Содержание. __ от редакции. Биография сетевого периметра в картинках
Скачать 5.92 Mb.
|
Версия стандарта CVSS-вектор Базовая оценка Итоговая оценка CVSSv2 AV:N/AC:L/Au:N/C:C/I:C/A:C/ E:F/RL:OF/RC:C 10,0 8,3 CVSSv3 AV:N/AC:L/PR:N/UI:N/S:U/ C:H/I:H/A:H/E:F/RL:O/RC:C 9,8 9,1 Уязвимость ‘FREAK’ в OpenSSL (CVE-2015-0204) — Уязвимость в функции ssl3_get_key_exchange в OpenSSL позволяет провести атаку на понижение стойкости шифра SSL/TLS-соединения (с RSA до RSA_EXPORT). Успешная реализация атаки позволяет злоумышленни- ку расшифровать данные соединения. Версия стандарта CVSS-вектор Базовая оценка Итоговая оценка CVSSv2 AV:N/AC:M/Au:N/C:N/I:P/A:N/ E:U/RL:OF/RC:C 4,3 3,2 CVSSv3 AV:N/AC:H/PR:N/UI:N/S:U/ C:N/I:L/A:N/E:U/RL:O/RC:C 3,7 3,2 Уязвимость ‘GHOST’ в glibc (CVE-2015-0235) — Переполнение бу- фера в динамической памяти в функции __nss_hostname_digits_dots в glibc позволяет атакующему выполнить произвольный код, вызвав функцию gethostbyname или gethostbyname2. Версия стандарта CVSS-вектор Базовая оценка Итоговая оценка CVSSv2 AV:N/AC:H/Au:N/C:C/I:C/A:C/ E:F/RL:OF/RC:C 7,6 6,3 CVSSv3 AV:N/AC:H/PR:N/UI:N/S:U/ C:H/I:H/A:H/E:F/RL:O/RC:C 8,1 7,5 Уязвимость ‘Venom’ в системах виртуализации (CVE-2015- 3456) — Уязвимость в эмуляторе дисковода в QEMU, который исполь- зуется в различных системах виртуализации, позволяет атакующе- му выйти за пределы гостевой виртуальной машины и выполнить код в контексте host-машины. Версия стандарта CVSS-вектор Базовая оценка Итоговая оценка CVSSv2 AV:A/AC:L/Au:S/C:C/I:C/A:C/ E:POC/RL:OF/RC:C 7,7 6,0 CVSSv3 AV:A/AC:L/PR:L/UI:N/S:C/C:H/ I:H/A:H/E:P/RL:O/RC:C 9,0 8,1 Уязвимость ‘Logjam’ в протоколе TLS (CVE-2015-4000) — Уязвимость в протоколе TLS позволяет атакующему провести атаку на понижение стойкости шифра TLS-соединения (с DHE до DHE_EXPORT). Успешная реализация атаки позволяет злоумышленни- ку расшифровать данные соединения. Версия стандарта CVSS-вектор Базовая оценка Итоговая оценка CVSSv2 AV:N/AC:M/Au:N/C:P/I:N/A:N/ E:U/RL:OF/RC:C 4,3 3,2 CVSSv3 AV:N/AC:H/PR:N/UI:N/S:U/ C:L/I:N/A:N/E:U/RL:O/RC:C 3,7 3,2 Как видно, далеко не все уязвимости из числа именованных имеют высокий уровень опасности. СПИСОК ИНТЕРНЕТ-РЕСУРСОВ 1. Спецификация CVSSv3: first.org/cvss/specification-document 2. Рекомендации по использованию CVSSv3: first.org/cvss/user-guide 3. Примеры расчета метрик по методике CVSSv3: first.org/cvss/examples 4. Калькулятор CVSSv3: first.org/cvss/calculator/3.0 5. База уязвимостей National Vulnerability Database: nvd.nist.gov/home.cfm 6. Спецификация CVSSv2: first.org/cvss/v2/guide 7. CVSS Implementation Guide от NIST: nvlpubs.nist.gov/nistpubs/ir/2014/NIST.IR.7946.pdf 8. Рекомендации ITU по использованию CVSS: itu.int/rec/T-REC-X.1521-201104-I/en positive research 2016 80 52 54 56 58 60 62 64 66 68 70 72 74 76 78 80 82 84 86 88 90 92 94 96 98 100 102 02 04 06 08 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 раБота С паролями: КАК ЗАщИТИТь СВОИ УЧЕТНыЕ ЗАПИСИ (МНЕНИя СПЕЦИАЛИСТОВ) Александр Лашков habrahabr.ru/company/pt/blog/263101/ Недавно стало известно об уязвимости в системе для корпоратив- ных клиентов такси-сервиса Gett. Как выяснили исследователи, по умолчанию всем выдавался одинаковый пароль (естественно, эти пароли никто потом не меняет). В итоге, зная один пароль, злоумыш- ленники могли попасть в множество аккаунтов сразу (среди клиен- тов — Google, «Вконтакте», Ozon). Скандалы, связанные с кражей паролей и похищением личных данных, случаются регулярно — только за прошедшие пару лет в сеть утекали пароли пользователей крупных компаний (например, Adobe), популярных почтовых сервисов, хакеры взламывали (какая