вторник, 29 мая 2012 г.

Пресс-релиз в ИБ индустрии как красная тряпка для script-kiddies.


Пресс-релизы в сфере ИБ тема тонкая. Так пример:

http://www.securitylab.ru/news/425086.php

Цели такого дела ясны:

ВГТРК - "мы защищаем своих пользователей и печемся об их безопасности".
Другие - "мы крутые услуги поставляем и спасаем пользователей ВГТРК".

Но с другой стороны, я взял и зашел на сайт vgtrk.com и ради фана потратил ровно 2 секунды, чтобы поиграться с параметрами данного ресурса, как любой порядочный скрипт-кидди. Тут же всплыла SQL инъекция. Дальше я даже ничего смотреть не стал (и естественно я ничего не ломал и не похищал, я законопослушный гражданин). Мне, как пользователю, не интересно кто там и что делает, что за какие деньги продает и внедряет. Реально безопасность основного внешнего ресурса ВГТРК - отсутствует. Просто  и грязно. И мое внимание привлек именно пресс-релиз, так то я бы туда и не зашел. Другие, кстати, подхватили инициативу:

"@/*__CENSORED__*/:
там что-то страшное %) 40 БД под оракалом, 412 пользователей этих БД..."

Нет, я понимаю, что всякие ИБ процессы, это вам не кавычку в запрос в ставить - это сложные, дорогостоящие работы, проекты и контракты 8) Я не фанат теорий заговоров и распилов, но это же просто забавно, а главное подсознательно снижает доверие ко всем лицам данного проекта.

Дополнительный факт: та штука, что была внедрена в ВГТРК, прекрасно находит такие проблемы как SQLi. И это лишь дополнительно вызывает вопросы 8))

P.S. Пост нужно расценивать не как призыв к хактивизму, а именно как призыв оценить одну из проблем отечественной сферы ИБ...

понедельник, 21 мая 2012 г.

Яндекс.Почта. Предотвращение хакострофы

В ноябре прошлого года компания «Яндекс» провела конкурс на тему поиска уязвимостей в своем сервисе. Мне посчастливилось найти там пару дырочек и получить за это второе место. Так как за эти полгода я так и не опубликовал деталей (кроме как на встрече Defcon-Russia, но это было в устной форме для узкого круга посетителей), я решил восполнить этот пробел сейчас. Так что тут будет рассказ об одной из дырок, которая была обнаружена в рамках конкурса и оперативно закрыта компанией «Яндекс». Считаю, что конкурс полностью оправдал себя и позволил предотвратить страшные последствия, так что идея явно удачна, одни плюсы. Собственно рассказ будет о банальном отсутствии проверки авторизации в одном из скриптов, что могло привести к частичной компрометации более миллиарда писем лишь на одной ноде…


Начало



Мы на конференциях.

24 и 25 мая мои коллеги, Дима Евдокимов и Саша Миноженко поедут в Краков на CONFidence. К сожалению, из-за временных проблем с визой я пропущу это действо. Я очень скорблю, ведь Конфиденц это мега-угарное мероприятие с неповторимой атмосферой. Кроме того, одним из спикеров в Кракове будет сам Капитан Кранч (для тех кто не в курсе - http://en.wikipedia.org/wiki/John_Draper). Дополнительно отмечу, что Российскую делегацию спикеров дополнят товарищи из Москвы - Андрей Петухов и Карим Валиев.  

30 и 31 мая пройдет не менее замечательное событие - PHDays. Туда я уже попаду, как  и многие другие ребята из DSEC и DCG 7812. Так что, надеюсь, будет весело 8)

P.S. Мы, кстати, так же подготовили футболку к конкурсу на PHDays, аналогичную той, за которую Денис из PT получили приз на Zeronights 8)

P.P.S
Мы с Сашей Миноженко расскажем про взлом VMware vCenter  сервера, а так же про один 0дэй, который не запатчен. Ребята из VMware по этому поводу переживают, но на самом деле этот 0дэей трудно заэксплойтить без дополнительной баги, которую, мы и нашли в VMware vCenter (web бага). Только о второй баге мы сообщили им, так что она запатчена и потому первую трудно теперь заэксплойтить (до тех пор, пока не найдут еще какую-нибудь похожую багу).