Книжная полка - Web Application Hackers Handbook

Хочу представить вам очень свежее издание (сентябрь 2011) интереснейшей книжки - Web Application Hackers Handbook 2. По сути это детальная методология (и практика) тестирования на стойкость веб-приложений. Это уже второе издание, в которое вошли самые свежие техники и, что характерно, взятые из реальной практики.

В свое время я читал первую редакцию этой книги и был очень приятно поражен следующими факторами:

- материал в книге подается последовательно в соответствии с возможным алгоритмом проведения проверки, создавая системный взгляд на методику тестирования;

- очень много конкретных приемов, которые также можно отработать на практике, используя соответствующие тестовые дистрибутивы (WebGoat и др.);

- книга содержит именно современные техники, уязвимости и приемы их эксплуатирования (никаких шаблонных, типовых подходов, которые уже лет 5 как не работают на практике ибо разработчики веб-приоложений тоже чему-то научились :) )

В общем для всех кто интересуется вопросами всестороннего тестирования веб-приложений на прочность настоятельно рекомендую прочесть эту книгу и потренироваться на описанных в ней примерах.

Книжку можно купить через Amazon.

Как защитить ребенка в сети Интернет

Защита детей в сети Интернет - это проблема, с которой сейчас сталкивается большинство родителей. В поисковике даже порой совсем безобидные словосочетания приводят на сайты с самым чернушным содержанием.
Я уже не говорю о многочисленных баннерах, всплывающих окнах и проч., в общем наткнутся на материалы порнографического, экстримистского или просто нецензурного характера ребенку легче легкого.

Что делать ? Не пускать к компьютеру ? Практически невозможно... Да и потом, помимо всего негатива в интернете есть масса полезных образовательных и развлекательных ресурсов, зачем же лишать ребенка возможности с ними познакомиться ?

Изучая эту тематику сам натыкался на массу бесполезных советов для родителей вроде: ставьте монитор так, чтобы вы видели чем занимается Ваше чадо, проводите разъяснительные беседы с ребенком :) ...просматривайте историю посещений и проч.
Давайте признаемся сами себе, большинству из нас нужно простое и действенное решение, т.к. откровенно говоря некоторые родители знают компьютер еще хуже современных первоклашек (без обид ! ), а вести тотальный визуальный контроль практически невозможно.

Самый действенный способ - блокировать доступ к "плохому" содержимому и для этого есть специализированные средства так называемого родительского контроля. Они встраиваются в современные антивирусы (NOD32, Kaspersky и др.), есть также и отдельные программы. Мегафон, например, сейчас активно рекламирует тариф "Детский Интернет", обеспечивающий безопасный серфинг для детей.

Возвращаясь к тебе отдельных программ, некоторое время назад мне на глаза попалась программка Интернет-Цензор. Устанавливается легко и быстро. Принцип защиты - база "одобренных" разработчиками программы сайтов. Кроме того в программе есть возможность самому добавлять "разрешенные" сайты.
Установил у себя, работает без вопросов. Фильтрует отменно. И что самое важное, программа абсолютно бесплатна ! За более подробной информацией отправляю всех на сайт разработчика.

А чем вы пользуетесь для защиты своих детей в сети Интернет ?

Результаты опроса недели

Вот и завершается трудовая неделя. Как и обещал, публикую результаты опроса про обучение и сертификацию. Комментировать особо не буду, результаты говорят сами за себя.

Лекция в рамках проекта обратная связь

Сегодня состоялась очередная лекция в рамках проекта "Обратная связь".

Время и место: 21.10.2011 с 9:00 до 11:00 МИЭТ Конференцзал библиотеки МИЭТа.

Тема лекции: "Что важно знать будущему специалисту по информационной безопасности.

В этот раз лекция читалась для студентов МИЭТа. Помог ее организовать Хорев Анатолий Анатольевич, Заведующий кафедрой информационной безопасности, д.т.н. Вот здесь можно прочитать о нем дополнительную информацию.

Анатолий Анатольевич был одним из первых кто вообще откликнулся на мои письма (а писал я во многие ВУЗы), вот вроде говоришь, что готов делится опытом бескорыстно, а никому не надо.... обидно.

Но здесь иная ситуация, видно что Анатолий Анатольевич понимает необходимость получения ребятами актуальных, свежих знаний. В общем старт сотрудничеству дан, будем надеяться что оно будет полезным и плодотворным.

Как и обещал, выкладываю файл с полезными ссылками, которые упоминаются в моей презентации (саму презентацию выкладывать не буду, т.к. она не сильно изменилась, см. предыдущие посты о проекте с самой презентацией).

Файл лежит тут.

Технический аудит - часть 2 (Общий алгоритм и первые шаги)

Итак, продолжая тему проведения технического аудита своими силами переходим непосредственно к алгоритму действий.

