10 самых распространенных проколов cybervlad // 05.12.03 12:19
Часто публикуемые рейтинги типа "20 самых распространенных уязимостей" обычно смещают акцент именно на технические/программные ошибки. [Не забывайте при копировании материала указывать полный адрес источника: http://www.bugtraq.ru/rsn/archive/2003/12/07.html] Однако, главная проблема обычно кроется в человеческом факторе - неправильная настройка, отсутствие системного подхода к эксплуатации и т.п.
Tom Salkield решил восполнить этот пробел и подготовил свой рейтинг:
"The top 10 Internet security bloopers". Как говорится, "обязательно к прочтению каждым сисадмином".
Потому что через всякие аськи-мсны с их ненормальным количеством допсервисов пропихнуть какую-нить гадость с исполнением произвольного кода сравнительно нетрудно (особенно через старые версии).
там уточнение есть05.12.03 13:19 Автор: RazDolBai Статус: Member
> > Может это и какой-то прокол (да вообще ничто в этом > мире не > > безопасно), но чтоб в десятку попасть... > Потому и попало, видимо.
в десятке это не потому, что вирусы и всякие трояны могут пролезть (аськой, насколько я знаю, пролезть ничего не может, даже старыми версиями), а потому, что обычный пользователь легко поддается социальной инженерии =) это первое
второе - откывать наружу IM крупной корпорации не с руки т.к. подобное общение преимущественно нигде не фиксируется, а данные, утекающие таким методом могут быть очень серьезные.
перекрыть файловую пересылку конечно можно, но ничто не помешает файлы слать в UUE, Base64 или mime в виде текста )
Пару лет назад было найдено несколько переполнений буфера в ICQ 2000, если не ошибаюсь. И совершенно точно помню про дырку в отображении рекламы в какой-то из асек, через которую (правда, путем довольно сложных телодвижений, связанных с DNS-спуфингом) можно запустить произвольный код. Правда, таких древних асек сейчас уже мало, но думаю, что если как следует попинать ICQ 2002 и уж тем паче 2003, то тоже что-нибудь вывалится.
Offtop: На этом уровне уязвимсть с банерами и прочим несущественна05.12.03 17:18 Автор: !mm <Ivan Ch.> Статус: Elderman
банеры резать на входе, либо поставить всем анти-банерные патчи (как у меня везде стоит) =)
а про прочее - разрешить аське ходитьтолько до аськиного сервера (тут в форуме недавно и адреса их подсетей проходили)
если уж совсем паранойя, поставить персональный фаервол каждому пользователю в режим блокировки и впускать/выпускать только разрешенные приложения
а вообще - любой открытый порт хоть внутрь хоть наружу - потенциально опасен
Совершенно справедливо, поэтому чем их меньше, тем лучше.05.12.03 17:39 Автор: Ktirf <Æ Rusakov> Статус: Elderman
> банеры резать на входе, либо поставить всем анти-банерные > патчи (как у меня везде стоит) =) Тоже правильно.
> а про прочее - разрешить аське ходитьтолько до аськиного > сервера (тут в форуме недавно и адреса их подсетей > проходили) Можно и так. Как положительный побочный эффект, прибьются прямые соединения между клиентами.
> а вообще - любой открытый порт хоть внутрь хоть наружу - > потенциально опасен Сабж.
А вообще, честно говоря, мне больше всего нравится вариант с постановкой Jabber-сервера с шлюзом в ICQ в конторе. Хотя это из разряда мечтов, конечно, потому что придется пересаживать пользователей на Jabber, а это лишь немногим лучше, чем лишать их аськи вообще.
У нас ICQ закрыта всем, кому она не нужна по работе, все пользуются корпоративным Джаббером с ssl, ничего, нормально )05.12.03 17:43 Автор: !mm <Ivan Ch.> Статус: Elderman
> второе - откывать наружу IM крупной корпорации не с руки > т.к. подобное общение преимущественно нигде не фиксируется, > а данные, утекающие таким методом могут быть очень > серьезные. > перекрыть файловую пересылку конечно можно, но ничто не > помешает файлы слать в UUE, Base64 или mime в виде текста ) Например: выпускаем аську наружу только через socks-proxy, а на соксе аккуратно логируем всю переписку. Я удивляюсь, почему до сих пор нет коммерческого продукта, типа аналогичных продуктов для почты MailSweeper или Дозор-Джет.
SecureIM05.12.03 14:52 Автор: amirul <Serge> Статус: The Elderman
> Например: выпускаем аську наружу только через socks-proxy, > а на соксе аккуратно логируем всю переписку. Я удивляюсь, > почему до сих пор нет коммерческого продукта, типа > аналогичных продуктов для почты MailSweeper или Дозор-Джет. И никакое логгирование не поможет. При этом с виду все проходит через все тот же мирабилис все по тому же ICQ протоколу. Вот только все тела зашифрованы
против этого лома ;)05.12.03 16:14 Автор: cybervlad <cybervlad> Статус: Elderman
> И никакое логгирование не поможет. При этом с виду все > проходит через все тот же мирабилис все по тому же ICQ > протоколу. Вот только все тела зашифрованы у нас тоже есть прием ;)
поскольку все эти шифрования используют обмен открытыми ключами, а не полноценную PKI с сертификатами, то оно замечательно обходится MiTM.
кстати, шифрование можно запретить административно и лишать доступа за нарушение, ибо аналогичный "способ ухода" есть и в почте.
p.s. только не надо мне рассказывать про стеганографию и картинки - знаю. абсолютно надежных систем нет, но даже такой способ ограничения инстант мессенджеров уже резко снижает риск утечки (лучше - только полный их запрет). а уж если человек ссучился, то он инфу вынесет на диске, на бумаге или просто в голове.
Кроме того05.12.03 16:39 Автор: Ktirf <Æ Rusakov> Статус: Elderman
SecureIM "родной" аськой разве уже поддерживается? А ведь народу на альтернативных клиентах не так уж много - в основном те, кто просвещен в IT, а такие и сами лучше догадаются как устроить утечку данных. А обычные пользователи большей частью пользуются обычной аськой.
подробно о проекте
Анализ криптографических сетевых...
