Websecurity - Веб безпека

Продовжуючи розпочату традицію, після попереднього відео про атаку на веб браузер на Android, пропоную нове відео на веб секюріті тематику. Цього разу відео про DoS атаки та захист від них. Рекомендую подивитися всім хто цікавиться цією темою.

Defcon 21 - Evil DoS Attacks and Strong Defenses

Рік тому на конференції DEFCON 21 відбувся виступ Sam Bowne та Matthew Prince. В своєму виступі вони розповіли про злі DoS атаки та сильний захист від даних атак.

Вони розповіли про відомі та нові DoS і DDoS атаки, а також про ефективні методи захисту від них. Рекомендую подивитися дане відео для розуміння сучасних атак в LAN та Інтернет.

Сьогодні я дав інтерв’ю каналу Еспресо.TV. Виступив в прямому ефірі даного телеканалу. Це продовження попередньої публікації.

Ефір відбувся з 15:40 до 16:15. В ньому я розповів про Українські Кібер Війська та проведення мною анти-терористичної операції в Інтернеті.

Всі бажаючі, хто бачив прямий ефір на Еспресо.TV і хто не бачив його, можуть подивитися відео фрагменти мого виступу. Це наступні чотири відео:

Сьогодні я дав інтерв’ю каналу Еспресо.TV. Виступив в прямому ефірі даного телеканалу. Продовження.

Ефір відбувся з 15:40 до 16:15. В ньому я розповів про Українські Кібер Війська та проведення мною анти-терористичної операції в Інтернеті.

Всі бажаючі, хто бачив прямий ефір на Еспресо.TV і хто не бачив його, можуть подивитися відео фрагменти мого виступу. Це перші три відео:

Продовжуючи розпочату традицію, після попереднього відео про викрадення файлів в Google Chrome, пропоную нове відео на веб секюріті тематику. Цього разу відео про атаку на веб браузер на Android. Рекомендую подивитися всім хто цікавиться цією темою.

Compromise Android phone with XSSF and exploit

В даному відео ролику демонструється атака на веб браузер (Safari) на смартфоні під ОС Android з використанням Metasploit та Cross-Site Scripting Framework (XSSF). Аналогічна атака також може бути проведена на браузери на iOS та інших мобільних і настільних ОС. Через XSS уразливість на сайті розміщується експлоіт, на який заманюється жертва, що дозволяє нападнику взяти під контроль браузер користувача.

Атака відбувається при відвідуванні в браузері спеціально створеного веб сайта або сайта з XSS уразливістю, що містить код експлоіту. Рекомендую подивитися дане відео для розуміння векторів атак на браузери.

Окрім інформаційної безпеки державних сайтів є ще фізичний вимір безпеки. Він полягає в тому, в якій країні фізично розміщені державні сайти.

За період 2011-2014 років я виявив, що багато державних сайтів хоститься не в Україні. Ще в 2012 році я оприлюднив статтю Хостінги державних сайтів - про своє дослідження gov.ua сайтів, що хостяться за кордоном.

Розміщення державних сайтів на серверах інших країн я вважаю серйозною проблемою. Бо вся важлива, конфіденційна чи секретна інформація легко може бути отримана хостером або спецслужбами тієї країні, де розміщений сервер. Це як здача національних інтересів. Що є несерйозним і це потрібно виправляти.

Тоді я написав про сайти, що хостяться в Германії и США. Але серед державних сайтів є багато таких, що хостяться в Росії.

Зокрема в 2013-2014 роках я виявив наступні gov.ua сайти на російських хостінгах:

• dubno-adm.gov.ua
• milicialviv.gov.ua
• utmlviv.gov.ua
• turka-rda.gov.ua
• turka-culture.gov.ua

Враховуючи війну Росії проти України, розміщення державних сайтів в РФ є не допустимим, це просто державна зрада. Всі ці сайти повинні бути переведені на український хостинг. Це стосується взагалі всіх державних сайтів на закордонних хостінгах.

Продовжуючи розпочату традицію, після попереднього відео про виконання коду в Adobe Flash, пропоную нове відео на веб секюріті тематику. Цього разу відео про викрадення файлів в Google Chrome. Рекомендую подивитися всім хто цікавиться цією темою.

FileJacking google chrome

В даному відео ролику демонструється атака на викрадення файлів в Google Chrome (автор назвав її FileJacking). Проведення атаки на дану уразливість в браузері Google Chrome дозволяє нападнику отримати файли з комп’ютера користувача.

Атака відбувається при відвідуванні в Chrome спеціально створеного веб сайта, що містить код експлоіту. Рекомендую подивитися дане відео для розуміння векторів атак на браузери.

У червні, 28.06.2014, я дав інтерв’ю каналу Україна. Знявся для новин даного телеканалу.

Відео сюжет вийшов 12.08.2014 о 15:00 і о 19:00 в програмі “События” (в новинах). В сюжеті йшлося про Українські Кібер Війська та проведення мною анти-терористичної операції в Інтернеті, а також роботу СБУ в цьому напрямку.

Так що всі бажаючі можуть подивитися сюжет зі мною.

Продовжуючи розпочату традицію, після попереднього відео про виконання коду в Adobe Flash, пропоную нове відео на веб секюріті тематику. Цього разу відео про CSRF уразливість на сайті ПриватБанка. Рекомендую подивитися всім хто цікавиться цією темою.

У відео ролику Cross-Site Request Forgery vulnerability at skype.privatbank.ua демонструється CSRF уразливість на сайті skype.privatbank.ua.

Про численні уразливості на даному сайті я повідомив ПриватБанк в березні та квітні й вони були переважно виправлені. Лише виникла проблема з виправленням цієї CSRF, тому я зробив для них відео.

Продовжуючи розпочату традицію, після попереднього відео про виконання коду в Mozilla Firefox, пропоную нове відео на веб секюріті тематику. Цього разу відео про виконання коду в Adobe Flash. Рекомендую подивитися всім хто цікавиться цією темою.

metasploit adobe flash filters type confusion (cve-2013-5331)

В даному відео ролику демонструється використання експлоіта для проведення атаки на уразливість в Adobe Flash Player 11.9.900.152. Ця уразливість призводить до віддаленого виконання коду в браузері з Flash плагіном (показано на прикладі Internet Explorer під Windows 7) при відкритті сторінки з кодом експлоіту. Що дозволяє нападнику отримати контроль над атакованим комп’ютером.

Атака відбувається при відвідуванні в браузері з флеш плагіном спеціально створеного веб сайта, що містить код експлоіту. Рекомендую подивитися дане відео для розуміння векторів атак на веб браузери.

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, зокрема про DoS і DDoS атаки (статті з Вікіпедії):

• Denial of Service та Distributed Denial of Service
• Application layer DDoS attack
• Billion laughs (XML bomb, Exponential Entity Expansion attack)
• Broadcast radiation
• Distributed denial of service attacks on root nameservers