MS SQL Server 2005 Extended Support kończy się 12 kwietnia

2016-03-01 09:00

Rozszerzone wsparcie dla serwera Microsoft SQL Server 2005 kończy się 12 kwietnia. To ostatni moment aby dokonać migracji do wyższej wersji.

Jeśli tego nie zrobiłeś to AVET INS może wesprzeć Cię w bezpiecznym wdrożeniu nowych serwerów bazodanowych oraz zapewnieniu, że dane podczas migracji będą bezpieczne i nie narażone na nieautoryzowany dostęp. Dotyczy to także usług w chmurze, między innymi dla modeli SaaS, PaaS i CaaS.

Oferujemy także wsparcie w zakresie:

  • Testów penetracyjnych systemów bazodanowych
  • Hardeningu systemów bazodanowych
  • Audyt procedur składowych (w tym także tych dostępny w formie binarnej jako DLL)
  • Audytu i logowania zdarzeń

Jeżeli jesteś zainteresowany naszym wsparciem lub ...

Kiedy Flash wyginie?

2016-02-11 16:45

Flash to jedna z tych technologii, która ma bardzo złą – i w tym wypadku całkowicie zasłużenie – reputację w obszarze bezpieczeństwa. Ta reputacja jest tak zła, że od jakiegoś czasu część firm stara się doprowadzić do wyginięcia tej technologii poprzez zabranianie lub brak obsługi. Mimo to, Flash nadal jest stosowany. Google od jakiegoś czasu wskazuje HTML5 jako zastępstwo Flash’a w reklamach. Co więcej większość reklam w Google AdWords została automatycznie skonwertowana z Flash’a do HTML5, ale od 30 czerwca ogłoszeniodawcy nie będą mogli wgrywać reklam we Flash’u w ogóle. Od 2 stycznia 2017 żadna reklama w tej technologii ...

Krytyczna podatność w kliencie OpenSSH (CVE-2016-0777, CVE-2016-0778)

2016-02-01 09:30

Wersje oprogramowania klienckiego OpenSSH w wersjach od 5.4 do 7.1 podatne są na atak umożliwiający wyciek pamięci oraz kradzież kluczy prywatnych. W przypadku, gdy połączenie SSH zostanie przerwane (np. poprzez błąd sieci) klient OpenSSH jest w stanie ponownie połączyć się z serwerem i za pomocą funkcjonalności „roaming” wznowić przerwaną sesję terminalową. Kod tej funkcjonalności po stronie klienta jest podatny m.in. na podatności typu buffer overflow oraz podatności wycieku pamięci.

Podatność ta możliwa jest do wykorzystania w przypadku, gdy klient połączy się z serwerem SSH posiadającym złośliwą funkcjonalność.

  • CVE-2016-0777: funkcja resend_bytes w pliku roaming_common.c w kliencie OpenSSH ...

Microsoft ogranicza wsparcie IE tylko do wersji 11

2016-01-13 09:00

Microsoft przestaje wspierać starsze wersje przeglądarki Internet Explorer. Jedyną wspieraną wersją od dzisiaj jest IE 11 i wyższe. Dla wielu systemów (np. Windows 7) może to oznaczać potrzebę aktualizacji lub wymiany przeglądarki na inną wspieraną, z powodów bezpieczeństwa oraz compliance.

Ostatnia poprawka dla IE 7, 8, 9 i 10 to MS16-001 (https://technet.microsoft.com/en-us/library/security/ms16-001.aspx). Proszę pamiętać, że ta aktualizacja dotyczy także IE 11.

SafeNet Day: Szyfrowanie w chmurze - prezentacja

2015-10-31 10:00

Prezentacja Aleksandra Czarnowskiego z konferencji SafeNet Day na temat Szyfrowanie w chmurze jest już dostępna do pobrania. Zapraszamy do pobrania poniżej:

http://www.avet.com.pl/media/pdf/2015-11-02_Szyfrowanie_w_chmurze.pdf

Szyfrowanie w chmurze korporacyjnej

2015-10-19 12:00

AVET Information and Network Security opracował we współpracy z InfoSec Institute dokument o zaletach i wadach stosowania szyfrowania danych w kontekście cloud computingu. Wstęp jest dostępny poniżej, natomiast pełny artykuł dostępny jest na stronie http://resources.infosecinstitute.com/encryption-in-the-corporate-cloud/

Introduction

In theory, a cloud-based solution should provide the customer with at least the same level of security as his current, traditional IT model does. In an ideal world, a cloud service provider should be offering an even higher security level, and one of the rationales for switching into the cloud should be the low cost of security controls from the ...

Logjam - podatność w algorytmie Diffie-Hellman

2015-06-09 09:00

Luka pozwala atakującemu przeprowadzającemu atak man-in-the-middle obniżyć szyfrowanie połączeń TLS do 512 bitów. Dzięki temu, potencjalny agresor jest w stanie odczytać i modyfikować wszelkie dane w transmisji.

Atak przypomina inny atak pt. FREAK (przechwycenie połączeń HTTPS między klientami i serwerami i wymuszenie korzystania ze słabszej, podatnej na złamanie, wersji szyfrów). Różnica polega nie na usterce w protokole TLS (wymiana kluczy RSA), ale na luce w wymianie kluczy za pomocą algorytmu Diffie-Hellman. Protokół Diffiego-Hellmana to protokół uzgadniania kluczy szyfrujących, który pozwala bezpiecznie uzgodnić klucz nawet jeżeli istnieje osoba, która podsłuchuje proces uzgadniania klucza. Algorytm nie chroni jednak przed atakami typu man ...

SSHv1: pozostałość z przeszłości

2015-03-30 07:22

SSHv1 to wersja protokołu SSH, która od wielu lat jest uważana za niebezpieczną. Wszystkie najlepsze praktyki zalecają włączyć tylko obsługę protokołu SSHv2. Trudno jest dzisiaj znaleźć uzasadnienie dla starej wersji protokołu, tym niemniej większość implementacji serwerów i klientów SSH nadal wspiera jego niebezpieczną wersję. Tymczasem autorzy OpenSSH postanowili domyślnie wyłączyć obsługę SSHv1 podczas kompilacji. Użytkownicy OpenBSD aby ją przywrócić będą musieli skompilować OpenSSH ze źródeł modyfikując src/usr.bin/ssh/Makefile.inc.

Plik konfiguracyjny serwera OpenSSH: /etc/ssh/sshd_config w OpenBSD 5.6 i nowszych domyślnie zawiera wyłączenie protokołu SSHv1 i obsługę jedynie SSHv2. Dodanie jednak linii Protocol 1 i ...

WinDBG i firmware

2015-03-30 07:20

W teorii IDA pozwala na analizę dynamiczną firmware poprzez protokół GDB i połaczenie z hypervisorem takim jak np. VMWare Workstation. W praktyce jednak zarówno różne wersje IDY jak i serwerów GDB w hypervisorach zawierają różne błędy, które powodują między innymi że zawartość pamięci nie jest dostarczana do IDY poprawnie. Efektem tego jest oczywiście błędna deasemblacja kodu oraz niepoprawne działania debugera.

W przypadku platform x86/x64 z Windows alternatywą dla tego rozwiązania może być pakiet Microsoft Debugging Tools. WinDBG ma wsparcie dla debugowania BIOSu, choć wielu użytkowników nie zdaje sobie z tego sprawy. Poniżej przedstawiamy ściągawkę z tych poleceń:

  • !amli u ...

Python: przegląd kodu

2015-03-23 14:45

AVET INS opublikował dokument o bezpieczeństwie aplikacji z perspektywy ich kodu źródłowego.

Zapraszamy: http://www.avet.com.pl/media/pdf/2015-03-23_Python-source-code-review-Best-practices-version_0.9.pdf

Zobacz również: Python jak nie programować: http://www.avet.com.pl/blog/2015/3/13/python-jak-nie-programowac/

Python: jak nie programować

2015-03-13 13:03

W ramach praktyki Secure Development Lifecycle (SDL) w AVET INS, publikujemy przykłady niebezpiecznego programowania. Źródła te mogą być wykorzystane do edukacji programistów jak i do testowania narzędzi do statycznej analizy.

Jako pierwszą publikujemy bibliotekę dla Pythona 2.x. Będziemy cyklicznie uzupełniać bibliotekę o kolejne technologie (np. PHP czy C/C++) i przykłady.

Biblioteka jest dostępna pod adresem: https://github.com/avet/InsecureProgramming Kod opublikowany w bibliotece nie może być nigdy używany w środowisku produkcyjnym.

Nie tylko XP EOL

2015-01-21 09:00

Nie tylko koniec wsparcia dla Windows XP może być powodem wymiany sprzętu oraz systemu operacyjnego. Wiele starszych maszyn na których zainstalowano Windows XP oraz różne wersje systemów Linux czy BSD nie ma rozszerzenia PAE (ang. Page Table Extension), które jest aktywnie wykorzystywane do ochrony systemu przed podatnościami typu przepełnienie bufora czy sterty. Mechanizm takie jak W^X czy NX oraz powiązany z nimi ASLR (ang. Address Space Layout Randomization) wykorzystują PAE nie tylko do ochrony przestrzeni użytkownika ale także przestrzeni jądra. W konsekwencji producenci systemu operacyjnego stają przed wyborem: zarzucenia wsparcia dla starszych architektur i386 lub też oferowania rożnych wersji ...