Типовой аудит состоит из следующих стадий:

- Сбор первичной информации

- Выявление уязвимостей

- Эксплуатация обнаруженных уязвимостей и получение доступа

- Фиксация результата и расширение полученных привилегий

Сегодня поговорим о первой стадии "Сбор первичной информации", а точнее о сборе информации, доступной в сети Интернет. К такой информации относится все то, что может быть использовано злоумышленником для проведения атаки: ip-адреса, адреса электронной почты, файлы конфигурации, логины и пароли и многое другое.

Для сбора этой информации есть ряд инструментов, с которыми и хотел бы вас познакомить:

1) Maltego - инструмент №1 для сбора публичной информации, он позволяет собирать множество сведений (ip-адреса, mx-записи, email и проч.) используя поисковые системы и механизм так называемых трансформаций, представляющий собой поиск сведений на основании уже полученных или внесенных в систему. Есть как бесплатный, так и платный варианты данного программного обеспечения.

Для тех, кто хочет освоить этот инструмент есть хорошие видео-инструкции здесь. Скачать Maltego можно здесь.

2) Google Hacking Diggity Project - инструмент для поиска разного рода информации, проиндексированной поисковыми системами (т.н Google Hacking). Не секрет, что в поисковые системы часто уходит множество интересной информации, это и файлы конфигурации, содержащие логины, пароли и другую информацию о внутренней архитектуре компании, и различные временные страницы, позволяющие определить версию веб-сервера, операционной системы, установленной на сервере, и многое другое.

Сам инструмент можно скачать здесь. Про Google Hacking можно прочитать здесь.

3) FOCA - инструмент для анализа мета-полей в файлах, выложенных на веб-сайте компании или любом другом публичном источнике. Такие файлы (в формате MS Office или PDF) могут стать источником полезной информации для злоумышленника, т.к. иногда содержат доменный аккаунт пользователя, составившего документ, сведения о программном обеспечении, использовавшемся для его создания и прочее.

Сам инструмент можно скачать здесь. Краткая статья о нем здесь.

4) netcraft.com - сайт, предоставляющий онлайн-инструменты для выявления различной информации (ip-адрес сайта, владелец блока ip-адресов, другие севера, относящиеся к домену и проч.). Также для выявления блоков ip-адресов, принадлежащих одной компании, могут использоваться базы данных региональных регистраторов:

ARIN (www.arin.net)

RIPE (www.ripe.net)

APNIC (www.apnic.net)

LACNIC (www.lacnic.net)

AFRNIC (www.afrinic.net)

На этом пока все. В следующий раз поговорим о сборе информации о внутренней сети.

Нужно ли обучение/сертификация в кризис ?

Сейчас уже все кому не лень говорят о "второй волне кризиса", которая вот-вот должна накрыть Европу, а следом за ней и весь остальной мир. Произойдет это или нет нельзя утверждать однозначно, хотя конечно всеобщее ожидание второй волны скорее всего также вносит свой вклад в это, т.к. мысль материальна. Да и в целом общая нервозность грозит разного рода срывами, которые могут перерасти в общую панику.

Но я хотел поговорить не об этом. Говорят что в кризис наилучшая стратегия - это копить силы для рывка в тот момент когда этот самый кризис закончится. И обучение некоторые рассматривают как раз как способ накопления этих самых сил и повышения личной конкурентоспособности.

Поэтому опрос этой недели мне бы хотелось посвятить теме обучения и сертификации специалистов по информационной безопасности.

Планируете ли вы обучаться ? На какое обучение/сертификацию лучше потратить свое время и деньги (и нужно ли тратить вообще) ?

Опрос находится здесь.

Результаты, как обычно, будут опубликованы в конце недели.

Бесплатные вебинары для тех, кто готовится сдавать на CISSP

В интернете есть довольно интересная площадка Brighttalk, на которой постоянно читаются онлайн-вебинары различными компаниям, даже проходят целые онлайн-конференции, посвященные той или иной тематике.

Ресурс очень полезный, поэтому крайне рекомендую с ним познакомиться.

Что же касается тех, кто планирует в ближайшее время получать сертификацию CISSP, то на этой площадке недавно появились 2 бесплатных вебинара:

Первый

Второй

По своему опыту подготовки к сертификации могу сказать, что лишних знаний при подготовке не бывает, поэтому советую послушать указанные вебинары.

Исследование Ponemon о последствиях кибератак

В августе этого года известный институт Ponemon Institute опубликовал отчет о результатах второго исследования по теме финансовых потерь для американских компаний от киберпреступлений.

Сам отчет можно скачать здесь.

Хотя все эти западные исследования как правило редко применимы для нашей российской действительности, но в данном случае я думаю, что результаты могут быть интересны, т.к. все же западные компании чаще подвергаются атакам со стороны киберпреступников, а значит их опыт может быть полезен.

Из основных выводов исследования можно выделить следующее:

Потери американских компаний от киберпреступности растут год от года и составляют в настоящий момент довольно серьезные цифры - средние потери среди 50 опрошенных организаций составили 5,9 млн $.

