Информационная безопасность → Взлом VeriSign в 2010 году
В квартальной форме отчётности 10-Q для комиссии SEC компания VeriSign упомянула факт неоднократного несанкционированного доступа в её корпоративную сеть в 2010 году. Как сообщает компания, неизвестные «получили доступ к данным на маленькой части наших компьютеров и серверов». Какая конкретно информация попала к злоумышленникам — неизвестно, но «мы провели расследование и не верим, что эти атаки проникли к серверам, на которых работает система DNS», указано в отчёте на странице 33.Информация была доведена до менеджмента только в сентябре 2011 года. VeriSign вынуждена разгласить эти факты в связи с новыми требованиями SEC по публикации информации о взломах.
Напомним, что у VeriSign размещаются два из 13-ти корневых серверов DNS, а до августа 2010 года компания также являлась Удостоверяющим центром (Certification authority), который выпускал сертификаты ключей электронной цифровой подписи, затем этот бизнес был продан Symantec.
Вопросы безопасности в веб-технологиях → Взлом университета Сколково и «соседних» сайтов
Думал, что для освещения хватит записи в личном блоге/твиттере/вк, но не хватило. Тут главное — огласка, поэтому перепост.
Впервые в жизни пишу о скомпрометированном ресурсе. Хотя, бывали случае в N раз крупнее...
Предыстория.
Есть такой университет, как ОтУС — Открытый Университет Сколково. Был (есть) раньше только в Москве, сейчас открывается еще в Томске/Питере. Собственно приехали они к нам с презентацией, замотивировали (правда, очень клевые ребята приехали, вдохновили на поступление, учитывая, что я скептически отношусь (относился) к Сколково), чтобы поступали ну и т.д. Зашел я заполнять заявку и просто сработала привычка…
аплоад кастомных файлов с отсутствием правильно настроенного .htaccesss
Итог: полный доступ к исходным кодам, материалам, заявкам на поступление и базам данных следующих сайтов:
И вроде еще какие-то, уже не помню.
Но, студенты то не при чем, я даже не стал копать глубже, посмотрел архитектуру ресурса, БД, пару исходников (я такого кода никогда в жизни не видел, под катом я расскажу про капчу, govnokod #1 просто) и сообщил саппорту.
Впервые в жизни пишу о скомпрометированном ресурсе. Хотя, бывали случае в N раз крупнее...
Предыстория.
Есть такой университет, как ОтУС — Открытый Университет Сколково. Был (есть) раньше только в Москве, сейчас открывается еще в Томске/Питере. Собственно приехали они к нам с презентацией, замотивировали (правда, очень клевые ребята приехали, вдохновили на поступление, учитывая, что я скептически отношусь (относился) к Сколково), чтобы поступали ну и т.д. Зашел я заполнять заявку и просто сработала привычка…
аплоад кастомных файлов с отсутствием правильно настроенного .htaccesss
Итог: полный доступ к исходным кодам, материалам, заявкам на поступление и базам данных следующих сайтов:
- openu.ru — Открытый университет Сколково
- apply.openu.ru — Отбор студентов в Открытый университет Сколково
- eskolkovo.ru — ДО в Открытом университете Сколково
- blog.eskolkovo.ru — вроде уже тоже самое, что и openu.ru
- edu.opensingularity.ru — Открытый университет сингулярных технологий
И вроде еще какие-то, уже не помню.
Но, студенты то не при чем, я даже не стал копать глубже, посмотрел архитектуру ресурса, БД, пару исходников (я такого кода никогда в жизни не видел, под катом я расскажу про капчу, govnokod #1 просто) и сообщил саппорту.
Цель поста — быть на 100% уверенным, что после этой публикации данный скрипт приема студентов уберут навсегда
(хоть и с администратором мы немного поговорили на эту тему). Но чтобы как обычно не забылось, с мыслью — работает и ладно (как это бывает в СНГ), сделаем контрольный выстрел.Информационная безопасность → Взломан DreamHost
Новый день — новый взлом. Кого постигла эта участь в этот раз? Это — DreamHost.
Согласно блогу DreamHost'а, компания обнаружила «несанкционированную активность в одной из своих баз данных». Другими словами: кто-то совал свой свой нос туда, куда не следовало.
Компания не обнародовала информации о деталях взлома, кроме того, что у них «нет доказательств, что пароли пользователей были скомпроментированы». Теперь компания требует сброса для всех Shell/FTP аккаунтов.
Согласно блогу DreamHost'а, компания обнаружила «несанкционированную активность в одной из своих баз данных». Другими словами: кто-то совал свой свой нос туда, куда не следовало.
