9 иллюзий ИТ-директора

13 февраля 2018 г., 13:05

Обманывая себя, руководители ИТ-служб закладывают мину замедленного действия и создают предпосылки для грядущих катастроф.

Если бы Ахиллес был ИТ-директором, его сгубил бы самообман. Непреложная уверенность в том, что ИТ-служба и бизнес-подразделения действуют согласованно, информационная безопасность пуленепробиваема, а все проекты реализуются вовремя, стала бы его «уязвимой пятой». А между тем, обманывая себя, ИТ- руководители закладывают мину замедленного действия и создают предпосылки для грядущих катастроф.

Обманываем мы себя не потому, что сознательно хотим установить неверные приоритеты, принять неправильные решения и двигаться к неверной цели, а потому, что выдавать желаемое за действительное намного проще, чем реально оценивать все происходящее в мире.

Давайте рассмотрим девять ситуаций, в которых ИТ-директор обманывает не подчиненных или коллег по бизнесу, а самого себя.

Иллюзия № 1. Мы ориентируем ИТ на бизнес.

Добиться соответствия своих действий целям бизнеса. Звучит настолько впечатляюще, что многие ИТ- руководители выстраивают процессы управления ИТ таким образом, чтобы обеспечить эту согласованность.
( Read more... )

Блокируем ICMP трафик с помощью IPSec

Каким образом можно сконфигурировать компьютеры под управлением Windows 2000/XP/2003 на блокирование Ping пакетов? Windows 2000/XP/2003 имеет встроенный механизм безопастности IP, называемых IPSec (IP Security). IPSec это протокол разработанный для защиты индивидуальных TCP/IP пакетов при передачи их через сеть.

Однако мы не будем вдаваться в подробности функционирования и устройства IPsec, ибо помимо шифрования, IPSec может также защищать ваш сервер или рабочую станцию механизмом, похожим на файерволл.

Блокируем PING на одиночном компьютере

Для блокирования всех PING пакетов с компьютера и на него нам необходимо создать полититку IPSec, которая будет блокировать весь ICMP трафик. Для начала проверьте отвечает ли ваш компьютер на ICMP запросы:


( Read more... )

С момента появления фреймворка Empire и приложения BloodHound пентесты систем на базе Active Directory становятся все проще и прямолинейнее для 95% сред.

21.09.2017
Автор: byt3bl33d3r

С момента появления фреймворка Empire и приложения BloodHound пентесты систем на базе Active Directory становятся все проще и прямолинейнее для 95% сред. Поскольку каждый раз выполняются одни и те же операции, я решил, что настало время автоматизировать процесс. Мне кажется, что скрипт, работающий по принципу «запустил и забыл», который автоматически получает права администратора домена, является мечтой для каждого специалиста по безопасности.

К тому моменту когда я решил реализовать свою задумку, некоторые товарищи, упомянутые в конце статьи, уже проделали большую часть работ. Кроме того, некоторое время назад во фреймворке Empire появился RESTful API, который упрощает создание сторонних скриптов.

Перед тем как продолжить, я бы хотел упомянуть о том, что во время пентестов получение прав администратора домена не должно быть единственной целью (в противном случае следует еще раз подумать над своими целями). Нужно сосредоточиться на пост-эксплуатации в целом и получении персональной конфиденциальной информации, документов и так далее. То есть все, что можно продемонстрировать «менеджменту» как влияющее на деятельность организации в случае, если произойдет реальное компрометирование. С другой стороны, доступ с правами администратора домена серьезно упрощает жизнь, позволяет показать дополнительную ценность клиенту и придает уверенность исследовательской группе.

Цели проекта и практическая реализация

Изначально я хотел создать нечто, что будет брать выходные данные утилиты BloodHounds, выполнять парсинг и отдавать результаты во фреймворк Empire с последующим выполнением определенной «цепочки» операций. Хотя в BloodHound , насколько мне известно, не предусмотрено использование возможностей, которые можно получить при помощи эскалации привилегий домена, например, GPP-пароли в хранилище SYSVOL (лично я считаю, что эта тема встречается практически повсюду).
( Read more... )

По словам исследователя безопасности, функция контролированного доступа не защищает систему от вымогательского ПО.

Испанский исследователь безопасности Яго Хесус (Yago Jesus) обнаружил способ обхода функции контролированного доступа к папкам (Controlled Folder Access, CFA), являющейся частью Windows Defender. Функция была добавлена в Windows 10 в октябре 2017 года и позиционируется Microsoft как надежная защита от вымогательского ПО.

