Как стать автором
Обновить
  • по релевантности
  • по времени
  • по рейтингу

Безопасность при межпроектном взаимодействии

Информационная безопасность

Введение


Сегодня множество интернет-сервисов взаимодействуют друг с другом через интернет. Особый класс взаимодействий — те, в которых осуществляется передача конфиденциальной информации (личные данные, секретные сообщения) или команд, выполнение которых должно быть кем-то однозначно подтверждено (например, перевод денег или публикация сообщения от чьего-то имени). Очевидно, что подобные сервисы должны быть надёжно защищены от злоумышленников.

К сожалению, не все разработчики задумываются о степени защищённости своих приложений. Проблема несколько усугубляется тем, что многие представители электронного бизнеса разрабатывают протоколы, которые, будучи реализованными в конечных сервисах, могут создать серьёзные уязвимости, если использовать их без должного понимания.

Задача данной статьи — кратко описать возможные типы атак при межпроектном (т. е. сервер-сервер) взаимодействии и средства защиты от них — с тем, чтобы более вдумчиво использовать готовые протоколы и разрабатывать свои. Предварительно будут рассмотрены основы информационной безопасности, так как зачастую знания конечных разработчиков в этой области бывают несколько отрывочными.

Защита (или отсутствие защиты) от различных типов атак демонстрируется на примере протоколов популярных сегодня систем: Assist, Cyberplat, WebMoney, ChronoPay, Robokassa и PayPal (платёжные системы), а также OpenID, OpenAuth, OAuth (децентрализованная аутентификация).
Читать дальше →
Всего голосов 31: ↑27 и ↓4 +23
Просмотры4.3K
Комментарии 28

Как я ловил хакера

Информационная безопасность
Произошло это в начале 2008 года, когда я еще работал в одном крупном украинском банке инженером в IT-департаменте. Только спала новогодняя праздничная суета, и нагрузка на подразделения техподдержки немного поубавилась, как один из подотчетных мне web-серверов сообщил о заканчивающемся на диске месте. Беглый анализ показал, что стремительно росли логи IIS сервера, на котором крутится один из публичных платежных комплексов банка. Мои опасения оправдались – на сервер началась DDOS атака.
Читать дальше →
Всего голосов 431: ↑407 и ↓24 +383
Просмотры41.3K
Комментарии 192

Как я ловил хакера 2

Информационная безопасность
Продолжение, начало здесь.

Зайдя на сервер, я увидел открытую страницу банка в браузере, несколько скомпилированных версий популярного вируса, логи апача, который вел мониторинг атаки и открытую терминальную сессию на какой-то сервер с турецким IP с приглашением ввести логин и пароль. По логам апача было ясно, что турецкий сервер является одной из «голов» червя, т.е. центром координации атаки.
Читать дальше →
Всего голосов 236: ↑189 и ↓47 +142
Просмотры25.9K
Комментарии 120

Практика использования arp-spoofing

Информационная безопасность
В данной статье я расскажу как, используя пакет утилит arp-sk в операционной системе GNU/Linux реализовать атаку man-in-the-middle на протокол arp.
image

Для чего вообще нужна такая атака:
На хабре достаточно много статей например для взлома Wi-Fi. Но что делать после того, как ключ взломан? Тут можно увидеть один из вариантов действий.
Читать дальше →
Всего голосов 59: ↑52 и ↓7 +45
Просмотры58.4K
Комментарии 29

Уязвимость Microsoft Windows, которую демонстрировал 0-day exploit 19 июля, оказалась многовекторною: сайты могут автоматически заражать читателей через Internet Explorer

Информационная безопасность
Многие читатели помнят, как в понедельник 19 июля во блоге компании ESET на Хабрахабре появилась блогозапись, оповестившая о появлении вредоносной программы, способной проникать в систему через особым образом оформленные значки ярлыков.

В этой блогозаписи (в конце её) рекомендовалось ознакомиться с советами во блоге независимого исследователя (по имени Didier Stevens), который рекомендовал вырубить запуск файлов с USB и CD или загрузку их оттуда в память.

Многие расслабились, а меж тем на этом ничего не закончилось.

20 июля Корпорация Майкрософт выложила, а 21 июня сайт Security Lab перепечатал обновление прежнего известия. Обновление же гласит, что для атаки на июльскую уязвимость может и не быть нужна ни флэшка, ни сидюк (или дивидюк). Вместо этого атакующему достаточно создать особым образом некоторый сайт и дожидаться того только, чтобы пользователь зашёл на сайт при помощи Internet Explorer; и как только Windows попробует загрузить значок, на сайте указанный, всё будет кончено.

