Чтобы не было разносудов, сразу скажу, что под пентестом я понимаю получение некоторого уровня доступа к заданному ресурсу при заданных ограничениях. Например,
– получить доступ к документам с грифом ДСП;
– получить максимальные привилегии на одном из сетевых устройств в ядре;
– получить root в кластере процессинга и т.п.
Главное, что вопрос полноты, как при аудите, не стоит.

А теперь самое вкусное – это ограничения. Перечислю их по порядку от банальных до более тонких:
– время – например, под атаку отводится 24 часа, после чего Game Over @ Jigsaw Movie;
– методы воздействия – технические, физические, социальная инженерия;
– объекты воздействия – ломайте как хотите, а узел X не троньте;
– ресурсы и мотивация потенциальных злоумышленников.

И вот тут начинается самое интересное. Команда высококлассных пентестеров обладает заведомо большей квалификацией и набором инструментов (в том числе платных, за 100500$$), чем среднестатистический вероятный Интернет-проходимец.

Теперь представим себе такую ситуацию:

1. Я заказываю пентест своей корпоративной сети и сервисов, оговаривая профиль предполагаемого нарушителя (в профиль входит мотивация, квалификация, доступные ресурсы).
2. Пентест делает коммерческая фирма, которая хочет все работы выполнить с минимальными издержками. Так что пентестеры p0wn’ят мою сеть, например, через DNS Rebinding, переходят к режиму “белого ящика”, находят уязвимость, которая подпадает под профиль нарушителя, обозначенный в договоре – вуаля!
3. С одной стороны – да, получается, что тестируемая сеть не защищена от ожидаемых потенциальных нарушителей – есть конкретная уязвимость. С другой стороны мне абсолютно не понятно, будет ли уровень мотивации и квалификации потенциального злоумышленника, которого я ожидаю, достаточным для того, чтобы откопать и проэксплуатировать найденную уязвимость именно в режиме черного ящика. И моделирование именно такого процесса я ожидал, а не применение “ломика в рукаве”!

К чему я это все?
Во-первых, я за честные и открытые пентесты (открытые не как выборы, а как редиректы).
Во-вторых, я призываю всех наконец осознать важность включения модели нарушителя в аналитические работы по оценке защищенности IT-ресурсов.

Всех с наступающим!

Студенты! Аспиранты! Молодые исследователи! Отриньте сомнения! Проверьте себя! Пришлите тезисы на конкурс работ молодых ученых PHD!

Несколько важных моментов:

1. Тезисы проходят анонимное перекрестное рецензирование. Это значит, что каждые тезисы будут обезличены и направлены как минимум двум рецензентам. Решение по работе будет приниматься на основе полученных рецензий. Таким образом, авторы непрошедших работ получат не просто “reject”, а конструктивную критику.
2. Тезисы должны соответствовать как минимум двум важным критериям:
   - ориентированность на практическую составляющую информационной безопасности (т.е. такая область как Information Security Governance или свойства эллиптических кривых для криптографии получаются out-of-scope);
   - наличие научного подхода при получении и (очень важно) оценке применимости результата.
3. Принимаются тезисы, написанные в формате US Letter (шаблоны можно скачать вот здесь). Тезисы не в формате будут отклоняться автоматически.
4. Авторы лучших работ вместе с соавторами и научными руководителями получат возможность представить свою работу на соответствующем треке форума Positive Hack Days.

Остальные подробности описаны на страничке мероприятия.

