Иногда случается, что зайти в безопасный режим, для того чтобы просканировать зараженную машину, не представляется возможным, поскольку злобные вирусы удалили ветвь реестра отвечающую за безопасный режим и при попытке зайти в него, машина просто интеллигентно перегружается. Встает вопрос, как с этим жить, и что делать дальше?
Отвечаю, главное не отчаиваться, а внимательно изучить написанное ниже и выбрать один из двух различных способов.
Способ первый, использование утилиты AVZ.
Загружаем утилиту с офф.сайта (http://z-oleg.com/secur/avz), затем в ней говорим Файл -> Восстановление системы. В открывшимся окне настроек включаем 10 пункт меню Восстановление настроек загрузки в SafeMode. Помимо этого можем включить еще массу удалений различных блокировок, главное четко понимать, что мы хотим сделать. Говорим, ОК, после чего утилита вместе с системой на какое то время задумываются над своей непростой судьбиной, и после этого предлагают нам перегрузиться. Что мы и делаем, после чего не безуспешно пытаемся зайти в безопасный режим SafeMode.
Способ второй для любителей ковыряния в реестре:
Не спокойный бельгийский специалист по безопасности Didier Stevens создал импорт ветви реестра, находящейся по адресу HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot и включающей все возможные варианты загрузки безопасного режима и выложил получившийся файлик для всеобщего обозрения на своем сайте http://blog.didierstevens.com. В файлике, на данный момент доступны 4 вариации на тему реестра: Windows 2003 SP2, Windows XP SP2, Windows XP SP3, Windows 2000 SP4. , распаковываем и запускаем необходимую для вашей версии Windows.
Практически любое обращение в службу поддержки Checkpoint по техническому вопросу, связанному с оборудованием или софтварным решением, влечет за собой встречный вопрос-просьбу, предоставить файл cpinfo. Сама CPinfo- служебная утилита, предназначенная для сбора информации с машины, на которой она запущена. Вся информация пишется в одноименный файл cpinfo, с помощью которого инженеры поддержки Check Point могут смоделировать проблемную систему и проанализировать её настройку на своем стенде, в котором они её запускают в демо-режиме. Благодаря этой утилите инженеры могу проводить глубокое исследование конфигурации системы, без выезда к заказчику, или предоставления им удаленного доступа к системе.
Утилита CPinfo собирает содержимое файлов находящихся в root директории установки программного обеспечения шлюза, включая директорию размещения логов $FWDIR/log/* files, а также специфические настройки самой системы.
Таблицы маршрутизации
Вывод команды netstat
Вывод команды ipconfig /all
Версию операционной системы шлюза и установленных патчей и хотфиксов.
Данный памяти и CPU
Вывод команды fw ctl pstat
Вывод системных логов (more…)
На волне скандала возникшего между компанией Google и правительством Китая, снова поднялся вопрос о китайских хакерах, которые являются наибольшей головной болью для всех специалистов по информационной безопасности во всем мире. Последнее время участились целевые атаки с использованием различных механизмов на сайты и корпоративные сети частных компаний, и в данный момент китайские умельцы предлагают абсолютно уникальный, в этом плане, продукт.
Недавно появившийся продукт- сайт предлагает своим пользователям провести анализ целевого сайта на предмет выявления уязвимостей, после чего высылает на указанный при регистрации почтовый адрес полный отчет о проведенном тестировании в формате Adobe Acrobate. Сам сервис принадлежит китайской компании NOSEC Technologies Co., Ltd и располагает так же на территории Китая.Но самое главное, что данный сервис, который является ни много ни мало как аудитом безопасности, предлагается совершенно БЕСПЛАТНО. Достаточно пройти регистрацию на сайте и после указать в форме, адрес для целевого сканирования, после завершения которого пользователю будет прислан PDF о проделанной работе и найденных уязвимостях.
Вот небольшой список уязвимостей на предмет которых проводится сканирование:
SQL injection
Cross Site Scripting (XSS)
File Upload Vulnerability
Information Leakage
Insecure Direct Object References
Buffer overflow
Появление подобного продукта на рынке конечно не может вызвать озабоченности, особенно в ключе того, что многие найденные уязвимости по прежнему остаются не закрытыми, а в это время продолжают появляются все новые и новые бреши в безопасности приложений и серверов. И даже если предположить, что компания NOSEC Technologies Co., Ltd является законопослушной компанией, не собирающейся взламывать сайты, а занимающаяся сугубо аудитом безопасности, по запросу клиентов, остается вопрос- как долго подобному сервису понадобится времени, чтобы собрать внушительную базу открытых для публичного доступа сайтов, с полным списком их уязвимостей. Который при этом, составят пользователи интернета своими руками, то есть выбираться будут заведомо частные сайты, которые могут быть интересны, в плане безопасности, как потенциальным злоумышленникам, так и потенциальным инженерам по безопасности, пытающимися залатать бреши в обороне. Зачем сканировать миллионы сайтов на предмет поиска уязвимостей и дальнейшего выяснения вопроса, что с них можно поиметь, если бесплатные “внештатные сотрудники” могут это сделать сами, своими руками, и вроде бы для своих интересов.
