ИБ в госсекторе у нас и за рубежом

Прогуливаясь сегодня по новостным ресурсам, мое внимание привлекла новость на xakep.ru, относительно результатов проведенного аудита ИБ государственного пенсионного фонда Миннесоты. Дело в том, что перечисленные проблемы ИБ, выявленные зарубежными коллегами, аналогичным образом наблюдаются и у нас в России. Это следующие недостатки: "…плохо сконфигурированные файрволы и беспроводные сети, слабые пароли и отсутствие общей системы управления безопасностью, способной реагировать на изменение типов угроз".

Особенно улыбнуло схожесть подходов, как у нас, так и за рубежом: "…исполнительного директора пенсионного фонда Миннесоты Дэвида Бегстрема данная информация не удивила" и "…сотрудники фонда считают, что добились в этом вопросе существенных успехов…".

Не стану комментировать, каких таких "успехов" могли добиться сотрудники фонда Миннесоты при полученных результатах аудита, потому как воочию видел подобного рода "успехи". Но, к сожалению, такие "успехи" и подходы со стороны руководства приводят к реальным утечкам конфиденциальной информации, как у них, так и у нас.

Возвращаясь к теме слабых паролей

В проведенном исследовании проблем парольной защиты, я неоднократно использовал термин "слабые", не стойкие к взлому пароли. А что же тогда можно считать стойким паролем?

По моему личному убеждению, минимально стойким паролем является такой пароль, который удовлетворяет всем следующим требованиям:

• должен содержать символы нижнего и верхнего регистра, цифры, специальные символы и знаки препинания;
• должен быть не менее 8 символов;
• не должен полностью или частично совпадать с логином, например – admin/admin, admin/admin1 и т.д.;
• не должен образовывать цифро-буквенные простые последовательности, например – "abcd12345","aabb2255", "QQrTTr55" и т.п;
• не должен являться словом из словаря, сленга, диалекта, жаргона и т.п.
• не должен являться персональной информацией (имена членов семьи, адреса, телефоны, даты рождения и т.п.).

Методика оценки соответствия ИБ по СТО БР ИББС-1.2-2009

Доступна для загрузки методика оценки соответствия ИБ по Стандарту Банка России. Думаю, будет интересна всем аудиторам, выполняющим соответствующие работы в банковском секторе.

Определение уровня соответствия ИБ требованиям СТО БР ИББС-1.0 по этой методике происходит путем оценки следующих основных направлений:

— уровень осознания ИБ организации;
— менеджмент ИБ организации;
— текущий уровень ИБ организации.

Также весьма полезным в представленной методике является рассчитанный «Коэффициент значимости частного показателя ИБ» по каждому оцениваемому критерию СТО БР ИББС-1.0.

Статистика используемых паролей пользователями в Российских компаниях

Прочитав как-то новость о том, что в России не проводилось глубокого исследования используемых пользователями паролей, я решил исправить сложившуюся ситуацию и стать первопроходцем:)

С полными результатами проведенного исследования можно ознакомиться в разделе "Аналитика" на официальном сайте Positive Technologies.

ЗЫ: Неоценимую помощь в проведении исследования и своими креативными идеями помогал мой руководитель по работе и просто позитивный человек – Сергей Гордейчик.

Выполнение команд на сервере в функции eval()

Как-то довелось мне исследовать одно Web-приложение методом black-box, в котором была выявлена красиво эксплуатабельная уязвимость, позволяющая выполнять произвольные команды на сервере.

На этапе проведения сканирования, в поле зрения попало следующее сообщение об ошибке:


Уязвимый код (полученный по окончании работ):

...
if($_CONFIG["STATUS"]) eval(mkPHPeval($TMP));
...

Немного статистики

В свое время (в третьем квартале 2008 г.) на securitylab.ru проводился опрос среди посетителей ресурса, однако результаты проведенного опроса нигде не были опубликованы. В связи с этим, решил исправить эту ситуацию и поделиться собранными данными с общественностью.

Портрет участников

В проведенном опросе приняло участие более 500 участников. Анализ портрета респондентов по количеству компьютеров в организации показал, что наибольшая доля опрошенных респондентов (57%) приходится на малый бизнес (менее 100 компьютеров). Вторая по численности группа респондентов попала в категорию от 100 до 1000 компьютеров в организации (26%). Третья и четвертые группы – это представители крупного бизнеса и Федеральных госструктур. Их распределение более 3000 (11%) компьютеров для третьей и 1000 – 3000 (6%) компьютеров для четвертой группы соответственно. Примечательно, что представителей очень крупного бизнеса (более 3000 компьютеров), принявших участие в опросе, оказалось больше на 5%, чем представителей менее крупного бизнеса (1000 – 3000 компьютеров в организации).

Безопасность языком цифр #5

Как показывают проводимые сканирования в отношении Web-приложений при проведении внешних и внутренних пентестов, 23% из числа уязвимых Web-приложений требуют устранения уязвимостей путем исправления исходного кода (т.е. содержат уязвимости: SQL-Injection, Cross-Site Scripting, Path Traversal, etc). В целом - это соответствует данным статистики уязвимостей Web-приложений за 2008.

Если же рассматривать совокупное число выявляемых уязвимостей по всем сканируемым системам (ОС, сетевое оборудование, СУБД и пр.), то ~34% из их числа в отношении Web-приложений связаны с несоблюдением парольной политики и ~32% уязвимостей возникают из-за проблем в конфигурации Web-приложений.

Server-side с ModRewrite

Когда мы видим web-ресурс в адресной строке, которого красуется "id=", как-то рефлекторно хочется добавить одинарную кавычку в подобный запрос. Возможно для того, чтобы не искушать своих посетителей, web-разработчики активно используют ModRewrite. Но не всегда его использование оказывается полезным.

Эпизодически приходится сталкиваться с уязвимостями различной степени критичности, в web-приложениях использующие mod_rewrite. Это связано с тем, что безопасность приложения в подобных случаях пытаются обеспечить модулем Apache, но при этом задают неточные регулярные выражения. Так, использование директивы RewriteRule с "кривым" regexp: