Comments 88
Обязательно встретимся еще раз...
Интригует.
Кстати, в Германии «двойка» — это разве не «хорошо»? Там вроде инвертирована оценочная система.
перенаправить выход из нескольких процедур в нужное место
А ASLR отключена была для того процесса?
И даже если бы и да, вы правда думаете, что оно серьёзно задержит от такой уязвимости (тем более если много чего прямо там же на стеке и лежит)? Вот тут я например как-то «обходил» ASLR (для nginx), пусть не так, но смысл тот же.
Ну пользовал бы относительными (calculated от значения из стека) call-ами и jmp-ами, или тем же контролируемым переполнением буфера стека (со относительными смещениями)…
Кстати ASLR обходится вообще кучей способов, например:
- inject on static loaded DLLs;
- inject on basically static loaded objects;
- partial overwriting of pointers;
- the information's leaks betrayed the addresses;
- etc.
Я как-то раз видел вообще "невероятную" схему (без претензии на повторить) — атакующий очень хитро заменил системный вызов по access violation (типа собственного catch-блока), и мог соответственно очень долго перебирать варианты адресов, без того чтобы приложение упало.
после длительных уговоров, намёков на долгосрочное сотрудничество и т.п., а также обещаний с их стороны «не трогать» оплошавшего сотрудника (коллега всё-таки), пришлось им выложить почти все основные моменты.
У вас явно небольшой опыт общения с клиентами вообще.
Не знаю, что конкретно вы еще имеете ввиду…
Ну и вы же многого не прочитали (просто потому, что я не написал).
А про опыт, собственно по основному роду деятельности опыт общения с клиентами напрямую уже вроде более 20 лет, и даже не вспомню с ходу, что я не смог "продавить", и "продано" всякого (от простых CR до многомесячных проектов) куча и маленькая тележка… как-то так.
Но ничуть не сомневаюсь, что ваш опыт — много богаче моего.
То есть, найти зиродэй это, конечно, крайне похвально и описано круто. Но в целом, к мерам безопасности, принимаемым вышеуказанной компанией, отношения не имеет. Что дальше-то было? Доменного админа мимикацем получили? Файлик с паролями в плэйн-тексте на компе нашли? Попали под рутом на файлохранилище, ввиду наличия на компе незапароленного сертификата?
Видите ли, в чём дело. Единственный способ любой компании защититься от косяка с тем, что в их софте ВНЕЗАПНО окажется зиродэй (он в любом софте есть. Например, прямо сейчас — в вашем браузере, двойка вам) — это обеспечить, как говорили в вузе, многорубежность и многозональность защиты. А ваша, как пентестера — продемонстрировать, что грош цена этим многорубежности и многозональности.
А так — понятное дело — они плечами пожали и пошли наняли кого-то другого.
Что дальше-то было? Доменного админа мимикацем получили? Файлик с паролями в плэйн-тексте на компе нашли? Попали под рутом на файлохранилище, ввиду наличия на компе незапароленного сертификата?
Вы серьезно? Залесть в комп сотрудника (скажем банка) и притом разработчика программ для него… — это по вашему мнению мало? Вы не поняли:
а) то было PoC;
б) я могу себе очень много нафантазировать, что я мог бы там теоретически натворить как black hat, начиная от стянуть банк данных (со сливом тех же клиентских данных) и заканчивая незаметной "пропиской" в программе разрабатываемой dev-ом, чтобы например незаметно погасить чей-нибудь кредит.
Но, тссс… я вам этого не говорил
Единственный способ любой компании защититься от косяка… — это обеспечить, как говорили в вузе, многорубежность и многозональность защиты
Я открою вам тайну — это далеко не единственный способ. Кстати, вы всему верите, что вам говорили (и думаете что правильно поняли, что вам говорили) в ВУЗе...
А так — понятное дело — они плечами пожали и пошли наняли кого-то другого.
Ну вам вероятно действительно лучше знать. Только кто вам сказал, что кто-то другой в той ситуации для конторы лучше? Есть много "но", которые вы не знаете (например, просто потому что я вам не рассказал), почему они решили так, как решили. Что меня не сказать чтобы сильно радует, но я с пониманием к этому отношусь.
