HACKTIVITY კონფერენცია 2012. Big Bang Theory: The Evolution of Security Pentesting. Მე -2 ნაწილი

HACKTIVITY კონფერენცია 2012. Big Bang Theory: The Evolution of Security Pentesting. Მე -1 ნაწილი

ახლა ჩვენ შევეცდებით SQL-ის ინექციის სხვა გზას. ვნახოთ, განაგრძობს თუ არა მონაცემთა ბაზა შეცდომის შეტყობინებებს. ამ მეთოდს ჰქვია „დაყოვნების მოლოდინი“, ხოლო თავად დაყოვნება იწერება შემდეგნაირად: Wait for delay 00:00:01'. მე ვაკოპირებ ამას ჩვენი ფაილიდან და ჩასვით მას ჩემი ბრაუზერის მისამართის ზოლში.

ამ ყველაფერს ჰქვია „ბრმა SQL ინექცია დროებით საფუძველზე“. ყველაფერი, რაც ჩვენ აქ ვაკეთებთ, არის იმის თქმა, რომ „დაელოდე 10 წამის დაგვიანებას“. თუ შეამჩნევთ, ზედა მარცხენა მხარეს გვაქვს წარწერა "დაკავშირება ...", ანუ რას აკეთებს ჩვენი გვერდი? ის ელოდება კავშირს და 10 წამის შემდეგ თქვენს მონიტორზე გამოჩნდება სწორი გვერდი. ამ ხრიკით ვთხოვთ მონაცემთა ბაზას, რომ მას კიდევ რამდენიმე შეკითხვა დავუსვათ, მაგალითად, თუ მომხმარებელი ჯოა, მაშინ უნდა დაველოდოთ 10 წამს. Ნათელია? თუ მომხმარებელი არის dbo, დაელოდეთ 10 წამსაც. ეს არის Blind SQL Injection მეთოდი.

მე ვფიქრობ, რომ დეველოპერები არ ასწორებენ ამ დაუცველობას პატჩების შექმნისას. ეს არის SQL ინექცია, მაგრამ ჩვენი IDS პროგრამაც ვერ ხედავს მას, როგორც SQL ინექციის წინა მეთოდები.
ვცადოთ რამე უფრო საინტერესო. დააკოპირეთ ეს ხაზი IP მისამართით და ჩასვით ბრაუზერში. იმუშავა! ჩვენს პროგრამაში TCP ზოლი წითელი გახდა, პროგრამამ აღნიშნა უსაფრთხოების 2 საფრთხე.

კარგი, ვნახოთ რა მოხდა შემდეგ. ჩვენ გვაქვს ერთი საფრთხე XP გარსისთვის და მეორე საფრთხე არის SQL ინექციის მცდელობა. საერთო ჯამში, ვებ აპლიკაციაზე თავდასხმის ორი მცდელობა იყო.

კარგი, ახლა დამეხმარე ლოგიკაში. ჩვენ გვაქვს მონაცემთა გაყალბების პაკეტი, რომელშიც IDS ამბობს, რომ მან უპასუხა XP ჭურვის სხვადასხვა შელახვას.

თუ ქვემოთ ჩავალთ, ვხედავთ HEX კოდების ცხრილს, რომლის მარჯვნივ არის დროშა შეტყობინებით xp_cmdshell + &27ping და აშკარად ეს ცუდია.

ვნახოთ რა მოხდა აქ. რა გააკეთა SQL Server-მა?

SQL სერვერმა თქვა: "შეგიძლიათ გქონდეთ ჩემი მონაცემთა ბაზის პაროლი, შეგიძლიათ მიიღოთ ჩემი მონაცემთა ბაზის ყველა ჩანაწერი, მაგრამ ძმაო, არ მინდა, რომ ბრძანებები ჩემზე გაუშვათ, ეს სულაც არ არის მაგარი"!

რაც ჩვენ უნდა გავაკეთოთ არის იმის უზრუნველყოფა, რომ მაშინაც კი, თუ IDS იტყობინება საფრთხე XP ჭურვისთვის, საფრთხე იგნორირებული იქნება. თუ იყენებთ SQL Server 2005 ან SQL Server 2008, თუ SQL ინექციის მცდელობა გამოვლინდა, ოპერაციული სისტემის გარსი დაიბლოკება, რაც ხელს შეგიშლით მუშაობის გაგრძელებაში. ძალიან მაღიზიანებს. მერე რა ვქნათ? თქვენ უნდა შეეცადოთ სერვერს ჰკითხოთ ძალიან სიყვარულით. უნდა ვთქვა მსგავსი რამ, "გთხოვ, მამა, შემიძლია ეს ნამცხვრები"? ამას ვაკეთებ, სერიოზულად, ძალიან თავაზიანად ვეკითხები სერვერს! მე ვითხოვ მეტ ვარიანტს, ვითხოვ ხელახლა კონფიგურაციას და ვითხოვ XP shell პარამეტრების შეცვლას, რათა ჭურვი ხელმისაწვდომი გახდეს, რადგან ეს მჭირდება!

ჩვენ ვხედავთ, რომ IDS-მა ეს აღმოაჩინა - ხედავთ, აქ უკვე დაფიქსირდა 3 საფრთხე.

უბრალოდ შეხედეთ აქ - ჩვენ ავაფეთქეთ უსაფრთხოების ჟურნალები! ნაძვის ხეს ჰგავს, აქ იმდენი რამეა ჩამოკიდებული! 27 უსაფრთხოების საფრთხე! ჰოოი ბიჭებო, ჩვენ დავიჭირეთ ეს ჰაკერი, მივიღეთ იგი!

ჩვენ არ ვნერვიულობთ, რომ ის ჩვენს მონაცემებს მოიპარავს, მაგრამ თუ მას შეუძლია შეასრულოს სისტემის ბრძანებები ჩვენს "ყუთში" - ეს უკვე სერიოზულია! შეგიძლიათ დახაზოთ ტელნეტის მარშრუტი, FTP, შეგიძლიათ აიღოთ ჩემი მონაცემები, ეს მაგარია, მაგრამ მე ამაზე არ ვნერვიულობ, უბრალოდ არ მინდა, რომ ჩემი "ბოქსის" გარსი დაიკავოთ.

მინდა ვისაუბრო იმ საკითხებზე, რამაც ნამდვილად დამაფიქრა. ვმუშაობ ორგანიზაციებში, მათში ვმუშაობ მრავალი წელია და ამას იმიტომ გეუბნები, რომ ჩემი შეყვარებული უმუშევარი ვარ. ის ფიქრობს, რომ მე მხოლოდ სცენაზე ვდგები და ვსაუბრობ, ეს არ შეიძლება ჩაითვალოს სამუშაოდ. მაგრამ მე ვამბობ: "არა, ჩემო სიხარულო, მე ვარ კონსულტანტი"! ეს არის განსხვავება - მე ვამბობ ჩემს აზრს და ამაში ფულს ვიღებ.

ნება მომეცით ასე განვაცხადო - ჩვენ, როგორც ჰაკერებს გვიყვარს ნაჭუჭის გატეხვა და ჩვენთვის მსოფლიოში არ არსებობს იმაზე დიდი სიამოვნება, ვიდრე "ჭურვის გადაყლაპვა". როდესაც IDS ანალიტიკოსები წერენ თავიანთ წესებს, ხედავთ, რომ ისინი წერენ მათ ისე, რომ იცავს ჭურვის ჰაკერებისგან. მაგრამ თუ CIO-ს ესაუბრებით მონაცემების მოპოვების პრობლემაზე, ის შემოგთავაზებთ ორ ვარიანტზე დაფიქრებას. ვთქვათ, მაქვს აპლიკაცია, რომელიც საათში 100 „ცალს“ აკეთებს. რა არის ჩემთვის უფრო მნიშვნელოვანი - ამ აპლიკაციაში ყველა მონაცემის უსაფრთხოების უზრუნველყოფა თუ "box" გარსის უსაფრთხოება? ეს სერიოზული კითხვაა! რა უნდა ინერვიულო უფრო მეტად?

