Почему случился Russian.Leaks?

Масштабные утечки конфиденциальной информации через поисковые системы породили множество вопросов, домыслов и толкований. Что послужило причиной утечек? Почему конфиденциальная информация не становилась достоянием широкой общественности раньше? Как защитить компанию от ущерба, связанного с утечкой конфиденциальной информации через поисковые системы? Что опаснее: Google Analytics или Яндекс.Бар? Эксперты исследовательского центра Positive Research компании Positive Technologies провели тщательное расследование причин и последствий инцидентов. В ходе выступления технического директора компании Positive Technologies Сергея Гордейчика будут представлены результаты исследования.

Зарегистрироваться

Как поисковые машины атакуют ваши сайты

Довольно интересную тему затронул в своем блоге Андрей Петухов, цитирую:

Дано:
  1. Есть сайт А, на котором есть уязвимость SQLi, позволяющая удалить все данные из БД.
  1. Есть форум B, на который мальчик Петя постит ссылку, при переходе по которой отправляется запрос, реализующий SQLi на сайте А и, как следствие, удаляющий там данные.
  1. Есть поисковик С, который радостно индексирует форум B и, переходя по ссылке, наносит ущерб сайту А.
Вопросы:
  1. Виноват ли поисковик в том, что на сайте А пропали данные?
  1. Если не виноват поисковик, то кто же виноват?

Демотиваторы


Знаменитость вчерашнего дня в вечерних новостях на телеканале РЕН -

Назван виновный в утечке смс сообщений Мегафон

И как вы думаете, кто же он? Цитирую: "Обвинили же в данной беде одного из сотрудников компании Positive Technologies... " и " ...дабы доказать свою непричастность к преступным деянием... Дмитрий Евтеев тщательно изучил сервис «Яндекс.Бар»" (источник).


Интересно, какую сумму можно взыскать в этом случае за клевету и компенсацию морального ущерба? :)

Позитив раскрывает таланты

Вновь возвращаюсь к теме вакансий в компании Positive Technologies. Мы растем не по дням, а по часам! (с) И нам требуются новые позитивные люди! У нас открыто гораздо больше вакансий, чем ты можешь себе представить (см. 1, см. 2). Но нам требуешься именно ты! Ждем тебя :)

К слову, из последнего, открыта новая интересная вакансия "Редактор портала (информационная безопасность)".

Ну, а если ты хочешь заниматься пентестами, но по каким-то причинам до сих пор сомневаешься, обращайся ко мне напрямую – devteev@ptsecurity.ru или в скайп – devteev.

Яндекс - найдется все

А вы еще не знаете, как выглядит СОРМ? Тогда внимательно смотрим следующий видео-ролик, посвященный многострадальной теме и показанный на широком экране...




Яндекс.Бар – Большой брат следит за тобой

Возвращаясь к обсуждению инцидента, связанного с утечкой более 8 тысяч смс сообщений сотового оператора "Мегафон", можно утверждать, что выдвинутые предположения ранее частично подтвердились. Утечка произошла в следствии двух факторов: уязвимости на сайте www.sendsms.megafon.ru (Insufficient Authentication) и видимо передачи посещаемых страниц пользователями поисковой системе Яндекс, на компьютерах которых установлен Яндекс.Бар.

Так что-же из себя представляет Яндекс.Бар?

DNS Rebinding – сценарий по захвату мира


В далеком 2009 году я вскользь упоминал атаку под названием DNS Rebinding (Anti DNS Pinning). Тогда, у аудитории слушателей возникли сомнения в ее реализации в силу своей сложности. Но прошло каких-то пару лет и у нас появился не "наколенный" proof-of-concept, а полноценный фреймворк с графическим веб-интерфейсом для проведения этого сценария атаки.

Напомню, что суть атаки DNS Rebinding заключается в возможности обхода ограничений безопасности Same origin policy. Именно это ограничение, которое присутствует во всех браузерах, и спасает Интернет от полного хаоса.