ирония!) даже сервисы для хранения паролей. Чтобы повысить уровень защищенности своих пользователей, мно- гие компании публикуют советы о том, как обезопасить свои учетные записи. Создатели популярных комиксов XKCD посвятили один из выпусков вопросам парольной защиты. Мы решили опросить представителей IТ-компаний, чтобы узнать, как они работают с паролями и каким рекомендациям следуют. Алексей Шевелев, менеджер проектов компании «Темати- ческие медиа» Сейчас использую программу для хранения паролей 1Password — нравится, что есть клиент для смартфона, планшета и ноутбука. Удобно и красиво, вроде даже безопасно. Внутри все аккуратно раз- ложено и заполнено, иногда меняю пароли на всех записях — дело муторное, но того стоит. Чаще всего использую генератор паролей, который генерирует длинные сложные пароли. Собственно, давно отказался от легких паролей. На айфоне до недавнего времени работал TouchID, который пере- стал работать после замены кнопки — пришлось перейти на обыч- ный пароль. Там можно использовать простой 4-значный код из цифр или более сложный (с буквами). Если же включить сложный пароль и использовать в коде только цифры, например 137900 (6 цифр), то вместо qwerty-клавиатуры будет все равно цифровая — это и удоб- но и более безопасно (6 цифр сложнее подобрать чем 4). Впрочем, в новой версии iOS можно, вроде, использовать более длинные коды. Аркадий Прокудин, эксперт по информационной безопас- ности, автор и ведущий подкаста «Открытая безопасность» Для создания паролей я использую два метода и никаких про- граммных продуктов. Первый это старая школа: malen'kaya latinica+BOL'WAYA+спецсимволы@&)+цифры135 Такой пароль сложно запомнить, но если найти в быту какую-нибудь замысловатую комбинацию, будет проще: MicrosoftSilverlightBeta3.5a, Nokia3310 и т. п. Второй метод: использовать в качестве пароля строку стихотворе- ния в английской раскладке. Например, «В траве сидел кузнечик» — «D nhfdt cbltk repytxbr». Григорий Матвиевич, ведущий iOS-разработчик Redmadrobot Сколько об этом ни говорят, но большинство людей использует со- всем слабые пароли: qwerty, 12345, 11111. Часть людей усложняют па- роли — составляют их из двух слов, добавляют цифры. Но на самом деле это не добавляет стойкости: все такие пароли довольно быстро перебираются на современных вычислительных мощностях. Есть программы и алгоритмы, есть словари. Сильный пароль должен быть длинным, «случайным», содержать в себе буквы разного регистра, цифры и, желательно, спецсимволы. Для сложного пароля я обычно придумываю какую-нибудь бессмыс- ленную фразу или стишок: «рыба трактор 33, йогурт и насос», и вы- дираю из каждого слова по букве. Потом запоминаю на каких-либо ассоциациях — и пароль готов. Еще я посоветовал бы использовать разные пароли, потому что если вы регистрируетесь в каком-нибудь интернет-магазине с тем же паролем, что и в вашем интернет-банке, то это может плохо кончиться. // наша школа 81 53 55 57 59 61 63 65 67 69 71 73 75 77 79 81 83 85 87 89 91 93 95 97 99 101 103 03 05 07 09 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 Андрей Прозоров, руководитель экспертного направления в компании Solar Security В последние несколько лет мне стало лень запоминать пароли: разных сервисов, на которых я зарегистрировался, становится все больше и больше. Пароли лучше выбирать стойкие (длинные, с цифрами и сим- волами) и уникальные; при этом классические идеи типа «используете ассоциативные парольные фразы» уже не работают. я решил исполь- зовать специальное ПО для хранения и генерации паролей. Выбрал клиент 1Password для iPhone, периодически делаю резервную копию. Можно хранить