Ущерб от киберпреступлений отличается в зависимости от размера организации. И если более крупные компании в абсолютном значении несут большие потери, то для организаций меньшего размера ущерб относительно их оборота оказывается более существенным.

Практически все опрошенные организации постоянно сталкиваются с кибератаками. Статистика показала что в течении недели на каждую организацию совершается в среднем 1,4 успешных атаки.

Практически в 90% случаев кибератаки были связаны с вредоносным кодом, DDOS-ом, украденными устройствами или инсайдерами.

Скорость реакции на кибератаку обратно пропорциональна ущербу, который может быть нанесен организации. Среднее время реакции по опрошенным организациями составило 18 дней.

Кражи информации, а также прерывание деятельности являются источниками наибольшего ущерба для опрошенных организаций.

Компании, использующие технологии класса SIEM, а также GRC-практики несут меньший ущерб от киберпрестуников в силу более быстрой реакции и оперативного выявления атак. Мне все же кажется, что этот результат как-то связан с тем, что среди спонсоров исследования значится компания ArcSight :) Хотя определенная логика в этих выводах конечно же присутствует. О том, что такое GRC я поподробнее расскажу в последующих постах.

Новости проекта "Обратная связь"

Всем привет ! Как и обещал, я обновил страницу проекта "Обратная связь", теперь там можно посмотреть ВУЗы, которые уже присоединились к проекту, а также расписание ближайших лекций, которые будут читаться в этих ВУЗах.

Ближайшая лекция состоится 21.10.2011 в Конференцзале библиотеки МИЭТа.

Инфобез 2011 - первые впечатления

Побывал сегодня "набегом" на открывшейся выставке-конференции "Инфобез". Честно говоря особой разницы между этой конференцией и Infosecurity я не почувствовал. Народу было не много (хотя возможно это связано с тем, что я пришел уже под конец рабочего дня), количество стендов даже чуть меньше чем на Infosec'е.

В конце дня был так называемый "Октоберфест", тот самый, которым человек-бутерброд заманивал всех на входе в парк Сокольники на прошлой неделе. Заключался он в том, что организаторы разливали бесплатное пиво, раздавая под закуску крендельки. Вообще идея мне эта понравилась, правда мне кажется, что надо было это делать не в конце, а как минимум в середине дня :) Так и посетители расслабятся и дискуссии будут интереснее.

Чем меня в этом году больше привлекает Инфобез, так это своей конференционной программой. Заявлено довольно много интересных докладов. Завтра (05.10.2011) будет Банковский день с массой презентаций по самым разным тематикам (ДБО, фрод, СТО БР и проч.). Думаю именно завтрашний день - это тот день, когда стоит посетить Инфобез.

Столкновение взглядов: DLP – внедрять или нет

Споры в среде безопасников случаются часто J. Но когда этот спор конструктивный, а не базарная перебранка, то как правило есть шанс, что из него родится что-то стоящее. В качестве темы для сегодняшнего спора я предлагаю DLP.

Технология DLP не так уж и нова, на моей памяти ее активное распространение началось около 5 лет назад. Инициатором была компания Infowatch, а затем уже в Россию пришли крупные западные вендоры – Symantec (купив Vontu), Websense, McAfee. И с тех пор не утихают споры о том, надо или не надо внедрять систему DLP.

Аргументы «за»:

- возможность контролировать информацию, передаваемую по внешним каналам, а также на сменные носители или печатающие устройства;

- легко показать результаты работы службы ИБ руководству; вот, установили систему, нашли столько-то нарушителей, вот ТАКАЯ важная информация у нас уходит и прочее;

- в случае внедрения стандарта PCI DSS есть возможность контролировать наличие критичной информации только в области аудита;

- ну и еще ряд приятных мелочей вроде красивых графиков, центрального архива переписки с возможностью поиска и проч.

Аргументы «против»:

- неоправданно дорого;

- я знаю сотню способов обойти всю эту фильтрацию, так что все это фигня;

- проблемы юридической чистоты такого мониторинга в свете наличия неотъемлемых конституционных прав на тайну личной переписки.

Мое мнение: против систем класса DLP работает их же название – системы контроля (защиты от) утечки информации. Название получается слишком многообещающим, да и сейлз-блок производителей периодически преподносит это решение как панацею от множества бед. Все это рождает неоднозначное отношение, т.к. заявленные ожидания от решения на деле не реализуются.

К тому же клиенты, купившие DLP, предполагают, что все что нужно – это установить систему (Next – Next) и все, мы защищены от утечки информации. На деле так, конечно же, не происходит, и у покупателей наступает разочарование, которым они начинают делиться с окружающими.

НО, если бы мне довелось в роли менеджера по информационной безопасности принимать решение о том, внедрять или не внедрять DLP, то я бы склонялся к тому, чтобы внедрять (конечно же ориентируясь на бизнес-потребности моей организации), но внедрять не просто DLP, а целый комплекс мер, в котором DLP было бы одним из ключевых решений, но далеко не единственным.

Давайте спорить, коллеги.