Решите и выберите правильный ответ жирного текста летом, введенного в блокнот

Обновлено: 21.11.2024

Отчет о вызове 29c3 CTF «Что это?»

Подзаголовок: "Как захватить флаг за двенадцать простых дней"

В этом году на 29-м конгрессе Chaos Communication Congress (29C3) было проведено онлайн-мероприятие по захвату флага (CTF). Было несколько проблем, которые вы можете увидеть на странице времени CTF для 29c3 CTF. Я потратил большую часть времени на вызов «Что это?». Подсказкой был файл захвата USB-пакетов с именем what_this.pcap.

Первое, что мы сделали, это запустили строку what_this.pcap и просмотрели строки ASCII и Unicode в захваченном файле. ASCII: CASIO DIGITAL_CAMERA 1.00, FAT16, ACR122U103h. Юникод: CASIO QV DIGITAL, CASIO COMPUTER, USB-ридер CCID.

Предположение? Человек работает под управлением Linux с клавиатурой, камерой Casio и считывателем смарт-карт (CCID), подключенным через USB. Карта Mifare Classic (ACR122U103) вставляется в считывающее устройство CCID. Камера монтируется (FAT16) и файл или файлы считываются с устройства.

Есть ряд проблем с этим методом анализа нажатий клавиш. Во-первых, когда клавиша удерживается слишком долго, мы получаем несколько букв (dmeesg). Во-вторых, игнорируются специальные клавиши, такие как Shift и Backspace. Я переделал свой синтаксический анализатор так, чтобы он читал байты 1, 2 и 3. Первый байт в клавиатурном пакете указывает, нажат ли сдвиг или нет. Второй байт — это символ (включая такие клавиши, как ввод и возврат). Третий байт — это код ошибки для повторяющихся символов. Используя эту информацию, я сопоставил таблицы использования HID с документацией Microsoft SendKeys и воспроизвел файл пакета в Блокноте.

Тяжелую работу по поиску UID проделал j3remy. Он следовал руководству по API ACR122U и отслеживал звонки/ответы. Например, frame.number==1954 читает Data: ff 00 00 00 02 d4 02, или получает (ff) прошивку (2d d4). Ответ приходит в кадре.номер==1961 Данные: 61 08, 8 байт идут с прошивкой. Затем номер кадра == 1966, данные: ff c0 00 00 00 08, получить (ff) прочитать (c0) 8 байтов (08). И картридер возвращает прошивку d5 03 32 01 06 07 90 00 в кадр.номер==1973. j3remy аналогичным образом проанализировал сообщения и нашел frame.number==3427, который гласит: d54b010100440007049748ba3423809000

Следующим шагом было правильное форматирование UID, поскольку команда nfc-list отобразит его. Это потребовало некоторых усилий. По сути, перед ATQA есть 4 пробела, перед UID — 7 пробелов, а перед SAK — 6 пробелов. После : и перед шестнадцатеричным значением есть один пробел. Каждое шестнадцатеричное значение имеет двойной интервал. Имея это в виду, мы создали файл nfc-list.txt:

Определение интервала заняло некоторое время. Как только он у нас появится, мы сможем запустить cat | грэп | dd и правильно вернуть 26 байт символов ASCII.

кот $f | aespipe -p 3ls -d 3 "`cat nfc-list.txt | UID группы | вырезать -d '' -f 10-| dd bs=13 count=2` “
готово

Так оно и было. В файле flag1746, в frame.number==1746, от камеры Casio (устройство 26.1) до компьютера (хост) мы нашли массив байтов, который правильно расшифровался до:

Что еще, собственно? Хорошо сыграно.

Не очень безопасные реализации SecureString

// Какой-то не очень безопасный код SecureString, который я написал по ошибке
private void button1 _Click ( object sender, RoutedEventArgs e )
secretString = new SecureString() ;
foreach ( char c в textBox1 . Text .ToCharArray() ) < secretString . AppendChar (с); >
текстовое поле1 . Текст = "";
>

Что случилось? В обоих случаях значение передавалось в SecureString в виде открытого текста. SecureString зашифрован, однако исходный ввод — нет. Это входное значение может оставаться в памяти в течение длительного времени (в зависимости от того, что делает базовая ОС Windows).

Ниже приведены некоторые примеры заполнения SecureString таким образом, чтобы пароль не отображался в открытом виде. Как говорится, доверяй, но проверяй. В этом случае доверяйте методу, но для уверенности проверьте с помощью Memoryze или Imager.

// Еще один пример кода SecureString
private void button1 _Click ( отправитель объекта, RoutedEventArgs e )
secretString = passwordBox.SecurePassword;
passwordBox1.Clear();
>

Социальная иллюзия Стивена Фокса

Стивен Фокс (@SecureLexicon) провел серию лекций о создании социальных иллюзий. В прошлую пятницу я присоединился к Стивену в EMU, где он выступал в рамках серии летних семинаров EMU IA. Тема была целевая. Стивен продемонстрировал использование Maltego для создания электронной почты, а Эван Маламис показал, как с помощью Social Engineer Toolkit можно использовать и распространять электронную почту.

Предположим, Стивен намеренно нацелился на кого-то, кто посещал BSidesDetroit. Как должно выглядеть электронное письмо и от кого оно должно быть отправлено?

Первое, что сделал Стивен, – создал узловой граф социальной сети из BSidesDetroit. Просматривая график, стало очевидно, что между Мэттом Джонсоном, Дереком Томасом и мной существует тесная сетевая связь.Раздалось «ах-ха!» момент, когда Стивен объяснил, как сообщение цели может быть отправлено любым из нас троих.

Теперь какую тему следует использовать в электронном письме? Стивен обратил внимание на Maltego и указал на интересную связь между BSidesDetroit и BSidesChicago. Поэтому он построил график BSidesChicago и искал пересечения. Оттуда он исследовал, как эти пересечения касаются Мэтта, Дерека и меня.

Насколько успешной была эта подделка? Рассмотрим следующие три доказательства.

Как только это объяснили, другой человек сказал: "Забавно, что вы упомянули круиз. Я бы нажал на нее, потому что помню, как Элизабет Мартин говорила о круизе на лодке в Детройте». Оказалось, что память человека приспосабливается к фактам, которые он видел перед собой. Посоветовавшись с Элизабет, она вообще не говорила о круизе во время BSidesDetroit.

