Блог Гордейчика
WPA2 взломали?
Интересная заметка появилась о потенциальном взломе WPA2.
http://www.networkworld.com/newsletters/wireless/2010/072610wireless1.html
http://www.securitylab.ru/news/396094.php
Судя по описаниям - опять вмешался ARP + ключи групповой рассылки.
Особых деталей нет, и кстати - непонятен риск. Кроме DoS со стороны аутентифицированного пользователя заявлен некий "snoop", что далеко не sniff.
Т.е. по предварительным данным CVSS Base Score невысокий, где-то 3.8.
http://nvd.nist.gov/cvss.cfm?name=&vector=(AV:N/AC:M/Au:N/C:N/I:N/A:C)&version=2
Ждем Defcon, подробности и код.
Категории: Все записи
Новая схема защиты пароля требует новой схемы защиты схемы защиты пароля :)
Специалисты Microsoft предлагают новый способ защиты от взлома паролей
http://www.securitylab.ru/news/395967.php
Поэтому Microsoft советует: пусть система регистрации сама подсчитывает количество повторяющихся в ней паролей. Например, пользователь может использовать в качестве пароля слово "password", но таких аккаунтов не должны быть тысячи и десятки тысяч. Поэтому дублирование простых паролей должно ограничиваться самой системой. Когда число одинаковых паролей достигло критического - система должна предупретить пользователя, что такой пароль использовать нельзя.
Собственно - мысль здравая, но учитывая, что идентификатор пользователя секретом не является, такая схема предлагает злоумышленнику интересный способ подбора паролей - путем попытки смены его на словарные значения. Если изменение пароля запрещено, то пароль у кого-то используется. В словарик его. А дальше с ним по списку аккаунтов.
http://www.securitylab.ru/news/395967.php
Поэтому Microsoft советует: пусть система регистрации сама подсчитывает количество повторяющихся в ней паролей. Например, пользователь может использовать в качестве пароля слово "password", но таких аккаунтов не должны быть тысячи и десятки тысяч. Поэтому дублирование простых паролей должно ограничиваться самой системой. Когда число одинаковых паролей достигло критического - система должна предупретить пользователя, что такой пароль использовать нельзя.
Собственно - мысль здравая, но учитывая, что идентификатор пользователя секретом не является, такая схема предлагает злоумышленнику интересный способ подбора паролей - путем попытки смены его на словарные значения. Если изменение пароля запрещено, то пароль у кого-то используется. В словарик его. А дальше с ним по списку аккаунтов.
Таким образом, придется вводить новый параметр безопасности - "Количество неудачных изменений пароля в единицу времени". Естественно при наличии минимального срока жизни пароля, что редкость в online сервисах, поддерживающих процедуру сброса.
PS.
"Ошибка! Этот пароль уже использует пользователь Masha."
Категории: Все записи
Вирус для SCADA
_практически_ первый публичный вирус для SCADA/АСУТП
ESET: новый червь атакует промышленные компании
Siemens: New virus targets industrial secrets
Кстати, он еще и подписан.
ESET: новый червь атакует промышленные компании
Siemens: New virus targets industrial secrets
Кстати, он еще и подписан.
Категории: Все записи
Еще один 0-day в Microsoft Windows или Stuxnet атакует
Интересный обзор уязвимости при обработке ярлыков в Windows разместил Валерий Марчук.
http://www.securitylab.ru/blog/personal/tecklord/12729.php
Рекомендую ознакомится всем связанным с безопасностью Windows.
http://www.securitylab.ru/blog/personal/tecklord/12729.php
Рекомендую ознакомится всем связанным с безопасностью Windows.
Категории: Все записи
100% Virus Free Podcast #15
Недавно забегал в новый офис Eset, по пути меня проинтервьюировал Александр Матросов.
- немного о том, как Сергей докатился до жизни такой :)
- пентесты, зачем нужны и что под этим понимают эксперты
- внутренние тестирование защищенности соц. сети Facebook
- целевые вредоносные программы и насколько может быть эффективна такая атака?