Единственная ошибка конторы в моём понимании — это невыяснение заказчиком момента с external до подписания контракта с исполнителем...
от вас хотели аудита безопасности сети предприятия в плане более традиционных способов проникновения
Грош — цена такой концепции безопасности… Она слаба ровно настолько, насколько её слабейшее звено имеющее доступ к важным данным.
Кстати, вы не путаете случайно сисадминов и безопасников? Т.к. области как бы смежные, но и концепции и принципы подходов в корне отличаются. В вашем примере "компании", засланный казачок (например от конкурента) при определённом уровне доступа ставит компанию на грань разорения по истечению некоторого времени.
для него очевидно, что через человеческий фактор взломать можно всегда.
Вы всё-таки по видимому путаете, ибо это очевидно для любого безопасника, вопрос в том как долго это останется незаметным и как можно минимизировать такой риск или хотя бы сумму урона (не отобрав при этом у людей возможность собственно выполнять свои обязанности).
Еще раз, речь не про угон сотни или даже тысячи паролей от вконтактика… а про бизнес на многия лярды вечно-растущих.
Впрочем, если в вашей модели рабочий компьютер — это главный и основной рубеж защиты, я вежливо сливаюсь из спора. Прошу прощения, что влез. :)
Если в вашей модели безопасности получить "доменного админа" (для чего?, ибо админские права в банках по нормальному очень и очень разграничены, вплоть до принципа четырех глаз и т.п. красоты) или слить "файлик с паролями" (кому они нужны за пределами внутренней сети того же банка?), то вы тогда и правда не в теме и лучше закрыть дискуссию. Возможно вы тоже путаете сисадмина с безопасником (а данные того же банка с паролями от жжшки и вконтактика).
Возвращаясь к теме рабочий комп разраба — вы (или ваш знакомый) видимо плохо представляют, что они вообще делают (или правильней что они могут делать) в компаниях типа тех же банков.
Если тех-процесс требует от разработчика во время собственно разработки иметь полный доступ к например счетам и данным клиентов, я вас уверяю он их получит (хотя бы как копию банки, и просто показательно редко эти данные будут анонимизированы, потому что это не всегда возможно или желательно).
Если разработчик делает дата-мининг, то у него (или как минимум у софта, который он юзает и/или делает) по определению есть полный доступ ко всей той информации (хотя бы опять и как к резервной копии).
Про то, что программу, который он разрабатывают когда-нибудь выльют в продакшн, вам уже говорилось выше (и хорошо если ее до этого не только оттестируют на баги, но и хотя бы проверят на наличие каких-нибудь закладок).
А теперь оцените риски рубежей защиты, ну а я тоже пожалуй пока вежливо "сольюсь".
Обезличивание базы всегда возможно и желательно, но большинству лень этим заниматься. Всегда можно найти "объективную" причину этого не делать.
И вот попробуйте обезличить в полутора-терабайтной банке (с тысячами и тысячами таблиц, с трех-этажными связями и триллионами транзакций) например номер клиента (являющийся приватным на самом деле и по совместительству primary и forign key, а то и logical key в двух десятках гигантских таблиц)… Даже ФИО и то бывает очень проблематично обезличивать полностью.
Бывает еще например полнотекстовое индексирование сверху и прочие чисто логические связи, перепись которых сравнима по затратам с пересозданием базы с нуля (многие годы). Как быть с зоопарком приложений (когда база пользуется десятком разных программ с общим центральным data inventory)…
А потом нужно еще как-то уговорить отдел контроля (ака internal audit), что вот этот скрипт нужен на продакшн для аннонимизированного экспорта, чтоб разраб мог дальше код писать.
Вот с последней фразой непонятно, зачем при экспорте? Я понимаю, что так надёжнее, конечно, но другие риски возникают, что скрипт не там и не то почистит.
Вот с последней фразой непонятно, зачем при экспорте?
Потому что если разграничивать по нормальному (иначе зачем обезличивание нужно), то есть как минимум два сегмента "прод" и "тест" (и к проду у разраба в этом случае доступа нет). Если речь о бэкапах, то и они лежат тогда тоже в сегменте "прод", ну или точно не в сегменте "тест".
