Одной из самых реальных угроз, с которой нам приходится сталкиваться в сети Интернет, является киберпреступность. Причем преступники постоянно совершенствуют орудия получения ими незаконной выгоды. Данная работа призвана рассказать о все более популярной методике под названием fast-flux (в дословном переводе – "быстрое течение, поток"), число случаев использования которой в открытой среде постоянно увеличивается. Сервисные сети fast-flux представляют собой сети скомпрометированных компьютеров с публичными именами DNS записей, которые постоянно меняются, иногда несколько раз в минуту. Такая постоянно изменяющаяся архитектура существенно осложняет отслеживание и пресечение преступной деятельности.

В этом исследовании мы сначала опишем, что же такое сервисные сети fast-flux, как они работают, как преступники используют их для достижения своих целей, и изучим два типа таких сетей, которые мы назвали однопоточными и двухпоточными сетями fast-flux, после чего приведем несколько свежих примеров работы подобных сетей в реальном мире. Затем мы расскажем как работает вредоносное ПО, связанное с организацией сетей fast-flux и представим результаты исследования, в ходе которого мы умышленно заразили нашу приманку агентом сети fast-flux. Ну и наконец, мы поясним, как находить и определять такие сети, а также минимизировать ущерб от их работы, преимущественно в больших сетевых окружениях.

Одной из самых реальных угроз, с которой нам приходится сталкиваться в сети Интернет, является киберпреступность. Причем преступники постоянно совершенствуют орудия получения ими незаконной выгоды. Данная работа призвана рассказать о все более популярной методике под названием fast-flux (в дословном переводе – "быстрое течение, поток"), число случаев использования которой в открытой среде постоянно увеличивается. Сервисные сети fast-flux представляют собой сети скомпрометированных компьютеров с публичными именами DNS записей, которые постоянно меняются, иногда несколько раз в минуту. Такая постоянно изменяющаяся архитектура существенно осложняет отслеживание и пресечение преступной деятельности.

В этом исследовании мы сначала опишем, что же такое сервисные сети fast-flux, как они работают, как преступники используют их для достижения своих целей, и изучим два типа таких сетей, которые мы назвали однопоточными и двухпоточными сетями fast-flux, после чего приведем несколько свежих примеров работы подобных сетей в реальном мире. Затем мы расскажем как работает вредоносное ПО, связанное с организацией сетей fast-flux и представим результаты исследования, в ходе которого мы умышленно заразили нашу приманку агентом сети fast-flux. Ну и наконец, мы поясним, как находить и определять такие сети, а также минимизировать ущерб от их работы, преимущественно в больших сетевых окружениях.

Знакомо ли тебе желание разгадать все загадки да вскрыть все защиты Московского Метрополитена? Сделать, например, себе «вечный билет»? Но ведь специалисты метро постоянно находят все более изощренные способы защиты. Металлические жетоны сменились пластиковыми, те, в свою очередь, магнитными билетами, а на смену магнитным пришли бесконтактные карты. У многих исследователей опустились руки — кажется, будто Метрополитен стал неприступной крепостью. Но любую защиту можно обойти. И зачастую, вскрыть ее оказывается в разы проще, чем построить...

Алгоритмы хеширования – это математические функции, позволяющие снимать своеобразный "отпечаток пальца" с данных. Они являются краеугольным камнем всей компьютерной безопасности. Такие отпечатки, называемые хешами, используются в системах управления паролями и в инфраструктурах открытых ключей (PKI), делая онлайн-шоппинг сравнительно безопасным. Кроме этого, они применяются и в системах распространения файлов. В каждом из этих случаев использование хешей обусловлено одной общей чертой, присущей всем алгоритмам хеширования – все они являются односторонними функциями.

В идеале не существует никаких практических способов установить, из каких входных данных был сгенерирован хэш, равно как не существует возможности создать такие входные данные, которые в итоге дали бы одинаковое значение хэша. Например, база данных паролей обычно содержит лишь хэши пользовательских паролей, и даже если хакеру удастся прочесть содержимое этой базы, залогиниться в системе он не сможет, поскольку никакой возможности восстановить пароль из хэша в базе данных нет.

Ситуация, когда на одной рабочей станции не установлены последние заплатки, на другой не работает брандмауэр, а на третьей - антивирус или антишпионское ПО, встречается сплошь и рядом. А ведь безопасность всей Сети определяется самым слабым звеном. Как же быть администратору с клиентскими компьютерами, не удовлетворяющими требованиям безопасности?

Недавно обнаруженная известным IT Security специалистом Стефаном Эссером уязвимость в интерпретаторе PHP теоретически может затронуть миллионы веб-сайтов, на которых используется PHP<=5.2.5. Тебе интересно, в чем суть уязвимости? В статье я разобрал advisory бага по полочкам.

Баг затрагивает функции генерации псевдослучайных чисел rand() и mt_rand(). Зачастую они используются для создания паролей, сессий, кукисов и других различных конфиденциальных данных пользователя.

