В очередной раз занимаюсь по работе совершенно дебильным занятием: сдаю экзамены за партнеров, с тем чтобы они ласковые наши могли получить авторизацию по определенным линейкам оборудования и наслаждаться этими самыми решениями. Запарило это занятие до безобразия, ибо за последние полгода сдал уже более 200 тестов, но все таки иногда становится довольно интересно- если вдруг удается вчитаться в мануалы и презентухи по продуктам.
Вот и сегодня встретил в он-лайн презентации, посвященной некоей Network DLP довольно интересную статистику по утечкам информации:
80% CISO рассматривают сотрудников как основной источник утечки информации
73% утечек информации происходит через внутренние ресурсы компании
77% компаний не имеют возможности (технической или финансовой) проанализировать, постфактум, причины утечки и те финансовые потери, которая она нанесла компании и это при том, что по устаревшей статистике- убытки от утечек информации в период с 2006 года по 2007 возросли с $4.8 миллиардов до $6.3
Каждые 53 секунды в мире теряется или крадется один ноутбук- в кафешках, ресторанах, метро, вокзалах и прочее.
По данным ФБР среднестатистический ноут имеет 1 из 10 шансов быть украденным в этом году, и при этом с вероятностью 97% эта информация будет утеряна навсегда.
Всего 20% утечек данных происходит в результате действия злонамеренного кода, т.е. внешнего вторжения или вирусной атаки, при этом 92% компаний используют имаил (email) для пересылки конфиденциальной информации, не прибегая к каким либо дополнительным способам защиты пересылаемой информации; в 52% конфиденциальная информация уходит из офиса на портативных-переносных устройствах- ноуты, флешки и прочее.
Более 80% наиболее дорогостоящих утечек информации происходило по причинам выноса, вполне законопослушными сотрудниками, информации из вне организаций.
Довольно интересная информация, которая заставляет серьезно задуматься о том, как и с помощью чего необходимо хранить свои конфиденциальные данные.
Пока лечил хвосты за 1сником, попутно поковырялся в машинке одного довольно известного кинорежиссера, который не смотря на то, что ежедневно общается с толпами обворожительных молодых актрис не чужд ничего человеческого и потому любит лазить попорнушке. Ну и естественно цеплять всякую мразь из инета.
Мне правда повезло и достались уже хвосты от его умельцев, которые ему убивали табличку требовавшую смску за разлочку экрана, но оставшиеся хвосты, тем не менее не давали ему снова насладиться всей прелестью порнушки, поскольку в полэкрана бродилки вылезала надпись “not found 404, nginx”- при ближнем рассмотрении эта надпись оказалась неработоспособным фреймом, ссылающимся на неработающий в данный момент сайтик megaclip.biz. То естьэтакое левое поле в нижнем правом углу- ничего особенного, но раздражает.
Итак убивалось в Firefox:
Открываем Инструменты -> Дополнения -> Расширения. Там отключаем все подозрительные дополнения, которые не устанавливали сами, после чего перегружаем бродилку. После этого можно включить нужные, которые были, но после нашей процедуры пропали. Вычленив врага- прощаемся с ним, и нажимает там же кнопочку удалить.
В Internet Explorer делается несколько иначе:
Идем в Сервис -> Надстройки. В списке надстроек ищем те, что ссылаются на файл с названием ***lib.dll (вначале может идти любая комбинация букаф). Выделяем надстройку и в нижнем меню говорим Отключить. Закрываем бродилку, после чего открываем проводник и идем в нашу излюбленную папку C:\Windows\System32\ где ищем тот самый файл ***lib.dll, после чего его удаляем. Также желательно почистить реестр от хвостов надстройки, путем нажатия клавиш <Win>+<R> -> regedit -> <Ctrl>+F в открывшееся поле вводим имя надстройки, после чего говорим поиск и удаляем все найденные ключи. Перегружаем компьютер, запускаем эксплорер, видим что ничего не изменилось, повторяем всю процедуру снова
Попрошу заметить, что после чистки Firefox ничего перегружать не надо, что нам еще раз лишний раз доказывает тот факт, что Firefox рулит!!!!