Podsumowanie roku 2014, raport Security Outline

2015-01-19 10:14

Podsumowanie podatności roku 2014 stworzone na podstawie danych zebranych z usług AVET: Security Outline oraz Security Monitoring Services jest do pobrania poniżej:

http://www.avet.com.pl/media/2015-01-19_pl_SecurityOutline_report.pdf

Ostatnie spotkanie CIRRUS

2014-09-12 21:24

10 września w Brukseli odbyło się ostatnie spotkanie CIRRUS http://www.cirrus-project.eu/content/cirrus-final-event-september-10th (ang. Certification, InteRnationalisation and standaRdization in cloUd). Aleksander P. Czarnowski brał udział w panelu dyskusyjnym dotyczącym aspektów bezpieczeństwa w umowach SLA jako ekspert AVET INS a jednocześnie członek C-SIG SLA oraz EuroCloud Poland. Poniżej publikujemy jego prezentację towarzyszącą panelowi.

Ostatnie spotkanie CIRRUS - Prezentacja

LibreSSL 2.0.1

2014-07-01 09:00

W trzy tygodnie po publikacji błędu Heartbleed programiści skupieni wokół projektu OpenBSD utworzyli fork pakietu OpenSSL – LibreSSL, a w ostatni piątek wydano LibreSSL Portable w pierwszej publicznej wersji 2.0.0, natomiast wczoraj: 2.0.1.

Projekt LibreSSL powstaje i jest rozwijany zgodnie z podstawową wizją przyświecającą twórcom OpenBSD, jaką jest bezpieczeństwo. Praca programistów skupiona jest głównie na uporządkowaniu istniejącego kodu źródłowego oraz wyeliminowaniu już zgłoszonych błędów projektu OpenSSL. Jednocześnie, usuwane jest wsparcie dla przestarzałych systemów operacyjnych, wątpliwe i przestarzałe mechanizmy kryptograficzne (Dual_EC_DRBG, RSA_FLAG_NO_EXP_CONSTTIME). Ciekawsze fragmenty znalezionych błędów oraz komentarze można śledzić na stronie opensslrampage.org, natomiast podsumowanie zmian dostępne ...

Co się stało z projektem TrueCrypt?

2014-05-30 09:00

Przez ostatnie dwa dni trwa w internecie debata na temat możliwych przyczyn niezapowiedzianego zamknięcia projektu TrueCrypt. Strona truecrypt.org de facto przestała istnieć i kieruje cały ruch na stronę domową projektu umieszczoną na SourceForge (http://truecrypt.sourceforge.net/). Umieszczono tam szczegółowe instrukcje dotyczące migracji użytkowników do platformy BitLocker dostępnej na platformach Windows już od edycji Vista, w zależności od posiadanej licencji. Jednocześnie, upubliczniona została nowa wersja aplikacji (7.2), usunięto historię z repozytorium oraz wersje archiwalne strony web.archive.org, jak i poprzednie wersje plików binarnych z SourceForge.

Czy TrueCrypt jest niebezpieczny?

Niezależnie od przyczyn zamknięcia projektu, uzasadnione obawy budzi ...

AVET INS rozpoczyna współpracę w Luksemburgu

2014-05-19 14:25

W dniu 8 maja 2014 w Warszawie AVET Information and Network Security Sp. z o.o. zawarła umowę o współpracy z dwiema firmami w Luksemburgu: Luxemburg Telecom Private Operator oraz E-Kenz S.A. Porozumienie partnerskie pomiędzy AVET INS a firmami z Luksemburga otwierają kolejny po Holandii rynek w krajach Beneluxu.

Zmiany jakie zachodzą w Luksemburgu w zakresie IT oraz cloud comupting są niezwykle ciekawe, a ich efektem jest dynamiczny wzrost zapotrzebowania na usługi z zakresu bezpieczeństwa informacji. Nasze unikalne doświadczenie, zwłaszcza w sektorze finansowym, nasze rozwiązania oraz najwyższej jakości usługi powodują, że coraz więcej zagranicznych organizacji wybiera AVET INS. Nie ...

Krytyczna podatność w OpenSSL

2014-05-19 14:24

W popularnej bibliotece OpenSSL wykryto podatność umożliwiającą odczyt pamięci komputera, np. serwera WWW. Podatność dotyczy wersji 1.0.1 (do wersji 1.0.1f włącznie) i 1.0.2-beta (do wersji 1.0.2-beta1 włącznie).

Wykorzystanie podatności do uzyskania wrażliwych informacji (np. klucze prywatne serwera) wymaga wyłącznie logicznego dostępu do systemu – np. poprzez stronę WWW zabezpieczoną warstwą SSL.

Zaleca się niezwłoczne podniesienie podatnych wersji do 1.0.1g lub przekompilowanie OpenSSL z przełącznikiem -DOPENSSL_NO_HEARTBEATS.

W przypadku aplikacji statyczne linkowanych z openssl po podniesieniu wersji biblioteki należy je również przekompilować.

Więcej informacji:

Koniec wsparcia dla Windows XP

2014-05-19 14:23

8 kwietnia 2014 kończy się wsparcie dla systemu operacyjnego Windows XP. Jak utrzymać bezpieczeństwo systemów nadal działających na tej platformie? Nasza publikacja powinna pomóc zaadresować ten problem:

Ochrona systemów Windows XP po wygaśnięciu wsparcia AVET INS Infrastructure Security Practice

Podsumowanie roku 2013

2014-01-01 16:59

Na zakończenie roku 2013 publikujemy listę wybranych przez nas najciekawszych zagadnień i trendów związanych z bezpieczeństwem,

które charakteryzują w pewnym stopniu mijający rok. Zdajemy sobie sprawę, iż w żaden sposób lista ta nie jest

kompletna, jednak zestawiając ją staraliśmy się brać pod uwagę obszary mało znane i nie poruszane przez większość producentów oraz firm konsultingowych.

  1. Odkrycie techniki odzyskiwania kluczy RSA poprzez emanacje akustyczne komputera
  2. Coraz częstsze używanie formatu binarnego PIE w systemach operacyjnych jako zabezpieczenie przed atakami
  3. Różnice w sile różnych zabezpieczeń stosu - mimo, iż większość kompilatorów i systemów operacyjnych oferuje takie rozwiązania, ich implementacje są diametralnie inne i mogą ...

Życzenia Świąteczne

2013-12-20 16:16

Z okazji Świąt Bożego narodzenia życzymy wesołych, spokojnych a przede wszystkim bezpiecznych i radosnych Świąt oraz wszystkiego najlepszego w Nowym Roku!

Na 2014 rok przygotowaliśmy już wiele nowych, innowacyjnych i bardzo ekscytujących projektów z zakresie bezpieczeństwa informacji. W tym roku jeszcze opublikujemy podsumowanie najważniejszych zdarzeń w 2013.

/media/img/choinka_2013.png

W imieniu całego zespołu AVET INS

Zarząd AVET INS

Raspberry Pi: sterownik dla TP-Link TL-WN725N v2

2013-09-13 15:29

Oto nasza kompilacja sterownika do kart Wifi TP-Link TL-WN725N v2 dla systemu Raspbian dla Raspberry Pi. Przyda się z wszystkim tym którzy używają Raspberry Pi do testów penetracyjnych sieci bezprzewodowych.

Sterownik należy umieścić w katalogu /lib/modules/3.6.11+/kernel/net/wireless.

https://github.com/avet/pwn4berry

Repozytorium na github

2013-08-19 16:28

AVET INS otworzył publicznie dostępne repozytorium na git hubie. Okresowo będziemy tam umieszczać różne skrypty i narzędzia nie objęte umowami NDA.

https://github.com/avet

Konferencja EuroCloud 2013

2013-07-04 12:48

Dostępne są już materiały z konferencji EuroCloud 2013, który odbywał się w budynku Warszawskiej Giełdy Papierów Wartościowych w dniu 27 czerwca. Prezes Aleksander P. Czarnowski był zaproszony jako ekspert ds. bezpieczeństwa w panelu poświęconego bezpieczeństwu w chmurze.

http://gpwmedia.pl/wiadomosci/7786/polska_wobec_strategii_ue_przetwarzania_w_chmurze_konferencja/

Audytowanie podatności w protokole IPMI

2013-07-04 11:35

Na blogu firmy rapid7.com pojawił się artykuł podsumowujący wyniki prac Dana Farmera nad analizą bezpieczeństwa protokołu IPMI oraz kontrolerów BMC.

Kontrolery BMC, znane także pod nazwami handlowymi iLO, DRAC, ALOM, itp. służą do zdalnego zarządzania serwerami oraz umożliwiają bezpośredni dostęp do fizycznej

konsoli za pomocą sieci Ethernet. Wyniki badań nad ich bezpieczeństwem są druzgoczące - niemal w każdym przypadku możliwy jest nieuprawniony dostęp do urządzenia

i możliwość ataku na system operacyjny zainstalowany na serwerze. Potwierdza to tylko konieczność dobrej separacji sieci managementowych od pozostałej części infrastruktury.

Artykuł dostępny jest pod adresem:

https://community.rapid7.com/community/metasploit/blog/2013/07 ...

Portal o rekomendacji D

2013-05-22 13:41

Uruchomiliśmy portal dotyczący problemów związanych z przystosowaniem banków do nowej rekomendacji D. Strona będzie stale aktualizowana wraz z pojawianiem się nowych materiałów. Dodawana będzie także nowa funkcjonalność. Wszystkich z sektora bankowego zapraszamy do współpracy.

