SecurityLab & Xakep - лучше друзья )

Секлабовцы как всегда молодцы!
То они публикуют уязвимость, найденую алголом без сохранения копирайтов, а сейчас они еще вот что вычудили
Как вы помните, летом мы взломали их форум Читать
и даже сняли видео Смотреть ...
Пиг Киллер был где-то в африке, и "так что, плус ко всему - стечение обстоятельств" (с) Inck-Vizitor

Потом посыпались угрозы якобы от администрации и потом (именно после этого) исчез zFailure ... Ну это дело прошлого ...
Я на днях купил журнальчик "|<акер" и прочитал там статью про наш любимый секлаб ..
Хочу привести цитату:

Вот так вот прямо все и было ...
Я только не понимаю - как IDS реагирует на

???
Читая переписку мишеля с каким-то админом, я обратил внимание на следующее:
Мишель недоумевал - кто удалил его письмо из ПС ? )) zFailure удалил его, как только получил кукис в видео ... Потом Мишелю посоветовали просто поменять пароль ) Вот так IDS сразу сообщил о поптыке взлома ...

В этой же статье Пиг говорит, что секлаб и хакер - лучшие в нашем рунете информационные источники для сек-спецов ... Насчет секлаба не спорю - респект им большой, но вот клоуны с хакер ру лезут во все щели ... Ну ничего .. скоро опубликуем статейку интересную, где проверим их "сек-спецов" ...

 

мне остается только улыбнуться

 

Че, ты сканировал журнал?)))
насчет ][акера уже давно ходят слухи о его переименовании в "/laмер"...в принципе я его покупать стал недавно(4 месяца назад) и не знаю каким он был раньше...но вроде журнал можно почитать-особенно Новости и Хумор))
кстати последний конкурс журнала был провальным...

Так что, как сказал Че Гевара:"скоро опубликуем статейку интересную, где проверим их "сек-спецов" ..."
буду ждать с нетерпением)

 

И да начнется великая война БОГОВ...

 

IDS может улавливать XSS как несколько систем раньше было на php-nuke... (как дополнительные модули, обрезали инъекции и проверяли на наличие XSS)
- но обычно, в таких случаях IDS не только сообщает владельцу сервака, но и предотвращает атаку.... (из чего следует, что никакого IDS и не было, а все вышенаписанное сделано просто для понта, компания не бедная, имидж правда терять не хочет, кто будет сканеры покупать у чуваков со взломанных серваков?)

 

Возможно, что IDS и способна уловить пассивный xss в строке броузера, но как она может уловить XSS при постинге ? Никак ... Вывод - IDS тут ни при чем ...
Хотя я могу и ошибаться ... Но что имел ввиду пиг киллер я так и не понял ...

 

"обычный - XSS при постинге сообщения" - глупо, XSS может позволить человеку огромные возможности...
- не хорошо принебрегать различными технологиями (например как СИ), если сам в них не разбираешься и не понимаешь всю мощь иных...
- последний вопрос: вы хоть раз были на сайте\форуме xakep.ru ? =))

 

Че Гевара, согласен, но в любом случае Ids не причем, просто этот журнал ориентирован на малопонимающую публику, для которых понятие Ids - что-то загадочное, доступное только "спецам". То есть достаточно употребить такой термин и можно придавать окраску статье, как будто они вам позволили\разрешили поглумиться на их форуме ради интереса, а не то, что они сами за ним нифига не следят....

 

Конечно, каждый форум содержит ошибки и все можно взломать, но у этих людей тщеславие настолько затмило глаза и разум, что им тяжело признать свои ошибки...

З.Ы
извиняйте за флуд...

 

ага.уже известно что гнев обрушится на форум?

 

нет, мне, к сожалению ничего не известно, но подозреваю, что что-то есть, правда особой охоты искать ещё не было...

 

форум там пока не очень старый...видимо и ломать никто не пробовал.а баги точно есть.ладно ждем.