сложные и уникальные пароли, общая база зашифро- вана. Мне удобно, а риски такого хранения я считаю минимальными. Дмитрий Евтеев, технический директор компании HeadLight Security Практика показывает, что большинство пользователей не слишком изобретательны. Как правило, пароли содержат имена, даты и иную близкую человеку информацию из его реальной жизни. Запомнить много паролей трудно, большинство пользователей используют два- три пароля для всех своих аккаунтов. В корпоративных системах, где политика безопасности требует регулярной смены пароля, также распространена ситуация, при которой люди либо записывают слож- ные пароли на бумажке и хранят ее поближе к клавиатуре, либо ис- пользуют какую-то простую логику при создании пароля. Например, добавляют к некоему корню цифры, указывающие на дату смены па- роля, или вообще используют счетчик (увеличивая в пароле цифры). В подобных случаях атакующий может, зная предыдущий пароль, легко определить логику его создания, — и каждый раз угадывать новый. И у частных пользователей, и у корпоративных все пароли обычно привязаны к одному email-аккаунту, взломав который хакер может получить доступ ко всем остальным системам и сервисам; само по себе наличие подобной чувствительной системы является отдельной проблемой информационной безопасности. В целом пароли — это плохо. я сам каждый день сталкиваюсь с не- обходимостью помнить множество паролей от множества систем. В этом плане одноразовые пароли, отправляемые, скажем, по SMS, — это крайне удобно. Здесь тоже существуют свои подводные камни (SMS можно перехватить), но сама концепция одноразовых паролей позволяет значительно усложнить реализацию атаки. К сожалению, пока не существует возможности привязать какой-то токен к гло- бальной системе аутентификации, чтобы затем уже получать однора- зовые пароли и прозрачно проходить авторизацию в большинстве интернет-сервисов (хотя Большой Брат движется в этом направле- нии). В корпоративной среде подобная система могла бы быть реа- лизована относительно легко, но стоить она будет недешево. Что касается программ для хранения паролей, то их вполне можно применять, и я сам использую одну бесплатную программу (не скажу какую) — иначе запомнить все свои пароли я бы просто не смог. При этом я не доверяю облачному софту для хранения паролей: при всем удобстве, там вполне могут быть допущены ошибки (что уже доказа- но несколькими успешными атаками на популярные сервисы). Макс Крайнов, CEO Aviasales У нас все просто: Roboform, OnePass или аналогичные системы. Пароли, содержащие меньше 16 символов и без кучи кракозябр, вообще не рассматриваются. Когда передаем пароли в чатах, сразу после подтверждения их стираем. Что касается доступа к данным, то у нас применяется политика need to know basis (доступ к данным, необходимым для работы, и не более — примеч. редакции); если че- ловек увольняется — меняем пароли. Дмитрий Скляров, старший аналитик Positive Technologies Чтобы пароль оставался только вашим секретом, обычно достаточно следовать трем простым правилам: + не пытаться придумать короткие, легко запоминающиеся пароли; + не использовать одинаковые пароли на разных ресурсах; + не вводить пароли на компьютерах, которым нельзя доверять. Чтобы не запоминать много длинных сложных паролей, можно ис- пользовать любой приличный password keeper. В нем же можно генерировать случайные пароли заданной стойкости. Для защиты базы с паролями придется запомнить один надежный пароль. Как вариант — использовать парольную фразу длиной 20–30 символов. Если password keeper поддерживает двухфакторную аутентификацию с помощью смарт-карты или USB Security