Ваш отзыв 11 Апр 2012, Андрей Фадин
Упражнения по penetration test Linux-систем
Для тех, кто интересуется вопросами безопасности и уязвимостями Linux, создан обучающий проект
exploit-exercises.com с подборкой виртуальных Linux-машин, описаниями уязвимостей, документацией и практическими заданиями.
1. Виртуальная машина Nebula
торрент-файл
прямая ссылкаСамые общие уязвимости, связанные с эскалацией привилегий в Linux: это SUID-файлы, разрешения, состояние гонки (race conditions), метапеременные оболочки, уязвимости $PATH, уязвимости скриптовых языков, ошибки компиляции бинарных файлов.
Nebula включает в себя 19 уровней, для загрузки уровня следует залогиниться под именем levelXX, где XX — номер уровня от 00 до 19. Некоторые уровни можно пройти только в удалённом режиме. В случае необходимости рутового доступа для изменения каких-то настроек, можно залогиниться с именем nebula, пароль nebula, после чего выполнить команду
sudo -s с паролем nebula.
2. Виртуальная машина Protostar
торрент-файл
прямая ссылка
Введение в ошибки памяти Linux/x86: переполнение стека (8 упражнений), сетевое программирование: работа с сокетами и порядок байтов (4 упражнения), форматный вывод (5 упражнений), переполнение кучи (4 упражнения), итоговые упражнения (3).
Войти в систему можно под логином user, с паролем user. Описание уровней находится в директории /opt/protostar/bin.
3. Виртуальная машина Fusion (на базе Protostar)
торрент-файл
Продвинутые эксплойты, криптографические задачи, атака по времени, различные сетевые протоколы (Protocol Buffers, Sun RPC и другие), а также демонстрация некоторых механизмов защиты, таких как рандомизация адресного пространства, исполнение кода в зависимости от позиции (Position Independent Executables), неисполняемая память, фортификация исходного кода (_DFORTIFY_SOURCE=), защита от переполнения буфера (ProPolice / SSP), всего 28 упражнений.
Виртуальные машины идут в архивах ova: краткая справка по Open Virtualization Format. Архив вмещает саму виртуальную машину и файл с настройками. В программе VMware Workstation файл импортируется командой File → Open, а в VirtualBox — командой File → Import Appliance. Как вариант, для VirtualBox можно предварительно переконвертировать файл в формат vmx с помощью утилиты ovftool. А для программ линейки VMware ESIx может понадобится конвертация в vmx с помощью программы VMware vCenter Converter Standalone.
Possibly Related Posts:
Ваш отзыв 13 Мар 2012, Александр Клянчин
«Самый опасный зверь — это внутренний зверь.» (Star Wars: The Clone Wars)
В США начал работу стартап Rapid Focus Security, который специализируется на производстве прослушивающих устройств очень интересного вида — они замаскированы под электрические и телефонные вилки.
Подобные устройства можно установить в офисе на виду у всего персонала — и никто даже не заподозрит неладного, кроме разве что системного администратора или какого-нибудь инженера, который случайно заглянет в комнату и решит пристально посмотреть на маленькую коробочку белого цвета, которая торчит из розетки.
В данный момент в продуктовой линейке Pwnie Express четыре устройства стоимостью от $480 до $730, все они выпускаются в варианте под розетки типа А или B (два плоских параллельных контакта с круглым контактом для заземления или без него). У всех имеется веб-интерфейс для настройки и удалённого управления, а внутри установлен компьютер с Ubuntu, Kismet, Aircrack-NG, WEPbuster, Karma, Metasploit, SET, Fasttrack, SSLstrip, nmap, dsniff, netcat, scapy, ettercap, medusa и т.д. Каждое устройство умеет уходить в скрытый режим, в котором не пингуется и не определяется с помощью средств мониторинга сети.
Источник: Хакер.
Кроме того компания распространяет телефоны, настроенные для взлома (пинтестинга) — PWN Phone.
Средство для пинтестинга базируется на платформе Nokia N900.
- Установлено Aircrack-NG, Metasploit, Kismet, GrimWEPa, SET, Fasttrack, Ettercap, nmap, и др.
- Есть настраиваемый рабочий стол со ссылками на другие программы.
- Быстрый запуск evil AP, WEP cracker, и перехват пакетов.
- Встроенный WIfi чипсет, который поддерживает внедрение пакетов, режим мониторинга.
Possibly Related Posts:
2 Отзывов 04 Фев 2012, Алексей Марков
Наша компания НПО «Эшелон» недавно провела комплексный аудит информационной безопасности одной из ведущих электронных торговых площадок. Особеность данного аудита информационной безопасности заключалась в том, что он включал аудит безопасности исходных текстов программных ресурсов.
При этом самое серьезное внимание было уделено как тестированию, так и статическому анализу безопасности кода Web-приложений с целью выявления и анализа возможности реализации программных дефектов и уязвимостей безопасности. Конечно, код был проверен не только на SQL-инъекции, межсайтовый скриптинг и некорректности обработки входных данных в целом, но выявлялилсь также и константы с парольно-адресной информацией, корректность использования криптопримитивов, протоколов и внешних модулей, разумеется, не были оставлены без внимания архитектурные ошибки безопасности и виртуализации, наличие остаточной отладочной информации и многое другое.
Заметим, что в компании «Эшелон» накоплен исключительный опыт в области практического анализа исходного кода, проводимого в том числе в рамках сертификационных испытаний и тематических исследований программного обеспечения средств защиты информации разного уровня и программных приложений. Компания также поддерживает и развивает собственные инструментальные средства аудита безопасности кода и сетевой безопасности, в том числе сертифицированное средство статического и динамического анализа безопасности исходного кода - АК-ВС (сертифицированное ФСТЭК России и Минобороны России).
Possibly Related Posts:
Ваш отзыв 27 Янв 2012, Алексей Марков
При проведении функционального тестирования средств и механизмов защиты информации приходится обращаться к руководящим документам Гостехкомиссии России, т.к. в них заданы традиционные требования к СЗИ, которые условно или тщательно проверяются соответственно при аттестационных и сертификационных испытаниях. Понятно, в реальной жизни План тестирования и Программа и методика испытаний (ГОСТ 19.301-79) носят условно описательный характер. Это, конечно, особо не огорчает экспертов испытательных лабораторий, но не всегда бывает удобно при автоматизации данного процесса. Кроме того, при проведении испытаний средств защиты информации, составляющей гостайну, необходимо представить формальные или полуформальные доказательства доверия к СЗИ и к результату оценки соответствия. Поэтому мы записали некоторый формальный метабазис разработки методик проведения испытаний для СЗИ (СВТ), МЭ, АС и их подсистем безопасности, например:
- Барабанов А.В., Гришин М.И., Марков А.С. Формальный базис и метабазис оценки соответствия средств защиты информации объектов информатизации. // Известия института инженерной физики. 2011. № 3. С. 82-88.
Alexander Barabanov, Maxim Grishin, Alexey Markov. The Formal Basis for Conformity Assessment of Information Security Software and Hardware // Izvestia Instituta Inzhenernoi Phiziki. 2011. №3. P.82-88.
- Барабанов А.В., Марков А.С., Цирлов В.Л. Разработка методики испытаний межсетевых экранов по требованиям безопасности информации. // Вопросы защиты информации, 2011. № 3. С.19-24.
Alexander Barabanov, Alexey Markov, Valentin Tsirlov. A Formal Approach to Firewalls Testing Techniques // Voprosy Zashity Informazii, 2011. № 3. P.19-24.
- Барабанов А.В., Марков А.С., Цирлов В.Л. Методический аппарат оценки соответствия автоматизированных систем требованиям безопасности информации // Спецтехника и связь, 2011. № 3. С.48-53.
- Барабанов А.В. Методика оценки соответствия автоматизированных систем требованиям по защите информации от несанкционированного доступа с применением выборочного контроля // Вестник МГТУ им.Н.Э.Баумана, Сер. «Приборостроение», 2011, S-2. С.104-115.
Другие публикации наших ученых-практиков в области ИБ можно посмотреть на сайте компании НПО «Эшелон».
Информацию о тестировании программных средств защиты информации, путем использования моделей надежности и испытаний программ, можно также найти на нашем блоге.
Possibly Related Posts:
Ваш отзыв 30 Дек 2011, Алексей Марков
Надо понимать, что область информационной безопасности мало формализуема. Фактически, ИБ — это свойство эргатических социумов, которым присущи всякие социологические и пси-факторы.
Что касается оценки соответствия программных ресурсов систем ИБ, то приходится еще радоваться их структурной гирперсложности, что уводит математические методы и модели испытаний в «проклятие размерности» (до изобретения квантового компьютера), а сертификационные испытания ПО становятся не аттестационной процедурой, а мозговым штурмом экспертов испытательных лабораторий.
Все же, можно ли использовать математические модели испытаний ПО? Исходя из принципа, что матмодели не должны (в лучшем случае) отвлекать экспертов испытательных лабораторий от их бизнес-задач, можно придумать области моделирования испытаний ПО СЗИ:
- формальное обоснование затрат на испытания;
- формальное иллюстрирование результатов проведенных испытаний;
- представление формальных доказательств достигнутого уровня доверия к испытаниям, средствам и системам защиты информации, если это задано в ТЗ (например, для верхних ОУД по ГОСТ ИСО 15408, для систем защиты сведений, составляющих высший уровень гостайны, при испытаниях АС ВН по надёжности и т.д.);
- проведение научно-исследовательских изысканий.
Исходя из этого, была изучена проблематика анализа и синтеза популярных моделей оценки и планирования испытаний программного обеспечения, в том числе по требованиям безопасности информации и надежности функционирования:
Possibly Related Posts:
