Diezgan pavecs, bet labs raksts, kur aprakstīts, ka to var atrisināt izmantojot GET pieprasījumu ar redirektu pēc POST vai arī izmantojot unikālas vērtības.
Kombinējot abus variantus var veiksmīgi izvairīties arī no CSRF.
Redirekta piemērs priekš PHP.
Tagged csrf, double submit, get, PHP, post, redirect, redirect after post
Diezgan laba un svaiga prezentācija par SQL injekcēšanu, kļūdām un mītiem.
Posted in Apmācība, Drošība, How to, Interesanti, Kopums, Web
Tagged prezentācija, SQL, sql injection
Vakar daudzi runāja par Telia.lv lapas uzlaušanu, kas izpaudās kā gandrīz neredzamu linku uz citiem resursiem ievietošanu šajā lapā: http://telia.lv/lv/par-mums/jaunumi.
Ekrānšāviņš no twitter:
http://twitter.com/#!/laacz/status/187426840640626688/photo/1
Šādus uzbrukumus ir diezgan grūti atklāt (tāds ir viņu mērķis) un tie galvenokārt kalpo, lai palielinātu citu lapu reitingu.
Kādu laiku atpakaļ bija iespēja apskatīt arī citu lapu, kurai līdzīgi tikai pievienots liels raksts un padarīts neredzams (iespējams, ka tā lapa jau tāda bija kādu gadu). Atklāju to nejauši, kad apskatīju lapas html.
Laikam ir atklāts jauns uzlaušanas virziens un šos meistarus laikam var nosaukt par pus melniem urķiem, jo viņu uzdevums nav nograut resursu, bet tikai palīdzēt citai lapai.
Tomēr konstatējot šādu gadījumu vajadzētu noteikti atklāt ievainojamības cēloni, jo nākamais urķis var nebūt tik „nevainīgs”.
Posted in Drošība, Drošības caurumi, Interesanti, Kopums
Tagged drošības, drošības testēšana, Incidents, Telia, telia.lv, urķēšana
Piefiksēsim vēsturei:
Kā raksta http://www.businessinsider.com/visa-network-outage-2012-4 svētdien VISA bija 40 minūtes Downtime, ko izraisīja pēdējie uzlabošanas darbi.
Lai kā inženieri censtos problēmas gadās.
Interesanta prezentācija par datoru vīrusu evolūciju, kā tie attīstījās un kā attīstījās to rakstītāji.
Prezentācija ir no Defcon 19 – The History And Evolution Of Computer Viruses.
Šādi gadījumi apliecina, ka ar paroles labās prakses publicēšanu vien nepietiek un prasības ir jāiestrādā pašā sistēmā, lai “lietotājiem” nebūtu iespējams tā kļūdīties.
mashable.com
Syrian President Bashar al-Assad has been under fire from world leaders to step down this week. He’s also under fire from hacktivist group Anonymous, who leaked hundreds of his office’s emails on Monday.
While Anonymous is infamous for its hacking know-how, it doesn’t take a genius computer programmer to guess one of the passwords commonly used by Assad’s office accounts: 12345. The string of consecutive numbers is the second-weakest password according to a 2011 study.
Anonymous broke into the mail server of the Syrian Ministry of Presidential Affairs, accessing some 78 inboxes of Assad’s staffers, according a report from Israeli daily Haaretz. The password 12345 was associated with several of the accounts.
Mansour Fadlallah Azzam, the minister of presidential affairs and Bouthaina Shaaban, Assad’s media adviser, were among the victims of the inbox hacks.
Haaretz obtained and published one email that included documents intended to prepare the Syrian leader for his December 2011 interview with Barbara Walters. In the interview, Assad claimed the Syrian government was not killing its people.
“We don’t kill our people,” Assad told ABC “No government in the world kills its people, unless it’s led by a crazy person.”