 

Нашел статейку на счет IDS ( система обнаружения вторжений ).
IDS – это целая философия
Алексей Лукацкий
Источник:www.pcweek.ru

Системы обнаружения атак (IDS) вошли в жизнь отечественных компаний. Как свидетельствуют результаты опроса, проведенного российским представительством консалтинговой фирмы Ernst & Young в сентябре 2001 г. (www. cnews.ru/ comments/security/ ey_survey_rus.shtml), 38% организаций используют в своей деятельности эти решения. И хотя, на мой взгляд, отчет не совсем точно отражает российскую специфику (все-таки Ernst & Young ориентируется на крупные компании, оставляя малый и средний бизнес за пределами анализа), можно с уверенностью сказать, что технология обнаружения атак уже не является темной лошадкой для отечественных специалистов в области защиты информации.
Однако если спросить у них, что же способна делать система обнаружения атак, то в абсолютном большинстве случаев ответ будет следующим: “Как что? Обнаруживать атаки, например Denial of Service, и реагировать на них”. С одной стороны, это соответствует действительности. Но с другой… Системы обнаружения атак перестали быть рядовым средством защиты. Теперь это современные многофункциональные комплексы, призванные решать большой спектр задач. Некоторые из них рассмотрены в статье.
Резервирование межсетевого экрана
Часто злоумышленники выводят из строя межсетевые экраны с целью бесконтрольного проникновения в корпоративную сеть. Чтобы снизить вероятность такого проникновения, можно использовать IDS, функционирующие на уровне сети, для временного резервирования функций межсетевого экрана. Эти системы могут фильтровать сетевой трафик по различным полям заголовка IP-пакета, что позволяет организовать довольно мощный пакетный фильтр, почти не уступающий по своим возможностям настоящему межсетевому экрану.
Кроме того, системы обнаружения атак могут заменить межсетевой экран во время регламентных работ по обновлению его ПО или тестирования.

Контроль доступа к файлам
Для контроля доступа к файлам обычно применяются системы защиты информации от несанкционированного доступа, сертифицированные Государственной технической комиссией при Президенте РФ, например Secret Net. Однако в некоторых случаях, когда речь идет о файлах, содержащих стратегически важную информацию (скажем, о файлах паролей или о базе данных), такие системы не могут быть использованы. Связано это с тем, что ни одно из представленных на российском рынке средств (как правило, отечественной разработки) не функционирует под управлением ОС семейства Unix, в частности ОС Solaris, Linux, HP-UX и AIX. Эти системы защиты идеально подходят для платформы Windows, иногда Netware, но в Unix от них нет никакого толку. И тогда на помощь приходят системы обнаружения атак, функционирующие на отдельных узлах (так называемые host-based IDS). При этом могут быть использованы системы, анализирующие журналы регистрации (например, RealSecure Server Sensor) или системные вызовы (Entercept).

Контроль неблагонадежных сотрудников и утечки конфиденциальной информации
Нередко сотрудники компании используют доступ в Интернет в личных целях — для поиска работы, рассылки спама и других несанкционированных действий. Все это приводит к потере производительности труда, увеличению расходов на оплату услуг и т. д. По предварительным оценкам, любая отечественная фирма ежегодно теряет $825 на каждого сотрудника, проводящего в Интернете всего один час в день по личным мотивам. И это еще щадящие цифры. По другим данным, 80% всех пользователей передают сообщения личного характера с рабочего компьютера.
Лишний раз напоминать об опасности утечки конфиденциальной информации через корпоративную электронную почту не приходится. За последний год с такими случаями столкнулось до 90% организаций, имеющих доступ в Интернет: несанкционированному распространению подвергались тексты программ, договоров, финансовых документов, информация о клиентах и т. д.
Для предотвращения таких действий и обнаружения неблагонадежных сотрудников можно применять известные на российском рынке средства контроля содержимого, например семейства MIMEsweeper или SurfControl, а при отсутствии таковых — специально настроенные для этой цели сетевые системы обнаружения атак. Механизм их работы позволяет контролировать сетевой трафик по заданным ключевым словам и фразам (таким, как “конфиденциально”, “резюме” , “поиск работы”), отслеживать случаи передачи файлов с заданным именем (допустим, salary.xls) или расширением и обращений к определенным серверам (например, www.job.ru).