Вот теперь начинается настоящее веселье. В комментариях ко блогу ESET иронизировали, кажется, только поклонники Linux; но теперь, о! теперь настаёт наконец время призывать также к переходу на Firefox, Chrome, Safari, Opera, SeaMonkey, и так далее, и так далее. И неподдельный глубокий ужас охватит всех тех, кто лазает по Паутине через IE или через любое другое зловещее поделие, на IE основанное — Maxthon, Netscape в IE-режиме, Firefox с IE-вкладкою, Chrome Frame, и так далее, и так далее.

Судный день Эксплорера!
Всего голосов 176: ↑114 и ↓62 +52
Просмотры1.7K
Комментарии 82

Атака на отказ в обслуживании методом slow HTTP POST

Информационная безопасность
Из песочницы
Доброго времени суток, уважаемые хабровчане!
Я хочу рассказать вам об относительно новом и интересном, на мой взгляд, механизме атаки на отказ в обслуживании — Slow HTTP POST.
Поиск показал отсутствие на хабре информации по теме, что несколько удивило меня, и я решил восполнить это досадное упущение. Тема не нова, но, как показали мои небольшие исследования, более чем актуальна. Забегая вперед, скажу, что полученные мной результаты позволяют говорить о существовании широко доступной технологии, позволяющей с одного компьютера с небольшим каналом «укладывать» небольшие и средние сайты, а при использовании нескольких машин с повсеместно распространенным сейчас скоростным доступом в Интернет причинить немало проблем и более серьезным проектам. Всех заинтересовавшихся покорнейше прошу пожаловать под хабракат.
Читать дальше →
Всего голосов 205: ↑194 и ↓11 +183
Просмотры35.9K
Комментарии 98

CNET предоставляет подробную информацию о хакерских атаках

Информационная безопасность
Как заявляет CNET, число хакерских сейчас просто поражает. За последние несколько месяцев было совершено множество компьютерных атак, проникновений в сеть и утечки информации. Cудя по всему, это будет происходить ежедневно.

CNET уже писали о том, что открыт сезон охоты на хакеров, и даже написали о тех, кто за всем этим стоит. Теперь они решили предоставить хронологическую таблицу списка атак, что бы наблюдать за деятельностью хакеров мог любой желающий. Планируется постоянное обновление списка.

Список действительно довольно интересный. Судя по нему, атакам подверглось довольно большое количество крупных организаций. Таких как: Sony, PlayStation, Nintendo, Electronic Arts, Sega, NATO, Apple, Toshiba, Турецкое и Датское правительства, и многие другие. Так же, под ударом оказались сотни пользователей сервиса Gmail. Мотивы и методы атак, так же приводятся в таблице. Некоторые интересные примеры, переведенные на русский язык, можно посмотреть здесь.
Всего голосов 7: ↑5 и ↓2 +3
Просмотры782
Комментарии 2

Anonymous обрушили серверы с детской порнографией

Информационная безопасность
Нет нужды напоминать уважаемой аудитории Хабра об известной хакерской группе Anonymous — они упоминались в довольно большом числе топиков; например, в контексте того, что группа смогла добраться до секретных документов НАТО и обещании «уничтожить» Facebook. Тогда характер новостей о Anonymus носил преимущественно скандальный характер, однако теперь мнение об этих хакерах придется, как минимум, изменить.

Около недели назад Anonymus обнаружили некий сайт Hidden Wiki, содержащий ссылки на сотни ресурсов с детской порнографией, которые были недоступны для поисковых машин и пользовались услугами хостера Freedom Hosting. Дальнейшие действия группы лучше всего описать их собственными словами:
Положив сервера Freedom Hosting, мы удалили более 40 сайтов с детской порнографией, среди которых был Lolita City — один из крупнейших сайтов, содержащий более 100 Гб детской порнографии. Мы продолжим обрушение не только Freedom Hosting, но и любой другой сервер, который будет замечен нами в распространении детской порнографии.

Узнать подробности
Всего голосов 308: ↑281 и ↓27 +254
Просмотры18.2K
Комментарии 172

Steam взломан

Информационная безопасность
6го ноября 2011 года были взломаны официальные форумы steam, в сеть утекла база данных форума, а так же вся база данных пользователей steam, включая все личные данные.
Официальное обращение от Valve:
Читать дальше →
Всего голосов 145: ↑132 и ↓13 +119
Просмотры10.7K
Комментарии 160

Хакеры атаковали разведывательно-аналитическую компанию Strategic Forecasting

Информационная безопасность
Некоторое время назад на Хабре упоминалось обещание хакеров из группировки Anonymous сделать целью своей атаки ряд государственных и финансовых учреждений (и даже церковь Сайентологии) с целью более «справедливого» перераспределения денежной массы в мире. Тогда многие с сомнением отнеслись к заявлению группировки, однако, как оказалось, или сама команда Anonymous, или кто-нибудь еще, слов на ветер не бросала.

