wifi
Недавно забегал в новый офис Eset, по пути меня проинтервьюировал Александр Матросов.
- немного о том, как Сергей докатился до жизни такой :)
- пентесты, зачем нужны и что под этим понимают эксперты
- внутренние тестирование защищенности соц. сети Facebook
- целевые вредоносные программы и насколько может быть эффективна такая атака?
- нужен ли анонимный доступ к беспроводным сетям, хорошо это или плохо?
- ближайшие планы PT на проведение соревнований СTF
Другие выпуски подкаста:
http://esetnod32.ru/.company/podcast/ Читать далее...
Читать далее
Категория:
wifi, pentest, CISO/CSO, CTF
|
Забавная новость из Германии.
Высший уголовный суд Германии вынес постановление, согласно которому все приватные WiFi-сети в стране обязаны быть защищены паролем, чтобы предотвратить вероятность несанкционированного выхода в интернет со стороны третьих лиц.
http://www.securitylab.ru/news/393783.php
http://www.msnbc.msn.com/id/37107291/ns/technology_and_science-security/
Тут же возникают аллюзии с Шнаером (http://www.schneier.com/blog/archives/2008/01/my_open_wireles.html) который со своей криптографической колокольни вообще предлагает открыть все точки из соображений в стиле хиппи.
Providing internet access to guests is kind of like providing heat and electricity, or a hot cup of tea
Собственно две противоположной точки зрения, и я здесь больше на стороне Германского суда.
Прежде всего, потому как проблемы связанные с открытым WiFi доступом несколько шире, чем кажется.
Это и взлом домашних компьютеров, которые "за фаерволом" и мелкий бытовой шпионаж и тривиальная кража трафика и использованием соединения с сетью для всяких неприглядных дел... И потом доказывай, что это это не ты взламывал сайты Пентагона и качал гигабайты защищенного законодательством материала.
Более того, начав предоставлять доступа в интернет мы автоматически попадаем... (или не попадаем, или можем не попасть) по требования 126-ФЗ "О связи" или нарушение договора с оператором, что радует безмерно.
Обо всем этом Шнайер упоминает, но как-то ... легкомысленно. Например его тезис, что он будет защищать свой ноут от врагов в аэропорту конечно правилен, но... Например я особо не буду думать о безопасности медиацентра Iconbit и SOHO NAC на пингвин/самба с которого он показывает медиа... Потому как не поеду с ним в аэропорт :)
Что касается технической стороны, то тут скорее уместен Dynamic PSK или Wireless Provisioning Services от Microsoft (кстати, что с ним?).
PS. Google призналась в сборе данных об открытых городских WiFi-сетях. Просто ужас какой-то. За мной следят со спутника?! Читать далее...
Читать далее
Категория:
wifi
|
В очередной раз поднята тема "пользы pentest".
Что не может не радовать. Значит актуальность некоторая есть и на Рускрипто я тему вынес в секцию не напрасно.
Попробую кратко высказаться.
Зачем pentest?
Реально встречаю четыре варианта (заслуживающих внимания):
- доказать/наказать
- придать импульс, приступить к планированию
- посмотреть на результаты, проконтролировать
- так надо (compliance)
Самый жесткий и зачастую чреватый для исполнителя/заказчика - первый. Поскольку доказуемые и наказываемые редко хотят быть доказанными и наказанными, что приводит к активному противодействию. Как на техническом так и на организационных фронтах.
В результате доказующий и доказуемый, вполне договорятся (в одной конторе крутимся, жить дальше надо вместе), а крайним "за ЭТО" (результаты подножек) +"все что еще было" (приписки не умерли с СССР) будет назначен кто-то внешний.
Жесткий вариант, требует жесткого контроля и жесткого согласования каждого чиха (лучше под подпись) и, что самое жесткое - не всегда распознается до наступления последствий (..из избы..).
Как pentest?
Напоминаю - что Penetest - это не только "оценка эффективности технических механизмов защиты внешнего периметра". Вариантов, как и целей много. Стрессовый реверсинг и фаззинг системы защиты от несанкционированного копирования ПО - тоже pentest. Проверка возможности обхода антивируса - тоже pentest.