Token, это повышает уровень безопасности и сужает спектр возможностей для атакующего. Разумеется, использование password keepers может привести к поте- ре секретности всех сохраненных паролей в случае компрометации мастер-пароля. Этот риск обязательно надо учитывать. Сейчас мно- гие программы для хранения паролей имеют версии для мобильных ОС и предлагают синхронизацию через облако. Это, безусловно, удобно, но удобство часто противоречит безопасности... Мой выбор — KeePass на доверенных компьютерах, база защищена длинной парольной фразой. И никаких хранилищ в облаках или на мобильниках! Джеспер йоханссон, главный инженер по ИБ в Amazon В некоторых компаниях есть политика безопасности, запрещающая со- трудникам записывать пароли на бумажки. я считаю, это абсолютно не- правильно (это заявление йоханссон сделал еще будучи сотрудником Microsoft — примеч. редакции). Все должно быть наоборот — в полити- ке должно быть сказано, что вы должны записывать свой пароль. У меня 68 разных паролей для разных систем. Если мне нельзя будет ничего из этого записать, угадайте, что я сделаю? Да, я просто буду использовать везде один и тот же пароль. В то же время, если записать пароли на бу- мажку (а ее спрятать в надежное место), то никаких проблем! Брюс Шнайер, ученый-криптограф, автор книг по информа- ционной безопасности Обычно пароль состоит из корня и суффикса. Корень может не обяза- тельно быть словарным словом, но чаще всего, это что-то, что можно произнести, к чему добавляются разные суффиксы (в 90% случаев) или префиксы (в 10% случаев). Программы для подбора паролей используют словари (английского и других языков), заменяют буквы похожими на них символами ($ вместо s и т. п.). Для подбора паролей может также использоваться информация из адресной книги, важ- ные даты и другие персональные данные. Чтобы создать сильный пароль, нужно сделать что-то, что затруднит этот процесс подбора. я предлагаю использовать предложения, ко- торые превращаются в пароль. Например, «This little piggy went to market» («маленькая хрюшка пошла на рынок») можно сделать что-то типа «tlpWENT2m». Пароль из девяти символов, которого не будет ни в каком словаре. После того как я об этом сказал, конкретно этот па- роль использовать, конечно, не надо, — но суть ясна. Если вы не можете запомнить все свои пароли, то запишите их на бу- мажке и носите в кошельке. Но писать надо не сам пароль, а исходное предложение, а еще лучше — какую-то подсказку, которая поможет его вспомнить. Или можно использовать какой-нибудь password keeper: ни- чего страшного в этом нет, многие не могут запомнить все свои пароли. Брайан Кребс, ИБ-исследователь, автор блога Krebs on Security Есть несколько советов по созданию сильных паролей, и я советую всем проверить свои пароли на соответствие им. Пароль должен состоять из комбинации чисел, спецсимволов и букв в верхнем и нижнем регистре. В качестве пароля нельзя использовать свое же имя пользователя или легко угадываемые слова (типа «password»), очевидные комби- нации клавиш («azdzxs»). Также не стоит выбирать пароль на основе данных, которые на самом деле не так конфиденциальны, как нам иногда кажется (номер телефона, дата рождения, имена членов се- мьи). Нельзя использовать пароль от электронной почты — где-то еще. Если кто-то взломает интернет-магазин, где вы делали покупки, он сможет прочесть и ваши письма. Раньше я считал, что хранить пароли в записанном где-то виде не стоит. Однако теперь я все же согласен с Брюсом Шнайером, что мож- но хранить пароли в записанном виде, — главное, чтобы это был не сам пароль, а нечто, что поможет его вспомнить. Есть несколько хороших