Сегодня стало известно, что атаке хакеров (некоторые издания упоминают Anonymous, хотя автором твита, на который ссылаются источники, является SABU, которого (ую) называют лидером Lulzsec; оригинальный можно посмотреть здесь) подверглась разведывательно-аналитическая компания Strategic Forecasting (официальный сайт не работает), более известная по сокращенному названию Stratfor, которая занимается сбором и анализом информации о событиях в мире. На основании собранных данных аналитики компании составляются экономические и геополитические прогнозы, используемые, как теперь стало известно, рядом правительственных и финансовых организаций по всему миру: в этой записи на PasteBin упомянуты армейские ведомства армии США, крупнейший в мире инвестиционный банк Goldman Sachs, финансовая компания MF Global, а также Microsoft и Apple.
Узнать подробности
Всего голосов 31: ↑26 и ↓5 +21
Просмотры605
Комментарии 3

Хактивисты перешли к конкретике: атакован производитель слезоточивого газа и наручников

Информационная безопасность

Группа анонимных хактивистов Anonymous, которую связывают с протестным движением «Захвати Уолл-стрит», во вторник выполнила дефейс и вывела из строя сайт пенсильванской компании Combined Systems Inc. (не работает на данный момент), являющейся производителем средств контроля массовых собраний людей — слезоточивого газа, аэрозольных, звуковых и световых гранат, наручников и т.п. Около года назад, во время массовых волнений в Египте, компания поставила местным властям более 46 тонн производимых ей товаров — именно это и стало причиной атаки, которая, к тому же, была приурочена к годовщине событий в Бахрейне. В результате атаки были украдены личные данные сотрудников компании и её клиентов. Владельцы компании пока никак не комментировали компрометацию своего сайта.

Вполне традиционно хактивисты разместили на PasteBin запись, поясняющую мотивы своих действий и, собственно, «слитые данные» — фамилии и имена сотрудников, клиентов, дистрибьюторов, их логины, пароли, письма, номера телефонов; также присутствуют дампы таблиц MySQL.
Узнать подробности
Всего голосов 50: ↑45 и ↓5 +40
Просмотры1K
Комментарии 42

«Анатомия анонимных атак» — как работают Anonymous?

Информационная безопасность
Американская компания Imperva, которая занимается разработкой решений для защиты данных, опубликовала свой 17-страничный отчёт, посвященный исследованию работы известной группы хактивистов Anonymous. Нельзя сказать, что отчёт вскрывает страшные тайны подпольной организации злоумышленников, но, тем не менее, в качестве систематизированной картины он весьма удобен.

Итак, согласно отчёту, Anonymous — это не группа сверхгениальных хакеров, способных в считанные часы или дни взломать любой сервер и украсть любую информацию. Хотя и имели место прецеденты с успешными атаками на столь солидные организации как StratFor и ряд других, успешность атаки объясняется скорее безалаберностью администраторов ресурсов, а не какой-либо сверхизобретательной технике злоумышленников. Так исследователи считают, что хотя у Anonymous и имеются некоторые специфические приёмы, тем не менее, группа предпочитает широко известные методы — прежде всего, это SQL-инъекции и DDOS-атаки, причём, Anonymous, как правило, сначала пробуют украсть данные, а потом, если это не увенчивается успехом, организуют DDOS на ресурс жертвы.
Узнать подробности
Всего голосов 74: ↑59 и ↓15 +44
Просмотры6.6K
Комментарии 43

Сайт Конверсбанка подвергся атаке

Информационная безопасность
В сети появилась информация о том, что старым доменом Конверсбанка http://conversbank.com завладели злоумышленники и разместили там информацию о якобы неплатежеспособности банка.

Читать дальше →
Всего голосов 75: ↑62 и ↓13 +49
Просмотры716
Комментарии 69

DoS-атака на сайты с собственными капчами

Информационная безопасность
Из песочницы
Можно найти достаточно много сайтов, которые защищены от разного рода внешней нежелательной автоматической активности (ботов) при помощи капч. Причем во многих случаях генерированием этих самых капч занимается тот же сервер, на котором и расположен сайт. Прикрутить такую капчу на сайт очень просто, да и есть бесплатные капча-генерирующие библиотеки (KCAPTCHA, например).

В чем опасность?
Читать дальше →
Всего голосов 62: ↑53 и ↓9 +44
Просмотры16.3K
Комментарии 59

Уязвимости с удалением данных подвержены также смартфоны HTC, Motorola и Sony. Сайт для проверки проблемы

Информационная безопасность
Как оказалось, неожиданной уязвимости с удалением данных при посещении страницы со специально сформированной ссылкой, которую Samsung успела оперативно исправить буквально через день, подвержены также и устройства HTC One X, HTC Desire, Motorola Defy, Sony Xperia Active и Sony Xperia Arc S.