მხოლოდ იმიტომ, რომ თქვენ გაქვთ გატეხილი "ყუთის" გარსი, სულაც არ ნიშნავს იმას, რომ ვინმემ მოიპოვა წვდომა აპლიკაციების შიდა სამუშაოებზე. დიახ, ეს უფრო სავარაუდოა და თუ ეს ჯერ არ მომხდარა, შეიძლება მალე. მაგრამ გაითვალისწინეთ, რომ უსაფრთხოების მრავალი პროდუქტი აგებულია იმ წინაპირობაზე, რომ თავდამსხმელი ტრიალებს თქვენს ქსელში. ამიტომ ისინი ყურადღებას აქცევენ ბრძანებების შესრულებას, ბრძანებების შეყვანას და უნდა გაითვალისწინოთ, რომ ეს სერიოზული საქმეა. ისინი აღნიშნავენ ტრივიალურ დაუცველობებს, ძალიან მარტივ ჯვარედინი სკრიპტირებას, ძალიან მარტივ SQL ინექციებს. მათ არ აინტერესებთ რთული საფრთხეები, არ აინტერესებთ დაშიფრული შეტყობინებები, მათ არ აინტერესებთ მსგავსი რამ. შეიძლება ითქვას, რომ უსაფრთხოების ყველა პროდუქტი ეძებს ხმაურს, ისინი ეძებენ „იაფით“, უნდათ შეაჩერონ ის, რაც კოჭს გიკბენს. აი, რა ვისწავლე უსაფრთხოების პროდუქტებთან ურთიერთობისას. თქვენ არ გჭირდებათ უსაფრთხოების პროდუქტების ყიდვა, თქვენ არ გჭირდებათ სატვირთო მანქანის უკანა მოძრაობა. თქვენ გჭირდებათ კომპეტენტური, გამოცდილი ადამიანები, რომლებსაც ესმით ტექნოლოგია. დიახ, ღმერთო ჩემო, ხალხო! ჩვენ არ გვინდა მილიონობით დოლარის გადაყრა ამ პრობლემებში, მაგრამ ბევრ თქვენგანს უმუშავია ამ სფეროში და იცის, რომ როგორც კი თქვენი უფროსი ნახავს რეკლამას, ის გარბის მაღაზიაში და ყვირის "ჩვენ უნდა მივიღოთ ეს ნივთი!". მაგრამ ჩვენ ეს ნამდვილად არ გვჭირდება, უბრალოდ უნდა გამოვასწოროთ ის არეულობა, რომელიც ჩვენს უკან არის. ეს იყო ამ წარმოდგენის წინაპირობა.

მაღალი უსაფრთხოების გარემო არის ის, რაზეც მე დავხარჯე დიდი დრო დაცვის მექანიზმების მუშაობის წესების გასაგებად. დაცვის მექანიზმების გაგების შემდეგ, დაცვის გვერდის ავლით არ არის რთული. მაგალითად, მე მაქვს ვებ აპლიკაცია, რომელიც დაცულია საკუთარი ფეიერვოლებით. მე ვაკოპირებ პარამეტრების პანელის მისამართს, ვათავსებ მას ბრაუზერის მისამართის ზოლში და გადავდივარ პარამეტრებზე და ვცდილობ გამოვიყენო ჯვარედინი სკრიპტი.

შედეგად ვღებულობ ფეიერვოლ შეტყობინებას საფრთხის შესახებ - დაბლოკილი ვიყავი.

მგონი ცუდია, ეთანხმებით? თქვენ წინაშე ხართ უსაფრთხოების პროდუქტი. მაგრამ რა მოხდება, თუ ვცდილობ მსგავსი რამ: ჩავსვა პარამეტრი Joe'+OR+1='1 სტრიქონში

როგორც ხედავთ, იმუშავა. შემისწორეთ, თუ ვცდები, მაგრამ ჩვენ ვნახეთ, რომ SQL ინექციამ დაამარცხა აპლიკაციის firewall. ახლა მოდით ვიფიქროთ, რომ გვინდა დავაარსოთ უსაფრთხოების კომპანია, ასე რომ, მოდით დავხუროთ პროგრამული უზრუნველყოფის მწარმოებლის ქუდი. ახლა ჩვენ განვასახიერებთ ბოროტებას, რადგან ის შავი ქუდია. მე ვარ კონსულტანტი, ამიტომ შემიძლია ამის გაკეთება პროგრამული უზრუნველყოფის მწარმოებლებთან.