Rand() — это просто враппер для библиотеки libc rand(), а mt_rand() — враппер для генератора псевдослучайных чисел Mersenne Twister. Обе функции используют так называемый seed (семя), который можно задавать соответственно функциями srand() и mt_srand(). По дефолту сид представляет собой 32‑битный DWORD (2 в 32 степени или 4294967296 комбинаций). Обычно такой длины достаточно, чтобы обеспечить криптографическую стойкость приложения. Ведь для брутфорса пароля, сгенерированного с помощью одной из этих функций, необходимо знать не только сид, но и сгенерированные на его основе числа. Впрочем, существует ряд ситуаций, в которых брутфорс вполне прим

Криптографии в разработке системных и не только приложениях принято уделять повышенное внимание. Особенно сейчас, когда набитость сундуков многих благородных сэров, как и степень их свободы, напрямую зависит от степени защиты их конфиденциальной информации. Чтобы сэкономить время и не ходить лишний раз к проктологу, воспользуемся тем, что большинство стойких и эффективных алгоритмов уже реализовано профессионалами этого дела. Плод их трудов открыто предоставляется на коммерческой и бесплатной основе. Разработчики операционных систем тоже не сидят сложа руки, предоставляя разработчикам специальные API. В этой статье мы хотим рассказать об использовании таких API в модуле для операционной системы Linux, который будет шифровать исходящий трафик и расшифровывать входящий.

Ограничение доступа к какой-либо области сайта обычно выглядит однообразно: каждому пользователю выдается логин и пароль или он сам их выбирает, и для входа в защищенную часть сайта их нужно ввести. С технической же точки зрения для проверки пароля используются разные методы. Для ввода логина и пароля может использоваться HTML-форма. В этом случае пароль передается на сервер открытым текстом в POST-запросе. Это неприемлемо, если пользователь сидит в локалке, где возможно использование снифера. Для решения этой проблемы придуман метод аутентификации с помощью хешей, при котором пароль не передается, а передается хеш строка, зависящая от пароля, некоего одноразового параметра и, возможно, еще от каких-либо параметров. Этот метод еще называют challenge/response, поскольку при его использовании клиент получает запрос с одноразовым параметром и посылает ответ, содержащий хеш. На уровне протокола HTTP 1.1 возможна аутентификация методом Basic, что ни чем не лучше использования HTML-формы, и Digest, который мы и рассмотрим подробно.

Интернет пережил пик своего бурного развития и сейчас собственных сайтов нет разве что у домашних животных (хотя некоторые маргиналы умудряются вести блоги за своих питомцев). Если проанализировать и сопоставить количество созданных ресурсов и количество более-менее разбирающихся в вопросах обеспечения сетевой безопасности людей, мы получим довольно прискорбную картину. Главным бичом сайтостроительства, как я считаю, являются свободно распространяемые скрипты. Так уж вышло, что за годы через мои руки прошло огромное количество подобных творений, и зачастую они оставляют весьма дурное впечатление. Самое ужасное – это их открытый код, в котором хакеры выискивают тонны уязвимостей, и часто встречающееся доверие к таким скриптам пользователей, считающих создателей если не небожителями, то уж точно кевинмитниками от программирования.

В данной статье я дам практические советы по обеспечению безопасности динамического веб-проекта, поделюсь нестандартными методами защиты. Много практики и минимум теории – её ищите в мануалах и книгах, а также на просторах Сети. Кроме того, я не буду заострять внимание на всем известных багах навроде “ядерного нуля” – читайте “Хакер”, и будет вам счастье.

Способы взлома программных защит ты и без меня знаешь (подчеркиваю, что мы будем говорить о программных защитах, так как всякие хаспы простому смертному кодеру с его программой «Яйца» не очень доступны). А если не знаешь, то в двух словах: патчат двоичный код или пишут кейген. Возможны и другие методы взлома, я тебе назвал два основных, знакомых всем нам на практике. Чувствуешь, что эти два метода принципиально разные? Каждый из них по отдельности может привести к необходимому результату – несанкционированному использованию твоих «Яиц».

Значит, и защита должна состоять как минимум из двух более-менее независимых компонентов (кто в курсах, это модель элементарной защиты с двумя звеньями).

Первый компонент отвечает за целостность программы (ну или только системы защиты – можно ведь контролировать целостность не всей программы, а только защитного механизма). Мне захотелось этот компонент назвать физической защитой. Реализовываться она может по-разному: например, можно осуществлять превентивный контроль, запрещая любую запись в exe-файл. Можно не разрешать использование модифицированных файлов. То есть изменять изменяй, но ни в коем случае не используй. Последний вариант мне показался более приемлемым, и я его и забабахал в свой патент как часть способа защиты ПО от несанкционированного использования. Но что-то мы отвлеклись, сегодняшняя наша цель – борьба с кейгенами!