И в принципе - возможные результаты работ (те самые пользы) должны быть понятны из ТКП ибо говорится что и на что проверяется.
Что же касается "внешний/внутренний"... Самый худший для меня вариант, когда при "red team" заказчик всячески настаивает чтобы "расхакали" вот эти критичные систетемы во глубине инфраструктуры. И всячески отвергает "серый ящик (поговорить, посмотреть, детализировать) после того, как закончим с периметром". Неэффективно, опасно.
Приведу пример неэффективности. Немного технически, но суть та же - "беганье с антенной" - далеко не самый эффективный метод. Хотя и без антенны сложно. Поэтому антенна нужна для установления наличия присутствия, а детализация - поговорить/посмотреть.
Причем "серый" ящик не отменят "пентеста". Все наиболее эффективные работы такого плана проходили по сценарию:
- покопали, много дырок;
- пару страшных каждого типа использовали;
- собрали всех вовлеченных/подверженных - показали.
-- Теперь верите?
-- Верим.
-- Дальше также или чтобы польза была?
-- Да и так все ясно... А что вы про пользу говорили?
- переходим в детальному анализу больных мест, названных консолидированным заказчиком.
Причем не всегда с помощью "penetration". Где MaxPatrol поаудитим, где с админами посидим, где с менеджерами кофейка. Вполне себе аудит получается :)
Конечно, если взять на флаг "передовой материал" по "методикам пентеста" или чеклист "как делать пентест под PCI", то такого не получится. Ибо не написано зачастую в методике :)
Мне пытались возразить, что мол "бюджет, нагрузка, проектные риски". Ничего подобного. Эффективность выше. И для заказчика и для исполнителя.
И тут подползаем к самому интересному
Что в результате
Pentest не отвечает на вопрос "почему?". Да и не ставится такой вопрос.
Есть ответ на вопрос "что?" и, в некоторых случаях "в какой степени?".
Вопрос "Мы знаем, что с Web у нас не очень, но непонятно насколько". Дальше варианты: пару раз ломали, затыкали, но ломали опять/аудитор из большой четверки сказал что у нас нет в договорах разработки систем требований по безопасности (Secure SDLC, нового модного термина №4)."
Ответ "Да, у вас здесь 374 SQLi, это больше чем в среднем по отрасли в 5 раз. Заткнуть не сможете, кривой дизайн. Хоть WAF прикройтесь. Или выключите в отдельном загоне".
Или "У вас 30 процентов кисок настроены так, что вообще непонятно, как работают. Падают? А...."
Или "Adobe патчить надо? А мы думали, что это за истерика у антивирусов"
Ну и плюс много-много мелочей, пропущенных, забытых, оставшихся без приоритетов. Админам побаловаться.
Вот где-то так. Читать далее...
Читать далее
Категория:
vulners, wifi, pentest
|
В среду и в четверг буду участвовать в конференции "Разработка ПО 2009" (CEE-SECR 2009, http://cee-secr.org/) и очередном семинаре RISSPA.
http://cee-secr.org/round-tables/information-security-of-computer-systems/
Безопасность прикладных систем. Разработчик, аудитор, пользователь.
Все, что сделано руками людей далеко от совершенства. В результате ошибок проектирования, реализации и эксплуатации в компьютерных системах возникают уязвимости, т.е. свойства системы, использование которых злоумышленником может привести к ущемлению интересов владельца этой системы. Многие уязвимости обнаруживаются производителем на этапе разработки, тестирования и сопровождения продуктов, однако часть их обнаруживается владельцами систем, независимыми исследователями и аудиторами. В докладе предлагается обзор следующих вопросов:
- статистики распространенных проблем безопасности приложений';
- требований регуляторов в части безопасности прикладных систем (PCI DSS, 152-ФЗ «О персональных данных» и т.д.);
- существующих практик безопасной разработки, покупки и сопровождения прикладных систем;
- подходов к взаимодействию производителя или владельца ресурса и исследователя, обнаружившего проблему.