In the leaked email, Syrian spokesperson at the U.N. Sheherazad Jaafari advised Shabaan and Luna Chebel, a former Al Jazeera reporter and current Assad staffer, on what the Syrian president should say to manipulate Americans:
“It is hugely important and worth mentioning that ‘mistakes’ have been done in the beginning of the crises because we did not have a well-organized ‘police force.’ American psyche can be easily manipulated when they hear that there are ‘mistakes’ done and now we are ‘fixing it.’ It’s worth mentioning also what is happening now in Wall Street and the way the demonstrations are been suppressed by policemen, police dogs and beatings.
“The major points and dimensions that have been mentioned a lot in the American media are: The idea of violence has been one of the major subjects brought up in every article. They use the phrases ‘The Syrian government is killing its own people,’ ‘Tanks have been used in many cities,’ ‘Airplanes have been used to suppress the peaceful demonstrations,’ and ‘Security forces are criminals and bloody.’”
Jaafari’s email also advised that Assad should emphasize the openness of Facebook and YouTube to show the true situation in Syria. Press entry restrictions should be spun as a proactive measure not to have foreign journalists misrepresent the country.
What do you think of Anonymous’s vigilante role in international affairs? Is diplomacy the place for hacktivists? Let us know what you think in the comments.
Posted in Drošības caurumi, Interesanti, Kopums
Tagged 12345, Anonymous, autentifikācija, autorizācija, parole
Ielaist kļūdas savā programmatūrā (Google wallet) izdodas arī tādiem milžiem kā google. Tas apliecina, ka paļaties uz brendu (pieejamo speciālistu un testētāju armiju) nevar un produkts jāsāk lietot tikai pēc ilgāka laika, kad visas blusas ir publiski izķertas un jaunas nav vēl savairojušās.
cnet.com
Google Wallet users might be wise to start getting a little nervous.
Yesterday, researchers outlined a complicated way to crack the Google Wallet PIN used to make purchases with the smartphone-based payment system. Now there’s a new hack that could let a stranger gain access to the funds of Wallet users.
Described yesterday by blogging site The Smartphone Champ, the hack doesn’t require extra software, root access, or any particular skills in general.
Instead, all someone apparently has to do it clear the data for the Google Wallet app in the smartphone’s application settings menu. The app is then reset and will prompt the person to enter a new pin number the next time it launches. Since the Google Wallet information is linked to the device and not to the actual account, a person can then use the Google prepaid card already tied to the device to gain full access to the owner’s funds, explained The Smartphone Champ.
This latest Google Wallet hack follows an earlier hack reported by security blogging site Zvelo.
That one, however, required root access to the device, something that requires a certain amount of time, effort, and skill (or luck) to acquire. But the new hack can be performed by anyone within a matter of minutes.
Android blogging site Android and Me tested the hack and found that it worked on a Galaxy Nexus phone with the latest official version of Google Wallet.
In response to the hack, a Google spokesman sent CNET the following statement:
“We strongly encourage anyone who loses or wants to sell their phone to call Google Wallet support toll-free at 855-492-5538 to disable the prepaid card. We are currently working on an automated fix as well that will be available soon. We also advise all Wallet users to set up a screen lock as an additional layer of protection for their phone.”
Posted in Drošības caurumi, Interesanti, Kopums
Tagged google, google wallet, IT drošība, IT projektu problēms
Piefiksējam faktu no Forbes.ry.
Хакеры Anonymous в ночь на субботу (по московскому времени) взломали сайт Центрального разведывательного управления США (ЦРУ). На странице хакерской группировки @YourAnonNews в сервисе микроблогов Twitter они оставили сообщение «CIA Tango down», которое можно перевести на русский язык следующим образом: «ЦРУ ликвидировано» (выражение «Tango down» обычно используется спецслужбами для подтверждения факта устранения вражеского объекта). Ответственность за атаку на веб-ресурс ведомства взяла на себя хакерская группировка Anonymous. Какую именно цель преследовали хакеры Anonymous для атаки на сайт ЦРУ, они не уточнили.