Yandex Dorks

Занятная утечка сегодня просочилась в паблик. Дело в том, что в кеш поисковой машины Яндекс попала часть сообщений сотового оператора Мегафон, отправленные через веб-морду www.sendsms.megafon.ru.

По имеющемуся предположению это произошло в следствии двух факторов.

Первый фактор - это уязвимость в самом веб-приложении www.sendsms.megafon.ru, при отправке смс сообщения с которого существует возможность проверить статус доставки этого сообщения. Каждому отправленному смс сообщению присваивается уникальный идентификатор, который можно увидеть в адресной строке. Зная этот идентификатор любой пользователь Интернет без какой-либо авторизации может получить доступ к статусу доставки сообщения, в котором присутствует, как номер мобильного телефона, на который было отправлено сообщение, так и тело самого сообщения. Идентификатор является случайным, и далеко не факт, имеющим сильную энтропию. К слову, время хранения этой информации на сайте составляет более часа...

100% Virus Free Podcast #28: Обсуждение Positive Hack Days 2011


Первый самый большой подкаст по количеству голосов, записываемый в Российском представительстве компании ESET. А иначе и быть не могло, ведь выпуск полностью посвящен международному форуму по практической безопасности Positive Hack Days 2011. Участники подкаста: Александр Матросов (ESET), Дмитрий Евтеев (PT), Денис Баранов (PT), Никита Тараканов (CISS), Дмитрий Олексюк (eSage), Владимир Воронцов (ONSEC). Слушаем.




Скачать mp3 файл

Позитивные вакансии

Расширяем отдел тестирований на проникновение в компании Positive Technologies.
В связи с чем, набираем талантливых людей, желающих осуществлять взлом информационных систем на законных основаниях :)

Требования к кандидату

Опыт работы в области информационной безопасности или информационных технологий. Уверенные знания в следующих направлениях:

1. безопасность сетевой инфраструктуры и беспроводных сетей;
2. безопасность информационной инфраструктуры на базе Windows и Unix;
3. безопасность прикладных систем и баз данных;
4. безопасность веб-приложений.

Обязанности

Участие в консалтинговых проектах (аудиты ИБ, тесты на проникновение, проектирование внедрение систем защиты и т.д., см. http://www.ptsecurity.ru/serv_list.asp); исследования в области ИБ; развитие сканера уязвимостей XSpider 7.5 и системы мониторинга защищенности MaxPatrol 8.0.

Работа в Positive Technologies - это круто! ;)

Ваши резюме присылайте в текстовом формате в теле письма на адрес электронной почты: pt@ptsecurity.ru.

Право на тайну переписки

Как обойти право на тайну переписки, которая распространяется, в том числе, на служебную электронную почту?

Очень просто!

Для этого следует создать группу рассылки, в которую входит, например, администратор безопасности. На MTA отбрасывать все исходящие письма, которые не содержат копию на эту группу рассылки, а пользователей обязать делать копию всех исходящих писем на этот адрес. Т.к. администратор безопасности, входящий в группу рассылки, является равноправным участником переписки, он имеет законное право читать эту корреспонденцию. Таким образом, при оповещении системы DLP администратор безопасности не нарушая закона имеет право разобрать имеющийся инцидент.

По следам Positive Hack Days 2011

Опубликованы материалы международного форума Positive Hack Days 2011:

- Бизнес-семинары
- Технические семинары
- Мастер-классы

Наполняется видео архив:

http://vimeo.com/phdays/videos
http://www.youtube.com/user/positivehackdays


Наравне с этим, постепенно появляются публикации о мероприятии в печатных изданиях:

- Журнал ХАКЕР Июль 07 (150) 2011, «Отчет с Международного Форума по практической безопасности от независимого участника»
- Защита информации. INSIDE № 4'2011 (40), «День практической безопасности»