Контролированный доступ к папкам блокирует любые изменения файлов в обозначенных пользователем директориях. Пользователи сами вручную должны утвердить приложения, которым разрешено вносить изменения в папках, защищенных CFA. Для этого они должны внести исполняемые файлы каждого приложения в белый список, управляемый с помощью опции «Разрешить работу приложения через контролируемый доступ к файлам».

Хесус обнаружил, что Microsoft по умолчанию внесла в белый список все приложения Office. По словам исследователя, злоумышленники могут с легкостью обойти CFA, добавив в файлы Office простые скрипты через объекты OLE. Исследователь представил три примера обхода CFA с помощью модифицированных документов Office. В первом случае ему удалось переписать содержимое других документов Office, хранящихся в папке CFA, во втором – защитить эти файлы паролем и в третьем – скопировать содержимое файлов в файлы за пределами папки CFA и удалить оригиналы.

Если первый пример позволяет только испортить файлы, то вторые два работают по принципу самого настоящего вымогательского ПО. Хесус сообщил Microsoft о проблеме, и вскоре получил от компании ответ. Согласно письму, проблема не является уязвимостью, однако производитель намерен улучшить безопасность CFA в будущих релизах с учетом полученных от Хесуса сведений.

https://www.securitylab.ru/news/491304.php

Атаки с использованием вредоносного ПО по-прежнему одни из самых популярных и разрушительных. В 2017 году мир захлестнула волна массовых атак (WannaCry, NotPetya). Согласно исследованиям Positive Technologies, ущерб от подобных атак может достигать 1 млрд долларов. Развитие тренда «шифровальщик как услуга» (Ransomware-as-a-Service) ведет к появлению новых типов вредоносного ПО и к снижению необходимого для взлома уровня квалификации злоумышленника. В этих условиях существующие подходы не могут гарантировать абсолютной защиты.

Открытыми остаются вопросы, как оперативно локализовать и блокировать угрозы в период массового заражения, а также обнаружить вредоносное ПО, которое уже попало в инфраструктуру. На вебинаре мы расскажем, как бороться с этими проблемами, а также продемонстрируем новую версию системы выявления вредоносного контента PT MultiScanner. Новый PT MultiScanner дает возможность активно блокировать распространение вредоносного ПО. К тому же он агрегирует все объекты заражения в одну угрозу, что в разы повышает скорость реагирования и эффективность расследования инцидентов. Вы узнаете о сценариях использования продукта, увидите PT MultiScanner в действии, сможете задать интересующие вас вопросы. Вебинар будет интересен широкому кругу специалистов, в том числе тем, кто уже работал с продуктом.

Скачать презентацию

АКТУАЛЬНЫЕ КИБЕРУГРОЗЫ II КВАРТАЛ 2017 ГОДА

Сервис Namecheap позволяет создавать неавторизованные поддомены на чужих сайтах




Атакующие могут распространять спам и вредоносное ПО через сайты других людей.

Уязвимость в сервисе по регистрации доменных имен Namecheap позволяет злоумышленникам создавать поддомены для сайтов, принадлежащих другим клиентам. Таким образом атакующие могут распространять спам и вредоносное ПО через чужие сайты.

Уязвимость обнаружил один из клиентов Namecheap Кирк МакЭлхерн (Kirk McElhearn) после того, как Google уведомила его о наличии вредоносного ПО на принадлежащем ему ресурсе kirkville.com. МакЭлхерна удивило подобное предупреждение, поскольку на панели Cpanel вредоносные поддомены не отображались.

Как сообщили МакЭлхорну в службе техподдержки Namecheap, проблема заключается в неправильной конфигурации сервера имен. Судя по всему, некто с учетной записью Namecheap проэксплуатировал уязвимость в настройке DNS и добавил несколько дополнительных поддоменов в аккаунт МакЭлхерна. Более того, МакЭлхерн не мог управлять данными поддоменами. Хотя на его сайте использовалось HTTPS-шифрование, посетители новых поддоменов перенаправлялись на страницы, использующие HTTP.

«Если у вас большой трафик, фальшивые страницы могут использовать известность вашего сайта, позволяя злоумышленникам рассылать спам и вредоносное ПО, а также зарабатывать деньги, показывая объявления от Google», - пояснил МакЭлхерн.

Согласно сообщению компании в Twitter, проблема затрагивает «лишь незначительную часть пользователей». Namecheap уже работает над ее решением.

Подробнее: https://www.securitylab.ru/news/491310.php