В рамках доклада анонсируется вторая версия классификации Web-узвимостей Web Application Security ConsortiumThreat Classification version 2.
http://risspa12.eventbrite.com/?ref=ecount
«(Бес)проводная (без)опасность»
В рамках доклада рассматриваются типичные проблемы, связанные с беспроводными технологиями, вопросы управления регулятивными требованиями в этой области, дается обзор передового опыта и принятых практик. Материал построен на практическом опыте компании Positive Technologies в области тестирования на проникновения и построения процессов Compliance Management. Читать далее...
Читать далее
Категория:
wifi, positive technologies
|
В очередной раз воник вопрос о PCI DSS и беспроводных сетях
http://www.securityfocus.com/archive/137/507096
But how can we determine if this rogue AP and especially rogue wireless
clients (WLAN card into a back office server)
are inside CDE? By signal level? But Kismet shows this information only
for APs (not for clients) :(
Я уже отвечал на этот вопрос на сайте информзащиты, повторюсь.
>как узнать, что беспроводная точка с включенным шифрованием принадлежит к нашей локальной сети?
Принадлежность точки может вычисляться различными способами. Самый простой - по трафику, "летающему" в воздухе. Даже есть точка использует нормальное шифрование (не WEP), то в открытом виде передается достаточное количество информации для идентификации сегмента. Например - mac адреса отправителя. Поскольку точка доступа является устройством канального уровня, она будет ретранслировать все широковещательные запросы сегмента "в воздух". А поскольку в сети таких запросов достаточно много (ARP, NetBIOS, IPv6 и т.д.), то сравнив MAC-адреса отправителей пакетов через точку со списком известных MAC-адресов своей сети можно легко идентифицировать место, куда включена точка. Дополнительно можно спровоцировать отправку большого количества широковещательных пакетов в сегменте с помощью утилит, реализующих ARP-ping, таких как Cain или nmap. А бегать с антенной за каждым beacon - задача не для слабонервных.
>А где можно почитать про технологию поиска точек методом
>триангуляции и какую лучше антенну использовать?
Параболические или Yagi антенны для диапазона 2,4 достаточно громоздки, в связи с чем комфортней использовать панельные варианты, не смотря на меньшую направленность и чувствительность к отраженному сигналу.
http://www.wifilab.ru/catalogue/catalogue.php?cat_id=51
Крайне рекомендую мою книгу ;)
http://www.techbook.ru/gordejchik.html
>А если это действительно правильно сконфигурированая точка WPA2+hidden+MAC
> filter. Долго придется искать пока не будет активности.
Такая точка подключенная к сети все равно "фонит":
- рассылает beacon (пусть и с пустыми ESSID)
- транслирует broadcasts и multicast с Mac-адресами источника в открытом виде
Трудно представить себе сеть без широковещательных запросов. А о том как по ним идентифицировать местоположение точки доступа я писал ранее.
>Определение клиентов, подключающимся к внешним точкам доступа
Клиентов, санкционировано подключающихся к "внешним" точкам доступа можно определять с помощью активных средств оценки защищенности. Например в MaxPatrol есть три механизма, позволяющие решать эту задачу: - инвентаризация, в рамках которой анализируются настройки беспроводных клиентов Windows - оценка защищенности, в рамка которой проводится анализ небезопасных конфигураций (например, multihomed, отсутствие шифрование, использование WEP) - контроль соответствия (compliance), позволяющий указывать черные и белые списки точек доступа, разрешенных в сети.
Путем мониторинга беспроводной сети, но для этого надо предварительно составить список "своих" MAC-адресов. Можно это сделать активными средствами (см выше) или пассивными (см. ниже).
>Как понять, твои ли это пользователи?
Немного об этом писал здесь.
Но в любом случае, рабочая станция (особенно под управлением Windows) рассылает очень много интересного трафика, по которому можно определить принадлежность к сети. Это и NetBIOS Broadcast и запросы WPAD и DHCP-запросы в которых передается имя узла и домена...
Остается открытым вопрос - как спровоцировать на отправку данного трафика? Тут нам на помощь приходит Gnivirdraw.
>Активные сканеры нам не помогут!!!
Конечно, полезно иногда пробежаться с ноутбуком :). Но сканеры вполне могут помочь решить следующие задачи:
- инвентаризация (fingerprint) в режиме pentest сетевых устройств (в том числе и AP).
- инвентаризация настроек беспроводных клиентов (MAC-адресов, списков сетей)
- анализ конфигурации точек доступа
- анализ журналов беспроводных устройств с точки зрения "нехороших" событий Читать далее...
Читать далее
Категория:
vulners, wifi
|
Toshihiro Ohigashi и Masakatu Morii опубликовали работу об улучшенной атаке на WPA. Вместо QoS используется MitM, но логика та же. Результаты - восстановление MIC, расшифрование коротких пакетов.
Время атаки уменишилось на порядок (с 10-15 до 1-2 минут), но результаты пока не критичны.
В любом случае WPA-TKIP стоит держать только для совместимости. Читать далее...
Читать далее
Категория:
wifi, pentest
|
Вот такой странный комментарий появился у меня в журнале.
Ну что ж, по просьбе зрителей.
Данная информация предоставляется на условиях "КАК ЕСТЬ", без предоставления каких-либо гарантий и прав. Все информация в этом сообщении носит информационный характер и не должна использоваться для нарушения Российского и международного законодательства. Используя данную информацию, Вы соглашаетесь с тем, что авторы не несут ответственности за использование Вами данной информации, и Вы принимаете на себя весь риск, связанный с использованием данной информации. Авторы не несут ответственности за использование данной информации третьими лицами.
Вариант 1 (сложный). Двойной MITM
Необходимо:
1. Точка доступа (AP)
2. Рабочая станция под управлением Windows (WS)
3. Опционально - рабочий набор утилит Aircrack с возможностью внедрения фреймов (HS) (может быть под Windows или под Linux). Это требование включает в себя "правильную" сетевую карту, драйверы и т.д.
Последовательность действий:
1. AP настраивается в режиме AP :) с использованием известного злоумышленнику ключа WPA2 и SSID реальной точки доступа.
2. WS подключается к AP и к проводной сети. Сетевые адаптеры переводятся в режим моста (bridge) для проброса трафика между проводным и беспроводным сегментом.
3. Атакуемый отключается от реальной точки доступа с помощью HS, реализующей атаку deauth flood .
4. На WS запускается программа Cain & Abel, реализующая атаку MITM на протокол SSL с использованием ARP-spoofing через проводной адаптер.
5. Задача решена, землекопа полтора.
Вариант 2 (простой). Просто MITM
Необходимо:
1. Рабочая станция под управлением Linux (HS) с Aircrack (HS).
2. Виртуальная машина Windows WS (я использую VmWare) на HS.
Последовательность действий:
1. HS подключается к легитимной точке доступа с использованием известного плохому парню ключа WPA2.
2. На WS запускается программа Cain & Abel, реализующая атаку MITM на протокол SSL с использованием ARP-spoofing.
3. Задача решена, землекопа полтора.
Поскольку все это шаманство связанно с тем, что WinPcap не умеет работать с беспроводными адаптерами, а Cain&Abel и круче ettercap и вообще rulezz foreva , но не очень работает на Linux то существует еще:
Вариант 3. Kiddie-style
Необходимо:
1. Рабочая станция под управлением Windows (WS) с установленным AirPcap.
Последовательность действий:
1. WS подключается к легитимной точке доступа с использованием известного плохому парню ключа WPA2.
2. На WS запускается программа Cain & Abel, реализующая атаку MITM на протокол SSL с использованием ARP-spoofing.
3. Задача решена, землекопа полтора.
PPS. Вообще работать с WiFi стало как-то скучно. Недавно, проводя внутренне обучение обнаружил, что в AirCrack уже встроили wep0ff и wep0ff_ng.
Просто - запускай и взламывай тестируй. Читать далее...
Читать далее
Категория:
vulners, wifi, pentest
|
Вспомнил WIDS, вспомнил про старенькую публикацию, отчасти связанную с предыдущей заметкой.
Атаки на системы обнаружения беспроводных атак
http://www.securitylab.ru/analytics/275562.php
Системы обнаружения беспроводных атак (Wireless Intrusion Detection System, WIDS) пока не настолько популярны, как их проводные аналоги, но современные тенденции позволяют предсказывать рост числа их внедрений. Положительным фактором является интеграция подобных программ с активным сетевым оборудованием и осознание руководством рисков, связанных с несанкционированным использованием беспроводных устройств. Последнее приводит к увеличению числа инсталляций WIDS даже в сетях, где беспроводные сети не используются. В связи с этим у специалистов в области безопасности возникает необходимость оценить не только качественные характеристики того или иного продукта, но и прогнозировать возможное негативное влияние от его внедрения на безопасность корпоративной сети. В данной статье описываются результаты исследований систем обнаружения беспроводных атак с точки зрения специалиста в области безопасности приложений. Обнаруженные ошибки проектирования в статье не обсуждаются, поскольку их устранение требует от производителя существенных трудозатрат. Читать далее...
Читать далее
Категория:
публикации, wifi
|
Недавно в форуме всплыла ситуация, которая периодически встречается в ходе работ по оценке защищенности - "резвые" пользователи корпоративных сетей используют окружающие точки доступа для выхода в Internet "в обход" корпоративных средств защиты.
Т.е. гонят свой (а подчас и корпоративный) трафик "по воздуху" без всяких там шифрований, МСЭ, антивирусов и других условностей. А что они при этом могут "слить" из сети, прикинувшись "инсайдером", так просто страшно становится. Я уж не говорю про ситуации, когда об таких пользователях узнает "аутсайдер"...
Цитирую:
1 2
Доброго времени суток. Руководством компании поставлена задача выявить Wi-fi подключение сотрудника(ов) компании к точке доступа которая ориентировочно находится в соседнем здании. В крайнем случае просто закрыть этот канал утечки. Глушить весь диапазон не предлагать, поставлено условие: мобильники должны работать.
ЗЫ. Уважаемые коллеги, заранее прошу не уходить от темы типа: "все равно есть кпк... коммуникаторы..." и все такое. Конкретно про wi-fi!
Как решить проблему?
Мой ответ:
offtopic
Простой вариант - ноутбук с Linux с достаточно мощной антенной, лучше направленной, например http://www.antennas.spb.ru/pdf/2_rus.pdf.
Для выявления и "подавления" своих нерадивых сотрудников используется комплект программ aircrack-ng.
С помощью airodump-ng составляется список "нерадивых" пользователей, цепляющихся к злобной точке доступа. Туда-же можно добавлять и MAC-адреса, полученные в процессе инвентаризации сети.
А с помощью aireplay-ng рвутся коннекты своих клиентов к злобной точке доступа.
Вот и все. Можно конечно все это автоматизировать с помощью пары скриптов.
Более грубый вариант - просто слать broadcast deauthentication для точки доступа, но это имхо - перебор. Не подгадаешь с зоной покрытия - и будешь посторонних людей от сети отключать.
Можно купить коммерческую систему WIDS, например Airmagnet, или задействовать фичи Aironet. В них присутствуют возможности по "отключению" нелегитимных соединений. Но задачу инвентаризации (т.е. составления списка "своих" MAC-адресов) они не отменяют.
ЗЫ. Есть хороша книжка, касающаяся этих вопросов:
http://www.securitylab.ru/news/306357.php
Здесь хорошо всплавает основна систем обнаружения беспроводных атак (WIDS), а именно - аномальный подход. Ограниченные канальным уровнем, WIDS, как правило, содержит небольшое количество сигнатур. Настоящая работа таких систем начинается только после правильной настройки - создания черных и белых списков точек доступа и клиентов, привязка источников сигнала к карте, указания "правильных" протоколов и т.д. А в основе этого - инвентаризация, как базис любых процессов ИБ. Читать далее...
Читать далее
Категория:
wifi
|
|
|
|
