вторник, 30 августа 2011 г.

CC'11 впечатления

В выходные мне таки давилось побывать на Chaos Constructions'2011 и сразу хочу сказать, что мои опасения сбылись. В этом году фестиваль значительно уступал прошлогоднему мероприятию в плане ИБ составляющей, да и в принципе народу было меньше. Конечно, по анонсированной программе семинаров это все было итак понятно, я туда ехал скорее пообщаться с друзьями, нежели на сам фестиваль. Что касается HackQuest в этом году, то со слов организаторов, задания были упрощены, так как по опыту прошлых лет немногие с ними могли справится. Но вот удалось ли им достичь баланса между упрощением заданий и интересными квестами, сам судить я не могу, ибо не участвовал (крякми то не было никакого). Но слов некоторых участников, по сравнению с прошлом годом получилось хуже. Из позитивного в этом году был интересный конкурс от ONsec и Владимира Воронцова по обходу WAF.

четверг, 25 августа 2011 г.

Chaos Constructions'2011


Уже традиционно в последние выходные лета в Питере проходит компьютерный фестиваль Chaos Constructions. И так же уже традиционно на этом фестивале большая часть докладов и конкурсов посвящены тематике информационной безопасности. Для себя отметил несколько докладов, которые хочу посетить:

"Lockpicking - зачем это нужно ИТ специалистам?" - Алексей Синцов
"Безопасность расширений веб-браузеров на примере Mozilla Firefox"- Тарас Иващенко
"Безопасность браузеров. Атаки на пользовательский интерфейс" - Владимир Воронцов

Так, что на этих докладах меня можно будет поймать в зале и пообщаться ;)

среда, 24 августа 2011 г.

Техники обхода проверок цифровой подписи на x64

Множится нынче количество угроз для 64-битных платформ с виндой, причем множатся не только различные троянцы, но и рукиты/буткиты в том числе. Причины очевидны, доля WinXP уверенно снижается, а предустановленных версий Win7(x64) становится все больше. В подтверждение этому факту вот такая интересная статистика за последний год:


Сейчас из наиболее интересных и активных угроз для x64 можно выделить следующие семейства: 
  • Win64/Olmarik (MBR bootkit) 
  • Win64/Rovnix (VBR bootkit) 
  • Win64/TrojanDownloader.Necurs 
  • Win64/Spy.Banker 

Используемые ими подходы можно разделить на две большие группы и представить графически в виде следующей схемы:

пятница, 12 августа 2011 г.

Насколько защищены современные браузеры?

Недавно мне попалась на глаза интересный доклад от Dino Dai Zovi "Attacker “Math” 101", в которой нашлись очень здравые схемы демонстрирующие ответ на этот вопрос. По нашей статистике, что я уже не однократно отмечал, беспрецедентное лидерство про проникновению имеют java эксплойты. А ответ почему, как раз наглядно проиллюстрирован на следующей схеме:
Собственно, что из этого следует, основная мысль в том, что реализация java платформы по прежнему не использует механизмы противодействия эксплуатации и является слабым звеном, не смотря на все новомодные "песочницы" и прочий стаф. Если из этой цепочки исключить java, то все становится значительно сложнее для злоумышленников:
А вот, что бывает после обхода "песочницы":
Проверить насколько актуальна ваша версия Java-плагина можно, к примеру, при помощи сервиса SurfPatrol от PT.

четверг, 4 августа 2011 г.

Противодействие криминалистической экспертизе со стороны вредоносных программ

Вчера мы выпустили исследовательский отчет об одном интересном троянце Win32/Hodprot. Интересен он тем, что использует довольно хитрые механизмы противодействия своему обнаружению в системе. Итак, давайте обо всем по порядку ;)

Процесс заражения системы можно описать следующей схемой:


вторник, 2 августа 2011 г.