На самом деле, шумиха в Твиттере предшествовала тому, чтобы я связался с Элизабет Мартин. Вся эта шумиха привела Элизабет к логическому выводу, что круиз есть, и она целый час искала лодки для нашего мероприятия. Позже она написала в Твиттере: «Самое приятное то, что я думала, что должна планировать круиз, поэтому начала над этим работать!»

Подумайте об этом на мгновение. Стивен Фокс эффективно изобрел событие. Он создал сообщение настолько точное, что оно заставило людей запомнить его, заставило людей поверить, что это действительно происходит, и эффективно создало собственную реальность. Разговор о создании социальных иллюзий!

Программная поддержка надежности пароля

Xkcd — это QED в нашей отрасли. Хотите доказательства? Посмотрите комикс Рэндалла Манро о надежности пароля.

Длинные фразы каждый раз лучше перепутанных паролей. Взлом «Correcthorsebatterystaple» займет значительно больше времени, чем, скажем, «p@ssw0rd». Учитывая это, вы можете задаться вопросом, почему индустрия не перешла на более длинные фразы. Я виню продавцов. Есть ряд приложений, которые я поддерживаю, и веб-сайты, которые я посещаю, которые по-прежнему ограничивают пароли до 14 символов. Более того, многие явно для предотвращения спецсимволов. Проблема с программной поддержкой.

Есть и другие проблемы. Прочтите сегодняшнюю статью «Темное чтение», чтобы узнать о плюсах и минусах использования фраз.

Некоторые корпоративные пользователи хотят, чтобы они могли вводить фразы, но они сталкиваются с технологическим отставанием в мире программного обеспечения и управления идентификацией, что препятствует этому желанию.

"Одна из причин (организации не используют фразы-пароли) – это большое количество программных приложений, не поддерживающих длинные или сложные фразы-пароли", – говорит Дж. Вольфганг Гёрлих, менеджер по сетевым операциям и безопасности одной из компаний, предоставляющих финансовые услуги на Среднем Западе. «Длина и специальные символы кажутся проблемой для некоторых поставщиков. Иногда это называют технологическим долгом. Многие ИТ-отделы должны поддерживать набор приложений, которые не были обновлены с учетом современных рекомендаций по безопасности».

Скрытые каналы DNS

На каникулах я развлекаюсь с DNS и скрытыми каналами.

В простейшем случае DNS можно использовать в качестве скрытого текстового канала. Клиент DNS отправляет сообщение через поиск CNAME. DNS-сервер отправляет сообщение в ответ через ответ CNAME. Используя этот процесс, можно передавать туда и обратно любую последовательность символов.

Что делать, если нам нужно сделать больше? Скажем, передать файл? Или даже просматривать веб-страницы? Ответ здесь — кодировка текста.

Большинство ИТ-специалистов пришли бы к выводу, что трафик просто должен быть закодирован в Base64. Есть небольшая морщинка. Запросы DNS CNAME поддерживают только 63 символа: строчные буквы алфавита, прописные буквы, цифры и тире (-). Кодировка Base64 отключена.

Следующая возможность — кодировка Base32. Хотя он используется нечасто, он вписывается в DNS RFC и поэтому работает сразу после установки.

Недостатком Base32 по сравнению с DNS является размер полезной нагрузки пакета и количество передаваемых данных. DNS — это UDP, и поэтому он может страдать от потери пакетов. Кроме того, пакеты могут быть только определенной длины. Имена хостов DNS ограничены 255 символами.

Дэн Камински предложил интересное решение этих проблем. По сути, он туннелировал IP через DNS, используя кодировку Base32. Такое многоуровневое протоколирование учитывает ограничения UDP. Чтобы увеличить размер, Камински использовал расширение EDNS0, указанное в RFC 2671. Он выпустил доказательство концепции в виде скриптов OzymanDNS Perl.

Кстати, меня заинтересовало название OzymanDNS. Я немного покопался. Это отсылка к комиксам «Хранители», которая, в свою очередь, восходит к египетскому фараону. Ничто так не говорит о тайных писаниях, как комиксы и фараоны.

В любом случае, скрытые каналы через DNS практичны. С помощью некоторых умных манипуляций с протоколом бинарные файлы и даже просмотр веб-страниц можно туннелировать через DNS.

Преимущества безопасности малого бизнеса

С тех пор как Раф Лос (@Wh1t3Rabbit) опубликовал свой подкаст в понедельник, у меня состоялось несколько замечательных бесед. Много разговоров было о некоторых преимуществах, которые у нас есть.

Во-первых, информационная безопасность — это проблема масштабирования.

У меня есть эмпирическое кадровое правило. Я уже выкладывал, но повторюсь. Возьмите сотрудников, сетевые устройства и персонал ИТ-поддержки. Безопасность составляет 1 FTE на 1 тыс. сотрудников, 1 FTE на 5 тыс. устройств или 1 FTE на 20 ИТ-сотрудников. Большинство специалистов по безопасности, с которыми я разговаривал, попадают в этот диапазон, независимо от того, работают ли они с транснациональными компаниями или семейными магазинами.

Это относится к моему случаю. Я посвящаю 25% безопасности. У меня 250 конечных пользователей и около тысячи конечных точек, серверов, коммутаторов, маршрутизаторов и брандмауэров. К счастью, у нас больше пяти ИТ-специалистов, но вы поняли.

Масштабы проблем безопасности остаются неизменными независимо от масштаба. Но у нас, представителей малого и среднего бизнеса, есть несколько уникальных возможностей.

У специалистов по информационной безопасности на уровне малого и среднего бизнеса есть преимущества.

Охват. Между нами и исполнительным руководством меньше прослоек. Директивы на уровне правления могут напрямую входить в наше планирование безопасности. Между нами и рядовыми сотрудниками меньше прослоек. Средства контроля безопасности могут влиться прямо в их повседневную деятельность. Коммуникации проще в небольших организациях.

Гибкость. Если вы армия из одного человека, для полководческого мастерства требуется не так много времени. Реакция и ответ могут быть быстрее. Процесс и процедуру можно сократить в пользу действий и реализации.