Компания не обнародовала информации о деталях взлома, кроме того, что у них «нет доказательств, что пароли пользователей были скомпроментированы». Теперь компания требует сброса для всех Shell/FTP аккаунтов.
Блог компании Positive Technologies → Взломать телеком? Не вопрос!
Миллионы IP-адресов, десятки тысяч узлов, сотни веб-серверов и всего лишь месяц времени…
Какие вызовы ожидают аудитора при тестировании сети телекома? На что стоит обратить внимание? Как наиболее эффективно использовать отведенное на работу время? Почему абонент опасней хакера? Почему подрядчик опасней абонента? Как связать уязвимость и финансовые потери?
Ответы на все эти вопросы – в вебинаре технического директора Positive Technologies Сергея Гордейчика «Как взломать телеком и остаться в живых».
А еще – самые громкие, смешные и просто интересные случаи тестирования на проникновения телекоммуникационных сетей.
Welcome! У вас осталось совсем немного времени, начало вебинара в 14.00.
Участие бесплатное, наше единственное условие – предварительная регистрация. Зарегистрироваться.
ЗЫ: Для тех, кто не успеет или не сможет принять участие в вебинаре – запись и презентация будет выложена на нашем сайте здесь
Какие вызовы ожидают аудитора при тестировании сети телекома? На что стоит обратить внимание? Как наиболее эффективно использовать отведенное на работу время? Почему абонент опасней хакера? Почему подрядчик опасней абонента? Как связать уязвимость и финансовые потери?
Ответы на все эти вопросы – в вебинаре технического директора Positive Technologies Сергея Гордейчика «Как взломать телеком и остаться в живых».
А еще – самые громкие, смешные и просто интересные случаи тестирования на проникновения телекоммуникационных сетей.
Welcome! У вас осталось совсем немного времени, начало вебинара в 14.00.
Участие бесплатное, наше единственное условие – предварительная регистрация. Зарегистрироваться.
ЗЫ: Для тех, кто не успеет или не сможет принять участие в вебинаре – запись и презентация будет выложена на нашем сайте здесь
Информационная безопасность → История одного аудита
На хабре существует множество статей, посвящённых историям различных взломов, рекомендаций по генерации паролей и прочих основ информационной безопасности. Я решил внести и свою лепту, написав небольшой отчёт по исследованию одного из достаточно крупных сайтов, близкого к IT-тематике, в котором на фоне хорошей защищённости от основных методик взлома мной обнаружены совершенно банальные ошибки проектирования самой системы.
Подробнее о том, на что нужно обращать внимание при проектировании своих сайтов под катом.
Подробнее о том, на что нужно обращать внимание при проектировании своих сайтов под катом.
Блог компании Positive Technologies → HackQuest закончен?! HackQuest продолжается!
Ante Scriptum
До 20 января 2012 года любой желающий может проверить свои силы в оценке защищенности, поиске и эксплуатации уязвимостей, реверсинге и просто хакерстве. Регистрация и информация по подключению доступна по адресу: http://phday.ru/smt.asp?gnum=1 (рус) и http://phday.com/smt.asp?gnum=1 (eng).
Вступайте и компилируйте!
Scriptum
26 декабря закончились соревнования по информационной безопасности PHDays CTF Quals и PHDays CTF Afterpaty. Командные состязания CTF Quals проходили по правилам task-based CTF и позволили нам выявить финалистов, которые примут участие в очном туре 30-31 мая 2012 года на форуме Positive Hack Days. Сольная битва дала нам возможность найти наиболее мощных хакеров, которые получат возможность принять участие в PHDays, а также станут обладателями ценных призов от организатора соревнований – компании Positive Technologies, включая легендарный сканер безопасности XSpider 7.8. В пылу битвы участники не только нашли все заложенные нами уязвимости но и обнаружили как минимум одну уязвимость нулевого дня (0-day): mPDF <= 5.3 File Disclosure.
Информационная безопасность → «Рождественские подарки» от Anonymous продолжаются: взломан военный ритейлер SpecialForces.com
Хакерская группа Anonymous, известная рядом громких инцидентов, связанных с нарушением компьютерной безопасности ряда весьма серьезных военных, финансовых и криминальных организаций, явно не сидит сложа руки: на днях стало известно, что атаке подверглось информационно-аналитическое агенство StratFor, занимающееся всесторонним анализом для таких структур как ЦРУ, а вот теперь новая жертва — скомпрометирована личная информация проекта SpecialForces.com, занимающегося поставками товаров для военных и силовых ведомств.