ჩვენ გვინდა ავაშენოთ და განვათავსოთ შეჭრის აღმოჩენის ახალი სისტემა, ამიტომ დავიწყებთ შელახვის აღმოჩენის კამპანიას. Snort, როგორც ღია კოდის პროდუქტი, შეიცავს ასობით ათასი შეჭრის საფრთხის ხელმოწერას. ჩვენ უნდა ვიმოქმედოთ ეთიკურად, ასე რომ, ჩვენ არ მოვიპარავთ ამ ხელმოწერებს სხვა აპლიკაციებიდან და არ ჩავსვამთ მათ ჩვენს სისტემაში. ჩვენ უბრალოდ ვაპირებთ დავსხდეთ და ყველა გადავწეროთ - ჰეი ბობ, ტიმ, ჯო, მობრძანდით აქ და სწრაფად გაიარეთ ყველა ეს 100 ხელმოწერა!

ჩვენ ასევე უნდა შევქმნათ დაუცველობის სკანერი. თქვენ იცით, რომ Nessus-ს, დაუცველობის ავტომატურ მპოვნელს, აქვს კარგი 80 ხელმოწერა და სკრიპტი, რომელიც ამოწმებს დაუცველობას. ჩვენ კვლავ ვიმოქმედებთ ეთიკურად და პირადად გადავწერთ მათ ყველა ჩვენს პროგრამაში.
ხალხი მეკითხება: "ჯო, შენ აკეთებ ყველა ამ ტესტს ღია კოდის პროგრამული უზრუნველყოფით, როგორიცაა Mod Security, Snort და მსგავსი, რამდენად ჰგავს ისინი სხვა მოვაჭრეების პროდუქტებს?" მე მათ ვპასუხობ: "ისინი საერთოდ არ ჰგვანან!" იმის გამო, რომ გამყიდველები არ იპარავენ ნივთებს ღია კოდის უსაფრთხოების პროდუქტებიდან, ისინი სხედან და თავად წერენ ყველა ამ წესს.

თუ თქვენ შეგიძლიათ შექმნათ თქვენი საკუთარი ხელმოწერები და თავდასხმის სტრიქონები ღია კოდის პროდუქტების გამოყენების გარეშე, ეს შესანიშნავი შესაძლებლობაა თქვენთვის. თუ თქვენ არ შეგიძლიათ კონკურენცია გაუწიოთ კომერციულ პროდუქტებს, მოძრაობთ სწორი მიმართულებით, უნდა იპოვოთ კონცეფცია, რომელიც დაგეხმარებათ გახდეთ ცნობილი თქვენს სფეროში.

ყველამ იცის, რომ ვსვამ. ნება მომეცით გაჩვენოთ რატომ ვსვამ. თუ ცხოვრებაში ოდესმე გაგიკეთებიათ წყაროს კოდის აუდიტი, აუცილებლად დათვრებით, დამერწმუნეთ, ამის შემდეგ დაიწყებთ დალევას.

ასე რომ, ჩვენი საყვარელი ენაა C++. მოდით შევხედოთ ამ პროგრამას - Web Knight არის ვებ სერვერების ფაირვოლ აპლიკაცია. მას აქვს ნაგულისხმევი გამონაკლისები. საინტერესოა - თუ ამ ფეიერვოლს განვათავსებ, ის არ დამიცავს Outlook Web Access-ისგან.

მშვენიერია! ეს იმიტომ ხდება, რომ ბევრი პროგრამული უზრუნველყოფის გამყიდველი ხსნის წესებს ზოგიერთი აპლიკაციიდან და აყენებს მათ თავიანთ პროდუქტში სწორი კვლევის მთელი რიგის გარეშე. ასე რომ, როდესაც მე ვაყენებ ქსელის firewall-ის აპლიკაციას, ვფიქრობ, რომ ვებფოსტის შესახებ ყველაფერი არასწორად არის გაკეთებული! იმის გამო, რომ თითქმის ნებისმიერი ვებ ფოსტა არღვევს ნაგულისხმევ უსაფრთხოებას. თქვენ გაქვთ ვებ კოდი, რომელიც ახორციელებს სისტემის ბრძანებებს და შეკითხვებს LDAP ან სხვა მომხმარებლის მონაცემთა ბაზის შენახვა პირდაპირ ინტერნეტში.