Сотрудничество. Обеспечение безопасности означает получение поддержки со стороны группы ИТ-операций, группы разработки программного обеспечения, специалистов по ИТ-инженерии, руководителей проектов, бизнес-аналитиков и ИТ-руководителей. С отдельными командами это может означать значительную работу только для того, чтобы ориентироваться в политике. Когда все люди работают в одной команде, можно потратить больше времени на реализацию и меньше на переговоры.

От начала до конца. Один специалист по информационной безопасности в компании с менее чем 5 тыс. устройств может держать в голове всю сеть. Два выделенных FTE и устройства 10K, и вы в конечном итоге естественным образом разделите работу между собой. Достигните 100 000 устройств, защищенных 20 специалистами по информационной безопасности, и один человек, знающий каждую гайку и болт, станет невозможным.

Небольшая сеть может быть очень безопасной.

Пробелы в системе безопасности возникают из-за того, что люди создают элементы управления безопасностью в вакууме, безотносительно к миссии организации. Ошибки в безопасности исходят от людей, работающих на передовой, не имеющих представления о контрольной среде. Недостатки возникают из-за проектов без задач безопасности, из-за систем, которые запускаются без проверки безопасности, и из-за встроенных функций безопасности. Недостатки и слабости возникают из-за разрыва ответственности между командами и между людьми.

Специалист по безопасности в малом и среднем бизнесе может внести значительный вклад в свою организацию.

Подкаст об эффективной безопасности малого бизнеса

«Как вы думаете, команда из одного человека уже проиграла битву? Прямо из ворот? Есть ли у него шанс? Есть ли у человека шанс?» — Майкл Аллен (@_Dark_Knight_)

Мы проиграли битву? С одной стороны, мы говорим, что важно не то, произойдет ли нарушение, а когда. С другой стороны, мы говорим, что все мы в одном прорыве от безработицы. Что это говорит нам о поле информационной безопасности?

Нам нужно место за столом.

Большинство из нас начали заниматься безопасностью, когда, если бы вы знали, как установить контакты на модеме и знали, как вводить правила брандмауэра в текстовом редакторе, наши пользователи считали бы нас рок-звездами. Они зависели от нас. А мы, в свою очередь, зависели от их зависимости, чтобы обеспечить надежную работу.

Это уже не так. Сегодня люди более технически подкованы и охотнее ищут информацию в Google. Множество новых компаний с модными словечками от облака до ИТ-консьюмеризации позволяют пользователям делать именно это. Люди больше не зависят от нас.

Возможно, мы стали слишком зависимы от их зависимости. Мы больше не получаем места за столом. У нас больше нет бесплатного проезда. Мы больше не участвуем в дискуссиях о новых технологиях. И тогда мы начинаем беспокоиться о том, что все технологии развертываются в наших организациях без надлежащей проверки безопасности и контроля.

Мы должны заработать место за столом.

Раф Лос (@Wh1t3Rabbit) был в авангарде этих изменений. Из своего блога, из своих презентаций на B-Sides Detroit и повсюду, а также из своего подкаста Раф доводит до конца суть дела. На этой неделе мы с Майклом Алленом были гостями его подкаста «Вниз по кроличьей норе». Тема — информационная безопасность в сфере малого и среднего бизнеса. У нас был фантастический разговор о том, что сегодня означает безопасность.

Не знаете, как занять место за столом? Чувствуете, что уже проиграли битву? Проведите некоторое время, следя за Wh1t3Rabbit.

Руководство по удалению вредоносных программ для Windows

В прошлые выходные я был на семейном мероприятии. Как это часто бывает на таких мероприятиях, разговор идет примерно так:

Они: «О, вы занимаетесь компьютерной безопасностью?Я получил этот вирус. Что мне делать?»

Я: "Э-э... Ну, это не совсем то, чем я занимаюсь".

Заразиться вредоносным ПО в корпоративном мире несложно. Во-первых, мы следим за исправлениями. Это предотвратит многие инфекции. Во-вторых, у нас есть антивирусное ПО с обновленными сигнатурами. Это улавливает то, что проходит. Наконец, если компьютеры заразятся, у нас есть серебряная пуля. Простое повторное создание образа вернет все в прежнее состояние.

Людям дома не так повезло. Переустановка образа для них не спасает, потому что это часто означает потерю ценных данных и приложений.

До недавнего времени единственным моим советом была перезагрузка. Затем Брайан @ Select Real Security опубликовал подробное руководство по удалению вредоносных программ. Теперь у меня есть лучший ответ. «У меня есть этот вирус. Что я должен делать?" Ознакомьтесь с этим руководством.

"Это руководство поможет вам очистить компьютер от вредоносных программ. Если вы считаете, что ваш компьютер заражен вирусом или другим вредоносным программным обеспечением, вы можете воспользоваться этим руководством. Он содержит инструкции, которые, если все сделано правильно и по порядку, удалят большинство вредоносных программ в операционной системе Windows. В нем представлены инструменты и ресурсы, необходимые для очистки вашей системы».

Неверный урок DigiNotar

Люди уже говорят, что это доказывает, что нарушения безопасности ИТ выводят компании из бизнеса.

Я считаю, что это неверный урок.

Возьмем четыре компании с громкими нарушениями: DigiNotar, Distribute.IT, Sony и TJXX. DigiNotar обанкротился. Распространять.ИТ? Закрыт. Sony вернулась к работе (обновив соглашение об уровне обслуживания). TJX не пострадал.

Так почему же TJX выжил? Поначалу в этом нет особого смысла. Но рассмотрите нападение с точки зрения его влияния на миссию организации.

TJX продается в розницу и имеет достаточно глубокие карманы. Атака не столько повлияла на его способность продавать продукцию. За исключением падения во время атаки, TJX не понесла экономического ущерба.

Sony занимается предоставлением доступа к своим услугам. Хотя атака не обязательно была связана с доступностью, атака серьезно повлияла на способность Sony связаться с клиентом. Однако у них глубокие карманы, и они возвращаются. Смысл соглашения об уровне обслуживания и соглашений об условиях заключается в том, чтобы свести к минимуму расходы, связанные с будущими нарушениями.

Distribute.IT занималась хостингом. Их работа заключалась в том, чтобы сайты других компаний оставались онлайн, доступными и защищенными. Атака была атакой доступности, которая усугубилась из-за неправильного управления резервными копиями данных. Distribute.IT, без денежных резервов и без каких-либо средств, чтобы вернуться к делу, был мертв в воде.