AVET INS oferuje kompleksowe rozwiązania i usługi dla banków komercyjnych i spółdzielczych w ramach zapewnienia zgodności z nowymi wymaganiami rekomendacji D.

http://www.avet.com.pl/pl/rekomendacja_d_pl/

BIOS Chromancy

2013-05-21 12:04

To tytuł ciekawej prezentacji poświęconej ochronie integralności BIOSu z konferencji NoSuchCon autorstwa Johna Butterwortha, Coreya Kallenberga i Xeno Kovaha. BIOS mimo że może być już tarkowany jako wymierający rodzaj firmware’u gdyż zastępuje go UEFI, nadal będzie nam towarzyszył przez kilka następnych lat, zarówno w przypadku prawdziwego sprzętu jak i zwirtualizowanego. Nieautoryzowana modyfikacja firmware daje atakującemu unikalną szansę przejęcia kontroli nad całym systemem włącznie z mechanizmami wirtualizacji. Dlatego atakowanie tego obszaru jest tak ciekawe a jego zabezpieczenie tak krytyczne.

Prezentacja nie odnosi się do UEFI niestety, ale demonstruje pomysł autorów jak zapewnić poprawną kontrolę integralność firmware’u. Pomysł częściowo może ...

Atmosphere conference 2013

2013-05-21 11:47

Atmosphere conference 2013

W Poznaniu odbyła się konferencja Atmosphere zorganizowana przez Allegro a poświęcona w całości tworzeniu aplikacji webowych. Mało jest dobrych konferencji, ale Atmosphere było miejsce które zdecydowanie warto odwiedzić i w przyszłym roku z pewnością także wybierzemy się na kolejną edycję. Bardzo nas cieszy wprowadzanie metodyk wytwarzania oprogramowania do środowisk developerskich w Polsce. Po wprowadzeniu i oswojeniu się z koncepcjami typu Agile przyjdzie bowem czas na Secure Development Lifecycle.

https://atmosphere-conference.com/

OWASP Code review V2 Table of Contents

2013-04-23 11:49

Pojawił się nowy draft spisu treści "OWASP Code review V2 Table of Contents". To może być jeden z ważniejszych w nadchodzących latach dokumentów opisujących proces przeglądu kodu źródłowego pod kątem bezpieczeństwa, zwłaszcza że OWASP prowadzi także projekt CLASP i oba świetnie się uzupełniają.

https://www.owasp.org/index.php/Category:OWASP_CLASP_Project

Exploit 0day dla serwerów Linux z SSHD

2013-02-25 11:59

W ostatnim czasie zaobserwowano szereg incydentów bezpieczeństwa związanych bezpośrednio z usługą SSH na systemach Linux. Nie do końca znany jest sposób w jaki ataki są przeprowadzane – prawdopodobnymi punktami wejścia jest sama usługa SSH lub panele administracyjne cPanel, DirectAdmin oraz Plesk.Na zaatakowanych systemach instalowany jest backdoor. Wskaźnikiem obecności oprogramowania backdoor w systemie jest obecność dodatkowej biblioteki o nazwie libkeyutils.so.1.9. W zależności od architektury systemu jej lokalizacja to:

Dla X86: /lib/libkeyutils.so.1.9

Dla X64: /lib64/libkeyutils.so.1.9

Patch dla podatności MBeanInstantiator.findClass

2013-01-14 16:53

Udostępniona została poprawka dla Javy likwidująca najnowszą podatność 0day MBeanInstantiator.findClass. Podatne są wszystkie wersje JDK od 6 Update 10 do 7 Update 10.Patch jest dostępny pod poniższym adresem:

www.oracle.com

Exploit dla NVidia Display Driver Service

2013-01-04 14:14

NVidia Display Driver Service (Nvvsvc.exe) dla systemów Windows zawiera przepełnienie bufora, które można wykorzystać (dzięki temu że nazwany potok pipe svr ma DACL ustawiony na NULL) przez lokalnych użytkowników oraz zdalnie przez uwierzytelnionych w domenie użytkowników. Dostępny jest publicznie expoloit pozwalający wykorzystać tą ciekawą podatność.

https://lists.immunityinc.com/pipermail/dailydave/2012-December/000283.html

Wesołych Świąt i Szcześliwego Nowego Roku

2012-12-21 12:33

W imieniu Zarządu oraz całego zespołu AVET INS chcielibyśmy Państwu życzyć Wesołych, Pogodnych a zwłaszcza Bezpiecznych Świąt oraz Szczęśliwego Nowego Roku!

Zarząd i Team AVET INS

Prezentacja AVET o bezpieczeństwie urządzeń mobilnych w chmurze

2012-10-31 16:05

Zapraszamy do zapoznania się z prezentacją firmy AVET INS, podsumowującą najważniejsze tematy związane z bezpieczeństwem urządzeń mobilnych pracujących w korporacyjnych chmurach PaaS. Prezentacja pochodzi z konferencji "Inwestuj z głową: Bezpieczeństwo technologii mobilnych", która odbyła się 22 października 2012.

Prezentacja

Keccak wybrany na SHA-3

2012-10-15 13:44

Algorytm Keccak został wybrany przez NIST jako SHA-3. Keccak został zaprojektowany w diametralnie odmienny sposób niż SHA-2.

http://csrc.nist.gov/groups/ST/hash/sha-3/winner_sha-3.html

http://keccak.noekeon.org/

Podatność CTXSYS.CONTEXT w Oracle

2012-08-02 14:00

David Litchfield zaprezentował podatność 0day pozwalającą uzyskać prawa SYSDBA w bazie Oracle. Atakujący musi posiadać wcześniej uprawnienia CREATE TABLE, CREATE PROCEDURE, EXECUTE dla DBMS_STATS. Domyślnie takie uprawnienia nie są nadawane użytkownikom.

Pomimo braku informacji od producenta wydaje się że July 2012 CPU zawiera poprawki likwidujące ten błąd przynajmniej na niektórych platformach.

Pakiet DBMS_STATS jest dostępny od Oracle 8i. Podatność można wykorzystać w wersjach od 9i do 11gR2.

Windows Azure Security Guidance

2012-08-01 17:10

Windows Azure Security Guidance to zbiór najlepszych praktyk w zakresie tworzenia bezpiecznych aplikacji z użyciem .NET i Azure. Cześć informacji w tym dokumencie jest uniwersalna także okaże się także przydatna dla developerów korzystających z innych technologii niż .NET np. PHP. Dokument ten stanowi uzupełnienie wcześnie opublikowanych

Security Notes.

https://www.windowsazure.com/en-us/develop/net/best-practices/security/

x64 IsDebuggerPresent

2012-07-26 12:46

Pisząc ostatnio artykuł na temat rozpakowywania plików w formacie PE32+ (nazwa jest myląca i w praktyce dotyczy 64 bitowych plików PE) zastanawiałem się jaka funkcją Windows API obrazuje najlepiej zmiany jakie zaszły pomiędzy wersjami 32 i 64 bitowymi systemu Windows. Z pomocą przyszła mała i dobrze wszystkim znana funkcja IsDebuggerPresent. W wersji 32 wygląda ona tak:

64a118000000    mov     eax,dword ptr fs:[00000018h]

8b4030          mov     eax,dword ptr [eax+30h]

0fb64002        movzx   eax,byte ptr [eax+2]

c3              ret

Wersja 64 bitowa pokazuje różnice w odwołaniu się to TEB (TIB) i PEB, choć oczywiście algorytm działania jest dokładnie ten sam ...

Rozpakowywania plików 64 bitowych plików PE

2012-07-03 14:11

W magazynie VirusBulletin ukazała się pierwsza część artykułu naszego autorstwa opisującego rozpakowywanie 64 bitowych plików PE32+ przy pomocy programu IDA Pro. W drugiej części zostanie omówiony ten sam proces, ale z użyciem WinDbg oraz automatyzacja procesu za pomocą pakietu IDAPython.

Dla wszystkich zainteresowanych przedstawiamy jeden z naszych testowych plików, których zresztą używamy podczas oceny siły zabezpieczeń packera / protektora dla plików EXE w formacie PE32+. Kod jest w formacie asemblera FASM.

; Example of 64-bit PE program



format PE64 GUI

entry start ;Entry point definition



;DATA SECTION

section '.data' data readable writeable



  _caption db 'Win64 assembly program',0

  _message db 'Hello World ...

Zmiana numeru telefonicznego

2012-05-30 11:22

Zmianie uległ podstawowy numer kontaktowy - nowy numer to at +48 22 88 00 220.

Nmap 6

2012-05-22 16:04

Po prawie 3 latach pracy ukazała się wersja 6 doskonałego narzędzia jakim jest nmap. Z nowości warto wymienić pełne wsparcie dla IPv6 oraz rozbudowę NSE i dodanie prawie 300 nowych skryptów.

http://nmap.org/6

Krytyczna podatność w usłudze Microsoft RDP

2012-03-17 12:16

Microsoft opublikował biuletyn MS12-020 dotyczący krytycznych podatności w usłudze RDP - jedna z nich pozwala na przejęcie kontroli nad maszyną i do przeprowadzenia ataku nie wymaga uwierzytelnienia. Zalecane jest niezwłoczne zainstalowanie odpowiednich poprawek. Więcej informacji dostępnych jest pod adresem:

http://technet.microsoft.com/en-us/security/bulletin/ms12-020

SDL w chmurze private i public

2012-02-16 17:13

Na spotkaniu warszawskiego chapteru ISACA, w dniu 14 lutego prezentowaliśmy wykład pod tytułem „Secure Development Lifecycle w chmurze w modelu public i private PaaS”.