Вот реально, иногда хочется адынсникам и гарантам, точнее представителям компаний “интеграторов” которые шарахаются по клиентам с целью обновления баз, форм и прочее; просто поотрывать к чертовой матери руки, а флешки их адовы засунуть туда, откуда достать их бывает не так просто, как могло бы подуматься. Имея двух клиентов, с поддерживаемой в актуальном состоянии 1С, имею также и перманентный аврал через день -два после визита специалиста обновляющего базу. Каждый раз на компьютере оказывается какой то зоопарк состоящий из 3-4 разновидностей троянов. Пока ума не приложу, как быть и что с этим делать, поскольку антивирус в любом случае это дело просыпает, а в результате работы, оказывается зараженной не только администраторская машина, с которой происходит обновление, но и все машины, которые в последствии начинают работать с базами. Сейчас так вообще столкнулся с вирем, прописавшимся в папочку 1С- а что, крайне удобно.
В пору делать все самому, но тогда придется чаще наносить незапланированные визиты, а это конечно не очень здорово.
Не ловил никаких пакостей уже года 4 наверное. А тут возникла необходимость найти себе найтивного копирайтера на несколько своих английских проектов, поэтому все выходные лазил по различным копирайтерским сообществам, ну и каюсь- также прошерстил какое то количество порноведческих форумов, поскольку там эти нужные люди чаще всего и обитают.
В результате этих изысканий, других явных причин я не вижу, хотя точно и не могу понять когда именно произошло заражение (и как, учитывая приблуды вроде NoScript и прочие), бродилка Mozilla Firefox стала себя странно вести: компьютер загружается и все прекрасно, пока я не поднимаю Firefox. После этого в логе фаервола генерится порядка 200+ пакетов длиной в 63 байта на 80 порт десятка различных IP адресов, из тех что успел поймать были www.yandex.ru, www.google.ru, www.eset.com (естественно, что пакеты генерятся от антивируса, поскольку он перехватывает их отправку и не видя ничего подозрительного передает фаерволу). Если Firefox закрыть, процессы, по выполнению, завершаются и их количество стремится к нулю. Если бродилку не закрывать, то делать она ничего не может, на часть сайтов не ходит, тупит и не хочет ничего скачивать, поскольку я сперва было решил её просто тупо переставить.
По ходу дела я словил какую то пакость загнавшую меня в bot-сеть использующуюся для DDoS различных, в том числе и вышеназванных, сайтов по алгоритму HTTP flood, т.е из основных это могут быть либо BlackEnergy DDoS Bot либо Dream System DDoS Bot либо еще кто нить о ком я не имею ни малейшего представления. Самое пакостное, что антивири никого мне не смогли найти, а только грохнули Agava Spam-Filter для Bat, благодаря чему я теперь не могу даже получать почту, поскольку скачать из дома новую версию у меня естественно не вышло. Прогнав всеми имеющимися антивирями, антимальварями и антитроянами я пришел к тому, что у меня почти идеально чистая система, но поскольку проблема не исчезает, то вероятнее всего вирь крепко зашифрован, то есть как вариант было бы снести все файлы к которым система не может получить доступ.
Так что сегодня вечером, видимо, битва продолжится, и как говорил герой Никулина “Будем искать”.
Иногда случается, что зайти в безопасный режим, для того чтобы просканировать зараженную машину, не представляется возможным, поскольку злобные вирусы удалили ветвь реестра отвечающую за безопасный режим и при попытке зайти в него, машина просто интеллигентно перегружается. Встает вопрос, как с этим жить, и что делать дальше?
Отвечаю, главное не отчаиваться, а внимательно изучить написанное ниже и выбрать один из двух различных способов.
Способ первый, использование утилиты AVZ.
Загружаем утилиту с офф.сайта (http://z-oleg.com/secur/avz), затем в ней говорим Файл -> Восстановление системы. В открывшимся окне настроек включаем 10 пункт меню Восстановление настроек загрузки в SafeMode. Помимо этого можем включить еще массу удалений различных блокировок, главное четко понимать, что мы хотим сделать. Говорим, ОК, после чего утилита вместе с системой на какое то время задумываются над своей непростой судьбиной, и после этого предлагают нам перегрузиться. Что мы и делаем, после чего не безуспешно пытаемся зайти в безопасный режим SafeMode.