Атака на DigiNotar нанесла удар по самой сути их бизнеса. Миссия центра сертификации заключается в защите сертификатов и обеспечении их выдачи только законным лицам. Мы говорим об атаках на надежность и подлинность против компании, которая продает надежную и аутентичную услугу безопасности. Кроме того, из-за ограниченного охвата DigiNotar (менее 2 % хостов SSL) производители браузеров практически не рисковали удалить корневой каталог DigiNotar.

Урок здесь заключается в том, что элементы управления безопасностью должны быть оформлены в контексте миссии организации. Нарушения можно выветрить, если воздействие слабое или в области за пределами основной миссии. Нарушения безопасности выводят компании из бизнеса только в том случае, если меры контроля не приспособлены к организации должным образом и когда финансовые последствия серьезны.

Альянс облачной безопасности в юго-восточном Мичигане

Сегодня утром в Детройте открылось новое отделение Cloud Security Alliance (CSA). Новое отделение будет обслуживать Юго-Восточный Мичиган. В то время как некоторые группы ориентированы на общение и создание сетей, CSA SE MI стремится выделиться, активно работая над проектами. Поскольку у меня работает частное облако и я присматриваюсь к предложениям общедоступного облака, я рад внести свой вклад в совокупность знаний.

Отчет о вызове 29c3 CTF «Что это?»

Подзаголовок: "Как захватить флаг за двенадцать простых дней"

В этом году на 29-м конгрессе Chaos Communication Congress (29C3) было проведено онлайн-мероприятие по захвату флага (CTF). Было несколько проблем, которые вы можете увидеть на странице времени CTF для 29c3 CTF. Я потратил большую часть времени на вызов «Что это?». Подсказкой был файл захвата USB-пакетов с именем what_this.pcap.

Первое, что мы сделали, это запустили строку what_this.pcap и просмотрели строки ASCII и Unicode в захваченном файле. ASCII: CASIO DIGITAL_CAMERA 1.00, FAT16, ACR122U103h. Юникод: CASIO QV DIGITAL, CASIO COMPUTER, USB-ридер CCID.

Предположение? Человек работает под управлением Linux с клавиатурой, камерой Casio и считывателем смарт-карт (CCID), подключенным через USB. Карта Mifare Classic (ACR122U103) вставляется в считывающее устройство CCID. Камера монтируется (FAT16) и файл или файлы считываются с устройства.

Есть ряд проблем с этим методом анализа нажатий клавиш. Во-первых, когда клавиша удерживается слишком долго, мы получаем несколько букв (dmeesg). Во-вторых, игнорируются специальные клавиши, такие как Shift и Backspace. Я переделал свой синтаксический анализатор так, чтобы он читал байты 1, 2 и 3. Первый байт в клавиатурном пакете указывает, нажат ли сдвиг или нет. Второй байт — это символ (включая такие клавиши, как ввод и возврат). Третий байт — это код ошибки для повторяющихся символов. Используя эту информацию, я сопоставил таблицы использования HID с документацией Microsoft SendKeys и воспроизвел файл пакета в Блокноте.

Тяжелую работу по поиску UID проделал j3remy. Он следовал руководству по API ACR122U и отслеживал звонки/ответы. Например, frame.number==1954 читает Data: ff 00 00 00 02 d4 02, или получает (ff) прошивку (2d d4). Ответ приходит в кадре.номер==1961 Данные: 61 08, 8 байт идут с прошивкой. Затем номер кадра == 1966, данные: ff c0 00 00 00 08, получить (ff) прочитать (c0) 8 байтов (08). И картридер возвращает прошивку d5 03 32 01 06 07 90 00 в кадр.номер==1973. j3remy аналогичным образом проанализировал сообщения и нашел frame.number==3427, который гласит: d54b010100440007049748ba3423809000

Следующим шагом было правильное форматирование UID, поскольку команда nfc-list отобразит его. Это потребовало некоторых усилий. По сути, перед ATQA есть 4 пробела, перед UID — 7 пробелов, а перед SAK — 6 пробелов. После : и перед шестнадцатеричным значением есть один пробел. Каждое шестнадцатеричное значение имеет двойной интервал. Имея это в виду, мы создали файл nfc-list.txt:

Определение интервала заняло некоторое время. Как только он у нас появится, мы сможем запустить cat | грэп | dd и правильно вернуть 26 байт символов ASCII.

кот $f | aespipe -p 3ls -d 3 "`cat nfc-list.txt | UID группы | вырезать -d '' -f 10-| dd bs=13 count=2` “
готово

Так оно и было. В файле flag1746, в frame.number==1746, от камеры Casio (устройство 26.1) до компьютера (хост) мы нашли массив байтов, который правильно расшифровался до:

Что еще, собственно? Хорошо сыграно.

Не очень безопасные реализации SecureString

// Какой-то не очень безопасный код SecureString, который я написал по ошибке
private void button1 _Click ( object sender, RoutedEventArgs e )
secretString = new SecureString() ;
foreach ( char c в textBox1 . Text .ToCharArray() ) < secretString . AppendChar (с); >
текстовое поле1 . Текст = "";
>

Что случилось? В обоих случаях значение передавалось в SecureString в виде открытого текста. SecureString зашифрован, однако исходный ввод — нет. Это входное значение может оставаться в памяти в течение длительного времени (в зависимости от того, что делает базовая ОС Windows).

Ниже приведены некоторые примеры заполнения SecureString таким образом, чтобы пароль не отображался в открытом виде. Как говорится, доверяй, но проверяй. В этом случае доверяйте методу, но для уверенности проверьте с помощью Memoryze или Imager.

// Еще один пример кода SecureString
private void button1 _Click ( отправитель объекта, RoutedEventArgs e )
secretString = passwordBox.SecurePassword;
passwordBox1.Clear();
>

Социальная иллюзия Стивена Фокса

Стивен Фокс (@SecureLexicon) провел серию лекций о создании социальных иллюзий. В прошлую пятницу я присоединился к Стивену в EMU, где он выступал в рамках серии летних семинаров EMU IA. Тема была целевая. Стивен продемонстрировал использование Maltego для создания электронной почты, а Эван Маламис показал, как с помощью Social Engineer Toolkit можно использовать и распространять электронную почту.