- нужен ли анонимный доступ к беспроводным сетям, хорошо это или плохо?
- ближайшие планы PT на проведение соревнований СTF
Другие выпуски подкаста:
http://esetnod32.ru/.company/podcast/
- немного о том, как Сергей докатился до жизни такой :)
- пентесты, зачем нужны и что под этим понимают эксперты
- внутренние тестирование защищенности соц. сети Facebook
- целевые вредоносные программы и насколько может быть эффективна такая атака?
- нужен ли анонимный доступ к беспроводным сетям, хорошо это или плохо?
- ближайшие планы PT на проведение соревнований СTF
Другие выпуски подкаста:
http://esetnod32.ru/.company/podcast/
Категории: Все записи
Запрос в поддержке
Сегодня прицепили к тикету в поддержке
Надо включаться :)...
PS. Первый offtopic
Надо включаться :)...
PS. Первый offtopic
Категории: Все записи
Compliance & Risks
Недавно компелировл в презентацию поток мыслей по управлению рисками.
Возможно кому-то пригодиться.
Gordey - risk vs complianceView more presentations from qqlan.
Возможно кому-то пригодиться.
Gordey - risk vs complianceView more presentations from qqlan.
Категории: Все записи
Статистика уязвимостей Web 2009
В этом году были проанализированы данные о 5560 веб-приложениях протестированных специалистами компании Positive Technologies в ходе предоставления консалтинговых и сервисных услуг по информационной безопасности, таких как тесты на проникновение, анализ защищенности в рамках стандарта PCI DSS и мониторинг защищенности внешнего периметра с использованием системы MaxPatrol.
Практически половина проанализированных систем содержали уязвимости. Суммарно во всех приложениях было обнаружено 13434 ошибок различной степени риска, зафиксировано 1412 образцов вредоносного кода, содержащихся на страницах уязвимых систем. Доля скомпрометированных сайтов распространявших вредоносное программное обеспечение составила 1,7%. Каждый из таких сайтов содержал уязвимости, позволяющие выполнять команды на сервере, что подтверждает возможность использование этих уязвимостей для компрометации системы.
Основной результат исследования неутешителен. Вероятность обнаружения критичной ошибки в веб-приложении автоматическим сканером составляет около 35% и достигает 80% при детальном экспертном анализе. Этот факт демонстрирует невысокую защищенность современных Web-приложений не только от атак со стороны квалифицированных злоумышленников, но и от действий атакующих, вооруженных готовыми утилитами для «автоматического взлома».
Как и ранее, наиболее распространенными ошибками, допускаемыми разработчиками приложений, являются уязвимости «Межсайтовое выполнение сценариев» и «Внедрение операторов SQL» на которые пришлось более 19% и 17% всех обнаруженных уязвимостей соответственно.
С точки зрения соответствия требованиям регуляторов (compliance management) ситуация улучшилась незначительно. До 84% веб-приложений не удовлетворяет требованиям стандарта по защите информации в индустрии платежных карт PCI DSS и 81% не соответствуют критериям ASV-сканирования, определенного в стандарте.
Сравнение результатов с отчетами предыдущих четырех лет показал, что ситуация со степенью защищенности веб-приложений в 2009 в целом улучшилась. Так, анализ устранения уязвимостей на 768 сайтах проверявшихся в 2008 и 2009 году показал, что более 60 процентов владельцев устранили все критичные уязвимости в течение года и существенно повысили защищенность своих ресурсах. В целом регулярный анализ защищенности веб-приложений и налаженный процесс устранения выявленных недостатков позволяют за год уменьшить число уязвимых сайтов в среднем втрое.
Ссылки: pdf html
Категории: Все записи
Точки доступа. Шифровать или штрафовать?!
Забавная новость из Германии.