но другие риски возникают, что скрипт не там и не то почистит.
read-only access ко всему, кроме папки export.
Чем он иначе тогда отличается от потенциального разраба, спрошу по другому, т.е. чем Вася лучше Пети, с точки зрения безопасника и revision dept?
Чем он иначе тогда отличается от потенциального разраба
Тем, что разработчиков десятки и сотни, они могут быть внешними, новыми, а админ БД, чей скрипт — свой, проверенный и его всего три экземпляра в отделе.
Неправильный ответ, — админы нонче у банков как раз не свои, а "внешние" ибо дата-центры кругом, млин…
А доступа ко всему нередко даже у контент-манагера высшего эшелона нет.
Про "свой, проверенный" — улыбнуло. Разраб то часто не знает, чего там нужно обезличивать. А уж админ и подавно.
Возвращаясь же к теме обезличивания, вы не зацикливайтесь на базе… (не базой единой) — вот для примера напишите скрипт обезличивания файлика транзакции (месяца за два-три, штук так мильен в день, каждый подписан приватным ключем, которого у вас нет и не будет, и для которого нужно чтоб все ссыли aka references работали).
Но да, это ещё одна причина, чтобы не делать обезличивание.
А второй по простоте способ не «уехать в места, не столь отдаленные» — смотреть в сторону компаний с открытым баг-баунти, причём внимательно изучая их условия…
И я не думал, что на русскоязычной площадке нужно развернуто про «тренироваться на кошках»…
Да, еще кое-что: это же казино, т.е. человек не стесненный средствами имеет какое-никакое преимущество перед соперниками, при прочих равных. Как минимум может позволить себе чаще рисковать. В общем, если бы я там играл, мог бы и «почти» легально выигрывать кучу денег у других клиентов этого казино, «обманывая» при этом саму компанию на гораздо меньшую сумму.
Написано было вот это. Я правильно понимаю, что вы решили будто при игре в покер доступ к «чаще рисковать» даёт преимущество над соперником? На самом деле это не так, если вы будете играть более агрессивно, типа «у меня деньги бесконечные», то профессионал за столом наоборот получит больший перевес по матожиданию выигрыша, хотя его дисперсия вырастет. Сам играл очень много в своё время. Хороший игрок всегда держит запас денег такой, чтобы несколько крупных проигранных раздач не меняли картину, так что попытаться задавить или напугать понимающих людей не выйдет. Помогло бы разве что эксплуатировать излишне осторожных и пугливых, но это и так всегда можно делать.
а теперь там комментарии закрыты.
странно, а я можу… новый функционал хабра какой?
Я правильно понимаю, что вы решили будто при игре в покер доступ к «чаще рисковать» даёт преимущество над соперником?
Вы неправильно понимаете…
Во первых, вы почему то пропустили слова "при прочих равных".
Во вторых, давайте начнем для примера с других игр (вы не думаете же, что там один покер), например преф (и подобные), там есть такое понятие "сыграть мизер", и в некоторых вариантах игры, если больше рискуя, я смогу чаще успешно брать мизер (а это нередко связано с определенным риском), у соперников шансы сорвать куш уменьшаются прямо пропорционально разнице между суммами, которые мы в теории можем позволить себе "выбросить" (опять же при прочих равных).
Во первых, вы почему то пропустили слова «при прочих равных».
Во вторых, давайте начнем для примера с других игр (вы не думаете же, что там один покер), например преф (и подобные)
Ну, прочих равных не будет, всё-таки никто не даст выбирать соперника по своему вкусу, а то все бы хотели играть только за столами с более слабыми. Без огромной подготовки садиться играть по хорошим ставкам нет смысла. Ну, если деньги бесконечные, то конечно сливать их не так обидно.
А вот про преф в онлайне на деньги я не слышал вообще, по-моему там уже давно компьютерный бот умеет играть оптимально? Тогда онлайн не имеет смысла. Покер такая же судьба ждёт уже скоро, к сожалению.