Предположим, Стивен намеренно нацелился на кого-то, кто посещал BSidesDetroit. Как должно выглядеть электронное письмо и от кого оно должно быть отправлено?

Первое, что сделал Стивен, – создал узловой граф социальной сети из BSidesDetroit. Просматривая график, стало очевидно, что между Мэттом Джонсоном, Дереком Томасом и мной существует тесная сетевая связь. Раздалось «ах-ха!» момент, когда Стивен объяснил, как сообщение цели может быть отправлено любым из нас троих.

Теперь какую тему следует использовать в электронном письме? Стивен обратил внимание на Maltego и указал на интересную связь между BSidesDetroit и BSidesChicago. Поэтому он построил график BSidesChicago и искал пересечения. Оттуда он исследовал, как эти пересечения касаются Мэтта, Дерека и меня.

Насколько успешной была эта подделка? Рассмотрим следующие три доказательства.

Как только это объяснили, другой человек сказал: "Забавно, что вы упомянули круиз. Я бы нажал на нее, потому что помню, как Элизабет Мартин говорила о круизе на лодке в Детройте». Оказалось, что память человека приспосабливается к фактам, которые он видел перед собой. Посоветовавшись с Элизабет, она вообще не говорила о круизе во время BSidesDetroit.

На самом деле, шумиха в Твиттере предшествовала тому, чтобы я связался с Элизабет Мартин.Вся эта шумиха привела Элизабет к логическому выводу, что круиз есть, и она целый час искала лодки для нашего мероприятия. Позже она написала в Твиттере: «Самое приятное то, что я думала, что должна планировать круиз, поэтому начала над этим работать!»

Подумайте об этом на мгновение. Стивен Фокс эффективно изобрел событие. Он создал сообщение настолько точное, что оно заставило людей запомнить его, заставило людей поверить, что это действительно происходит, и эффективно создало собственную реальность. Разговор о создании социальных иллюзий!

Программная поддержка надежности пароля

Xkcd — это QED в нашей отрасли. Хотите доказательства? Посмотрите комикс Рэндалла Манро о надежности пароля.

Длинные фразы каждый раз лучше перепутанных паролей. Взлом «Correcthorsebatterystaple» займет значительно больше времени, чем, скажем, «p@ssw0rd». Учитывая это, вы можете задаться вопросом, почему индустрия не перешла на более длинные фразы. Я виню продавцов. Есть ряд приложений, которые я поддерживаю, и веб-сайты, которые я посещаю, которые по-прежнему ограничивают пароли до 14 символов. Более того, многие явно для предотвращения спецсимволов. Проблема с программной поддержкой.

Есть и другие проблемы. Прочтите сегодняшнюю статью «Темное чтение», чтобы узнать о плюсах и минусах использования фраз.

Некоторые корпоративные пользователи хотят, чтобы они могли вводить фразы, но они сталкиваются с технологическим отставанием в мире программного обеспечения и управления идентификацией, что препятствует этому желанию.

"Одна из причин (организации не используют фразы-пароли) – это большое количество программных приложений, не поддерживающих длинные или сложные фразы-пароли", – говорит Дж. Вольфганг Гёрлих, менеджер по сетевым операциям и безопасности одной из компаний, предоставляющих финансовые услуги на Среднем Западе. «Длина и специальные символы кажутся проблемой для некоторых поставщиков. Иногда это называют технологическим долгом. Многие ИТ-отделы должны поддерживать набор приложений, которые не были обновлены с учетом современных рекомендаций по безопасности».

Скрытые каналы DNS

На каникулах я развлекаюсь с DNS и скрытыми каналами.

В простейшем случае DNS можно использовать в качестве скрытого текстового канала. Клиент DNS отправляет сообщение через поиск CNAME. DNS-сервер отправляет сообщение в ответ через ответ CNAME. Используя этот процесс, можно передавать туда и обратно любую последовательность символов.

Что делать, если нам нужно сделать больше? Скажем, передать файл? Или даже просматривать веб-страницы? Ответ здесь — кодировка текста.

Большинство ИТ-специалистов пришли бы к выводу, что трафик просто должен быть закодирован в Base64. Есть небольшая морщинка. Запросы DNS CNAME поддерживают только 63 символа: строчные буквы алфавита, прописные буквы, цифры и тире (-). Кодировка Base64 отключена.

Следующая возможность — кодировка Base32. Хотя он используется нечасто, он вписывается в DNS RFC и поэтому работает сразу после установки.

Недостатком Base32 по сравнению с DNS является размер полезной нагрузки пакета и количество передаваемых данных. DNS — это UDP, и поэтому он может страдать от потери пакетов. Кроме того, пакеты могут быть только определенной длины. Имена хостов DNS ограничены 255 символами.

Дэн Камински предложил интересное решение этих проблем. По сути, он туннелировал IP через DNS, используя кодировку Base32. Такое многоуровневое протоколирование учитывает ограничения UDP. Чтобы увеличить размер, Камински использовал расширение EDNS0, указанное в RFC 2671. Он выпустил доказательство концепции в виде скриптов OzymanDNS Perl.

Кстати, меня заинтересовало название OzymanDNS. Я немного покопался. Это отсылка к комиксам «Хранители», которая, в свою очередь, восходит к египетскому фараону. Ничто так не говорит о тайных писаниях, как комиксы и фараоны.

В любом случае, скрытые каналы через DNS практичны. С помощью некоторых умных манипуляций с протоколом бинарные файлы и даже просмотр веб-страниц можно туннелировать через DNS.

Преимущества безопасности малого бизнеса

С тех пор как Раф Лос (@Wh1t3Rabbit) опубликовал свой подкаст в понедельник, у меня состоялось несколько замечательных бесед. Много разговоров было о некоторых преимуществах, которые у нас есть.

Во-первых, информационная безопасность — это проблема масштабирования.

У меня есть эмпирическое кадровое правило. Я уже выкладывал, но повторюсь. Возьмите сотрудников, сетевые устройства и персонал ИТ-поддержки. Безопасность составляет 1 FTE на 1 тыс. сотрудников, 1 FTE на 5 тыс. устройств или 1 FTE на 20 ИТ-сотрудников. Большинство специалистов по безопасности, с которыми я разговаривал, попадают в этот диапазон, независимо от того, работают ли они с транснациональными компаниями или семейными магазинами.