Я буду очень признателен, если читатели этого поста сообщат о мероприятии своим знакомым, которые могут быть в нем заинтересованы. Большое человеческое спасибо!

p.s. Я вижу большой плюс в том, чтобы представители академии встретились с практиками и техническими специалистами на форуме: им есть чему поучиться друг у друга. С одной стороны, я часто вижу практиков, которые не понимают контекста той или иной проблемы (т.е. не владеют уровнями абстракции), не понимают взаимосвязей насущных задач со смежными областями; не представляют, зачем нужна методика испытания эфективности технического средства, и как ее грамотно составить (см. работы по сравнению сканеров, IPSок, антивирусов и пр). С другой стороны, представители академии порой исследуют сферических коней в вакууме (зачем нужен их метод или инструмент? какова область его эффективного применения?) – полная оторванность от реальных каждодневных задач. А еще, мне кажется, многим исследователям будет интересно узнать, какие методы и средства реально работают на практике, а которые – лишь в теории (привет статическому taint-анализу javascript’а).

p.p.s. Текст песни “So much drama in the PHD” можно почитать вот тут, а саму песню послушать вот тут.

So, in anticipation for further challenges, we hail the winners:
1. We_0wn_Y0u from Austria
2. More Smoked Leet Chicken from Russia
3. FluxFingers (Mario, Reiners, cheers) from Germany.
…
and the last but not the least,
41. Bushbabies from Russia. Our team of youngsters. We wish them good luck and a progressive kick off.

Попробую оценить fulfillment описанных целей на прошедшей конфе.
1. Около 90% услышанного я знал. Т.е. 10% услышанного было для меня новым. Это очень высокий показатель, наверное самый высокий из всех конференций, на которых я был (а их было достаточно). Самое большое впечатление произвел трик с заменой курсора в UI Redressing атаках.
2. По понятным причинам докладов на аналитические темы на конференции было немного, зато их качество – будь здоров. Федор – умнейший человек. Все, что он рассказывал, лично я слушал с большим удовольствием.
3. Я понимаю организаторов, которые устраивают отдельный ивент для спикеров. Но я-то на другой стороне. Я, например, с большим удовольствием бы попил пива с Владимиром Воронцовым, с Димой Частухиным, с Никитой Таракановым, с другими спикерами. Но нет. При двухдневной конференции задача решается просто: ужин для спикеров в день открытия, в день закрытия – свободная программа. Как быть с однодневной конференцией – надо думать.

Ну и еще из минусов:
1. Треки не синхронизировались. Логично предположить, что народ хочет перетекать из зала в зал после докладов. Реально получалось так, что при переходе в другой зал застаешь уже начавшийся доклад.
2. Для понаехавших людей хорошо бы было на сайте указать способы добраться до гостиницы. Как минимум, ближайшую станцию метро. Как максимум, номера общественного транспорта, номера заказа такси, паттерны с пробками. Лично у меня получилось классически: ловил тачку “с руки”, получал вопрос “а дорогу пакажишь?”, после чего вел таксиста по Яндекс-картам.
3. В первую половину дня было холодно в главном зале.

Плюсов же было намного больше. Вообще, я не ожидал увидеть столько людей. Организаторам – зачет. На мой взгляд, для первого раза количество факапов было крайне низким. Покидал конференцию с чувством глубочайшего удовлетворения от увиденного. О потраченном времени и деньгах не пожалел ни разу.

Отдельно хочется поздравить победителей конкурса от Яндекса по поиску уязвимостей: Владимира Воронцова, Алексея Синцова и Эльдара Заитова. Все молодцом!

Другие версии событий от участников:
– http://oxod.ru/?p=349
– http://sgordey.blogspot.com/2011/11/zeronights_27.html
– http://scii.ru/_shr/2011/11/zeronights-2011/

Для нагнетания правильной обстановки и прочего 3,14-ара группой добровольцев, состоящей из Владимира Воронцова, Алексея Синцова и Дарта Вейдера Dirk’а van Veen’а, был разработан и запущен HackQuest.
Спешу рассказать о заданиях, которые я решил.