странно, а я можу… новый функционал хабра какой?Для Read&Comment пользователей (характеризуются отсутствием отметки о приглашении в профиле, и, как правило, публикаций) открыто комментирование статей не старше трёх, если я не ошибаюсь, дней.
А потом они говорят, что «безопасность через неизвестность» это плохо, а опен-сорс хорошо (ведь там 100500 членов комьюнити провели аудит кода вдоль и поперёк).
PS К коменту относится со здоровой долей юмора (если кто не понял).
Попытки объяснить, что система безопасности выстроенная вокруг firewall+proxy+webwasher like content-filter & antivirus, без какой-либо худо-бедно настроенной гибридной IDS (HIDS+APIDS), хонепотов и т.д. и т.п., во первых по определению не является безопасной...
Почему, по вашему мнению, эта система небезопасна «по определению»? В реализованной вами же атаке вряд ли бы помог даже HIPS.
В реализованной вами же атаке вряд ли бы помог даже HIPS.
Нетипичная активность хостов сети (в данном случае — трафик чата и запуск ПО удаленного управления во время, когда сотрудник отсутствует) — вполне себе повод для алерта.
И там вообще было много благодатной почвы, где безопаснику развернуться.
И с запуском приложения до того ни разу из той программы не вызываемого.
Есть ли HIPS с эвристикой, которая отслеживает такие случаи? Известные мне HIPS просты как табуретки.
Вы представьте на минуту, вы разраб, у вас цейтнот (сверхурочные после 19:00), вы не понимаете как оно и почему бажит, а внешний «мир» для вас закрыт, не в онлайн-доку заглянуть, не погуглить, не спросить в чате, не (любимое подставить)…
На самом деле аудит в большой конторе (даже где неплохо с ИБ) проводят и снаружи и изнутри, при этом вылазят десятки типовых дырищ как в конфигурации ПО, из-за отсутствия обновлений (продуктив жии!!! низя перегружать! а вдруг после патча САПчик упадёт?!?111) и маразмов навроде «админы в netvol положили скрипт с прописанным паролем».
Ломают там где тонко. Искать zeroday в IRC-клиенте одного админа, это ненусветная глупость.
Кстати, выдача ФИО админов — это большой гандикап пентестерам.
Итого: cool story, bro!
И всё то — Р а з д е л ь н о.
О какой безопасности всей системы может идти речь?
Если вам показали велосипед, трудно ли определить что автомобилем он не является? Без точного определения собственно автомобиля.
Вы его случайно с доказательством от противного не путаете?
Если вы говорите «велосипед не является автомобилем», то либо вы объясняете почему, либо, если вы говорите «по определению», то вы цитируете определение.
И я очень хочу услышать определение велосипеда «от противного». Прям очень хочу. Вас не затруднит?
Пример про велосипед и авто вами не понят, от слова совсем (или вы передёргиваете).
Возьмите например одно свойство — «может самодвигаться». Один им обладает вполне, другой нет (ну за исключением с горы).
Т.е. нужно ли полное определение, чтобы понять что этими средствами не возможно выполнить защиту от множества векторов атаки (умолчим уже про внутреннюю безопасность).
Про векторы же, почитайте любой пейпер типа «Limitations of Network Intrusion Detection», может составите ваше искомое определение.
Рассказывать же вам тут полный университетский курс «Способы борьбы и методы предотвращение вторжения» у меня простите уж нет ни времени, ни желания.
В принципе, это часть большей проблемы в районе обсуждения безопасности — категоричность. Вы говорите со своих позиций, люди со своих, и у вас в этот момент в голове может быть совершенно разная модель угроз и бюджеты.
Возвращаясь же к «определению», тогда да — пусть будет «фигура речи», если вам так удобнее.
Вы пишите про компанию "… но общий лирический посыл таков — я бросаюсь голословными обвинениями", при этом вы в описании проблемы используете «фигуру речи» для описания проблемы.
Мне кажется, что это одна и та же проблема, просто описанная двумя разными способами.
При том что я на самом деле, как уж и не пытался слова подобрать, чтобы ненароком не затронуть «честь и достоинство»…
«Троечка» — это же описание итогового вывода, если хотите, для упрощения и чтобы статья не выросла в талмуд. А также по соображениям этического характера (опуская некоторые подробности, на публикацию которых я не получил разрешения).
Повторю, это результат использования вами фигур речи (которые преувеличения и упрощения).
Возможно, для того, чтобы окружающие смогли понять вашу точку зрения точнее, вы могли бы быть более точным в определениях и оценках (то, что называется «быть сдержанным в оценках»). Я не знаю что точно происходило там, но ваш рассказ использованной стилистикой для описания проблемы поддерживает точку зрения, которую вы осуждали.
Собственно, именно этот конфликт между намерением и реализацией и стал причиной моего комментария.
Если упрощая кусок истории (как незначительный эпизод или по каким-либо другим причинам, например мало относится к основной теме статьи), автор сделал так как сделал, и чего-то не проглядывается, это вовсе не обязательно означает, что ваши фантазии будут соответствовать действительности.
Это возможно значит ровно то, что автор не смог увести ваше внимание от этого (с его точки зрения, незначительного) момента, и дал тем самым повод цепляться к деталям. Минус ему-мне за это.
Хотя в теории, для каждой статьи, любой (в меру своей испорченности) может найти повод зацепится за что-нибудь, мозолящее ему глаза.
А вот мой вывод был, что если такой же художественный стиль изложения был в общении с сотрудниками, то их мнение о том, что «бросаюсь голословными обвинениями», возможно, было построено не на пустом основании.
Но все же отвечу, потому что — статья написана художественным стилем, от моего лица, и мы в этой длинной ветке обсуждаем незначительный эпизод (по мнению автора), который был к тому же преднамеренно им сокращен.
Можно таки увидеть определение безопасности, на которое вы ссылаетесь?
Подойдет вам в качестве так требуемого вами "определения" живой пример успешного предотвращения IDS-ом одного вектора атаки последнего epic fail от exim.
Я естественно понимаю, что то есть случай и даже некоторая удача… Но таки всё же.
Ну в принципе смысл правильный, не так категорично возможно, но все же…
Просто это совершенно точно не firewall+antivir, которые защищают только лишь от того, от чего они защищают.
разные программные и железные решения, не связанные между собой комплексно
Если эти ваши решения покрывают все возможные* векторы атак, то и хорошо. У них было не так.
* Естественно "все", с поправкой на — "с учетом соотношения риск-стоимость-возможность выполнять работу" (а то можно поназакрывать так, что люди побегут или тупо не смогут что-то сделать). Чем-то можно рискнуть (пренебречь) в угоду стоимости, чем-то из-за высокой сложности выполнения и/или рисков "положить" собственно работу (медленно, высокий риск "уронить" что-нибудь нужное, и т.д.). Но если риски оценены и все-то оправдано/обосновано (а не по неведению/лени/итд).
P.S. Пишите еще, спасибо!
О, тест на внимательность пройден!
Да нет, снять можно на самом деле (только не для remote session и не через GetDC, GetWindowDC и ко)…
Однако и это вовсе не обязательно, просто мне было проще/быстрее (ибо готовый скрипт был).
Можно например тупо найти окошко диалога (первый child внутри) и перебрать всех деток, отправив все caption (типа GetWindowText(hChildWnd))… среди них кроме "Allow Remote Control" и прочего, поверте мне обязательно найдете что-нибудь вида "123 456 789" и "1111".
Хотя я вам их ControlID и так скажу 0x4E82 и 0x4E83…
Да много-много чего можно.
Ну спасение, logout или hibernate (то когда нужно просто чтоб всё сохранить в рабочем виде, а не тест на всю ночь до exception в дебаггере)...
И да, превлекает иногда :)
Мне один знакомый рассказывал, как им с коллегами пришлось выключить комп отсутствующего соседа, потому что он "постоянно громко пикал".
В последствии оказалось попыткой взлома, просто хакер "непутевый" попался и логировал чего-то там не-то бинарное не-то не в той кодировке в консоль (ну а оно ругалось на каждый чих "\7")...
Двойка вам, или аудит со взломом