Это относится к моему случаю. Я посвящаю 25% безопасности. У меня 250 конечных пользователей и около тысячи конечных точек, серверов, коммутаторов, маршрутизаторов и брандмауэров. К счастью, у нас больше пяти ИТ-специалистов, но вы поняли.

Масштабы проблем безопасности остаются неизменными независимо от масштаба. Но у нас, представителей малого и среднего бизнеса, есть несколько уникальных возможностей.

У специалистов по информационной безопасности на уровне малого и среднего бизнеса есть преимущества.

Охват. Между нами и исполнительным руководством меньше прослоек.Директивы на уровне правления могут напрямую входить в наше планирование безопасности. Между нами и рядовыми сотрудниками меньше прослоек. Средства контроля безопасности могут влиться прямо в их повседневную деятельность. Коммуникации проще в небольших организациях.

Гибкость. Если вы армия из одного человека, для полководческого мастерства требуется не так много времени. Реакция и ответ могут быть быстрее. Процесс и процедуру можно сократить в пользу действий и реализации.

Сотрудничество. Обеспечение безопасности означает получение поддержки со стороны группы ИТ-операций, группы разработки программного обеспечения, специалистов по ИТ-инженерии, руководителей проектов, бизнес-аналитиков и ИТ-руководителей. С отдельными командами это может означать значительную работу только для того, чтобы ориентироваться в политике. Когда все люди работают в одной команде, можно потратить больше времени на реализацию и меньше на переговоры.

От начала до конца. Один специалист по информационной безопасности в компании с менее чем 5 тыс. устройств может держать в голове всю сеть. Два выделенных FTE и устройства 10K, и вы в конечном итоге естественным образом разделите работу между собой. Достигните 100 000 устройств, защищенных 20 специалистами по информационной безопасности, и один человек, знающий каждую гайку и болт, станет невозможным.

Небольшая сеть может быть очень безопасной.

Пробелы в системе безопасности возникают из-за того, что люди создают элементы управления безопасностью в вакууме, безотносительно к миссии организации. Ошибки в безопасности исходят от людей, работающих на передовой, не имеющих представления о контрольной среде. Недостатки возникают из-за проектов без задач безопасности, из-за систем, которые запускаются без проверки безопасности, и из-за встроенных функций безопасности. Недостатки и слабости возникают из-за разрыва ответственности между командами и между людьми.

Специалист по безопасности в малом и среднем бизнесе может внести значительный вклад в свою организацию.

Подкаст об эффективной безопасности малого бизнеса

«Как вы думаете, команда из одного человека уже проиграла битву? Прямо из ворот? Есть ли у него шанс? Есть ли у человека шанс?» — Майкл Аллен (@_Dark_Knight_)

Мы проиграли битву? С одной стороны, мы говорим, что важно не то, произойдет ли нарушение, а когда. С другой стороны, мы говорим, что все мы в одном прорыве от безработицы. Что это говорит нам о поле информационной безопасности?

Нам нужно место за столом.

Большинство из нас начали заниматься безопасностью, когда, если бы вы знали, как установить контакты на модеме и знали, как вводить правила брандмауэра в текстовом редакторе, наши пользователи считали бы нас рок-звездами. Они зависели от нас. А мы, в свою очередь, зависели от их зависимости, чтобы обеспечить надежную работу.

Это уже не так. Сегодня люди более технически подкованы и охотнее ищут информацию в Google. Множество новых компаний с модными словечками от облака до ИТ-консьюмеризации позволяют пользователям делать именно это. Люди больше не зависят от нас.

Возможно, мы стали слишком зависимы от их зависимости. Мы больше не получаем места за столом. У нас больше нет бесплатного проезда. Мы больше не участвуем в дискуссиях о новых технологиях. И тогда мы начинаем беспокоиться о том, что все технологии развертываются в наших организациях без надлежащей проверки безопасности и контроля.

Мы должны заработать место за столом.

Раф Лос (@Wh1t3Rabbit) был в авангарде этих изменений. Из своего блога, из своих презентаций на B-Sides Detroit и повсюду, а также из своего подкаста Раф доводит до конца суть дела. На этой неделе мы с Майклом Алленом были гостями его подкаста «Вниз по кроличьей норе». Тема — информационная безопасность в сфере малого и среднего бизнеса. У нас был фантастический разговор о том, что сегодня означает безопасность.

Не знаете, как занять место за столом? Чувствуете, что уже проиграли битву? Проведите некоторое время, следя за Wh1t3Rabbit.

Руководство по удалению вредоносных программ для Windows

В прошлые выходные я был на семейном мероприятии. Как это часто бывает на таких мероприятиях, разговор идет примерно так:

Они: «О, вы занимаетесь компьютерной безопасностью? Я получил этот вирус. Что мне делать?»

Я: "Э-э... Ну, это не совсем то, чем я занимаюсь".

Заразиться вредоносным ПО в корпоративном мире несложно. Во-первых, мы следим за исправлениями. Это предотвратит многие инфекции. Во-вторых, у нас есть антивирусное ПО с обновленными сигнатурами. Это улавливает то, что проходит. Наконец, если компьютеры заразятся, у нас есть серебряная пуля. Простое повторное создание образа вернет все в прежнее состояние.

Людям дома не так повезло. Переустановка образа для них не спасает, потому что это часто означает потерю ценных данных и приложений.

До недавнего времени единственным моим советом была перезагрузка. Затем Брайан @ Select Real Security опубликовал подробное руководство по удалению вредоносных программ. Теперь у меня есть лучший ответ. «У меня есть этот вирус. Что я должен делать?" Ознакомьтесь с этим руководством.

"Это руководство поможет вам очистить компьютер от вредоносных программ.Если вы считаете, что ваш компьютер заражен вирусом или другим вредоносным программным обеспечением, вы можете воспользоваться этим руководством. Он содержит инструкции, которые, если все сделано правильно и по порядку, удалят большинство вредоносных программ в операционной системе Windows. В нем представлены инструменты и ресурсы, необходимые для очистки вашей системы».

Неверный урок DigiNotar

Люди уже говорят, что это доказывает, что нарушения безопасности ИТ выводят компании из бизнеса.

Я считаю, что это неверный урок.