მითხარით, რომელ პლანეტაზე შეიძლება ჩაითვალოს ასეთი რამ უსაფრთხოდ? უბრალოდ დაფიქრდით: თქვენ ხსნით Outlook Web Access-ს, აჭერთ b ctrl+K-ს, ეძებთ მომხმარებლებს და ყველაფერს, თქვენ მართავთ Active Directory-ს პირდაპირ ვებიდან, თქვენ ასრულებთ სისტემის ბრძანებებს Linux-ზე, თუ იყენებთ "squirrel mail"-ს ან Horde-ს ან სხვას. კიდევ რაღაც. თქვენ ამოიღებთ ყველა იმ ევალს და სხვა სახის სახიფათო ფუნქციონირებას. ამიტომ, ბევრი ბუხარი გამორიცხავს მათ უსაფრთხოების საფრთხეების სიიდან, სცადეთ ამის შესახებ ჰკითხოთ თქვენს პროგრამული უზრუნველყოფის მწარმოებელს.

დავუბრუნდეთ Web Knight აპლიკაციას. მან მოიპარა უსაფრთხოების მრავალი წესი URL სკანერისგან, რომელიც სკანირებს IP მისამართების ყველა ამ დიაპაზონს. და რა, ყველა ეს მისამართის დიაპაზონი გამორიცხულია ჩემი პროდუქტიდან?

გსურთ რომელიმე თქვენგანს დააინსტალიროთ ეს მისამართები თქვენს ქსელში? გსურთ თქვენი ქსელი ამ მისამართებზე იმუშაოს? დიახ, საოცარია. კარგი, მოდით გადავახვიოთ ეს პროგრამა და გადავხედოთ სხვა საკითხებს, რისი გაკეთებაც ამ ბუხარს არ სურს.

მათ უწოდებენ "1999" და სურთ, რომ მათი ვებ სერვერი წარსულში იყოს! გახსოვთ ვინმეს ეს სისულელე: /scripts, /iihelp, msads? ალბათ რამდენიმე ადამიანს ნოსტალგიით ახსოვს, როგორი სახალისო იყო ასეთი რაღაცების გატეხვა. "დაიმახსოვრე, კაცო, რამდენი ხნის წინ "მოვკალით" სერვერები, მაგარი იყო!".

ახლა, თუ გადახედავთ ამ გამონაკლისებს, დაინახავთ, რომ თქვენ შეგიძლიათ გააკეთოთ ეს ყველაფერი - msads, printers, iisadmpwd - ეს ყველაფერი, რაც დღეს არავის სჭირდება. რაც შეეხება ბრძანებებს, რომელთა შესრულებაც არ გაქვთ უფლება?

ეს არის arp, at, cacls, chkdsk, cipher, cmd, com. მათი ჩამოთვლისას, ძველი დროის მოგონებებით გაწუხებთ, „ბიჭო, გაიხსენე როგორ ავიღეთ ეს სერვერი, გაიხსენე ის დღეები“?

მაგრამ აი, რა არის მართლაც საინტერესო - ხედავს ვინმე WMIC აქ ან შესაძლოა PowerShell? წარმოიდგინეთ, რომ თქვენ გაქვთ ახალი აპლიკაცია, რომელიც ფუნქციონირებს სკრიპტების გაშვებით ლოკალურ სისტემაზე, და ეს არის თანამედროვე სკრიპტები, რადგან გსურთ გაუშვათ Windows Server 2008 და მე ვაპირებ მის დაცვას Windows-ისთვის შექმნილი წესებით. 2000. შემდეგ ჯერზე, როცა მოვაჭრეები მოვა თქვენთან თავისი ვებ აპლიკაციით, ჰკითხეთ მას: „ჰეი კაცო, მოგაწოდეთ თუ არა ისეთი რაღაცეები, როგორიცაა bits admin, ან powershell ბრძანებების შესრულება, შეამოწმეთ ყველა სხვა რამ, რადგან ჩვენ მივდივართ განაახლოთ და გამოიყენოთ DotNET-ის ახალი ვერსია"? მაგრამ ეს ყველაფერი ნაგულისხმევად უნდა იყოს წარმოდგენილი უსაფრთხოების პროდუქტში!