Антивирусная защита
С помощью аналогичных механизмов можно обнаруживать и некоторые разновидности вирусов и троянских коней, заполонивших российский сегмент Интернета. Эпидемии Red Code, Blue Code, Nimda и т. д. лишний раз продемонстрировали недооценку использования антивирусных средств. Только один вирус I LOVE YOU в 2000 г. нанес ущерб в 15 млрд. долл. (!) во всем мире. А помимо вирусов и Интернет-червей сетям организаций грозят и другие опасности, приводящие к безвозвратной утере файлов и данных, — Java-аплеты, управляющие элементы ActiveX и т. д.
Системы обнаружения атак применимы и в данном случае. И хотя они не заменят классическую антивирусную систему в полном объеме, все же они воздвигнут дополнительную преграду на пути вирусов и троянских коней в корпоративную сеть.

Контроль действий администратора
Всем известно, что в России ИТ-специалисты не всегда получают зарплату, соответствующую их знаниям. Кроме того, в некоторых организациях еще и закручивают гайки, ограничивая возможности администраторов к самосовершенствованию. В результате обида и недовольство сотрудников ИТ-подразделений растет. Может сыграть определенную роль грубое слово со стороны руководства или отсутствие движения по служебной лестнице. В итоге из чувства мести администраторы могут несанкционированно, а зачастую и бесконтрольно изменять конфигурацию сетевого оборудования, важных серверов и других устройств с целью нанесения ущерба организации или шантажа руководителя.
Системы обнаружения атак, функционирующие как на уровне сети, так и на уровне конкретного узла, могут быть использованы для контроля несанкционированных изменений защищаемых узлов со стороны пользователей, обладающих административными привилегиями. В данном случае эти системы выступают в качестве дополнительного средства контроля. Администраторы могут подчистить один журнал регистрации, второй… Но запись о проведенных несанкционированных действиях сохранится в третьем, и нарушитель не уйдет от расплаты.

Контроль доступа к Интернет-ресурсам
Абсолютное большинство компаний сталкивается с потерей производительности труда и бесполезной тратой рабочего времени на посещение серверов, ненужных для выполнения непосредственных должностных обязанностей. Очень интересна статистика в этой области:
— 32,6% Интернет-пользователей не имеет четких целей при Web-серфинге;
— 28% пользователей совершает покупки в Интернет-магазинах, не покидая рабочего места:
— объем порнографического трафика, передаваемого в рабочее время (с девяти утра до пяти вечера) составляет 70% от всего порнотрафика в Интернете.
С целью выявления таких злоупотреблений применяются средства контроля содержимого или межсетевые экраны. Однако иногда нет возможности приобрести эти средства. Поэтому такие функции, как контроль использования Интернет-ресурсов, можно переложить на системы обнаружения атак, отслеживающие в сетевом трафике заданные ключевые слова или обращения к определенным серверам.

Обнаружение неизвестных устройств
Нередки случаи, когда злоумышленники подключают свои компьютеры к критичным сегментам сети с целью получения доступа к передаваемой конфиденциальной информации. Анализаторы протоколов (снифферы) позволяют перехватывать весь сетевой трафик, циркулирующий между узлами критичного сегмента. Злоумышленники получают доступ к паролям, передаваемым в незащищенном виде по большинству протоколов, построенных на базе стека TCP/IP. В частности, беззащитны протоколы HTTP, FTP, Telnet, POP3, IMAP и др. Открытой остается и информация, передаваемая между SQL-сервером и клиентским ПО.
Часто сотрудники компаний, в которых Web-доступ регламентируется, подключают к своим компьютерам модемы и используют их для доступа в Интернет в обход защитных механизмов. С помощью модемов, например, обновляются различные юридические и бухгалтерские программы. Наконец, их используют для доступа к рабочему месту из дома. Все это представляет большую угрозу для многих фирм, поскольку компьютеры, к которым подключены модемы, никак не защищены и любой злоумышленник, обнаруживший такой “черный ход”, может воспользоваться им для несанкционированного доступа к ресурсам, требующим обязательной защиты.
Системы обнаружения атак позволяют находить в контролируемых сегментах сети посторонние адреса от “чужих” компьютеров и узлов, а также отслеживать возросший по непонятной причине трафик от какой-либо рабочей станции, ранее в такой активности не замеченной, что может свидетельствовать о проникновении на нее злоумышленника.