Главной причиной уязвимости была признана не TouchWiz, которую Samsung устанавливает на свои смарфтоны, а особенности обработки «телефонных» ссылок на некоторых Android-устройствах, при которой внедрённый в тело обычной гиперссылки USSD-код выполняется сразу, без подтверждения пользователя — говорит специалист по компьютерной безопасности Дилан Рив. При этом указанная проблема известна сравнительно давно и исправлена Google, однако сами производители смартфонов, по всей вероятности, не спешат использовать патч, рискуя, таким образом, безопасностью данных пользователя.

До тех пор, пока производители не выпустят соответствующее исправление, Рив предлагает пользователям установить какой-нибудь альтернативный «диалер», при использовании которого Android даст выбрать через какую программу совершать звонок, если вдруг попадётся вредоносная ссылка.
Узнать подробности
Всего голосов 39: ↑35 и ↓4 +31
Просмотры26.7K
Комментарии 153

Распределённая атака на WordPress сайты

Информационная безопасность


Компания Hostgator в своём блоге сообщила о массированной атаке на сайты под управлением WordPress. Десятки тысяч зараженных компьютеров по словарю пытаются подобрать пароль к административной панели этого популярнейшего движка.

Другой хостинг-провайдер — CloudFlare считает, что одной из целей атакующих является создание более мощного ботнета из серверов, ресурсы которых впоследствии могут быть использованы для совершения DDoS-атак:
Что интересно в этой атаке — это то, что атакующий использует относительно слабый ботнет из домашних ПК чтобы создать гораздо бОльший и более мощный ботнет для подготовки последующих атак. Эти мощные машины могут причинить гораздо больше вреда с помощью DDoS-атак, т.к. сервера имеют широкие сетевые каналы и способны генерить значительные объемы трафика. Эта тактика похожа на ту, что была использована при создании ботнета itsoknoproblembro/Brobot осенью 2012 года. Это была одна из самых серьезных атак на финансовые институты США.

Как защититься
Всего голосов 29: ↑22 и ↓7 +15
Просмотры21.4K
Комментарии 33

Алгоритм игры в «морской бой»: обстрел противника

Алгоритмы
Доброго времени суток, уважаемые! Так случилось, что вопросом программирования более-менее адекватного ИИ для игры «морской бой» я озадачился где-то в конце 2004 года. Быть может я, не имея должных руководств под рукой, изобретал тогда велосипед, но и в последствии, мне попадались потрясающие своей честностью алгоритмы: стрелять наобум, время от времени подглядывая у игрока расположение кораблей, для выравнивания баланса. В последствии я несколько раз улучшал алгоритм. По последним статьям на Хабре можно судить, что тема актуальна, к тому же — мне есть что добавить к написанному другими пользователями.
Итак, цель моей заметки: реализация оптимальной одной из стратегий атаки на корабли соперника, причём не только первое попадание, но и последующее «сопровождение ко дну». Отмечу, что корабли в моей реализации — почти (об этом ниже) произвольной формы.
Читать дальше →
Всего голосов 44: ↑37 и ↓7 +30
Просмотры91.3K
Комментарии 17

Экранирование (или что нужно знать для работы с текстом в тексте)

PHPПрограммированиеSQL
Перевод
Tutorial
SQL инъекции, подделка межсайтовых запросов, поврежденный XML… Страшные, страшные вещи, от которых мы все бы хотели защититься, да вот только знать бы почему это все происходит. Эта статья объясняет фундаментальное понятие, стоящее за всем этим: строки и обработка строк внутри строк.
Читать дальше →
Всего голосов 76: ↑51 и ↓25 +26
Просмотры172.4K
Комментарии 115

Большая атака ботов на Wordpress-сайты

WordPress
Ориентировочно со 2 августа наблюдается массовая атака на сайты построенные на движках Wordpress (по некоторым данным также атакуются сайты на Joomla, DLE). Злоумышленники с помощью большого ботнета пытаются подобрать пароли к админкам с помощью брутфорса. Некоторые серверы не выдерживают нагрузки. Хостеры принимают различные меры по фильтрации ботов. Обширное обсуждение идет на форуме Searchengines.

Wordpress предлагает свои варианты решения: codex.wordpress.org/Brute_Force_Attacks

В логах на сервере это выглядит как-то так:
93.73.186.55 funshow.ru POST /wp-login.php HTTP/1.0
178.223.136.215 funshow.ru POST /wp-login.php HTTP/1.0
178.68.139.101 funshow.ru POST /wp-login.php HTTP/1.0
99.162.150.102 funshow.ru POST /wp-login.php HTTP/1.0


Как вариант следует убедиться, что админский пароль к сайту устойчив для подбора.
Всего голосов 40: ↑34 и ↓6 +28
Просмотры36K
Комментарии 48