შემდეგი, რაზეც მინდა გესაუბროთ, არის ლოგიკური სიცრუე. გადავიდეთ 192.168.2.6-ზე. ეს არის დაახლოებით იგივე აპლიკაცია, როგორც წინა.

თქვენ შეიძლება შეამჩნიოთ რაიმე საინტერესო, თუ გადაახვიეთ გვერდი და დააწკაპუნეთ ბმულზე დაგვიკავშირდით.

თუ გადახედავთ "დაგვიკავშირდით" ჩანართის საწყის კოდს, რომელიც არის ერთ-ერთი ტესტირების მეთოდი, რომელსაც მე ყოველთვის ვაკეთებ, შეამჩნევთ ამ ხაზს.

Იფიქრე ამაზე! მესმის, რომ ამის დანახვაზე ბევრმა თქვა: "ვაი"! ერთხელ გავიკეთე შეღწევადობის ტესტირება, ვთქვათ, მილიარდერ ბანკში და იქაც მსგავსი რამ შევნიშნე. ასე რომ, ჩვენ არ გვჭირდება SQL ინექცია ან ჯვარედინი საიტის სკრიპტირება - ჩვენ გვაქვს მთავარი, ეს მისამართების ზოლი.

ასე რომ, გადაჭარბების გარეშე - ბანკში გვითხრეს, რომ ჰყავდათ ორივე - და ქსელის სპეციალისტი და ვებ ინსპექტორი და შენიშვნა არ გაუკეთებიათ. ანუ ნორმალურად ჩათვალეს ტექსტური ფაილის გახსნა და წაკითხვა ბრაუზერის საშუალებით.

ანუ, თქვენ შეგიძლიათ უბრალოდ წაიკითხოთ ფაილი პირდაპირ ფაილური სისტემიდან. მათი უსაფრთხოების ჯგუფის ხელმძღვანელმა მითხრა, „დიახ, ერთ-ერთმა სკანერმა აღმოაჩინა ეს დაუცველობა, მაგრამ უმნიშვნელოდ მიიჩნია“. რაზეც მე ვუპასუხე, კარგი, მომეცი ერთი წუთი. მისამართების ზოლში ჩავწერე filename=../../../../boot.ini და შევძელი ფაილური სისტემის ჩატვირთვის ფაილის წაკითხვა!

ამაზე მითხრეს: „არა, არა, არა, ეს არ არის კრიტიკული ფაილები“! ვუპასუხე - მაგრამ სერვერი 2008-ია, არა? მათ თქვეს, დიახ, ის არის. მე ვამბობ - მაგრამ ამ სერვერს აქვს კონფიგურაციის ფაილი, რომელიც მდებარეობს სერვერის root დირექტორიაში, არა? "მართალია," პასუხობენ ისინი. "შესანიშნავია," ვამბობ მე, "რა მოხდება, თუ თავდამსხმელი ამას გააკეთებს" და მისამართების ზოლში ჩავწერ filename=web.config. ისინი ამბობენ - მერე რა, მონიტორზე ვერაფერს ხედავთ?

მე ვამბობ - რა მოხდება, თუ მონიტორზე მარჯვენა ღილაკით დავაწკაპუნებ და ავირჩევ "გვერდის კოდის ჩვენება" ოფციას? და რას ვიპოვი აქ? "კრიტიკული არაფერი"? ვნახავ სერვერის ადმინისტრატორის პაროლს!

და შენ ამბობ რომ აქ პრობლემა არ არის?

მაგრამ ჩემი საყვარელი ნაწილი არის შემდეგი. თქვენ არ მაძლევთ უფლებას ველში ბრძანებების გაშვება, მაგრამ მე შემიძლია მოვიპარო ვებ სერვერის ადმინისტრატორის პაროლი და მონაცემთა ბაზა, დაათვალიერო მთელი მონაცემთა ბაზა, ამოშალო მონაცემთა ბაზისა და სისტემის გაუმართაობის პერსონალი და წავიდე ყველაფერთან ერთად. ეს ის შემთხვევაა, როცა ცუდი ბიჭი ამბობს „აი კაცო, დღეს დიდი დღეა“!