Представитель ЦРУ подтвердила информацию о возникших после атаки хакерской группы Anonymous проблемах с веб-ресурсом разведуправления и сообщила, что к 09.00 мск сайт возобновил свою работу.
Как сообщает РИА «Новости», это уже не первая атака Anonymous на сайты американских государственных ведомств. В январе хакеры вывели из строя веб-ресурсы Минюста США и Федерального бюро расследований (ФБР), протестуя таким образом против закрытия «файлообменника» Megaupload и ареста его руководителей.
Хакерская группа Anonymous стала по-настоящему известной в конце 2010 года, когда ее представители предприняли серию DDoS-атак на сайты компаний и организаций, противодействовавших деятельности разоблачительного ресурса WikiLeaks. В числе атакованных – сайты PayPal, Visa и MasterСard. Позже целями группировки, объединившейся с хакерами из LulzSec, также становились сайты компаний Sony, Nintendo, PBS, сайт Сената США, правительственные сайты Бразилии, Мексики, Италии и ряд других ресурсов.
Jāpiefiksē vēsturei.
Cik sapratu, tad šīs publikācijas mērķis bija noreklamēt testētāju, kuri to darīja bez saskaņošanas. Diez vai tas nostrādā? Es personīgi šādiem tipiem neuzticētu testēšanu.
Principā par šādu rīcību prasītos notiesājošs spriedums.
http://www.apollo.lv/portal/news/articles/262237
Kā pārliecinājās aģentūra LETA, izmantojot minētās mājaslapas tehniskās nepilnības, ikvienam interneta lietotājam bija iespējams iegūt informāciju par dienestā strādājošo ierēdņu algām, kā arī viņu personīgos datus.
Izmantojot būtiskus pārkāpumus mājaslapas drošībā, «ir iespējams iegūt un manipulēt ar pilnīgi visu informāciju, kura atrodas uz servera, ieskaitot pašu serveri», norādīja «Influent».
Drošības testētāji esot informējuši par atrasto «caurumu» arī pašu VPD, bet atbildi no tā neesot sagaidījuši.
Adrese uz visiem publiski pieejamajiem VPD failiem, kas augšupielādēti uz servera, bija gluži vienkārša – «www.probacija.lv/upload».
Tomēr īsi pēc aģentūras LETA ziņas publicēšanas minētais «caurums» tika «aizlāpīts», līdz ar to dati publiskajā vidē vairs nav pieejami.
Vienā no neaizsargātajiem failiem drošības pārkāpumu testētāji esot atraduši dokumentu, kurā redzams, ka par mājaslapas izstrādi no valsts budžeta paprasīti vairāk nekā 1000 lati, lai gan izstrādātājiem samaksāts vien ap 300 latiem.
VPD pārstāvis Imants Mozers aģentūrai LETA sacīja, ka, uzzinot par šo situāciju, dienests sācis to vērtēt. «Tiklīdz būs zināmi notikušā apstākļi un plašāks skaidrojums, arī mēs sniegsim informāciju,» norādīja Mozers, piebilstot, ka pagaidām nav saprotams, kā šāda veida dati varējuši būt pieejami publiskā vidē.
VPD mājaslapa esot izstrādāta 2004.gadā. Arī intranets dienestam izstrādāts sen, bet Mozers nemācēja pateikt konkrētu gadu.
VPD mājaslapa ir izvietota uz SIA «Lattelecom» serveriem.
Mozers piebilda, – viņa rīcībā nav informācijas, ka drošības testētāji iepriekš būtu ziņojuši VPD par atrasto «caurumu» dienesta mājaslapā.
Ja ir nepieciešams nodemonstrēt kādā veidā var izmantot XSS ievainojamību kādā mājas lapā, tad var izmantot autora izveidoto php skriptu, lai nebūtu jāizveido divritenis no sākuma.
Otrs veids ir izmantot šo pieeju.