Прежде всего хочу выразить глубочайшее уважение придумщикам заданий (надеюсь, оно не пропадет, когда будут выложены ответы): некоторые задания оказались мне не по зубам, а я тратил на квест аж по три часа каждый день, с 10 вечера до часу ночи. Итак, решения:

1. Задание по крипте “Saint Isaac’s Cathedral”.
Задание гласит: “In the basement of the cathedral you come across a strange man. He said that : DA DG VV FA GV DA FF GG FX XF VG FX FV DV VX XF XA AV VA VA VX AA AV XV XV XV XA AV AA XV VV VX”

На HTML-странице был комментарий: <!– also, he said that was very fond of his old country … –>, а на главной странице с квестами – такой: <!–This terrible man lives in the basement of the cathedral. Rumor has it that this is the main information security expert of the USSR since 1917.–>

Замечаем, что алфавит состоит из символов ADFGVX. Вбив это в гугл, добавив на всякий случай слово cipher, получил ссылку на википедию. Осуществив ликбез, воспользовался гуглом с ключевым словосочетанием “ADFGVX online” и получил ссылку на этот сервис. Дальше уже совсем все просто – вставляем шифрограмму, используем ключ USSR и получаем флаг.

2. Задание по крипте “Trinity Cathedral”.
Дается картинка:

Надо сказать, что это задание у меня отняло наибольшее количество времени – три дня по три часа. Но удовлетворение от её решения было соизмеримым :)

Первым делом надо было найти шифрограмму. Воспользовавшись сервисом по поиску похожих картинок TinEye, нашел оригинал. Методом пристального взгляда нашел отредактированное место (слева от ворот). Итак, шифр состоит из полных и неполных прямоугольников. Сразу за рабочую гипотезу была принята идея об использовании шифра простой подстановки. Проблема заключается в том, что флаг – это не обычный текст, так что нет никакой возможности проверить, правильно ли была дешифрована шифрограмма (только отправить ответ). Проводить брутфорс системы приема флагов не хотелось, поэтому я впал в депрессию глубокие раздумия. Кстати, на всякий случай скажу, основные версии флагов, полученные частотным анализом, не подошли.

Одной из идей было найти в таблице Юникода соответствующие символы и заменить строку на их коды. Вы не представляете, как было грустно просматривать эту таблицу. В общем, fail.
Почти сдавшись, решил на последок еще раз воспользоваться палочкой-выручалочкой – гуглом. Идея была попробовать поискать что-то наподобие “geometric figures cipher”. И мне повезло: на третьем месте была статья про Pigpen cipher.

Бинго! Дальше читаем статью в википедии, обзываем себя за то, что не поискали в гугле с самого начала, понимаем, что символы A-F – отличные кандидаты для числа в HEX’е и получаем долгожданный флаг.

3. Задание по вебу “Seaport”.
Дается форма для ввода номера корабля и кнопка Submit. Текст гласит: “Enter ship number to get shipment ticket“. Т.к. работаю из-под Burp Suite, всегда первым делом запускаю встроенный сканер. Ага, часть ответов вернулась с кодом 500. Подозрительно. Далее немного времени ушло на то, чтобы понять, когда возвращается код 500, а когда 200. Подозрения на SQLi оправдались: в ответ на ввод

1')UNION SELECT 1,1,1 FROM sqlite_master --

была получена страница с QBar-кодом, который был мгновенно распознан моим Андроидом.

Далее, вытягиваем инфу. Используя Burp Intruder, делаем запросы от a до z вида:

1')UNION SELECT sql,sql,sql FROM sqlite_master where tbl_name like '%<char>' --

Получаем таблицы ships, tickets и users.

Далее, вытягиваем инфу из каждой таблицы (i=1, 2, …):

1')UNION SELECT ship,ship,ship FROM ships where id=i --
1')UNION SELECT ticket,ticket,ticket FROM tickets where id=i --
1')UNION SELECT username,username,username FROM users where id=i --
1')UNION SELECT pass,pass,pass FROM users where id=i --

и получаем флаг.

4. Задание по вебу “Baltic Rail Terminal”.
Опять, дается форма для ввода номера билета и кнопка Submit. Текст гласит: “Registered passengers can check trains“. Перво-наперво, запускаем любимые сканеры: Burp, sqlmap, wapiti… Опа! Wapiti говорит, что есть файл baltic.php.old. Качаем, смотрим исходники, а там такое:

<?php
$db = new SQLite3("baltic.BY7834asGHAguy367asvdsa123yuasda12.db");
if(isset($_POST['ticket'])){
    $ticket = intval($_POST['ticket']);
    if (strlen($ticket)!=8){
        echo "<font color=red>Ticket is incorrect</font>";
    }else{
        $res = $db->query("select * from trains where id in (select trainid from tickets where ticket='$ticket');");
	if ($row=$res->fetchArray()){
            echo "</div><div class=feed><table border=1><tr><td>Train number:</td><td>{$row['train']}</tr><tr><td>Depart time:</td><td>{$row['time1']}</td></tr>";
            echo "<tr><td>Arriv. time:</td><td>{$row['time2']}</td></tr>";
            echo "<tr><td>Comment:</td><td>ID: {$row['id']}</td></tr></table>";
	}
    }
}
?>

Тут, признаюсь, я сильно лажанулся, ибо решил, что флаг – это BY7834asGHAguy367asvdsa123yuasda12. Далее я около часа времени потратил на то, чтобы его привести к виду, который нравится проверяющей системе. И все неудачно, представляете???!!! Да, epic fail.

Ну конечно, надо было просто скачать файл baltic.BY7834asGHAguy367asvdsa123yuasda12.db, открыть в sqlite и получить флаг из таблицы users.

5. Задание по крипте Метро 1.
Текст задания гласит: “You squandered all the money. You do not even have enough money to ride the subway to ATM. You look at trash near subway and found two used cards. Using the card reader you get a dump of that cards. Make a valid card and fall into the subway.” Дается два текстовых файла, которые содержат дампы магнитных полос.

Это задание получилось решить быстрее всех, буквально за 5 минут. Burp Intruder + обработка payload’а методом bit flipping (а payload – содержимое скачанного файла) – и вот результат – валидная карточка и флаг на 170 баллов.

Теперь о неудачах.
1. Социальная инженерия через Skype.
Задание гласит: “You wake up in a Sovetskaya Hotel with a girl. You drank so much last night that do not remember anything. She quickly goes away and leaves only the number of Skype. Skype://Margo.Reyun“. Your task is to understand what happened that night.

Я придумал следующую легенду. Звоним и говорим:
“Здравствуйте, меня зовут Андрей Петухов. Я начальник службы безопасности гостиницы Азимут, бывшая Советская. К сожалению, вынужден вас побеспокоить по очень неприятному вопросу. Есть у вас 5 минут? Ваш контакт мы нашли сегодня днем в номере с одним молодым человеком, состояние которого мы не можем оценить иначе как безумие. Он ничего не помнит и постоянно бредит. На салфетке мы нашли ваш Skype-контакт. Кроме того, камеры видеонаблюдения показали, что сегодня утром из этого номера выходила девушка. Мы предположили, что это могли быть вы. Мы бы не хотели доводить это дело до полиции. Не могли бы вы пролить свет на то, что было с этим человеком на тот момент, когда вы были вместе?”

Примерно так. С первого раза не дозвонился, а потом пропал настрой. Фиг знает, что бы получилось :)

2. Самое жирное задание на веб под названием “Kirovsky plant”.
Задание содержит форму аутентификации и называется “Timesheets system”. Подсказка по заданию в твиттере советовала получить в начале исходники. Что ж, давайте поищем. Наличие директорий в nginx проверяется достаточно просто: /path/.htaccess. Если директория существует – вернется код 403. Быстро оказалось, что существует каталог /missions/kirovsky/. Т.е. исходники прячутся где-то там. Дальше был брутфорс, который не дал никакого результата. А дальше кончилось время и желание :)