облачных менеджеров паролей (LastPass, DashLane, 1Password), но если вы не хотите доверять такие данные об- лаку, то можно воспользоваться локальным менеджером (Roboform, PasswordSafe, KeePass). главное — выбрать сильный мастер-пароль, который к тому же потом можно будет всегда вспомнить. positive research 2016 82 52 54 56 58 60 62 64 66 68 70 72 74 76 78 80 82 84 86 88 90 92 94 96 98 100 102 02 04 06 08 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 конкурС miTm mobile: КАК ЛОМАЛИ МОБИЛьНУЮ СВяЗь НА PHDAYS V Дмитрий Курбатов habrahabr.ru/company/pt/blog/261035/ Хотя мы не раз публиковали исследования о возможности прослуш- ки мобильной связи, перехвата SMS, подмены абонентов и взлома SIM-карт, для многих эти истории все равно относятся к области магии, которой владеют только спецслужбы. Конкурс MiTM Mobile, впервые прошедший в прошлом году на PHDays, позволил любому участнику конференции убедиться, насколько легко можно проде- лать все вышеописанные атаки, имея в руках лишь телефон на 300 рублей и набор бесплатных хакерских программ. уСловия и технолоГии конкурСа «Вам в руки попал корпоративный телефон пользователя сети MiTM Mobile. Через DarkNet вы получили информацию, которая может ока- заться полезной: + Коды для получения публей периодически отправляются на но- мер главного бухгалтера корпорации — 10000. + Финансовый директор куда-то пропал, до него уже несколько дней никто не может дозвониться, телефон выключен, однако ему до сих пор выделяются пароли. + Важную информацию можно получить звонком на номер 2000, но там установлена авторизация по номеру звонящего. Удалось также узнать, что номер телефона личного секретаря директо- ра — 77777, он наверняка имеет доступ. В сети есть другие но- мера, через которые сотрудники получают важную информацию, но, к сожалению, узнать их не удалось. И не забывайте, в корпора- тивной сети всегда можно наткнуться на частную информацию». Примерно такая вводная была дана участникам CTF в рамках конкур- са MiTM Mobile, прошедшего на PHDays V. Для конкурса мы развернули реальную инфраструктуру мобильного оператора. Она включала в себя базовую станцию, мобильные теле- фоны, стационарные телефоны, а также SIM-карты. Название MiTM Mobile, как нетрудно догадаться, было выбрано не случайно: хоте- лось подчеркнуть уязвимость нашей сети. В качестве логотипа сети выступал кракен (ну или почти он), ломающий сотовую вышку. Итак, с внешними атрибутами сотового оператора все ясно, теперь рассмотрим реализацию сети. В качестве «железного» решения вы- ступал девайс с несложным названием UmTRX (сайт производителя: umtrx.org/hardware), на его основе строилась беспроводная часть сети. Непосредственно GSM-функциональность и функциональ- ность базовой станции, а именно софтверная часть, была реализова- на стеком программ Osmocom/OpenBTS. Для простой и быстрой регистрации в сети были заказаны SIM- карты. В них были прописаны реквизиты сети MiTM Mobile, а дан- ные «симок» были, соответственно, прописаны в сети. Для упро- щения прослушивания эфира и для облегчения жизни игрокам в нашей сотовой сети было выключено шифрование (A5/0). Наряду с симками участникам были выданы телефоны Motorola C118 и кабель USB-UART (CP2102). Все это, вместе со стеком программ osmocombb, позволило участникам CTF прослушивать эфир, пе- рехватывать SMS, предназначенные другим пользователям, а так- же совершать звонки в сети, подставляясь другим пользователем. Каждая команда получила в свое распоряжение для эксперимен- тов SIM-карту, кабель, телефон и образ виртуальной машины с со- бранным стеком osmocombb. разБор заданий В первую очередь — немного теории: |