И самый главный вопрос, кто воспользуется полученными данными в дальнейшем: хакеры, для получения доступа к сайтам, организации ботнетов, похищения денег со счетов клиентов, или само правительство страны, для проведения спланированных акций, по преследованию несогласных, или нанесения ударов по компаниям так или иначе вошедших в конфронтацию с официальной политикой, проводимой правительством.
Сижу работаю. Приходит коллега и жалуется админу что не может со своего iPhone достучаться до офисного VPN который крутится под Cisco ASA. У меня уши естественно насторожились, поскольку до такой степени задротства, чтобы стучаться в офисную сеть со своего iPhone я еще не дошел. Человек ушел, начал ковыряться в телефоне и смотреть. Вообщем по порядку.
Разработка, появившегося с год назад, было спонсировано исследовательским центром армии США и стало результатом исследований, в области информационной безопасности, организации SRI International. Как становится понятно уже из названия приложение предназначено для поиска ботов и вредоносных программ ставящих под угрозу компьютерную безопасность. Приложение BotHunter разработано для прослушивания сетевого диалога между внутренними и внешними сегментами сетей. BotHunter состоит из коррелирующего движка написанного на базе Snort 2, который отслеживает подозрительную сетевую активность: сканирование портов, использование эксплоитов, подготовки атак, p2p трафик. Коррелятор BotHunter сопоставляет информацию о входящих алертах и исходящей активности, на основе чего делает заключение о зараженности хоста. Если уровень вероятности заражения хоста, с точки зрения сетевого диалога BotHunter, приближается к критической точке, то программа начинает прослушивать и регистрировать все подобные события вычисляя их значение в процессе заражения.
Приложение доступно для FreeBSD (тестировано для 7.2 версии), Linux (тестировано для RHEL, SuSe, Debian и Fedore), Windows XP/Vista/2003,а также для Mac OS X (10.4 и 10.5).
Прекрасную новость я получил буквально пару минут назад от компании Sofaware, куда я обратился со своей “болью”: после того как устройство Sofaware 500W само, без разрешения, грейдилось на последнюю версию прошивки 8.0.42- сразу же начинались траблы с работоспособностью- по дефолтной политике дропались входящие UDP пакеты на 53 порт, даже в случае наличия правила разрешающего это действие; пропадал доступ к веб морде из вне сетки по https; и самое пакостное- после перевода wi-fi и Lan VLAN’ов в режим bridge, для того чтобы пользователи этих двух сетей могли работать друг с другом и внутренними ресурсами (хотя по причине этого косяка, выяснилось что все это реализуется и при обычном режиме firewall просто описанием взаимодействия подсетей)- начинались проблемы с доступам к внутренним ресурсам, транслируемым в интернет, по их внешним IP адресам, причем настолько сильные, что все соединения smtp/pop3/http/https/ssh дропались по таймауту.
Вообщем ответ тех.поддержки был, что shit happend- сие есть баг (баг заключается в том, что дропаются те пакеты у которых исходящий порт такой же как и входящий- 53; если же порт стандартно выше 1024 порта, то они проходят нормально), посему надо откатить устройство на более раннюю версию прошивки, но как оказывается сам я это сделать не могу, а это указывается ручками на стороне сервис центра производителя SMP, где оператор ручками указывает какому MAC адресу на какую прошивку перегрузиться. Но самое веселое, что это уже сделали, попросив меня ручками передернуть устройство. И мало кого волнует, что я в 50 километрах от устройства и самое близкое когда собирался туда заехать – это конец недели.
Все это очень мило, но тогда не понятно зачем там вообще в устройстве кнопка перепрошить устройство на специфическую прошивку. Надеюсь, что 7 прошивка, которую мне сегодня перезальют будет лучше чем 8.0.42, поскольку баг, со слов поддержки, будет исправлен не столь оперативно, как решаются проблемы для тех же Checkpoint Edge, которые являются клонами sofaware с той лишь разницей, что управляться могут централизованно и поддерживаются старшим братом.
*** 23.12.09 *** Баг после отката не исчез, по прежнему дропаются входящие и исходящего 53 порта, но зато разрешилась проблема с доступом по https к консоли. Оказалось, что сервер https, для внешних подключений, переехал со своего стандартного порта на 981, т.к. обращение https://server:981 позволяет достучаться к серверу из вне.
Ночью 17 декабря сайт популярной социальной сети Twitter подвергся кибер атаке, результатом которой стал дефейс портала,- на заглавной странице некоторое время висело сообщение о том, что сайт взломан иранской кибер армией (Iranian Cyber Army). Несколько часов спустя, после длительного оффлайна, на странице статуса появилось сообщение о том, что DNS записи домена Twitter.com были скомпрометированы, но данная проблема находится в стадии устранения, которая и была устранена к середине 18го числа. Надо отметить, что атаку провела группировка Iranian Cyber Army, судя по своему названию и тону послания имевшая ввиду, что пока штаты пытаются контролировать Иран, сам Иран контролирует кибер пространство США.