Во время брутфорса пробовались следующие комбинации (помимо всяких svn и CVS):

/missions/kirovsky/kirovsky.php.<расширения backup-файлов, архивов, inc, phps и т.п.>
/missions/kirovsky/kirovsky.<расширения backup-файлов, архивов, inc, phps и т.п.>
/missions/kirovsky/kirovsky.php.(source|sources|src).<расширения backup-файлов, архивов, inc, phps и т.п.>
/missions/kirovsky/kirovsky.(source|sources|src).<расширения backup-файлов, архивов, inc, phps и т.п.>
/missions/kirovsky/kirovsky-(source|sources|src).<расширения backup-файлов, архивов, inc, phps и т.п.>
/missions/kirovsky/(archive|backup|dist|code|files|source|sources|src).<расширения backup-файлов, архивов, inc, phps и т.п.>

Такие дела.
Еще раз огромное спасибо создателям квеста за потраченное время. Лично я получил много фана, и, что самое главное, ощущение, что я много чего не знаю :)

p.s. Конечно, поздравляю победителей – команду rdot!
p.s. #2 Хочется выразить респект товарищу kyprizel, который в одиночку составил достойную конкуренцию целой команде rdot. Молодцом!
p.s. #3 Кто еще участвовал? Кидайте линки на свои write-up’ы!

Сегодня я хочу поделиться с вами одной идеей, с помощью которой можно отделить роботов от человеков. Итак, задача (упрощенно):
1. Есть страница X, на которую приходят (перенаправляются) посетители, в отношении коих будет проводиться атака Drive-by-Download.
2. Есть страница Y, на которой размещен непосредственно эксплойт.

Требуется: реализовать переход со страницы X на страницу Y таким образом, чтобы до страницы Y не дошли роботы, но дошли все или почти все человеки.

Усложним себе задачу, сделав следующие допущения:
1. Все роботы умеют интерпретировать Javascript. Иначе задача решается тривиально.
2. Все роботы построены на основе WebKit, а пользователи работают из-под браузера Google Chrome. Таким образом, методы fingerprinting’а также не применимы.

Сначала перечислим well-known варианты решения:
1. CAPTCHA. Не годится, ибо мы хотим свести к минимуму взаимодействие с пользователем. Кроме того, CAPTCHA на простой странице вызывает подозрения.
2. Можно регистрировать события от мыши и клавиатуры: мол, если есть – то человек, иначе – электронный болван. Но такие события эмулируются на раз.

Что же предлагается? Идея заключается в том, что типичные пользователи до автоматизма довели свою реакцию на раздражающие факторы: всплывающую рекламу или звук – немедленно выключить. Таким образом, делаем следующее: при переходе на нашу страницу пользователю демонстрируем всплывающую рекламу (полностью отрисованную с помощью Javascript), заслоняющую почти всю страницу. Нормальный пользователь тут же закроет такую рекламу. Бот – нет. Соответственно, зарегистрировав закрытие такого окна, перенаправляем пользователя на страницу Y, в противном случае – на сайт Диснейленда.

Обсуждая эту идею с Владимиром Воронцовым, получил справедливую критику метода: а что если с помощью WebKit мы будем делать скриншоты текущего окна (пример, как это работает – тут) и распознавать в полученных картинках крестики для закрытия рекламы, вычислять X и Y и эмулировать туда click мышью?
Можно в самой рекламе разместить много похожих крестиков. Например, показать смеющуюся японскую девочку anime-style – у них, как известно, глазки крестиком :)

Если мысль моя не нова, прошу кинуть ссылкой на первоисточник. Google мне ничего не сказал…

Напомню, что целью ненаправленных атак являются любые информационные ресурсы, после компрометации которых злоумышленник получит с них некоторый доход (единовременный или постоянный). Из определения следует, что ненаправленные атаки характерны во-первых, массовостью, и, во-вторых, невысоким уровнем мотивации злоумышленников в отношении своих целей. Действительно, вместо длительного взлома одной хорошо защищенной цели экономически выгоднее скомпрометировать несколько менее защищенных целей.