Wszystkich zainteresowanych tworzeniem bezpiecznych aplikacji w chmurach typu Platform-as-a-Service zachęcamy do zapoznania się z naszą prezentacją.

Prezentacja

MS12-013: podatność w msvcrt.dll

2012-02-16 16:46

Na skutek przepełnienia bufora w bibliotece msvcrt.dll (dostarczana wraz z różnymi wersjami systemów Windows) atakujący może nielegalnie wykonać kod w kontekście użytkownika, który załadował do pamięci bibliotekę. Zademonstrowany wektor ataku wykorzystuje spreparowany plik dla Windows Media Player, jednak nie jest to jedyna możliwość ataku.

Według Microsoft wszystkie aplikacje skompilowane przy pomocy Visual Studio 2003 lub nowszej wersji powinny być odporne na atak, pod warunkiem, że aplikacja sama nie ładuje biblioteki msvcrt.dll (wywołania funkcji LoadLibrary). VS.NET 2003 i nowsze używają podczas linkowania bibliotek msvcrXX.dll zamiast msvcrt.dll.

Należy także zwrócić uwagą na fakt, iż biblioteka msvcrt.dll ...

Cześć 1: Dlaczego implementacja kryptografii nie jest łatwa?

2012-02-06 14:56

Poprawne użycie kryptografii we własnym kodzie nie jest łatwe – wskazują na to typowe błędy jakie znajdujemy podczas audytów kodów źródłowych:

  • Użycie niebezpiecznych funkcji do inicjalizacji mechanizmów kryptograficznych
  • Błędne osadzenie komponentów kryptograficznych w architekturze aplikacji
  • Niebezpieczne przechowywanie danych w formie otwartej

Jedną z przyczyn tych błędów jest brak wiedzy na temat rozwiązań kryptograficznych (i zrozumienia ich rzeczywistej zasady działania) oraz ataków na kryptosystemy. Z drugiej strony często spotykamy się z podejściem, w którym programiści pokładają zbyt wielkie zaufanie do dostarczanych wraz z danym środowiskiem bibliotek, które wcale nie gwarantują że ich implementacja jest bezpieczna. Co więcej nadal nie chronią przed ich ...

Podatność DoS w BIND 9

2011-12-28 17:27

BIND 9 zawiera ciekawą podatność typu Denial-of-Service (CVE-2011-4313). Podatność znajduje się w pliku query.c a serwer załamuje się po zalogowaniu wiadomości: INSIST(! dns_rdataset_isassociated(sigrdataset)). Wydaje się że problem został odkryty przez przypadek na skutek błędnego ruchu sieciowego, który także nie został wygenerowany umyślnie. Jak widać nawet przez przypadek nadal można znaleźć błędy w popularnych usługach.

Podatność jest krytyczna dla wszystkich usługodawców korzystających z pakietu BIND jako serwera DNS. Jako rozwiązanie problemu zalecana jest aktualizacja, dla niektórych systemów jak na przykład FreeBSD czy NetBSD są dostępne systemowe poprawki.

http://www.isc.org/software/bind/advisories/cve-2011-4313

Krytyczna podatność w systemach klasy Windows pozwala na zdalne wykonanie kodu

2011-12-14 17:40

Microsoft opublikował biuletyn bezpieczeństwa MS11-087 dotyczący krytycznej podatności w jądrze systemu Windows. Podatność ta umożliwia zdalne wykonanie dowolnego kodu - poprzez otwarcie specjalnie spreparowanego dokumentu lub strony internetowej. Błąd związany jest z obsługą czcionek typu TrueType.

Zalecane jest niezwłoczne zainstalowanie udostępnionych poprawek, znajdujących się pod adresem:

http://technet.microsoft.com/en-us/security/bulletin/ms11-087

VB2011: Metody statycznej analizy shellcode’ów

2011-10-24 10:20

Przedstawiamy naszą prezentację z konferencji Virus Bulletin Conference 2011, która odbyła się w Barcelonie w dniach 5 – 7 października. Prezentacja zawiera propozycję systematyki shellcode’ów oraz metody ich analizy. Wszystkich zainteresowany problem analizy i klasyfikacji shellcode’ów zapraszamy do dyskusji.

Prezentacja

Biuletyn bezpieczeństwa Oracle na październik

2011-10-21 08:44

Oracle opublikowało październikowy zestaw krytycznych poprawek bezpieczeństwa dla swoich produktów. Dotyczą one zarówno środowiska Java, jak i

aplikacji - głównie Oracle Database, Oracle Fusion Middleware oraz Oracle Application Server. Wszyscy użytkownicy tych, oraz innych produktów firmy Oracle

powinni zapoznać się z najnowszym biuletynem oraz zaaplikować odpowiednie poprawki.

Biuletyny dostępne są pod adresami:

http://www.oracle.com/technetwork/topics/security/cpuoct2011-330135.html

http://www.oracle.com/technetwork/topics/security/javacpuoct2011-443431.html

Najnowsze biuletyny bezpieczeństwa od Microsoft

2011-10-12 14:20

W dniu wczorajszym Microsoft opublikował comiesięczny zestaw uaktualnień do swoich produktów, usuwający wykryte ostatnio podatności.

Kilka krytycznych podatności wykryto w przeglądarce Internet Explorer - zalecane jest niezwłoczne zainstalowanie poprawek zawartych w biuletynie MS11-081.

W frameworku .NET oraz Silverlight ujawniono błędy pozwalające na zdalne wykonanie dowolnego kodu - tutaj również zalecane jest natychmiastowe zainstalowanie poprawek, zawartych w biuletynie MS11-78

Należy zwrócić również szczególną uwagę na biuletyn MS11-077 zawierający poprawki do jądra systemu Windows - podatności w nim zawarte zostały oznaczone jako "Important".

Pełną listę biuletynów bezpieczeństwa Microsoft można znaleźć pod adresem:

http://www.symantec.com/connect/blogs/microsoft-patch-tuesday-october-2011

10 porad jak stworzyć bezpieczną chmurę

2011-10-10 13:46

Na bazie naszych doświadczeń zbudowaliśmy listę 10 rekomendacji dotyczących bezpieczeństwa chmur działających w modelu Private PaaS. Planujemy aktualizować listę co jakiś czas tak aby odzwierciedlał postęp technologiczny.

Dokument jest dostępny tylko w języku angielskim.

Bezpieczeństwo chmury - szansa czy zagrożenie dla Banków Spółdzielczych

2011-09-29 08:44

Podczas konferencji Asseco Poland: „Bank Spółdzielczy – nowocześnie i bezpiecznie”, która odbyła się w dniach 26 – 27 września AVET INS zaprezentował wykład pt „Bezpieczeństwo chmury – szansa czy zagrożenie dla Banków Spółdzielczych?”. Zaprezentowaliśmy model bezpieczeństwa na przykładzie rozwiązana typy Private PaaS firmy redcloudstorm.com dla której AVET INS opracował cały model bezpieczeństwa i wdrożył pełny proces Secure Development Lifecycle.

Prezentacja do pobrania tutaj.

Wrześniowe poprawki od Microsoft

2011-09-19 08:54

W ramach cyklicznej akcji publikowania poprawek do systemu Windows, Microsoft opublikował patche do ponad 15 podatności - zarówno dla

serwerów, jak i stacji roboczych. Pomimo, iż żadna z nich nie jest oznaczona jako krytyczna, dotyczą podatności mających kluczowe znaczenie dla

bezpieczeńśtwa.

W szczególności poprawkami tymi powinny zainteresować się osoby zarządzające serwerami WINS oraz Share Point. Zagrożone są także stacje robocze -

opublikowano kilka podatności dotyczących środowiska Office oraz sposobów na wykonywanie dowolnego kodu przy otwieraniu dokumentów w środowiskach sieciowych.

Więcej informacji można znaleźć pod adresem:

http://www.symantec.com/connect/blogs/microsoft-patch-tuesday-september-2011

Opublikowano Oracle Security Alert for CVE-2011-3192

2011-09-16 11:29

Oracle opublikowało poprawkę odnoszącą się do wykrytej w sierpniu podatności DoS w Apache HTTPD (CVE-2011-3192). Ma ona zastosowanie do Oracle HTTP Server, bazujących na Apache 2.0 lub 2.2 Podatność może być wykorzystana bez dodatkowego uwierzytelaniania i może zagrozić utrzymaniu dostępności systemów.

Poprawka dotyczy następujących systemów:

  • Oracle Fusion Middleware 11g Release 1, versions 11.1.1.3.0, 11.1.1.4.0, 11.1.1.5.0
  • Oracle Application Server 10g Release 3, version 10.1.3.5.0 (Only affected when Oracle HTTP Server 10g based on Apache 2.0 has been installed from Application Server Companion ...

Opublikowano nową wersję PHP - 5.3.8.