არ დაუშვათ უსაფრთხოების პროდუქტები გახდეს თქვენი დაავადება! არ მისცეთ უფლება უსაფრთხოების პროდუქტებს დაავადდეთ! იპოვეთ რამდენიმე ჭუჭყიანი, მიეცით მათ Star Trek-ის ყველა სამახსოვრო ნივთი, დააინტერესეთ ისინი, წაახალისეთ ისინი თქვენთან ერთად დარჩნენ, რადგან ის ნერვიული სუნები, რომლებიც ყოველდღიურად არ იღებდნენ შხაპს, ისინი აიძულებენ თქვენს ქსელებს იმუშაონ შემდეგნაირად! ეს ის ადამიანები არიან, რომლებიც დაეხმარებიან თქვენს უსაფრთხოების პროდუქტებს გამართულად მუშაობაში.

მითხარით, რამდენ თქვენგანს შეუძლია დიდხანს დარჩეს ერთ ოთახში ადამიანთან, რომელიც გამუდმებით ამბობს: ”ოჰ, სასწრაფოდ მჭირდება ამ სცენარის დაბეჭდვა!”, და ვინ არის ამით მუდმივად დაკავებული? მაგრამ თქვენ გჭირდებათ ადამიანები, რომლებიც თქვენს უსაფრთხოების პროდუქტებს ამუშავებენ.

გავიმეორო, უსაფრთხოების პროდუქტები სულელია, რადგან განათება ყოველთვის არასწორია, ისინი გამუდმებით აკეთებენ სისულელეებს, ისინი უბრალოდ არ უზრუნველყოფენ უსაფრთხოებას. მე არასოდეს მინახავს უსაფრთხოების კარგი პროდუქტი, რომელიც არ მოითხოვს ხრახნიანი ბიჭის შესწორებას იქ, სადაც საჭიროა, რომ მეტ-ნაკლებად ნორმალურად იმუშაოს. ეს მხოლოდ წესების უზარმაზარი ჩამონათვალია, რომელიც ამბობს, რომ ეს ცუდია და ეს არის ის!

ბიჭებო, მინდა ყურადღება მიაქციოთ განათლებას, ისეთ საკითხებს, როგორიცაა უსაფრთხოება, პოლიტექნიკა, რადგან არსებობს მრავალი უფასო ონლაინ კურსი უსაფრთხოების საკითხებზე. ისწავლეთ პითონი, ისწავლეთ ასამბლეა, ისწავლეთ ვებ აპლიკაციის ტესტირება.

აი, რა დაგეხმარებათ თქვენი ქსელის დაცვაში. ჭკვიანი ხალხი იცავს ქსელებს, ქსელის პროდუქტები არ იცავს! დაბრუნდი სამსახურში და უთხარი შენს უფროსს, რომ მეტი ბიუჯეტი გჭირდება უფრო ჭკვიანი ადამიანებისთვის, ვიცი, რომ ახლა კრიზისია, მაგრამ მაინც უთხარი, რომ ხალხისთვის მეტი ფული გვჭირდება მათი განათლებისთვის. თუ ჩვენ ვყიდულობთ პროდუქტს, მაგრამ არ ვყიდულობთ კურსს მისი გამოყენების შესახებ, რადგან ის ძვირია, მაშინ რატომ ვყიდულობთ მას საერთოდ, თუ არ ვაპირებთ ხალხს ვასწავლოთ მისი გამოყენება?

მე ვმუშაობდი უსაფრთხოების პროდუქტების უამრავ მომწოდებელთან, თითქმის მთელი ჩემი ცხოვრება გავატარე ამ პროდუქტების დანერგვაზე და მეზარება ყველა ეს ქსელის წვდომის კონტროლი და სხვა, რადგან მე დავაინსტალირე და გაუშვა ყველა ეს უაზრო პროდუქტი. ერთ დღეს მივედი კლიენტთან, მათ სურდათ დაენერგათ 802.1x სტანდარტი EAP პროტოკოლისთვის, ამიტომ მათ ჰქონდათ MAC მისამართები და მეორადი მისამართები თითოეული პორტისთვის. მივედი, დავინახე, რომ ცუდად იყო, შემოვბრუნდი და პრინტერზე ღილაკების დაჭერა დავიწყე. მოგეხსენებათ, პრინტერს შეუძლია დაბეჭდოს ქსელური აღჭურვილობის სატესტო გვერდი ყველა MAC მისამართით და IP მისამართით. მაგრამ აღმოჩნდა, რომ პრინტერი არ უჭერს მხარს 802.1x სტანდარტს, ამიტომ ის უნდა გამოირიცხოს.