Способ второй для любителей ковыряния в реестре:
Не спокойный бельгийский специалист по безопасности Didier Stevens создал импорт ветви реестра, находящейся по адресу HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot и включающей все возможные варианты загрузки безопасного режима и выложил получившийся файлик для всеобщего обозрения на своем сайте http://blog.didierstevens.com. В файлике, на данный момент доступны 4 вариации на тему реестра: Windows 2003 SP2, Windows XP SP2, Windows XP SP3, Windows 2000 SP4. Скачиваем, распаковываем и запускаем необходимую для вашей версии Windows.
На волне скандала возникшего между компанией Google и правительством Китая, снова поднялся вопрос о китайских хакерах, которые являются наибольшей головной болью для всех специалистов по информационной безопасности во всем мире. Последнее время участились целевые атаки с использованием различных механизмов на сайты и корпоративные сети частных компаний, и в данный момент китайские умельцы предлагают абсолютно уникальный, в этом плане, продукт.
Недавно появившийся продукт- сайт iiScan предлагает своим пользователям провести анализ целевого сайта на предмет выявления уязвимостей, после чего высылает на указанный при регистрации почтовый адрес полный отчет о проведенном тестировании в формате Adobe Acrobate. Сам сервис принадлежит китайской компании NOSEC Technologies Co., Ltd и располагает так же на территории Китая.Но самое главное, что данный сервис, который является ни много ни мало как аудитом безопасности, предлагается совершенно БЕСПЛАТНО. Достаточно пройти регистрацию на сайте и после указать в форме, адрес для целевого сканирования, после завершения которого пользователю будет прислан PDF о проделанной работе и найденных уязвимостях.
Вот небольшой список уязвимостей на предмет которых проводится сканирование:
SQL injection
Cross Site Scripting (XSS)
File Upload Vulnerability
Information Leakage
Insecure Direct Object References
Buffer overflow
Появление подобного продукта на рынке конечно не может вызвать озабоченности, особенно в ключе того, что многие найденные уязвимости по прежнему остаются не закрытыми, а в это время продолжают появляются все новые и новые бреши в безопасности приложений и серверов. И даже если предположить, что компания NOSEC Technologies Co., Ltd является законопослушной компанией, не собирающейся взламывать сайты, а занимающаяся сугубо аудитом безопасности, по запросу клиентов, остается вопрос- как долго подобному сервису понадобится времени, чтобы собрать внушительную базу открытых для публичного доступа сайтов, с полным списком их уязвимостей. Который при этом, составят пользователи интернета своими руками, то есть выбираться будут заведомо частные сайты, которые могут быть интересны, в плане безопасности, как потенциальным злоумышленникам, так и потенциальным инженерам по безопасности, пытающимися залатать бреши в обороне. Зачем сканировать миллионы сайтов на предмет поиска уязвимостей и дальнейшего выяснения вопроса, что с них можно поиметь, если бесплатные “внештатные сотрудники” могут это сделать сами, своими руками, и вроде бы для своих интересов.
И самый главный вопрос, кто воспользуется полученными данными в дальнейшем: хакеры, для получения доступа к сайтам, организации ботнетов, похищения денег со счетов клиентов, или само правительство страны, для проведения спланированных акций, по преследованию несогласных, или нанесения ударов по компаниям так или иначе вошедших в конфронтацию с официальной политикой, проводимой правительством.
Разработка, появившегося с год назад, приложения BotHunter было спонсировано исследовательским центром армии США и стало результатом исследований, в области информационной безопасности, организации SRI International. Как становится понятно уже из названия приложение предназначено для поиска ботов и вредоносных программ ставящих под угрозу компьютерную безопасность. Приложение BotHunter разработано для прослушивания сетевого диалога между внутренними и внешними сегментами сетей. BotHunter состоит из коррелирующего движка написанного на базе Snort 2, который отслеживает подозрительную сетевую активность: сканирование портов, использование эксплоитов, подготовки атак, p2p трафик. Коррелятор BotHunter сопоставляет информацию о входящих алертах и исходящей активности, на основе чего делает заключение о зараженности хоста. Если уровень вероятности заражения хоста, с точки зрения сетевого диалога BotHunter, приближается к критической точке, то программа начинает прослушивать и регистрировать все подобные события вычисляя их значение в процессе заражения.
Приложение доступно для FreeBSD (тестировано для 7.2 версии), Linux (тестировано для RHEL, SuSe, Debian и Fedore), Windows XP/Vista/2003,а также для Mac OS X (10.4 и 10.5).