Возьмем четыре компании с громкими нарушениями: DigiNotar, Distribute.IT, Sony и TJXX. DigiNotar обанкротился. Распространять.ИТ? Закрыт. Sony вернулась к работе (обновив соглашение об уровне обслуживания). TJX не пострадал.

Так почему же TJX выжил? Поначалу в этом нет особого смысла. Но рассмотрите нападение с точки зрения его влияния на миссию организации.

TJX продается в розницу и имеет достаточно глубокие карманы. Атака не столько повлияла на его способность продавать продукцию. За исключением падения во время атаки, TJX не понесла экономического ущерба.

Sony занимается предоставлением доступа к своим услугам. Хотя атака не обязательно была связана с доступностью, атака серьезно повлияла на способность Sony связаться с клиентом. Однако у них глубокие карманы, и они возвращаются. Смысл соглашения об уровне обслуживания и соглашений об условиях заключается в том, чтобы свести к минимуму расходы, связанные с будущими нарушениями.

Distribute.IT занималась хостингом. Их работа заключалась в том, чтобы сайты других компаний оставались онлайн, доступными и защищенными. Атака была атакой доступности, которая усугубилась из-за неправильного управления резервными копиями данных. Distribute.IT, без денежных резервов и без каких-либо средств, чтобы вернуться к делу, был мертв в воде.

Атака на DigiNotar нанесла удар по самой сути их бизнеса. Миссия центра сертификации заключается в защите сертификатов и обеспечении их выдачи только законным лицам. Мы говорим об атаках на надежность и подлинность против компании, которая продает надежную и аутентичную услугу безопасности. Кроме того, из-за ограниченного охвата DigiNotar (менее 2 % хостов SSL) производители браузеров практически не рисковали удалить корневой каталог DigiNotar.

Урок здесь заключается в том, что элементы управления безопасностью должны быть оформлены в контексте миссии организации. Нарушения можно выветрить, если воздействие слабое или в области за пределами основной миссии. Нарушения безопасности выводят компании из бизнеса только в том случае, если меры контроля не приспособлены к организации должным образом и когда финансовые последствия серьезны.

Альянс облачной безопасности в юго-восточном Мичигане

Сегодня утром в Детройте открылось новое отделение Cloud Security Alliance (CSA). Новое отделение будет обслуживать Юго-Восточный Мичиган. В то время как некоторые группы ориентированы на общение и создание сетей, CSA SE MI стремится выделиться, активно работая над проектами. Поскольку у меня работает частное облако и я присматриваюсь к предложениям общедоступного облака, я рад внести свой вклад в совокупность знаний.

Этан Гейтс — аналитик по сохранению программного обеспечения в библиотеке Йельского университета. В настоящее время он работает в основном над проектом "Масштабирование инфраструктуры эмуляции и сохранения программного обеспечения" (сокращенно EaaSI). Он начал, как и многие люди, использовать эмуляторы для доступа к туманным легальным портам Nintendo на своем ноутбуке и исследовал использование этой технологии в контексте изучения архивов и СМИ как минимум с 2016 года.

Клэр Фокс — медиаархивист и выпускница магистерской программы Нью-Йоркского университета по архивированию и сохранению движущихся изображений в 2020 году. Летом 2019 года она проходила стажировку в YUL, работая над проектом EaaSI.

Несколько вопросов для размышления/для начала:

  • Использовали ли вы раньше эмулятор? Зачем?
  • Какое ваше самое раннее воспоминание об использовании компьютера? Какое программное обеспечение/приложение вы использовали?
  • Были ли у вас когда-нибудь проблемы с открытием старого файла? Что вы сделали, чтобы исправить или обойти проблему?

Ключевые моменты

  • Помните свое самое раннее программное обеспечение/компьютер, которым вы когда-либо пользовались. Мы постараемся вернуться к нему позже!

Обзор

  • Что такое эмулятор?

  • Что такое виртуальная машина?

  • Как разобрать компьютер на составные части?

  • Рассмотрите компьютер как физический объект с отдельными дискретными компонентами

  • Перевести каждый компонент в его виртуальный эквивалент

  • Как определить эмуляцию и виртуализацию

Что такое эмуляция?

В вычислительной технике эмуляция – это представление аппаратного эквивалента в программном обеспечении. Это позволяет нам:

Чтобы понять, как это достигается, стоит вернуться к вопросу об оборудовании. Что именно мы пытаемся представить?

В вычислительной среде под «аппаратным обеспечением» понимаются фиксированные физические компоненты: монитор, мышь, клавиатура, оперативная память, ЦП, графическая и звуковая карты и т. д. Как минимум, вам нужен ЦП. и метод связи с ним, и все остальные части технически необязательны. Но некоторая комбинация этих других компонентов, очевидно, очень и очень распространена.

И хотя это не является строго обязательным, мы обычно взаимодействуем с компьютерами, добавляя дополнительный контент или программное обеспечение в загрузочную систему: фотографии вашей семьи, такие игры, как The Oregon Trail, установщик Adobe PhotoShop, зашифрованные документы, переданные вашим другом-осведомителем - что угодно. Хотя Интернет стал основным способом обмена дополнительным контентом, исторически это часто делалось с помощью портативных съемных устройств хранения, таких как дискеты, компакт-диски, внешние жесткие диски, USB-накопители и т. д.

Так что же значит перевести все это в виртуальную среду?

Все эти фиксированные физические компоненты будут обрабатываться эмуляторами. Эмуляторы — это приложения (программы), которые имитируют поведение аппаратного обеспечения. По сути, вы будете вставлять эмулятор в качестве дополнительного уровня в свой обычный вычислительный стек, чтобы обмануть старые загружаемые системы и дополнительный контент или программное обеспечение, заставляя их видеть другое/ устаревшее оборудование, а не реальный ноутбук или настольный компьютер, который вы используете прямо сейчас.

Подобно тому, как за всю историю вычислительной техники существовало множество производителей аппаратного обеспечения и систем, существует множество эмуляторов, созданных разработчиками и энтузиастами для воссоздания этого разнообразия. Часто разные эмуляторы лучше имитируют разные типы оборудования — вам понадобится другое приложение, если вы пытаетесь эмулировать Mac или ПК, или если вы пытаетесь эмулировать BBC Micro или Raspberry Pi 2018 года.