В результате, как утверждают(ет) Anonymous, в течение последних месяцев в распоряжении группы оказались около 14 000 паролей и порядка 8000 кредитных карт из базы данных проекта. К сожалению, почти никаких технических подробностей группа не сообщает, за исключением того, что уязвимость на сайте проекта была обнаружена самим же персоналом сайта еще 15 декабря, однако, никаких действий, тем не менее, предпринято не было; краденные пароли, в отличие от данных StratFor, все-таки были зашифрованы. Хакеры в этой записи на PasteBin описали мотивы своих действий, не забыв поиздеваться над защитой проекта, осуществляющего военные поставки — сайт содержал «внушительные» заявления ""Scanned by GoDaddy.com: secured website" и "McAfee SECURE sites help keep you safe from identity theft, credit card fraud, spyware, spam, viruses, and online scams”, которые и оказались высмеяны злоумышленниками.
В пострадавшей SpecialForces.com не отрицают (твиттер с письмом о взломе базы данных) факт утечки закрытой информации, отмечая при этом, что на данный момент база клиентов заблокирована и войти в клиентскую систему по какому-либо логину или паролю из базы сейчас невозможно. Это выглядит вполне естественным шагом с их стороны, поскольку Anonymous не забыли оставить ссылки на архивы с паролями клиентов на привселюдное обозрение (сейчас ссылки не работают, но найти файлы specialforces_passwords.txt и specialforces_full.txt.gz едва ли будет проблемой для интересующихся).
Информационная безопасность → Хакеры из Anonymous — занялись благотворительностью
Хакерская группа Anonymous, взломав сайт частной американской аналитическо-исследовательской компании Stratfor, похитила полный список клиентов компании, а также всю информацию об их банковских картах, с которых затем хакеры сделали ряд благотворительных пожертвований в различные организации.
Согласно Anonymous, услугами Stratfor пользовались Пентагон и правоохранительные органы США, а также крупнейшие медийные компании.
Один из пострадавших, Аллен Барр, заявил, что с его счета без его ведома было списано $700, которые были переведены на счета различных благотворительных организаций.
«Это все были благотворительные организации: Красный Крест, «Спасем детей». Поэтому когда компания, обслуживающая мою карту, позвонила моей жене, она подумала, что я сам мог сделать эти пожертвования», – сказал Барр.
Подтверждение в твиттере Анонимусов.
Согласно Anonymous, услугами Stratfor пользовались Пентагон и правоохранительные органы США, а также крупнейшие медийные компании.
Один из пострадавших, Аллен Барр, заявил, что с его счета без его ведома было списано $700, которые были переведены на счета различных благотворительных организаций.
«Это все были благотворительные организации: Красный Крест, «Спасем детей». Поэтому когда компания, обслуживающая мою карту, позвонила моей жене, она подумала, что я сам мог сделать эти пожертвования», – сказал Барр.
Подтверждение в твиттере Анонимусов.
Информационная безопасность → Взлом с продолжением из песочницы
Одно время я работал на free-lance.ru. С утра я обычно мониторил заказы, а после обеда непосредственно работал. Однажды я наткнулся на заказ, сумма за выполнение которого была очень аппетитной. Я сразу отписался по заказу, и буквально через минуту получил ТЗ на проект в личку. Поначалу меня удивила скорость ответа, и то что меня сразу выбрали исполнителем, но с другой стороны такое уже частенько бывало. Файл с ТЗ мне показался странным, в него была встроена ссылка на flash ролик. Проверив файл на вирусы и получив ответ, что угроз не обнаружено, я таки усыпил свою бдительность и щелкнул по ссылке на flash ролик. А щелкать не стоило.
Информационная безопасность → Взлом защиты от копирования HDCP с помощью MitM-атаки
HDCP (англ. High-bandwidth Digital Content Protection — защита цифрового содержимого с высокой пропускной способностью) — технология защиты медиаконтента, разработанная корпорацией Intel и предназначенная для предотвращения незаконного копирования высококачественного видеосигнала, передаваемого через интерфейсы DVI, DisplayPort, HDMI, GVIF или UDI. Защищённый видеосигнал может быть воспроизведён только на оборудовании, поддерживающем HDCP.
Википедия.
Уже более десяти лет широко используется защита от копирования HDCP, разработанная фирмой Intel. Этой защите доверяет медиа-корпорации, ведущие бизнес в сфере цифрового видео и аудио высокого разрешения, с оборотом в миллиарды долларов. Исследователи из рабочей группы по информационной безопасности аппаратного обеспечения во главе с профессором по имени Tim Güneysu из Рурского университета (Ruhr-Universität Bochum, RUB, Германия) смогли поставить мат защитной системе всей отрасли относительно небольшими усилиями с использованием так называемой атаки "Man-in-the-Middle" (MitM). Они продемонстрируют свои результаты завтра на международной конференции ReConFig 2011.