая схема: отображения символа начинаются с обратного слеша, следом за которым идет шестнадцатеричное число. Например, слово "test" может быть закодировано как "t\65st" или "t\000065st", но не как "t\est", "t\x65st", "t\u0065st" или "t&#x65;st".
Очень важная и малоизвестная особенность, уникальная для синтаксического анализатора CSS, заключается в том, что управляющая последовательность также принимается за пределами строки, и может заменить некоторые синтаксические управляющие символы в таблице стилей. Так, например, color:expression(alert(1)) и color:expression\028 alert \028 1 \029 \029 имеют одинаковый смысл, смешанный синтаксис вроде color:expression(alert \029 1) \029 работать не будет. Отдельные многострочные строковые литералы не поддерживаются (исключение - Internet Explorer), но одинокий обратный слеш «\», стоящий в конце строки, может быть использован для разбиения длинной строки.

пятница, 16 августа 2013 г.

Новости ИБ за 9 - 16 августа 2013 года



Статьи:
Социальная инженерия: ликбез про метод атаки, который никогда не устаревает.

Четвертая часть серии статей о тестировании на проникновение приложений iPhone, в которой рассматриваются различные типы файлов, хранящихся/созданных в домашней директории приложения и другие небезопасные хранилища данных.

Основные заблуждения, связанные с управлением привилегированными учётными записями в локальных сетях предприятий.

Выпущенные на днях бюллетени безопасности Microsoft привели к проблемам.

Риски, связанные с окончанием поддержки Windows XP в апреле 2014 г. (англ.)


Программное обеспечение:
OWASP Bricks – Raidak – намеренно уязвимое интернет-приложение, написанное на PHP и MySQL; платформа для обучения по безопасности интернет-приложений.

WATOBO v0.9.13 – программа для аудита безопасности интернет-приложений.

Samurai Web Testing Framework v2.1LiveCD, содержащий инструменты для тестирования интернет-приложений.

Iron Web application Advanced Security testing Platform (IronWASP) v0.9.6.5 – система с открытым исходным кодом для тестирования интернет-приложений на уязвимости (скачать).

Nishang v0.3.0 – фреймворк / коллекция сценариев и полезных нагрузок, позволяющих использовать PowerShell для тестирования на проникновение.

Arachni v0.4.4 – сканер безопасности интернет-приложений.

Metasploit v4.7 – фреймворк для тестирования на проникновение, позволяющий писать и использовать эксплойты.

Nmap NSE Vulscan 2.0 - модуль Nmap для поиска уязвимостей.

Аналитика:



Ресурсы:
«Так безопасно!» - проект компании «LETA», призванный помочь повысить осведомленность сотрудников огранизации в сфере информационной безопасности с помощью обоев для рабочего стола либо заставок (скринсейверов).

пятница, 9 августа 2013 г.

Новости ИБ за 2 - 9 августа 2013 года



Блоги:
Сергей Борисов описал порядок выполнения основных мероприятий по обеспечению безопасности ПДн и типовые наборы документов к ним.

Михаил Емельянников рассказал о том, кто имеет право получать информацию, доступ к которой ограничен федеральным законодательством и привел несколько примеров из судебной практики.

Обзор кибератак за 16-31 июля.

Максим Репин, основываясь на личном опыте, описал процесс проведения инвентаризации информационных активов в организации.

Иван Бойцов рассмотрел базовые меры защиты виртуальной инфраструктуры (по требованиям 21 и 17 приказов ФСТЭК).

Статьи:
«Как узнать, что ваш PHP-сайт был взломан?». В статье рассматриваются способы выявления вредоносных php-файлов на серверах.


Третья часть серии статей о тестировании на проникновение приложений iPhone, посвященная детальному анализу хранения данных в связке ключей.


Кража конфиденциальной информации из браузера с помощью атаки по времени (timing attacks) (англ.).

Документы:
VMware Security Hardening Guides - exсel-документы, содержащие списки критически важных настроек для ESXi, виртуальных машин, виртуальных сетей, описание уязвимостей и т.д (англ.). Автор: VMware.

(In) Security in Security Products 2013 – отчет по уязвимостям в продуктах для защиты информации (англ.). Автор: iViZ Security Inc.

Программное обеспечение:
Sparty v0.1 – утилита с открытым исходным кодом для аудита интернет-приложений, созданных в Sharepoint и Frontpage.

Аналитика:

Спам во втором квартале 2013. Источник: «Лаборатории Касперского».


Ресурсы:
Critical Controls for Effective Cyber Defense v4.1 – руководство по защите организации от кибератак. Автор: SANS.

Материалы с конференции Blackhat 2013.


пятница, 2 августа 2013 г.

Новости ИБ за 26 июля – 2 августа 2013 года


Блоги:
Аман Хардикар (Aman Hardikar) обновил диаграммы связей (англ.).

Алексей Лукацкий осветил проблемы правового нигилизма.

Статьи:

Серия статей о тестировании на проникновение приложений iPhone, в который рассматривается методология тестирования на проникновение приложений на реальном устройстве под управлением iOS 5: часть 1, часть 2.

Использование маршрутизатора Cisco для расшифровки пароля (англ.).


Документы:

Законодательство:
Федеральный закон Российской Федерации от 23 июля 2013 г. N 205-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с уточнением полномочий органов прокуратуры Российской Федерации по вопросам обработки персональных данных».

Федеральный закон Российской Федерации от 23 июля 2013 г. N 251-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с передачей Центральному банку Российской Федерации полномочий по регулированию, контролю и надзору в сфере финансовых рынков».


Указание Банка России от 21.06.2013 N 3024-У «О внесении изменений в Указание Банка России от 9 июня 2012 года N 2831-У «Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств».

Программное обеспечение:
Dr.Web CureIt! v8 – утилита для лечения домашнего ПК от вирусов и нежелательных программ.

Kali Linux v1.0.4 – Linux-дистрибутив для тестирования на проникновение.

Passive Vulnerability Scanner (PVS) анализатор сетевого трафика.

Вебинары:
6 августа в 11:00, тема: «Защита бизнес-приложений от внутренних угроз», автор: Рустем Хайретдинов.

Аналитика:
Доля спама в июне в почтовом трафике составила 71,1%.

Ресурсы:
Мастер-класс «Реальная безопасность и система собственной защиты информации». Докладчик: советник по защите информации в Администрации президента, Владимир Николаевич Алексеенко.