До недавних пор я считал, что в деле защиты от ненаправленных атак работает принцип двух товарищей и медведя. Принцип гласит, что для того, чтобы не быть съеденным медведем, не надо бежать быстрее медведя, а достаточно бежать быстрее своего товарища. В переложении на веб-безопасность это значит, что защищенность сайта должна быть немного выше, чем средняя защищенность других сайтов того же класса в той же гео-зоне. Идея понятна: злоумышленники, реализующие ненаправленные атаки, добиваются массовости. Следовательно, у них есть понимание того, когда анализ очередной цели стоит прекратить (ибо он становится не cost-effective, т.е. прибыль с данного сайта не покроет ресурсы, потраченные на его взлом) и перейти к следующей, вероятно более уязвимой цели.

Так вот на днях меня посетило озарение, что это не всегда так.
А связано это с тем, что у серьезных групп cybercriminal’ов есть возможность покупки 0day уязвимостей в наиболее массовых продуктах (WordPress, Joomla и т.п.) за бешеные миллионы и, таким образом, мотивировать их ресерч. А это значит, что если вы используете очень неплохо защищенную CMS, но при этом очень популярную (что, как нетрудно заметить, взаимосвязано), есть неплохой шанс нарваться на мега-массовую ненаправленную атаку. И тому уже есть несколько примеров.

И чтобы немножко потроллить: получается, что для того, чтобы максимально снизить риск ненаправленных атак, надо использовать какой-нибудь экзотический фреймворк, написанный вменяемыми людьми (например, Zotonic на Erlang’е) :)

• Книгу Silence on the Wire;
• Сборник информации по безопасности браузеров – Browser Security Handbook;
• Сканер веб-приложений с открытым исходным кодом skipfish.

И вот очередной релиз – книга "The tangled web". Лично я, ознакомившись с содержанием, уже сделал предзаказ. Кроме того, думаю сделать эту книгу базовой для студентов, которые приходят на веб-безопасность в нашу лабу. Кстати, издатель недавно выложил одну из глав новой книги, которая доступна вот тут.

Ну и в заключении список наиболее интересных постов Михаила с моей скромной точки зрения:

• HTTP cookies, or how not to design protocols
• CSP, HTML5, and the aesthetics of security
• So you think *your* capability model is bad?
• Warning: OBJECT and EMBED are inherently unsafe
• The subtle / deadly problem with CSP

Роль модели угроз и профилей нарушителей при аудите безопасности.
Аннотация. Один из ключевых вопросов, возникающих у заказчика перед аудитом Сайта – определение перечня работ и оценка их стоимости. Иными словами, каким образом обосновать необходимость проведения аудита Сайта в том или ином виде с экономической точки зрения? Читать далее…

Типичные профили нарушителей безопасности сайтов.
Аннотация. Без понимания того, кто, зачем и каким образом собирается проводить атаки на Сайт достаточно затруднительно выбрать адекватные защитные меры. Что такое – адекватные? Адекватные меры – это прежде всего экономически обоснованные меры. Грубо говоря, зачем закладывать в годовой бюджет на обеспечение безопасности 10000$, если суммарный ущерб от предполагаемых атак за весь год составляет не более 8000$?

Так как для выбора адекватных мер необходимо представлять, какие именно атаки угрожают защищаемому объекту, целесообразно взглянуть на вопрос с “тёмной стороны силы”. В данной заметке описываются профили вероятных нарушителей безопасности сайтов. В профиль нарушителя входит описание его цели и обоснование мотивации. Читать далее …

Зачем кому-то нужно взламывать мой сайт? Об экономике ненаправленных атак в Интернет.