Continue reading
Internetā ir pieejams WAVSEP (Web Application Vulnerability Scanner Evaluation Project) projekts, kurš izmantojot dažādus scenārijus salīdzina aplikāciju testēšanas rīkus.
Tiek testēts izmantojot šādus testus:
Project WAVSEP currently consists of the following test cases:
64 Reflected XSS test cases (32 GET cases, 32 POST cases -> 66 total vulnerabilities)
130 SQL Injection test cases, most of them implemented for MySQL & MSSQL (65 GET cases, 65 POST Vases -> 136 total vulnerabilities)
o The list of test cases includes vulnerable pages that respond with 500 HTTP errors, 200 HTTP Responses with erroneous text, 200 HTTP Responses with differentiation or completely identical 200 HTTP responses.
o 80 out of 136 cases are simple SQL injection test cases (500 & 200 erroneous HTTP responses), and 56 are Blind SQL Injection test cases (valid and identical 200 HTTP responses).
7 different categories of false positive Reflected XSS vulnerabilities (GET OR POST).
10 different categories of false positive SQL Injection vulnerabilities (GET OR POST)
Projekts tiek hostēts iekš googles un vairāk par to var lasīt izstrādātāja blogā.
Principā ir laiks pārvērtēt izmantotos rīkus.
Kādu laiku atpakaļ pats testēju vairākus atvērtā tipa rīkus izmantojot vienkāršu scenāriju- uzstādīju vairākas vecas wordpress un joomla versijas ar zināmiem ievainojumiem. Diemžēl rezultāts mani apbēdināja, jo bieži rīki nespēja atrast pat dažas ļoti vienkārša XSS ievainojamības.
Posted in Apmācība, Drošība, How to, Kopums
Tagged drošības testēšana, penetration test, WAVSEP
Diezgan biedējoši- tam, kam agrāk vajadzēja 43 gadus, tagad pietiek ar 48 dienām bez lielas piepūles.
Pati pieeja nav jauna, bet gribēju padalīties ar labu rakstu, kur autors detalizētāki ir papētījis šo jautājumu. Ir vērts izlasīt.
Un vēl viena cilvēka pētījums.
Es gan nepiekrītu abiem autoriem, ka paroles sākot no 10 simboliem ir drošībā, jo slodzi var sadalīt un pateicoties mākoņdatošanas pakalpojumiem vajag tikai noīrēt vairāk dzelžu.
Šis gan attiecas uz paroļu minēšanu, kura padodas brute-force uzbrukumam.
Posted in Drošība, How to, Interesanti, Kopums
Pārlasīju mēdijos publicētos DEAC rakstus par VID datu centra dīkstāvi elektrības pārtraukuma rezultātā.
Personīgi nepazīstu nevienu VID IT pārstāvi, bet manuprāt jocīgi (neticami) izklausījās Gailīša paziņojums -”VID nerēķinās ar riskiem”, jo:
1. Valsts informācijas sistēmu likums nosaka, ka riski ir jāizvērtē (negribas ticēt, ka šo punktu kāds ignorē);
2. Jebkura biznesa uzdevums nav izslēgt pilnīgi visus riskus, bet sabalansēt to iestāšanās ietekmes zaudējumus pret nepieciešamām investīcijām to novēršanā.
Risku novērtēšanas piemērs, kurš uzreiz nāk prātā:
Risks- elektrības pārtraukuma gadījumā ģeneratora jauda neapmierina DC nepieciešamo.
Riska iestāšanās varbūtība – 1 x gadā.
Riska ietekme – informācijas sistēma nav pieejama līdz elektrības padeve atjaunojas (vidēji 4h).
Riska novēršanas scenārijs- iegādāties jaudīgāku ģeneratoru – 200 000 Ls
Piedāvātais risku mazinošais pasākums bez ģeneratoru iegādes- atslēgt mazāk svarīgus serverus iegūstot jaudu kritiskākiem resursiem vai arī laicīgi veikt drošu sistēmas izslēgšanu neapdraudot datu integritāti.