Высший уголовный суд Германии вынес постановление, согласно которому все приватные WiFi-сети в стране обязаны быть защищены паролем, чтобы предотвратить вероятность несанкционированного выхода в интернет со стороны третьих лиц.
http://www.securitylab.ru/news/393783.php
http://www.msnbc.msn.com/id/37107291/ns/technology_and_science-security/
Тут же возникают аллюзии с Шнаером (http://www.schneier.com/blog/archives/2008/01/my_open_wireles.html) который со своей криптографической колокольни вообще предлагает открыть все точки из соображений в стиле хиппи.
Providing internet access to guests is kind of like providing heat and electricity, or a hot cup of tea
Собственно две противоположной точки зрения, и я здесь больше на стороне Германского суда.
Прежде всего, потому как проблемы связанные с открытым WiFi доступом несколько шире, чем кажется.
Это и взлом домашних компьютеров, которые "за фаерволом" и мелкий бытовой шпионаж и тривиальная кража трафика и использованием соединения с сетью для всяких неприглядных дел... И потом доказывай, что это это не ты взламывал сайты Пентагона и качал гигабайты защищенного законодательством материала.
Более того, начав предоставлять доступа в интернет мы автоматически попадаем... (или не попадаем, или можем не попасть) по требования 126-ФЗ "О связи" или нарушение договора с оператором, что радует безмерно.
Обо всем этом Шнайер упоминает, но как-то ... легкомысленно. Например его тезис, что он будет защищать свой ноут от врагов в аэропорту конечно правилен, но... Например я особо не буду думать о безопасности медиацентра Iconbit и SOHO NAC на пингвин/самба с которого он показывает медиа... Потому как не поеду с ним в аэропорт :)
Что касается технической стороны, то тут скорее уместен Dynamic PSK или Wireless Provisioning Services от Microsoft (кстати, что с ним?).
PS. Google призналась в сборе данных об открытых городских WiFi-сетях. Просто ужас какой-то. За мной следят со спутника?!
Высший уголовный суд Германии вынес постановление, согласно которому все приватные WiFi-сети в стране обязаны быть защищены паролем, чтобы предотвратить вероятность несанкционированного выхода в интернет со стороны третьих лиц.
http://www.securitylab.ru/news/393783.php
http://www.msnbc.msn.com/id/37107291/ns/technology_and_science-security/
Тут же возникают аллюзии с Шнаером (http://www.schneier.com/blog/archives/2008/01/my_open_wireles.html) который со своей криптографической колокольни вообще предлагает открыть все точки из соображений в стиле хиппи.
Providing internet access to guests is kind of like providing heat and electricity, or a hot cup of tea
Собственно две противоположной точки зрения, и я здесь больше на стороне Германского суда.
Прежде всего, потому как проблемы связанные с открытым WiFi доступом несколько шире, чем кажется.
Это и взлом домашних компьютеров, которые "за фаерволом" и мелкий бытовой шпионаж и тривиальная кража трафика и использованием соединения с сетью для всяких неприглядных дел... И потом доказывай, что это это не ты взламывал сайты Пентагона и качал гигабайты защищенного законодательством материала.
Более того, начав предоставлять доступа в интернет мы автоматически попадаем... (или не попадаем, или можем не попасть) по требования 126-ФЗ "О связи" или нарушение договора с оператором, что радует безмерно.
Обо всем этом Шнайер упоминает, но как-то ... легкомысленно. Например его тезис, что он будет защищать свой ноут от врагов в аэропорту конечно правилен, но... Например я особо не буду думать о безопасности медиацентра Iconbit и SOHO NAC на пингвин/самба с которого он показывает медиа... Потому как не поеду с ним в аэропорт :)
Что касается технической стороны, то тут скорее уместен Dynamic PSK или Wireless Provisioning Services от Microsoft (кстати, что с ним?).
PS. Google призналась в сборе данных об открытых городских WiFi-сетях. Просто ужас какой-то. За мной следят со спутника?!
Категории: Все записи