2011-08-26 12:52

Opublikowana 18 sierpnia 2011 wersja PHP 5.3.6 po kilku dniach okazała się falstartem. Zaobserwowano poważną nieprawidłwość w działaniu funkcji crypt(), która dla każdego wejścia zwracała skrót użytej soli. Mogło to zaowocować tym, że przykładowo, do zalogowania się na konto aplikacji www można było wykorzystać dowolne hasło. Błąd został szybko naprawiony i 23 sierpnia opublikowano kolejną wersję, 5.3.8.

Jest to przykład sytuacji, kiedy to łątając jedną podatność ("buffer overflow on overlog salt in crypt()") otwiera się nową. Na szczęście szybka reakcja środowiska użytkowników pozwoliła na zduszenie potencjalnego pożaru w zarodku.

http://www.php.net/archive/2011.php ...

Nowa podatność w serwerach Apache

2011-08-26 12:48

24 sierpnia pojawiła się informacja o wykryciu podatności we wszystkich wersjach serwera Apache serii 1.3 oraz 2.x.

Podatność (o numerze referencyjnym CVE-2011-3192) umożliwia atak typu DoS skutkujący dużym obciążeniem pamięci oraz CPU

serwera. Jej wykorzystanie opiera się na błędnym sposobie w jaki Apache procesuje zapytania z nakładającymi się nawzajem

nagłówkami "range".

W ciągu najbliższych godzin mają pojawić się niezbędne poprawki, do tego czasu istnieje możliwość zabezpieczenia serwera

poprzez zmiany w jego konfiguracji. Więcej informacji można uzyskać pod adresem:

http://marc.info/?l=apache-httpd-dev&m=131420013520206&w=2

Microsoft SDL - Developer Starter Kit

2011-08-26 12:08

Microsoft udostępnił stronę ze zbiorem materiałów dotyczących Secure Development Lifecycle. Jest to dobry punkt startowy dla każdego kto chce poznać model firmy Microsoft lub rozważa wdrożenie takiego programu w swoim środowisku developerskim.

www.microsoft.com

Microsoft Security Bulletin MS11-057 – MS11-069

2011-08-16 09:59

Microsoft opublikował serię biuletynów bezpieczeństwa od MS11-057 do MS11-069. Wśród nich są dwa określone przed producenta jako krytyczne (057 i 058). MS11-058 jest szczególnie ważny gdyż dotyczy serwerów DNS i podatności umożliwiającej zdalne wykonanie kodu. Do ciekawych podatności należą także MS11-064 (podatność w stosie TCP/IP), MS11-065 (podatność w implementacji protokołu RDP), MS11-068 (podatność w jądrze Windows). Jak zawsze radzimy zainstalować wszystkie poprawki jak najszybciej.

www.microsoft.com

Skomplikowany SDL(C)?

2011-07-22 15:57

O ile wszyscy eksperci rozumieją potrzebę rozwiązań typu Secure Development Lifecycle o tyle nadal ich popularność jest niewielka, biorąc pod uwagę liczbę miejsc gdzie tworzy się kod. Idealnie byłoby aby już na kierunkach informatycznych, zanim jeszcze student napisze czy zaprojektuję pierwszą linię kodu był uczony przynajmniej podstaw SDL. Niestety to rozwiązanie modelowe, na które jeszcze bardzo długo będzie trzeba czekać. Z drugiej strony często gdy rozmawiamy o SDL z klientami słyszymy że temat jest zbyt skomplikowany i drogi aby go wdrożyć u nich.

Te same problemy dostrzegają także inni którym zależy na bezpiecznych aplikacjach. Na przykład Microsoft opublikował na początku ...

Microsoft: seria poprawek dla stacji roboczych i Terminal Servers

2011-07-14 17:07

Microsoft opublikował biuletyny bezpieczeństwa MS11-053 – MS11-056. Zawierają one istotne poprawki łatające problemy z bezpieczeństwem dla stacji roboczych i systemów bazujących na usługach Terminal Services.

www.microsoft.com

Prezentacja „Bezpieczeństwo aplikacyjne” – spotkanie ISACA

2011-06-16 16:39

14 czerwca w Warszawie odbyło się kolejne spotkanie ISACA w ramach którego zaprezentowaliśmy doświadczenia w zakresie bezpieczeństwa aplikacyjnego.

Zapraszamy do zapoznania się z prezentacją - jest ona dostępna tutaj

Czerwcowe poprawki dla platformy Java

2011-06-08 16:55

W dniu wczorajszym Oracle opublikowało czerwcową listę krytycznych poprawek dla platformy Java SE.

Ze względu na liczne ataki celujące w tą platformę, zalecamy zapoznanie się z listą wykrytych podatności oraz zainstalowanie najnowszych patchy.

Pełne informacje można znaleźć pod adresem:

http://www.oracle.com/technetwork/topics/security/javacpujune2011-313339.html

RSA proponuje wymianę tokoneów SecureID

2011-06-07 17:25

W otwartym liście do swoich klientów RSA Security – oddział EMC – ogłosiło możliwą wymianę tokenów SecureID na skutek niedawnego ataku. Dane pochodzące z tego ataku posłużyły do penetracyji systemu w firmie Lockheed Martin.

Dla klientów AVET INS którzy skorzystali z naszych usług modelowania zagrozeń oraz projektowania modelu bezpieczeństwa lub autoryzacji/uwierzytelnienia oferujemy darmowe konsultacje w zakresie zaadresowania ryzyka związanego z tymi tokenami.

www.rsa.com

Microsoft: krytyczne poprawki dla serwerów WINS

2011-05-12 14:53

Microsoft opublikował dwa biuletyny bezpieczeństwa (MS11-035 i MS11-036). MS11-035 zawiera poprawki dla krytycznej podatność w serwerze WINS, która umożliwia zdalną penetrację systemu poprzez wykonanie kodu. Błąd jest ciekawy ponieważ nie jest to standardowe przepełnienie bufora. Problem dotyczy systemów do Windows 2003 do 2008 R2.

Drugi biuletyn dotyczy ważnej podatność w pakiecie PowePoint.

www.microsoft.com

Oracle Critical Patch Update: kwiecień 2011

2011-04-20 14:58

Oracle opublikował zestaw kwietniowych poprawek Oracle Critical Patch Update. Aktualizacja zawiera poprawki między innymi dla podatności: CVE-2011-0792, CVE-2011-0799, CVE-2011-0806, CVE-2011-0793, CVE-2011-0804.

www.oracle.com

SecureCode i SecBin: zmiany czyli pymysql vs MySQLdb

2011-04-19 16:24

pymysql to implementacja klienta MySQL napisana całkowicie w Pythonie. Jest to oczywisty konkurent pakietu mysql-python (MySQLdb). W przeciwieństwie jednak do MySQLdb nie ma problemów z instalacją i kompilacją – MySQLdb może sprawiać takie problemy np. na niektórych platformach 64 bitowych. Dodatkowo pymysql.install_asMySQLdb() pomaga omijać problem portowania modułów zaimplementowanych przy użyciu MySQLdb (należy dodać tą linię przed importem modułu MySQLdb).

Nowe wersje beta dwóch naszych aplikacji: SecureCode i SecBin będą używać już modułu pymysql. Z testów wynika, że nie jest on istotnie wolniejszy (w większości zastosowań) od MySQLdb pomimo braku użycia C. Zmiana zbiegła się z tworzeniem nowego, wspólnego dla SecureCode ...

Microsoft: 2 krytyczne poprawki dla kontrolerów domen

2011-04-13 17:08

Microsoft zaraportował 64 podatność w 17 biuletynach (od MS11-018 do MS11-034) z czego dwie dotyczą bezpośrednio kontrolerów domen: MS11-019 i MS11-020.

www.microsoft.com

vSphere 4.1Hardening Guide

2011-04-08 12:09

VMWare opublikował dokument pod tytułęm vSphere 4.1Hardening Guide skierowany do wszystkich osób odpowiedzialnych za bezpieczeństwo platformy wirtualizacyjnej. Polecamy go nie tylko administratorom ale także architektom gdyż rekomendacje mogą być istotną pomocą przy modelowaniu zagrożeń.

Szczególną uwagę zwraca punkt COM02 odnoszący się do COS. Rekomendacja ta zaleca aby nigdy nie opierać się na tylko na narzędziach automatycznych które sprawdzają listę poprawk dla systemu Red Hat. COS wywodzi się z systemu Red Hat, ale pomiędzy obiema platformami jest wiele różnic włącznie z dedykowanymi poprawkami dla COS. Zwracamy przy okazji uwagę na fakt, że usługa polegająca na uruchomieniu automatu i przekazania raportu ...

Hardening Linuxa pracującego na VMWare - problemy

2011-04-04 12:14

Wirtualizacja jest dobrym sposobem na redukcję kosztów i wygodę w zarządzaniu farmą serwerów - jednak czasami potrafi przysporzyć więcej problemów niż by się to mogło wydawać.

Najlepszym tego przykładem jest próba uruchomienia linuksowego kernela z zainstalowanymi patchami grsecurity. Objawy są dość ciekawe i raczej niespotykane jak na

awarie zdarzające się w kernelu - w momencie przekazywania kontroli do kernela przez bootloader, wirtualny komputer restartuje się, zanim jądro systemu zdoła wyświetlić jakikolwiek komunikat.

Pierwszy powód takiego zachowania może wynikać z błędnie skonfigurowanego kernela - np. ustawienie przed kompilacją niewłaściwej architektury procesora. Niestety problem leży najczęściej w samym patchu grsecurity. Rozwiązań problemu może być kilka ...