Augstākminētais piemērs ir mans pieņēmums (uzskatu vismaz 90% korekts), bet tas labi ilustrē, ka ne vienmēr ir izdevīgi novērst visus riskus. Jāņem vērā to, kas vienam ir nepieņemams risks, tas otram ir pieņemams, piemēram, bankas neriskēs 200 000 Ls dēļ ar risku- Internetbanka nav pieejama (jo zaudējumi būtu daudz lielāki), bet vai VID šāds risks ir tik būtisks – nedomāju.
Jāatceras arī tas, ka VID IT budžets veidojas no mūsu nodokļiem, tāpēc katram ir sev jāatbild – vai es maksātu X latus par VID IT 4h dīkstāves riska mazināšanu viena gada laikā.
PS. Pēc šī DEAC raksta izskatās, ka zaudētāji ir tikai pats DEAC, jo palasot komentārus visi saprot, ka tas ir tikai PR, kā arī atgādina cilvēkiem par paša DEAC problēmām (vairākas dīkstāves un interneta pieslēguma pārtraukumus).
Man palūdza veikt vienas VoIP platformas autentifikācijas stress testu, jo vajadzēja notestēt jauno DOS aizsardzības mehānismu.
Pēc daudzu materiālu izlasīšanas un rīku testēšanas konstatēju, ka man vislabāk patīk:
svmap.py – VoIP PBX meklēšanai (man nebija nepieciešams, jo pamat info jau bija zināma. Bet ir noderīgas rīks, ja grib uzzināt kāds tieši PBX slēpjas (taisa fingerprint));
svwar.py – numuru meklēšanai (sūta gan invite, gan register pieprasījumus);
(no šī rīka labums bija mazs, ja VoIP bija ieslēgts alwaysauthreject, kā rezultātā uz visiem pieprasījumiem tika saņemta vienāda atbilde)
svcrack.py – paroles brote-force minēšanai.
Sintakse:
./svwar.py -e100-400 192.168.1.104
./svcrack.py -u200 -d wordlist.txt 192.168.1.104
Viss pārējais ir izdomas un skriptu jautājums.
Nelieli raksti par VoIP no Back-track, sysadmin.net, te, asterix hacking and security, asterix krieviski .
Programmu uzskaitījums
Nedaudz par pašu SIP protokolu
!!!Atcerieties – Bez resursa turētāja atļaujas ir aizliekts veikt jebkādus testus!!!
Anonimitāte internetā ir mīts. Viss pārējais ir laika jautājums.
Kā aizsargāties?
Vienmēr izmantot sarežģītas paroles- vienkāršas paroles ar svcrack tiek uzlauztas dažu sekunžu laikā;
Ieslēgt alwaysauthreject, lai nevar atklāt VOIP numurus un līdz ar to piemeklēt paroli;
Ja iespējams limitēt pieeju PBX;
Izmantot vairāku līmeņu arhitektūru;
Aizliegt pārējo portu izmantošanu;
Ieviest pret DOS un DDOS aizsardzību, jo kā izrādījās ar autentifikācijas pieprasījumiem var vienkārši uzkarināt PBX;
Un prasīt google secure VoIP un hack VoIP.
Posted in Drošība, How to, Interesanti
Tagged back track, back track 5, drošības testēšana, IT drošība, penetration test, tests, VoIP
Tas, ka skype sniedz daudzas priekšrocības komunikācijā nav apšaubāms, tomēr ir jāapzinās arī iespējamie draudi, kuri var rasties šo lietojumu izmantojot uzņēmumā. Raksts par to ir pieejams šeit un nedaudz vecāks materiāls šeit.
Ja tomēr ir pieņemts lēmums par skype lietošanu, tad manuprāt vismaz ir jāaizliedz failu pārsūtīšana un API lietošana, tādā veidā samazinot visādas drazas izplatīšanās iespējamību. Vēl daži ieteikumi.
Posted in Drošība, How to, Interesanti, Kopums
Tagged drošības prasības, IT drošība, skype