**продолжение ниже**

 

Анализ эффективности настроек межсетевого экрана
Межсетевой экран — необходимое средство для защиты информационных ресурсов корпоративной сети. Но обеспечить должный уровень сетевой безопасности можно только при правильной его настройке. Установить такой экран без проведения необходимого обследования — все равно что пригласить в свою сеть злоумышленника.
Установка сетевых сенсоров системы обнаружения атак внутри и снаружи охраняемого экраном периметра позволяет проверить эффективность настроек путем сравнения числа атак на разных участках.

Анализ информационных потоков
Нередки ситуации, когда сотрудники отделов защиты информации не владеют достоверными данными о применяемых в защищаемых сегментах сети протоколах. С помощью систем обнаружения атак можно контролировать не только протоколы и сервисы, но и частоту их использования, что позволяет построить схему информационных потоков в организации и карту сети — атрибут инфраструктуры защиты.

Анализ данных от сетевого оборудования
Журналы регистрации маршрутизаторов и иных сетевых устройств являются до-полнительным источником информации об атаках, направленных на информационные ресурсы корпоративной сети. Однако они редко анализируются на предмет обнаружения следов несанкционированной деятельности, потому что практически отсутствуют или очень дорого стоят средства (например, netForensics), решающие эту задачу.
Функция сбора журналов регистрации и анализа событий в них может быть возложена на систему обнаружения атак, выступающую в качестве Syslog-сервера, которая сможет не только осуществить централизованный сбор, но и обнаружить атаки и злоупотребления в этих журналах. Кроме того, это дополнительная мера защиты журналов регистрации от несанкционированного изменения, так как события, фиксируемые маршрутизаторами, сразу передаются на сенсор системы обнаружения атак, что не позволяет злоумышленнику удалить или изменить компрометирующие его следы.

Сбор доказательств и расследование инцидентов
Системы обнаружения атак могут и должны быть использованы для сбора доказательств несанкционированной деятельности. Для этого они наделены следующими функциями:
запись событий, происходящих во время атаки, используемая для дальнейших исследований и анализа;
имитация несуществующих приложений с целью введения злоумышленника в заблуждение (так называемый режим обманной системы);
расширенный анализ журналов регистрации прикладных и системных приложений, серверов баз данных, Web-серверов и т. д.;
исследование событий безопасности перед выполнением каких-либо действий;
получение DNS-, MAC-, NetBIOS- и IP-адресов компьютера злоумышленника.

Заключение
В целом отмечу, что описанные здесь сценарии позволяют существенно расширить область применения систем обнаружения атак и найти новых заказчиков для таких широко известных на российском рынке систем, как RealSecure, CiscoSecure IDS и Snort. 4
С автором можно связаться по адресу: [email protected].

^****КОНЕЦ СТАТЬИ****^

2 Админам: сделайте длину сообщения не менее 15000 символов а то статью в один пост уместить не получилось.

От себя:
На счет секюритилаб скажу, что они удаляют ссылки на ЛЮБЫЕ сайты похожей с ними тематики, наверно боясь конкуренции. Они считают что люди должны знать только их проект о сетевой безопаснсности, что мол все остальное это фуфель по сравнению с ними, .::Gh0st::. ты прав, они зазнались, хотя это бывает со многими крупными проектами..

 

кстати, посты про Ids не по теме, создал бы лучше топик другой....

 

.::Gh0st::.
тут обсуждалось и IDS..

 

в общем не совсем, просто статья была в хакере лажовая....

 

проехали

 

Всем качать! http://www.pepsicola.nm.ru/xakep.rar (247 kb)

 

Yo! PEPSICOLA zagigaet na "antichate"!
Konechno prikol'naya temka!!! 4tec!!!
Uvaguha