Raport Microsoft: The SDL Progress Report

2011-04-01 10:48

Microsoft opublikował raport “The SDL Progress Report”, który opisuje historię programu SDL (Secure Development Lifecycle) w latach 2004-2010 w korporacji. Raport może być interesujący dla wszystkich osób odpowiedzialnych za podobne programy u siebie w firmie, oraz dla programistów korzystających z technologii Windows. Mocną stroną raportu jest fakt, że Microsoft upublicznia swoje działania w ramach SDL.

http://www.microsoft.com/downloads/en/details.aspx?FamilyID=918179a7-61c9-487a-a2e2-8da73fb9eade

Fuzzing ukrytych pól formularzy

2011-01-13 11:53

Ostatnio mieliśmy ciekawy przypadek aplikacji webowej, która miała więcej pól ukrytych (hidden) niż widocznych. Z perspektywy testów penetracyjnych w ujęciu black-box stanowi to pewne wyzwanie, zwłaszcza gdy nazwy pól są generowane dynamicznie lub są statyczne, ale ich nazwy nie mają sensownego znaczenia. Jeszcze więcej problemów nastręcza przypadek gdy nie tylko nazwy pól nic nie mówią ale i wartości przez nie przekazywane nie są w żadnym znanym formacie lub kodowaniu.

Taki przypadek jest doskonałym przykładem kiedy efektywne zarządzanie ryzykiem wymaga czegoś więcej niż testów black-box: przeglądu audytu kodu źródłowego. Celowo używam pojęcia „przeglądu” gdyż pełny audyt kodu źródłowego nie zawsze jest ...

MS11-02: ciekawe podatności w MDAC

2011-01-13 11:48

Microsoft opublikował biulety MS11-002 - Critical Vulnerabilities in Microsoft Data Access Components Could Allow Remote Code Execution (2451910) opisujący dwie interesujące podatności w komponencie MDAC:

CVE-2011-0026: przepełnienie bufora w obsłudze argumentu Data Name Source (DNS) funkcji ODBC.

CVE-2011-0027: przepełnienie sterty w ActiveX Data Objects (ADO) MDAC. Zmienna obsługująca CasheSize nie jest poprawnie walidowana co prowadzi do korupcji pamięci. Podatność ta jest z powodzeniem używana do penetracji systemów poprzez IE skierowane na odpowiednio spreparowaną stronę. Dostępny exploit radzi sobie z ominięciem ASLR i DEP.

Lista podatnych systemów Windows jest imponująca: Microsoft Windows XP Service Pack 3 Microsoft Windows XP Professional x64 Edition ...

Wesołych Świąt

2010-12-23 13:31

Szanowni Państwo,

W imieniu całego zespołu AVET INS życzymy Państwu wesołych i spokojnych Świąt oraz wymarzonych prezentów pod choinką. Dziękujemy także za kolejny udany rok współpracy oraz wiele ciekawych projektów które mogliśmy zrealizować wspólnie – projektów które często wykraczały poza proste usługi takie jak testy penetracyjne. To że cały czas możemy się uczyć i rozwijać wspólnie z Wami jest dla nas największą nagrodą i satysfakcją.

Zarząd AVET INS

Jak WikiLeaks zmienia bezpieczeństwo informacji

2010-12-10 20:18

Nie można zignorować zmian jakich WikiLeaks dokonało w ekosystemie bezpieczeństwa informacji. USA to kraj który dał światu z pieniędzy państwowych między innymi Orange Book, CERT, SELinux’a, wytyczne NSA do hardeningu platform systemowych, największe skupisko kryptografów w jednym miejscu (NSA)… Lista oczywiście powinna być znacznie dłuższa, ale już nawet ten wycinek udowadnia pewną tezę. USA, podobnie jak inne kraje o wysokiej kulturze informacyjnej zainwestowały i inwestują dalej w ochronę informacji rozumiejąc jej znaczenie. Tymczasem mimo tych inwestycji człowiek jest nadal najsłabszym ogniwem a nadawanie odpowiednich uprawnień jest problemem nadal niezwykle trudnym w implementacji.

Okazuje się że pomysły związane z innym ...

InfoTRAMS: Prywatność w pracy

2010-12-07 14:16

9 grudnia na seminarium organizowanym przez ISSA Polska pt „Prywatność w pracy – InfoTRAMS” Jacek Michałek wygłosi referat „Metody omijania korporacyjnych filtrów sieciowych”. Wszystkich zainteresowanych zapraszamy.

http://issa.org.pl/.

Immunity Debugger v1.80

2010-12-07 14:09

Dobra wiadomość dla wszystkich poszukiwaczy luk w systemach Windows. Pojawiła się długo oczekiwana nowa wersja Immunity Debuggera. Z pewnością wszystkich piszących exploity zainteresuje nowa biblioteka DEPLIB. UWAGA: obecnie dostępna dokumentacja API Pythona nie odzwierciedla stanu faktycznego.

http://www.immunityinc.com/products-immdbg.shtml.

IDA Pro: enumeracja importów za pomocą SDK

2010-11-08 11:15

Pisząc plugin dla IDY Pro w C natknąłem się na ciekawy problem enumeracji importowanych funkcji. Ich enumeracja od czasu dostępności interfejsu Pythona jest prosta. Dostępny jest nawet przykładowy kod pod adresem: http://code.google.com/p/idapython/source/browse/trunk/examples/ex_imports.py.

W przypadku użycia SDK jest to troszkę trudniejsze. Poniżej przedstawiamy gotowy kod w C:

#include <nalt.hpp>

int import_enum_cb_f(ea_t ea, const char *name, uval_t ord, void *param)
{

    if(name)
            msg("%08x: %s ordinal %a\n", ea, name, ord);
    else
            msg("%08x: %a oridinal\n", ea, ord);
    return 1;
}
 […]
for(int i = 0;i < get_import_module_qty();i++)
    {
            char ...

!exploitable i IDA Pro

2010-10-29 22:59

Wiele osób stworzyło dedykowane rozszerzenia dla WinDbg, które pomagają w

procesie identyfikacji podatności lub tworzenia exploitów. Jednym z takich

przykładów może być rozszerzenie MSEC firmy Microsoft, które głównie znane jest

z polecenia !exploitable chociaż to nie jedyna jego funkcjonalność [1].

Wynik działania polecenia !exploitable nie może zastąpić pełnej analizy, ale

czasami może okazać się przydatny – zwłaszcza gdy mamy do czynienia z dużą

liczbą aplikacji do szybkiego sprawdzenia. Kiedyś proces ten wyglądał tak, że

aplikację deasemblowało się za pomocą IDY Pro i ewentualnie korzystało się z

WinDbg jeśli wbudowany debuger z jakiegoś powodu nie wystarczał. Na szczęście

od wersji 5.4 ...

Rekomendacja T – prezentacja z warsztatów

2010-10-29 22:48

Prezentacja AVET INS z warsztatów w Trzebawiu jest już do pobrania

tutaj

IDA Pro: choose()

2010-10-15 10:26

Niektóre zaawansowane projekty analizy binarnej wymagają rozbudowy lub w ekstremalnych przypadkach stworzenia dedykowanego plug-in’u dla IDY Pro. W dużych projektach ważne jest zapewnienie interaktywności automatu, tak aby można go było kontrolować. W ten sposób trafiliśmy na ciekawą charakterystykę funkcji choose() z SDK. Funkcja ta dostępna jest także z poziomu IDAPython. Otóż okno dialogowe generowane przez choose() bez otwartej bazy nie zawiera danych jakie przekazywane są do funkcji. Dlatego zanim zaczniecie szukać błędów w swoim kodzie w tak trywialnej funkcji dobrze jest pamiętać o tym – nie udokumentowanym dobrze – zachowaniu.

IDA Pro 6.0

2010-10-05 16:37

Ukazała się nowa wersję doskonałego deasemblera IDA Pro. W wersji 6 największa i najbardziej widoczna zmiana to nowy interfejs użytkownika oparty o Qt. Stary interfejs Win32 jest nadal dostępny. Po chwili pracy z nowym interfejsem nie ma jednak potrzeby do powrotu do poprzedniej wersji znanej jeszcze z 5.7.

Dla audytorów bardziej jednak istotną zmianą jest zapewne przejście z Pythona 2.5 na 2.6 (wymaga tego integracja pakietu IDAPython z IDA Pro). IDA Pro sama instaluje dystrybucję Pythona w przypadku braku w systemie wersji 2.6. Może to być problematyczne z kilku powodów. Po pierwsze nie wszyscy chcą używać ...

OpenBSD 4.7: nieoficjalny port pcapy dla Pythona 2.6

2010-10-05 16:19

W archiwum dostępny jest nieoficjalny port pakietu pcapy (oficjalna strona pakietu) dla Pythona 2.6 na platformę OpenBSD 4.7/i386. Sposób instalacji (zakładając poprawnie skonfigurowaną zmienną PKG_PATH – więcej informacji dostępnych jest tutaj http://www.openbsd.org/ports.html):

pkg_add python-2.6.3p1
ln -sf /usr/local/bin/python2.6 /usr/local/bin/python
ln -sf /usr/local/bin/python2.6-config /usr/local/bin/python-config
ln -sf /usr/local/bin/pydoc2.6  /usr/local/bin/pydoc
bzip2 –cd pcapy-0.10.5-openbsd47port.tar.bz2 | tar xvf –
cd ./pcapy-0.10.5-openbsd47port

Historia “portu”

Port powstał przy okazji przechodzenia z Pythona 2.5 ...

Trzebaw 27-28 Września: "Bezpieczeństwo systemów IT a Rekomendacja T"

2010-09-24 18:21

W dniach 27-28 września w Trzebawiu pod Poznaniem odbędą się warsztaty dla Banków Spółdzielczych pod nazwą "Asseco – bezpieczeństwo i wydajność". Nasza firma omówi implikacje związane z rekomendacją T z perspektywy zarządzania zgodnością i bezpieczeństwem IT w banku. Po zakończeniu konferencji opublikujemy prezentację z warsztatów na naszej stronie.

Miło nam także będzie się spotkać z naszymi klientami z sektora banków spółdzielczych.

Rekomendacja T może być dla sektora jednym z wielu wyzwań z jakim banki spółdzielcze muszą się zmierzyć.

Sniffdll: testowanie podatności DLL hijacking

2010-09-07 14:48

Klienci AVET INS korzystający z monitoringu otrzymali wcześniej narzędzie sniffdll wspomagające proces wykrywania podatności typu DLL hijacking w systemach Windows. Narzędzie to zostanie udostępnione publicznie za 14 dni.

Poniżej publikujemy przykładowy szkielet biblioteki DLL z jakiej korzystamy podczas testowania aplikacji pod kątem tej klasy podatności:

format PE DLL

entry DllEntryPoint



include 'win32ax.inc'



section '.text' code readable executable



proc DllEntryPoint hinstDLL,fdwReason,lpvReserved



        cmp [fdwReason], DLL_PROCESS_ATTACH

        je pattach

        cmp [fdwReason], DLL_PROCESS_DETACH

        je pdetach

        cmp [fdwReason], DLL_THREAD_ATTACH

        je tattach

        cmp [fdwReason], DLL_THREAD_DETACH

        je tdetach



exit:

        mov     eax,TRUE

        ret



pattach:

        call exploit

pdetach:

tattach:

tdetach:

        jmp exit

endp



proc exploit

     mov ...

Bezpieczeństwo bazodanowe w kontekście rekomendacji T

2010-09-01 17:56

Wydawać by się mogło, że niedawno opublikowana Rekomendacja T nie ma nic wspólnego z bezpieczeństwem IT gdyż dotyczy ryzyka kredytowego. Tymczasem punkt 14.1 zawiera rekomendacje dotyczące baz danych. Rekomendacja 14 brzmi: Przy ocenie zdolności kredytowej klienta detalicznego banki powinny korzystać z baz danych w celu weryfikacji poziomu zadłużenia klientów i historii spłat. W tym zakresie banki powinny korzystać z własnych i zewnętrznych baz danych.

Z powyższego zapisu – w ujęciu bezpieczeństwa bazodanowego – wynikają następujące aspekty:

  1. Niezwykle istotne jest bezpieczeństwo baz danych i zapewnienie na ich poziomie rozrzedzenia uprawnień oraz zapewnienie odpowiedniego audytu zdarzeń. W praktyce audyt zdarzeń jest albo wyłączony ...

Przyspieszyć fuzzer (w Pythonie) – część 2

2010-08-06 17:28

W pierwszym wpisie na ten temat wskazane zostały potencjalne obszary które umożliwiają przyspieszenie fuzzera. Z tamtej listy wyłania się ciekawa możliwość wykorzystania rozproszonego przetwarzania fuzzingu. Można rozproszyć zarówno proces generowania biblioteki ataków jak i proces jej wysyłania do celu. W ten sposób można rozwiązać problemy kosztowne czasowo, niezależnie od tego czy wynikają z zastosowania Pythona czy mają źródło w innych zagadnieniach. Z drugiej strony Python całkiem rozsądnie obsługuje zdalne wywołania np. za pomocą RPC-XML czy CORBA. W kilkuset liniach kodu można także zaimplementować własny serwer RPC opierając się jedynie na klasie socket – zainteresowany odsyłamy do kodu źródłowego pakietu Sulley.

Podzielenie ...

Podatności w Wireshark 0.8.20 – 1.2.8

2010-07-30 15:01

Czasami trafiają się fajne podatności – do takich należą np. problemy w serwerach http lub smtp, które można wykorzystać bez uwierzytelnienia. Do tej samy klasy należą problemy w popularnych snifferach np. w Wiresharku. W końcu przed weekendem nie ma nic fajniejszego niż przełamać cały system zabezpieczeń za pomocą luki w snifferze odpalonym przez departament bezpieczeństwa.

Warto też zwrócić uwagę na fajny exploit hoagie_openssl_record_of_death.c dotyczący podatności CVE-2010-0740– może się przydać jako baza do innych exploitów dla OpenSSL.

www.securityfocus.com

Powiązania read() z zagrożeniami

2010-07-21 16:55

Podczas warsztatów omawiających naprawę wykrytych podatności jeden temat powraca ciągle: "dlaczego powinniśmy naprawić tą podatności – to tylko funkcja read(), nie można z jej pomocą nic nadpisać…" Jeśli jesteście zmęczeni powtarzaniem w kółko tego samego zdania, że każdy zaraportowany problem i podatność muszą zostać naprawione, to ten wpis na blogu jest dla Was. Możecie go pokazać kadrze kierowniczej i programistom jako dowód poprawności Waszych twierdzeń.

Po pierwsze: każda, nawet najmniej istotna podatność musi zostać naprawiona. Koniec. Po drugie to, że wywołania funkcji typu read() nic nie nadpisują nie jest do końca prawdą. Jeśli spojrzymy na takie wywołanie z perspektywy jądra systemu ...

Oferty pracy

2010-06-07 16:26

W ramach rozwoju działalności miło nam poinformować, iż firma AVET poszukuje nowych pracowników. Więcej informacji można znaleźć tutaj.

Czy łatwiej wykorzystać otwarty kod?

2010-06-09 17:38

Gdy tylko pojawił się termin "otwarty kod źródłowy" natychmiast rozpoczęła się dyskusja, które rozwiązania są bezpieczniejsze: te o zamkniętym czy otwartym kodzie. Gdy wydawało się że dyskusja ta w końcu została zepchnięta na dalszy plan (teraz modny jest temat cloud computing) pojawiła się praca "An Empirical Analysis of Exploitation Attempts based on Vulnerabilities in Open Source Software" autorstwa Sama Ransbotham prezentowana podczas "Workshop on the economic of information security". Niewątpliwie bezpieczeństwo informacji jest ściśle powiązane z ekonomią. Doskonałym przykładem może być kryptografia gdzie często bezpieczeństwo zakłada się na podstawie szacunku potrzebnego czasu, mocy obliczeniowej i energii. Każdy z tych elementów ...

Rynek podatności

2010-05-24 12:21

Przygotowano ciekawe badanie dotyczące wartości finansowej podatności i exploitów 0-day. Możesz przeczytać więcej pod adresem: unsecurityresearch.com

Wrapper dla shellcode'u PPC

2010-05-20 11:12

Praca w takiej firmie jak AVET INS pozwala zajmować się ciekawymi rzeczami. Ostatnio na przykład pojawił się problem napisania kompletnie nowego shellcode’u dla architektury PowerPC. Kod powłoki nie jest najprzyjemniejszym programem do debugowania. Dlatego najlepiej go umieścić w jakimś wrapperze napisanym np. w C – zwłaszcza jeśli mówimy o platformie Unixowej. Oto najprostszy wrapper do shellcode’u PPC do skompilowania pod GCC:

long shellcode[] ={



};



void main(void) {

    __asm__("b shellcode");

}

Recertyfikacja systemów zarządzania

2010-05-18 15:17

Od czasu do czasu i AVET INS jest audytowany. Ostatnio przeszliśmy audyty w nadzorze systemów ISO 27001, AQAP i ISO 9001. Dla firmy audytorskiej takie projekty to duże wyzwanie od strony kultury organizacyjnej, bo pracownicy są przyzwyczajeni, że to oni prowadzą audyt. Tym razem role się odwracają i oprócz korzyści z posiadania powyższych systemów okazuje się także, że jest to świetny trening dla pracowników. Dla nowych audytorów jest to także dobre doświadczenie tego jak to jest po przeciwnej stronie barykady. Jest to także doskonały przykład tego że odpowiednie zaprojektowanie systemów zarządzania bezpieczeństwem informacji i jakością dostarcza wiele dodatkowych korzyści do ...

python -c

2010-04-08 15:08

Jako fani Pythona i jego użytkownicy trudno nam zrozumieć dlaczego nadal używa się konstrukcji typu perl –e [linia kodu perla]. W końcu każdy kto poważnie zajmuje się poszukiwaniem podatności uruchamia pakiet IDA Pro i automatycznie ładuje moduł IDA Python. ImmunityDebugger także jest świetnie zintegrowany z Pythonem. Dlatego od dzisiaj używajmy konstrukcji: python –c [linia kodu pytona] na przykład: python –c "print 'A'*264".

OpenBSD 4.7: flaga S malloc()

2010-03-25 18:29

Wraz z rozwojem zabezpieczeń przed przepełnieniem bufora i sterty funkcje systemowe opowiadające za zarządzanie pamięcią przechodzą ciągłą ewolucję. Jednym z nowych przykładów takich zmian jest flaga S w funkcji malloc() systemu OpenBSD 4.7. Funkcja ta już wcześniej przechodziła modyfikacje związane z bezpieczeństwem systemu wprowadzające randomizacje adresów stron.

