В 42-выпуске мы попытались ответить, если и не на все вопросы вселенной, то как минимум раскрыть тему теневого интернета. У нас в студии уже традиционный соведущий Владимир Воронцов и гости: Rebz (antichat) и Алексей Кузьмин (CERT-GIB).

— Теневой Интернет, что это? Взгляд со стороны специалиста ИБ и представителя форума antichat.
— Какие изменения к лучшему произошли с нашей последней встречи на форуме antichat? Имеет ли отношение antichat к теневому Интернету?
— Как контролировать теневой Интернет и надо ли это делать?
— Какие результаты работы CERT-GIB за время его существования?
— Что будет дальше с развитием теневой части сети?

Не так давно в Вегасе прошли две, наверное, самые знаковые конференции в области практической информационной безопасности. Конечно же речь идет о Black Hat 2014 и Defcon 22. Доклады уже давно выложены в сети, да и хабр уже разродился несколькими публикациями по данной теме, поэтому здесь мы поговорим о подкасте Noise Security Bit #9. Этот выпуск был записан практически сразу после окончания заключительного дня конференции Defcon с русскоязычными ресечерами, а точнее с самыми стойкими из них, которых удалось отловить в момент на выходе из отеля Рио.

Осталось всего 3 недели до мегасобытия – конференции ZeroNights 2012. Программа мероприятия сформирована на 90%, за что хочется сказать отдельное спасибо DCG#7812 и программному комитету. Организаторы конференции в лице Digital Security и Software People готовы представить вам финальный список докладчиков и рассказать обо всех событиях, которые вас ждут.

Итак, по порядку.

Основная программа и сердце нашей конференции – это технические доклады. В этом году у нас будет 21 доклад от лучших в своей области специалистов со всего света: США, Канада, Англия, Германия, Франция, Финляндия, Испания, Израиль, Тайвань, Румыния, Молдова и, конечно же, Россия.

В программе конференции намечается множество интересных событий:

• 3 ключевых доклада
• 21 технический доклад в 4 секциях:

• That’s really scary
• Technical hardcore
• The future of web
• Mobile internals

• 7 воркшопов протяженностью от 2 до 5 часов
• Более 7 докладов на fast track (точное количество будет известно на конференции)
• 2 центра компетенции с демонстрациями атак на SAP и мобильные приложения
• Круглый стол
• 0-day шоу

ZeroNights 2012, как и в прошлом году, проходит при поддержке и участии Яндекса. Мы очень рады вновь сотрудничать с такой знаменитой компанией. На днях компания «Яндекс» открыла программу по вознаграждению исследователей за найденные уязвимости в веб-сервисах и мобильных приложениях под названием «Охота за ошибками». С гордостью отметим, что это первый разработчик ПО на постсоветском пространстве, который столь ответственно отнесся к безопасности своих продуктов. Первые результаты программы будут объявлены на ZeroNights 2012, которая, как и раньше, сосредоточит в себе все самое интересное и актуальное из мира ИБ в России.

Также мы с удовольствием сообщаем, что сеть хостелов Bear Hostels предоставляет посетителям конференции 10-процентную скидку. Мы ждем вас в гости, в каком бы городе вы ни жили!

Еще одна хорошая новость: благодаря тому, что нам удалось несколько оптимизировать бюджет конференции, стоимость билетов для физических лиц теперь составляет 7000 рублей. Участники RISSPA и DEFCON Group имеют право на 10-процентную скидку.

Мы также сняли ограничение на количество регистраций по студенческому тарифу. Напомним, что с 1 октября стоимость участия для студентов и аспирантов составляет 1900 рублей. В студенческий пакет входит посещение конференции, включая все workshops, участие в конкурсах с призами, а также кофе-брейки.

Почему я решил написать этот текст.

Моя профессиональная деятельность связана развитием каналов продаж и поэтому мне приходится часто знакомиться с решениями ИБ и ИТ в живую, чтобы прочувствовать их. Я решил написать о сервисе управления уязвимостями QulysGuard по причине того, что в русскоязычном интернете информации для понимание что это такое минимум. А сервис интересный и для российского рынка все ещё новый.

С причинами необходимости управления уязвимостями можно познакомиться по ссылке penetrationtest.ru/uslugi-i-resheniya/preventivnoe-snizhenie-riskov, на курсах обучения CSO и прочитав книгу Vulnerability Management by Park Foreman. Это понимание только начинает осознаваться в России и странах СНГ, но этому не стоит удивляться.

Приветствую.
Хочу поделиться опытом защиты веб-сервера Apache от атаки медленного чтения. О том, что это за атака можно почитать тут (английский), а так же тут (русский).

Рассмотренный способ позволяет обезопасить работу сервера с помощью расширений mod_evasive и mod_security, а главное — требует менее получаса времени на реализацию. Настройка производилась на Ubuntu версии 12.04 + Apache 2.2. Настройка для других версий веб-сервера, а так же для других операционных систем отличается, в основном, особенностями установки программных пакетов и, собственно, версиями устанавливаемых программ и модулей для них.

Сегодня мы опубликовали отчет по DDoS-атакам во второй половине 2011 года, где вы можете узнать о событиях мирового масштаба, таких как DDoS-атаки на фондовые биржи и появление группы Anonymous, а также о новых техниках атак, и, конечно же, статистике по миру.


_{Распределение источников DDoS-трафика по странам. Второе полугодие 2011 г.}

Теплым зимним вечером сидел я за компьютером и решил расслабиться, поиграв на пианино. Так как не фортепиано, не синтезатора у меня нет, я, воспользовавшись поиском, начал искать онлайн пианино с примерами для обычной клавиатуры QWERTY.

Поиск привел меня на страницу форума, где было предложено множество онлайн сервисов. Перейдя по одной из них и поиграв вдоволь, я открыл новую вкладку и начал писать адрес нужного сайта. Каково было мое удивление, когда при вводе адреса я услышал звуки фортепиано.

Выпустив новую версию slowhttptest с поддержкой медленного чтения (Slow Read DoS attack), я помог нескольким пользователям протестировать их сервисы. Во время одного из тестов произошла поучительная история, которую я хочу рассказать.

Получил я значит письмо с просьбой взглянуть на результаты запуска slowhttptest. Согласно репорту, програмка нагнула сервис за считанные секунды, что показалось довольно невероятным. Сервис, согласно архитектуре, способен обслуживать тысячи клиентов со всего мира, а slowhttptest лимитирован тысячей соединений.

Приветствую.
Хочу рассказать, чем я баловался в свободное от работы в Qualys время. Так как в англоязычном интернете на удивление много шума про Slow Read DoS attack, и уверен что получу здесь много полезной критики и дельных предложений.

В августе 2011 года написал програмку slowhttptest, которая тестирует веб-серверы на наличие уязвимостей, связанных с обработкой медленных HTTP запросов, таких как slowloris и slow HTTP Post. Цель — создать конфигурируемый инструмент, облегчающий работу разработчиков и позволить им концентрироваться на создании эффективных защит, а не ковырянии в питоне, на котором написаны большинство proof-of-concept эксплоитов.

А потом решил попробовать, как реагируют серверы на медленное чтение клиентами HTTP респонсов. На удивление плохо реагируют. Дефолтные apache, nginx, lightpd, IIS отказывают в обслуживании на ура.

А суть такова: