Благодаря вспышке от TechNet я наткнулся на следующую заметку одного из сотрудников Microsoft. Новый взгляд на уязвимости. Я не буду говорить, что кто-то кого-то обманывает и не хочу, чтобы сейчас здесь начались выяснения, кто безопаснее - Linux или Windows. В заметке приводятся цифры и цифры независимого источника, на которые Microsoft не влияла, поэтому просто смотрим и делаем выводы каждый для себя.
А вот о чем я хочу поговорить - так это о методе учета и аналитики безопасности. Как же такой авторитетный сайт, смог до этого времени вести аналитику по пакетам обновлений? Это же глупо и абсолютно пустые цифры. Всем ясно, что Microsoft для каждой дыры чаще всего выпускает отдельный патч. Тогда нужно было сравнивать патчи обновлений Linux с сервис паками Windows, тогда MS победила бы безоговорочно, потому что выпускает всего по три сервис пака для ОС.
ОС и Софт стали надежнее и безопаснее. Именно к такому заключению пришли аналитики недавно и безопасный софт теперь встретить намного проще. Не могу не согласиться, тем более, что безопасность стала намного выше, потому что это уже не просто слова или дань моде, а это необходимость и серьезное конкурентное преимущество. Если раньше основным преимуществом была простота и это прочувствовали в Microsoft, благодаря чему и захватили большую часть домашнего рынка, то теперь главным преимуществом становится безопасность, а на простоту пользователи готовы закрыть глаза. Именно безопасностью теперь компания пытается удержать завоеванные позиции.
И вот тут примечательным является движение компаний. Корпорация Майкрософт мало чего изобрела революционного, но она делает свое дело хорошо, стремясь стать лучшей. Не всегда получается, но тенденция есть. Не знаю, кто и кого побуждает к безопасности, но все сейчас стремятся к защите.
Где-то месяц назад мой хостинг взломали и настроили перенаправление на явно вредоностное ПО под меткой антивируса. Оказывается, что не я один был таким и взломов было множество, даже на Microsoft.com. Вот отрывок новости с секлаба за сегодна:
Например, по запросу «Microsoft Office 2002 download» поисковик Google разместил на первое место ссылку на механизм перенаправления на сайте Microsoft. Пользователи, которые выбрали первую ссылку из результатов поиска, были перенаправлены на злонамеренный сайт, где злоумышленники пытались заставить пользователей скачать и установить поддельный антивирус.
Сегодня нашел интересное высказывание на форуме сикула.ру:
Знаю лично одного хакера Михаил Фленов ( бывал на его на конференциях когда он в Москву приезжал презентовать свои книги, ну молодой ешо, а знает до хера, все распространеные хакинг атаки). в общем как я понял , надо быть больным на голову шоб посвятить всю жизнь только ОБУЧЕНИЮ ХАКИНГУ.
Я в Москву никогда не приезжал презентовать свои книги, интересно, кто это сделал за меня? :) Надеюсь, что презентация прошла удачно. Единственная презентация была в Питере почти три года назад и после этого ни разу нигде я не появлялся для продвижения книг. Интересно узнать, действительно ли были такие конференции в Москве или других городах, где лично был Фленов Михаил? Может у кого фотки сохранились?
И снова о SQL инъекции. Сегодня получил по почте очередной вопрос по SQL Injection и PHP. Автор письма интересовался, базовыми вопросами этой темы, о чем уже много раз писалось. Например, на своем англоязычном блоге я описывал эту тему в заметке SQL Injection and PHP, которую написал уже давным давно.
В принципе, инъекция ведь не принадлежит языку программироваиня сценариев, это больше проблема SQL языка. Код, который пишет программист, в данном случае на PHP, только определяет какие-то механизмы защиты от инъекции злобного кода. И это тоже было описано в вышеобозначенной статье. Если нет проблем с английским и кто-то забыл эту тему, то следует обязательно прочитать. Пусть там в основном общие слова, но это необходимые основы безопасности.
Кстати, там же на блоге я описывал и реальный пример ошибки в заметке про SQL Injection на сайте newspaperads.com
Сегодня я увидел в своем ящике интересное сообщение от неизвестного, причем не указавшего даже своего e-mail адреса. Как отвечать такому человеку? А ответить хочется, потому что человек в опасности:
Я на своём сайте 'поигрался'(те проверил на инъекции) чуть с параметрами голосования и загрузилась пустая страница, высветила мне следующее:
ivalid query: select count(id) from votes where vote_name_id=999999999abc9999999999 and variant_id=60
Это значит мой сайт уязвим на инъекции?
Судя по сообщению об ошибке автор письма в серьезной опасности и SQL Injection вполне возможна, если передаваемый в голосование параметр никак не проверяется на символы типа одинарной кавычки. Судя по запросу, вы не обрамляете параметры кавычками, поэтому проблема серьезная. Во-первых, по хорошему ошибка должна выглядеть так:
В Excel есть возможность установить пароль, который запретит редактирование документа. Очень хорошая возможность, но абсолютно бесполезная, особенно, если пользователю разрешено удалять файл. Просто копируем содержимое документа в новый файл, удаляем защищенный паролем документ, и на это место сохраняем копию, которая никак не защищена. Теперь можно редактировать документ, изменять и делать с ним все, что угодно.
Защита документов, которая встроена в Excel проста. Если нужно запретить редактирование файла, то намного эффективнее будет запретить изменение файла с помощью прав доступа к файловой системе. Да, встроенная система защиты позволяет вам защитить от изменения часть документа, но она не имеет смысла, если вы не защитите файл от удаления.
Сегодня я получил через контакт следующее сообщние:
Ну нифига себе, тебя явно кто-то не любит ! на ресурсе фриков контакта на тебя такой фейк забабахали, пипец просто! http://freak-vkontakte.com/id7696879076
Не смотря на то, что ссылка сразу кричит - ПОДСТАВА, я решил заглянуть на сайт и посмотреть, что он из себя предстваляет. Все ссылки на сайте и дизайн ведут на корректную версию контакта, а вот вход на сайт происходит через фриковый сайт. Все хорошее - хорошо забытое старое. Давно я не встречался с такими подставами.
Если бы я помнил пароль от контакта, то, возможно, я бы его ввел. Но проблема в том, что я его не помню. Я даже не помню, на какое мыло я регистрировался. Давным давно я зарегестрировался, сохранил пароль в браузере и если я переустановлю Windows, но восстановить пароль не смогу :). Да и фиг с ним, я на этом сайте почти не бываю.
Я поиграл с сайтом freak-vkontakte.com, навводил им паролей, покликал по ссылкам, пусть едят пищу для размышления. Тому, кто получил эти пароли сообщаю - там даже мыло не существующее я указывал :). Вот думаю, может поменять пароль, или хотя бы мыло в админке своего аккаунта. А то вдруг придется все же окна переустанавливать...
Как уже сложилось в последнее время, сначала я выпускаю новую версию CyD Careful Observer - монитор сети а потом уже обновляю сетевые утилиты. Так получилось и в этот раз. Сегодня я закачал свежую версию CyD Network Utilities - Security Tools (в русской редакции Network Utilities Сеть и безопасность).
В отличии от монитора сети, в данном случае я поменял версию на 2010 Beta, потому что это еще не окончательный вариант. Что изменилось в текущей версии? На данный момент произошло несколько косметических изменений и улучшений, а так же появились все возможности, которые появились в мониторе сети 2010. О них я писал в заметке Монитор ресурсов CyD Careful Observer 2010.
Приставка Beta появилась потому, что я планирую не ограничиваться этими изменениями и в окончательную версию 2010 должны будут войти новые функции тестирования безопасности и новые функции работы с сетью. Окончательную версию я планирую выпустить в течении пары месяцев. Как всегда, те, кто купил программу менее 2-х лет назад, получат новую версию абсолютно бесплатно, потому что абсолютно любые обновления в течении двух лет бесплатны.
Я обожаю компании, которые пытаются зарабатывать на безопасности, предлагая завышенные цены на свои услуги. Вот, например, IBM. Компания купила несколько фирм, предоставляющих услуги или программы в сфере безопасности и теперь сама предоставляет эти услуги. Причем их цена в большинстве случаев очень и очень высокая. А дают ли они гарантию того, что построенные или проверенные системы действительно безопасны? Я думаю, что нет и не могут дать такой гарантии. Хотя нет, могут, но тогда цена их решений будет еще выше.
Посмотрим на другой товар - машины. Производители автомобилей дают гарантию того, что их продукт (автомобиль) будет работать должным образом и не сломается. Если происходят какие-то проблемы, то потребитель может расчитывать на бесплатный ремонт. Примерно то же самое, происходит и в софте. Если Windows глючит, то мы можем расчитывать на бесплатные обновления и патчи. А на что может рассчитывать потребитель средств безопасности? Ведь основной продукт тут именно безопасность и именно за сохранность данных и информации платит потребитель. Банальное обновление программы тестирования защиты или обновления защиты тут не прокатит. Если данные уже украдены, то получается, что пользователь заплатил ни за что и его просто кинули.
Программист, автор нескольких книг серии глазами хакера и просто блогер. Интересуюсь безопасностью, хотя хакером себя не считаю
Copyright © 2024 Михаил Флёнов. Тираж 1 штука. Отпечатано на ноутбуке. А за права отвечаю, или постараюсь.
А здесь еще и копирайт поставлю: Professional Web Development.