Dobrze że zabezpieczenia tego typu ciągle ewoluują ponieważ błędy w systemie operacyjnym zazwyczaj są krytyczne. Wprowadzając nowe, doskonalsze zabezpieczenia utrudnia się ich wykorzystanie. Chociaż jak udowodnił problem VDM o którym pisaliśmy już wcześniej przed architektami systemów operacyjnych jest jeszcze długa droga.

Przyspieszyć fuzzer (w Pythonie) - część 1

2010-03-17 18:10

Fuzzery mają wiele zalet i wad. Do wad zaliczyć można często bardzo długi czas wykonania. Aby fuzzing był dokładny musimy pokryć jak najwięcej kodu aplikacji. Oznacza to często tysiące zapytań. Do tego dochodzi czas potrzebny do przeprowadzenia każdej iteracji włącznie z jej wygenerowaniem.

W fuzzerach blokowych takich jak SPIKE czy Sulley często tworzy się wiele zbiorów różnych iteracji – na przykład:

Zbiór 1: / * n

Zbiór 2: ../ * n

Zbiór 3: .. * n

gdzie n jest liczbą całkowitą. Generowanie takich zbiorów nawet w językach wykonywanych na podstawie bytecode a nie w formie natywnej nie jest problemem czasowym aż… do momentu gdy zamiast jednego celu ...

Virtual PC: Błąd ochrony pamięci

2010-03-17 18:03

Advisory CORE-2009-0803 firmy Core Security Technology opisuje bardzo ciekawy błąd w Virtual PC. Na skutek błędu w hypervisorze atakujący może mieć dostęp do pamięci jądra, która w normalnym systemie Windows nie jest dostępna z poziomu procesu użytkownika. Podatność ta jest o tyle ciekawa, że demonstruje – podobnie jak problem z VDM – że błędy w platformie systemowej lub hypervisorze prowadzą do przewrócenia całego modelu bezpieczeństwa. Podatności których nie można w prosty sposób wykorzystać w przypadku XP SP3 – np. klasyczne przepełnienie bufora – ze względu na mechanizmy takie jak DEP czy SafeSEH stają się realnym zagrożeniem w przypadku wykorzystania omawianej podatności.

Pozytywne jest to ...

Czas zmian: SecurityFocus

2010-03-12 13:28

10 marca na portalu SecurityFocus pojawiła się informacja o najnowszych, dużych zmianach jakie ten portal przejdzie. Podstawowym powodem wprowadzanych modyfikacji są zmiany zachodzące w środowisku IT Security. Ponieważ AVET INS jest kilka lat starszy od portalu – podobnie jak jeden z podstawowych zasobów portalu: lista bugtraq – taka sytuacja zmusza do dygresji na temat środowiska. Zarówno na świecie jak i w Polsce w ciągu ostatnich 15 lat nastąpił nie tylko dynamiczny rozwój rynku, ale przede wszystkim dokonała się rewolucja w obszarze zagrożeń oraz zabezpieczeń. Oczywiście temat słabych haseł jest nadal aktualny choć chciałoby się wierzyć że świadomość użytkowników jest większa. Paradoksalnie zintegrowanie ...

Nie zapomnij o patchu dla Weblogic

2010-02-11 10:41

Po prezentacji Davida Litchfielda na konferencji BlackHat wszyscy zaczeli mówić o nowym exploitcie zero-day dla Oracla. Tymczasem 10 lutego Oracle wysłał przypomnienie o konieczności jak najszybszej instalacji poprawki dla Node Managera będącego komponentem WebLogic Server. Poprawka adresuje podatność CVE-2010-0073 (http://www.oracle.com/technology/deploy/security/alerts/alert-cve-2010-0073.html ); alert został opublikowany 4 lutego 2010.

Oczywiście każdej podatności przypisuje się poziom krytyczności. Oracle poszedł nawet krok dalej i w swoich alertach używa klasyfikacji CVSS (http://www.first.org/cvss/ ) co w znaczy sposób ułatwia klasyfikację poprawek po stronie klientów. Jednak gdy media opisują konkretną podatność łatwiej jest zignorować inne. I ...

Zmiana adresu

2010-02-09 18:41

Nowy adres

ul. Belgijska 11

02-511 Warszawa

Tel. (+48 22) 542 82 77

Fax. (+48 22) 542 82 78

avet@avet.com.pl

Modelowanie zagrożeń

2010-02-09 17:35

Modelowanie zagrożeń to sformalizowany proces analizy systemu / aplikacji

z pozycji atakującego którego produktem jest identyfikacja obszarów

podwyższonego ryzyka. Dzięki temu możliwe jest zastosowanie adekwatnych

zabezpieczeń i alokacja właściwych środków finansowych potrzebnych na ten

cel.

Proces modelowania zagrożeń polega na identyfikacji wszystkich możliwych

punktów wejścia do systemu / aplikacji a następnie przeanalizowaniu jakie

metody można zastosować w celu przełamania lub ominięcia zastosowanych

zabezpieczeń. Efektem takiej analizy jest nie tylko definicja potrzebnych

zabezpieczeń (włącznie z określeniem ich siły) ale również identyfikacja

wektorów ataku na podstawie punktów wejścia do systemu / aplikacji.

Na model zagrożeń składają się


  • Inwentaryzacja zasobów systemu / aplikacji

  • Lista punktów wejścia czyli ...

Studium przypadku: ocena siły obfuscatorów

2010-02-09 17:13

W AVET INS codziennie zajmujemy się oceną różnych zabezpieczeń i analizą, czy ich siła jest wystarczająca z perspektywy założeń biznesowych. Dlatego, aby dostarczać najwyższej klasy rozwiązania naszym Klientom, stworzyliśmy szereg metryk oraz taksonomii, pozwalających na obiektywną i kompleksową ocenę siły zabezpieczenia. W przedstawionym przypadku nasz Klient chciał dokonać oceny skuteczności zabezpieczenia swojej aplikacji przed reinżynierią. Celem projektu było dobranie takiej metody zabezpieczenia, aby atak - biorąc pod uwagę charakter aplikacji i środowisko jej wykonania - był nieopłacalny czasowo.

Wprowadzenie

Obfusctator to narzędzie umożliwiające ochronę kodu aplikacji przed reinżynierją i/lub nieautoryzowanymi modyfikacjami. Zadaniem obfuscatora jest taka modyfikacja kodu (w terminologii polskiej występuje ...

gdb, MySQL - luźne przemyślenia

2010-02-01 16:55

Przeglądając ostatnio kod exploita dla serwera MySQL moją uwagę przyciągnął komentarz :

suse11:~ # gdb -q

(gdb) att 5542

Attaching to process 5542

Reading symbols from /var/mysql/libexec/mysqld...cdone.

...



0xffffe430 in __kernel_vsyscall ()

(gdb) c

Continuing.



Program received signal SIGSEGV, Segmentation fault.

[Switching to Thread 0xb6bbab90 (LWP 5545)]

0x41424344 in ?? ()

Pokazuje to ciekawy trend: w systemach wywodzących się z Unixa, gdb nadal jest preferowanym narzędziem do monitorowania atakowanych procesów. Nie byłoby by w tym nic dziwnego – przecież gdb jest debugerem, ale dla kontrastu: w przypadku platformy Windows, dzisiaj stosuje się wyspecjalizowane narzędzia do tego typu zadań. Niech za przykład posłuży Immunity ...

Blog

MS SQL Server 2005 Extended Support kończy się 12 kwietnia

Rozszerzone wsparcie dla serwera Microsoft SQL Server 2005 kończy się 12 kwietnia. To ostatni moment aby dokonać migracji do wyższej wersji.

Jeśli tego nie zrobiłeś to AVET INS może wesprzeć ...

2016-03-01 09:00, Czytaj więcej Więcej
Kiedy Flash wyginie?

Flash to jedna z tych technologii, która ma bardzo złą – i w tym wypadku całkowicie zasłużenie – reputację w obszarze bezpieczeństwa. Ta reputacja jest tak zła, że od jakiegoś czasu część ...

2016-02-11 16:45, Czytaj więcej Więcej
Krytyczna podatność w kliencie OpenSSH (CVE-2016-0777, CVE-2016-0778)

Wersje oprogramowania klienckiego OpenSSH w wersjach od 5.4 do 7.1 podatne są na atak umożliwiający wyciek pamięci oraz kradzież kluczy prywatnych. W przypadku, gdy połączenie SSH zostanie przerwane ...

2016-02-01 09:30, Czytaj więcej Więcej
Microsoft ogranicza wsparcie IE tylko do wersji 11

Microsoft przestaje wspierać starsze wersje przeglądarki Internet Explorer. Jedyną wspieraną wersją od dzisiaj jest IE 11 i wyższe. Dla wielu systemów (np. Windows 7) może to oznaczać potrzebę aktualizacji lub ...

2016-01-13 09:00, Czytaj więcej Więcej
SafeNet Day: Szyfrowanie w chmurze - prezentacja

Prezentacja Aleksandra Czarnowskiego z konferencji SafeNet Day na temat Szyfrowanie w chmurze jest już dostępna do pobrania. Zapraszamy do pobrania poniżej:

http://www.avet.com.pl/media/pdf/2015-11-02_Szyfrowanie_w_chmurze.pdf

2015-10-31 10:00, Czytaj więcej Więcej