В выходные мне таки давилось побывать на Chaos Constructions'2011 и сразу хочу сказать, что мои опасения сбылись. В этом году фестиваль значительно уступал прошлогоднему мероприятию в плане ИБ составляющей, да и в принципе народу было меньше. Конечно, по анонсированной программе семинаров это все было итак понятно, я туда ехал скорее пообщаться с друзьями, нежели на сам фестиваль. Что касается HackQuest в этом году, то со слов организаторов, задания были упрощены, так как по опыту прошлых лет немногие с ними могли справится. Но вот удалось ли им достичь баланса между упрощением заданий и интересными квестами, сам судить я не могу, ибо не участвовал (крякми то не было никакого). Но слов некоторых участников, по сравнению с прошлом годом получилось хуже. Из позитивного в этом году был интересный конкурс от ONsec и Владимира Воронцова по обходу WAF.
вторник, 30 августа 2011 г.
четверг, 25 августа 2011 г.
Chaos Constructions'2011
Уже традиционно в последние выходные лета в Питере проходит компьютерный фестиваль Chaos Constructions. И так же уже традиционно на этом фестивале большая часть докладов и конкурсов посвящены тематике информационной безопасности. Для себя отметил несколько докладов, которые хочу посетить:
"Lockpicking - зачем это нужно ИТ специалистам?" - Алексей Синцов
"Безопасность расширений веб-браузеров на примере Mozilla Firefox"- Тарас Иващенко
"Безопасность браузеров. Атаки на пользовательский интерфейс" - Владимир Воронцов
Так, что на этих докладах меня можно будет поймать в зале и пообщаться ;)
среда, 24 августа 2011 г.
Техники обхода проверок цифровой подписи на x64
Множится нынче количество угроз для 64-битных платформ с виндой, причем множатся не только различные троянцы, но и рукиты/буткиты в том числе. Причины очевидны, доля WinXP уверенно снижается, а предустановленных версий Win7(x64) становится все больше. В подтверждение этому факту вот такая интересная статистика за последний год:
Сейчас из наиболее интересных и активных угроз для x64 можно выделить следующие семейства:
- Win64/Olmarik (MBR bootkit)
- Win64/Rovnix (VBR bootkit)
- Win64/TrojanDownloader.Necurs
- Win64/Spy.Banker
Используемые ими подходы можно разделить на две большие группы и представить графически в виде следующей схемы:
Ярлыки:
Bootkits,
MBR,
Reversing,
Rootkits,
Statistics,
System Internals,
TDL4,
VBR,
VMware
пятница, 12 августа 2011 г.
Насколько защищены современные браузеры?
Недавно мне попалась на глаза интересный доклад от Dino Dai Zovi "Attacker “Math” 101", в которой нашлись очень здравые схемы демонстрирующие ответ на этот вопрос. По нашей статистике, что я уже не однократно отмечал, беспрецедентное лидерство про проникновению имеют java эксплойты. А ответ почему, как раз наглядно проиллюстрирован на следующей схеме:
Собственно, что из этого следует, основная мысль в том, что реализация java платформы по прежнему не использует механизмы противодействия эксплуатации и является слабым звеном, не смотря на все новомодные "песочницы" и прочий стаф. Если из этой цепочки исключить java, то все становится значительно сложнее для злоумышленников:
А вот, что бывает после обхода "песочницы":
Проверить насколько актуальна ваша версия Java-плагина можно, к примеру, при помощи сервиса SurfPatrol от PT.
четверг, 4 августа 2011 г.
Противодействие криминалистической экспертизе со стороны вредоносных программ
Вчера мы выпустили исследовательский отчет об одном интересном троянце Win32/Hodprot. Интересен он тем, что использует довольно хитрые механизмы противодействия своему обнаружению в системе. Итак, давайте обо всем по порядку ;)
Процесс заражения системы можно описать следующей схемой:
Процесс заражения системы можно описать следующей схемой:
Ярлыки:
Antiforensics,
Antivirus,
Cybercrime,
Forensics,
Malware,
Reversing,
Statistics
вторник, 2 августа 2011 г.
Подписаться на:
Сообщения (Atom)