შემდეგ გამოვრთე პრინტერი და შევცვალე ლეპტოპის MAC მისამართი პრინტერის MAC მისამართზე და შევაერთე ლეპტოპი, რითაც ავუარე ამ ძვირადღირებულ MAC გადაწყვეტას, დაფიქრდით! მაშ, რა სარგებლობა შეუძლია ამ MAC გადაწყვეტას ჩემთვის, თუ ადამიანს შეუძლია უბრალოდ გადასცეს ნებისმიერი მოწყობილობა, როგორც პრინტერი ან VoIP ტელეფონი?

ასე რომ, ჩემთვის დღეს პენტესტი არის დროის დახარჯვა, რათა გავიგო და გავიგო უსაფრთხოების პროდუქტი, რომელიც ჩემმა კლიენტმა იყიდა. ახლა ყველა ბანკს, სადაც მე ვაკეთებ შეღწევადობის ტესტს, აქვს ყველა ეს HIPS, NIPS, LAUGTHS, MACS და სხვა აკრონიმები, რომლებიც უბრალოდ საცოდავია. მაგრამ მე ვცდილობ გავარკვიო, რას ცდილობენ ეს პროდუქტები და როგორ ცდილობენ ამის გაკეთებას. შემდეგ, როგორც კი გავარკვიე, რა მეთოდოლოგიასა და ლოგიკას იყენებენ ისინი დაცვის უზრუნველსაყოფად, მისი გადალახვა სულაც არ გამიჭირდება.

ჩემს საყვარელ პროდუქტს, რომელსაც დაგიტოვებთ, ჰქვია MS 1103. ეს არის ბრაუზერზე დაფუძნებული ექსპლოიტი, რომელიც აფრქვევს HIPS-ს, Host Intrusion Prevention Signature-ს ან Host Intrusion Prevention Signature-ს. სინამდვილეში, ის გამიზნულია HIPS ხელმოწერების გვერდის ავლით. არ მინდა გაჩვენოთ, თუ როგორ მუშაობს ის, რადგან არ მინდა ამის დემონსტრირებისთვის დრო გამოვყო, მაგრამ ეს მშვენივრად მუშაობს ამ დაცვის გვერდის ავლით და მინდა, რომ მიიღოთ იგი.
კარგი ბიჭებო, ახლა მივდივარ.

რამდენიმე რეკლამა 🙂

გმადლობთ, რომ დარჩით ჩვენთან. მოგწონთ ჩვენი სტატიები? გსურთ ნახოთ უფრო საინტერესო შინაარსი? მხარი დაგვიჭირეთ შეკვეთის განთავსებით ან მეგობრებისთვის რეკომენდაციით, ღრუბელი VPS დეველოპერებისთვის 4.99 დოლარიდან, საწყისი დონის სერვერების უნიკალური ანალოგი, რომელიც ჩვენ მიერ გამოგონილია თქვენთვის: მთელი სიმართლე VPS (KVM) E5-2697 v3 (6 Cores) 10GB DDR4 480GB SSD 1Gbps 19$-დან ან როგორ გავაზიარო სერვერი? (ხელმისაწვდომია RAID1 და RAID10-ით, 24 ბირთვამდე და 40 გბ-მდე DDR4).

Dell R730xd 2-ჯერ იაფია Equinix Tier IV მონაცემთა ცენტრში ამსტერდამში? Მხოლოდ აქ 2 x Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 ტელევიზორი $199-დან ნიდერლანდებში! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - $99-დან! Წაიკითხო რაღაცის შესახებ როგორ ავაშენოთ ინფრასტრუქტურის კორპუსი. კლასი Dell R730xd E5-2650 v4 სერვერების გამოყენებით 9000 ევროს ღირებულების პენი?

წყარო: www.habr.com