Вот несколько распространенных примеров популярных эмуляторов и оборудования, которое они пытаются воссоздать:

    - Компьютеры Mac на базе PowerPC - универсальный ПК, оптимизированный для MS-DOS - Компьютеры серии Commodore - Компьютеры серии Atari ST/STE/TT/Falcon

Примечание о создании образа диска

Устройства хранения данных, содержащие загружаемые системы и дополнительный контент (жесткие диски, дискеты, компакт-диски и т. д.), преобразуются в виртуальную среду с помощью процесса, называемого созданием образа диска. Образ диска — это файл, содержащий как содержимое, так и структуру устройства хранения; другими словами, побитовая копия того физического устройства, которое сейчас существует виртуально. Эмуляция очень часто зависит от образов дисков (и некоторые из них были предоставлены для прохождения этого руководства) — эмулятор без образа загрузочного диска так же полезен, как MacBook без MacOS.

Создание образов дисков с физических носителей — это самостоятельный процесс, который мы не будем рассматривать в этом уроке. Мы предположим, что создание образа диска уже произошло, и продолжим оттуда, чтобы продемонстрировать, как эмуляторы используют образы дисков для создания виртуальной среды. Для получения дополнительной информации об архивном качестве изображений мы настоятельно рекомендуем ресурсы, предоставленные нашими друзьями в консорциуме BitCurator.

Эмуляция, виртуализация и виртуальные машины

Мы обсуждали вычислительную «среду», чтобы в широком смысле охватить все, из которых состоит компьютер: не только аппаратное обеспечение, но и программное обеспечение, файлы и настройки, которыми вы управляете и персонализируете как пользователь. Эмуляторы и образы дисков помогают нам перенести это взаимодействие из физического в виртуальное пространство.

Вместо виртуальной «среды» вы могли бы справедливо назвать то, что мы делаем с эмуляцией, созданием виртуальной машины или ВМ. И действительно, вы увидите, что этот термин, как и виртуализация, часто встречается в Интернете в контексте, аналогичном эмуляции. Различие между эмуляцией и виртуализацией очень техническое и в значительной степени зависит от контекста, поэтому его стоит уточнить, прежде чем мы продолжим.

Как отмечалось выше, эмуляция — это воссоздание аппаратного обеспечения в программном обеспечении. На высоком уровне ее целью является преодоление несовместимости и устаревания. Без эмулятора невозможно запустить игру для SNES на настольном компьютере или, например, запустить программу Apple II в Windows. Гостевая система (операционная система Apple II) и хост (скажем, современный ноутбук Dell) принципиально не способны взаимодействовать друг с другом иначе.

Виртуализация также относится к процессу создания виртуальных машин и настройки «гостевой» системы на «хосте». Но обычно это относится к случаям, когда гостевая система полностью совместима с оборудованием хоста, но пользователь хочет иметь возможность запускать две или более разных операционных систем или хочет изолировать некоторые из своих приложений и файлов. , или иным образом имеет причину разделить свой единственный компьютер на несколько компьютеров. Здесь мы можем снова вернуться к нашему примеру с современным ноутбуком Dell — этот ноутбук Dell вполне способен работать под управлением либо Windows 10, или Ubuntu 18.04 для своей операционной системы, но не обеих одновременно. в то же время. Но вы можете запустить Windows 10 в качестве «хоста» с виртуальной машиной Ubuntu в качестве «гостя» с помощью программы виртуализации и воспользоваться преимуществами приложений, написанных для обеих операционных систем.

Виртуализация связана не столько с преодолением несовместимости и устаревания, сколько с управлением аппаратными ресурсами и их разделением (например, современный Интернет в значительной степени работает на усиленных серверных стойках, которые разделены на виртуальные машины для управления и размещения различных веб-сайтов). это более эффективно, чем настраивать отдельный физический компьютер для каждого сайта в Интернете). Это также обычно намного быстрее, чем эмуляция, потому что программы, работающие в виртуализации, по-прежнему напрямую взаимодействуют с оборудованием, а не проходят через дополнительные уровни и уровни программного обеспечения.

Однако, как ни странно, некоторые программы способны и к эмуляции, и к виртуализации. Популярными примерами являются VirtualBox, VMWare и QEMU. QEMU может либо виртуализировать Windows 10, либо эмулировать Mac OS 9.2. Строка «совместимость» также может быть запутанной и иногда не имеет ничего общего с нашими обычными маркерами возраста или устаревания: есть программное обеспечение, изначально написанное в 1980-х годах для MS-DOS, которое, вероятно, вполне может работать на современном оборудовании с помощью виртуализации. .

Все это говорит о том, что в оставшейся части этого урока мы будем ссылаться исключительно на эмуляцию, потому что контекстуально мы пытаемся «воскресить» восстановленные данные, и эта цель чаще всего связана с созданием виртуальные машины с помощью эмуляции, а не виртуализации. Но чем дальше вы продвигаетесь в этой работе, тем больше вероятность того, что эти термины появятся в ходе устранения неполадок и исследований. И чем больше специалисты в области цифрового хранения думают о том, как упреждающе защищать современные цифровые материалы и вычислительные среды, тем более актуальной становится виртуализация.

Сопоставление аппаратных компонентов с приложениями-эмуляторами

Дополнительная трудность при работе с эмуляторами заключается в том, что для вычислительных сред практически нет «управляемых словарей». Таким образом, разные эмуляторы могут ссылаться на более или менее одно и то же, просто используя разные слова в своих меню и на страницах поддержки.

  • 64 МБ ОЗУ.
  • стандартная графическая карта качества VGA (с разрешением 640 x 480 по умолчанию)
  • дисковод для гибких дисков (с установленным фиктивным/демонстрационным образом дискеты)
  • жесткий диск (с установленной MS-DOS 6.22)
  • привод компакт-дисков/оптических дисков (с установленным фиктивным/демонстрационным образом компакт-диска)
  • звуковая карта SoundBlaster 16 для приятных мелодий
  • сетевая карта AMD PCNET для работы в Интернете

Выбранные настройки в обоих приложениях, по сути, выбирают одно и то же оборудование для эмуляции, но сообщают о нем по-разному (и возможно, что ни один из них не относится к устройству так, как вы бы это делали в повседневной жизни). разговор, когда думаешь об использовании или покупке физической машины). И оба эти приложения предназначены либо для эмуляции, либо для виртуализации обычных ПК!

Читайте также: