tag:blogger.com,1999:blog-44959365270003555592024-03-14T08:54:47.926+03:00IT & securityfleytahttp://www.blogger.com/profile/08218774453596294324noreply@blogger.comBlogger8125tag:blogger.com,1999:blog-4495936527000355559.post-43410538795491209822015-02-06T20:53:00.001+03:002015-02-06T20:53:43.051+03:00Black Hat Python: Python Programming for Hackers and Pentesters by Justin Seitz (2014)<div dir="ltr" style="text-align: left;" trbidi="on">
<div class="separator" style="clear: both; text-align: center;">
<a href="http://ecx.images-amazon.com/images/I/A1XP9Wzb5UL.jpg" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" src="http://ecx.images-amazon.com/images/I/A1XP9Wzb5UL.jpg" height="200" width="151" /></a></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<i><span style="font-size: x-small;">Сегодня буду очень краткой, так как крайне разочарована.</span></i></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
Книга представляет собой посредственный сборник рецептов - ставится
задача, которая была решена миллионами разных способов сто тысяч лет
назад, и пишется решение на Python'е. Людям, незнакомым с языком, его
изучение посредством данной книги будет крайне затруднительно. Людям,
более-менее разбирающимся в Python'е, рекомендую не тратить свое время и
почитать что-нибудь более познавательное.</div>
</div>
fleytahttp://www.blogger.com/profile/08218774453596294324noreply@blogger.com0tag:blogger.com,1999:blog-4495936527000355559.post-58089613138025429922014-11-22T20:49:00.000+03:002014-11-22T20:50:14.415+03:00#CiscoConnectRU 2014. Личные впечатления<div dir="ltr" style="text-align: left;" trbidi="on">
<div class="separator" style="clear: both; text-align: center;">
<a href="http://img.veeam.com/events/Cisco_Connect.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" src="http://img.veeam.com/events/Cisco_Connect.png" /></a></div>
<div style="text-align: justify;">
Начиная с 2000 года в Москве ежегодно проходит крупная IT-конференция Cisco Connect (ex Cisco Expo). Этот год не стал исключением и, что называется, в то же время, в тот же час собрал всех заинтересованных лиц в Центре международной торговли.</div>
<div style="text-align: justify;">
В этом году мне либо повезло, либо действительно доклады были менее маркетинговыми и более техническими. Секция по ИБ показалась интересной, хотя и более-менее стандартной: NetFlow, Cyber Threat Defense, FirePower, ASA, борьба с DDoS и т.д., и т.п. Отдельный доклад был посвящен безопасности видеосвязи, однако заявленный уровень advanced едва ли превышал basic. Естественно, упоминались решения для промышленности и умных городов, и тут хочется выразить особую благодарность докладчикам за реальные примеры внедрения.</div>
<div style="text-align: justify;">
Мне показалось, что стендов было маловато - все были пройдены уже в первый день. Однако же развлекательная сторона мероприятия достойна упоминания. <span style="text-align: left;">Positive</span><span style="text-align: left;"> </span><span style="text-align: left;">Technologies</span> устроил тараканьи бега (ни один таракан не пострадал!), а УЦ Микротеста организовал лучные поединки со стресс-тестированием среди участников конференции. Сами организаторы (вернее - спонсоры) устроили фотоохоту на крокодила/сервер/рамку, и хотя хэштег в соцсетях не взлетел, идея и результирующие фотографии были оригинальны.</div>
<div style="text-align: justify;">
И напоследок ложка дегтя в бочке меда. Только ленивый не твитнул/заинстаграммил/написал о качестве обедов на конференции. Три дня подряд посетителей кормили батонами. Да-да, без преувеличения - разрезанный батон с ветчиной в первый, копченой колбасой во второй и рыбным паштетом в третий день. И даже знакомый с детства Choco-Pie в каждом ланчбоксе не спасал положения. Кризис или санкции?..</div>
</div>
fleytahttp://www.blogger.com/profile/08218774453596294324noreply@blogger.com0tag:blogger.com,1999:blog-4495936527000355559.post-20699367004163651532014-08-07T23:16:00.001+04:002014-08-07T23:16:58.866+04:00The Hacker Playbook: Practical Guide To Penetration Testing by Peter Kim (2014)<div dir="ltr" style="text-align: left;" trbidi="on">
<div class="separator" style="clear: both; text-align: center;">
<a href="http://ecx.images-amazon.com/images/I/51nMr-Y0Q2L._SY344_BO1,204,203,200_.jpg" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" src="http://ecx.images-amazon.com/images/I/51nMr-Y0Q2L._SY344_BO1,204,203,200_.jpg" height="200" width="133" /></a></div>
<div style="text-align: justify;">
Долго собиралась с мыслями. чтобы рассказать наконец о вышедшей этой весной <a href="http://www.amazon.com/The-Hacker-Playbook-Practical-Penetration/dp/1494932636/" target="_blank">увлекательной книге</a>. В оригинальной манере Peter Kim повествует о всех этапах пентеста - от настройки компьютера до составления отчета об обнаруженных уязвимостях.</div>
<div style="text-align: justify;">
Глава 1 <i>Pregame - The Setup</i> знакомит читателя с основными дистрибутивами и утилитами, используемыми при пентесте. Естественно, подчеркивается, что под рукой надо иметь мощный компьютер, две операционки - Windows и [Kali] Linux - и много-много дополнительного софта (кстати, автор заботливо приводит must-have список с действиями по его установке).</div>
<div style="text-align: justify;">
Глава 2 <i>Before the Snap - Scanning the Network</i> посвящена, как это следует из названия, сканированию. Описаны три метода - пассивное, активное и сканирование веб-приложений. Пассивное сканирование заключается в сборе открытой информации (да-да, OSINT). Активное сканирование - запуск утилит типа Nmap, Nessus и т.п. Сканирование веба - использование возможностей Burp Suite [Pro].</div>
<div style="text-align: justify;">
В главе 3 <i>The Drive - Exploiting Scanner Findings</i> идет краткий рассказ о том, как пользоваться Metasploit'ом. Ну и вскользь упоминается Exploit-DB с присутствующими в ней скриптами.</div>
<div style="text-align: justify;">
Глава 4 <i>The Throw - Manual Web Application Findings</i>. Я далека от темы пентеста веб-приложений, поэтому этот раздел заинтересовал меня куда больше остальных. Однако не могу сказать, что он открыл для меня Америку - описываются SQLi, XSS, CSRF и утилиты, способствующие их нахождению и экспуатации. Наиболее ценным выглядит <a href="http://www.securepla.net/script-alertreddit-script/" target="_blank">скрипт</a>, который аггрегирует валидные XSS, публикуемые на реддите.</div>
<div style="text-align: justify;">
Итак, вы в сети, но с ограниченными правами. Ответом на вопрос "что дальше?" служит глава 5 <i>The Lateral Pass - Moving Through the Network</i>. Получение хэшей учеток, их вскрытие, атака на контроллер домена, ARP-спуфинг (кстати, с помощью Evil FOCA), MitM, SSLStrip и т.д., и т.п. В общем, самая насыщенная глава книги.</div>
<div style="text-align: justify;">
В главе 6 <i>The Screen - Social Engineering</i> приводится всего лишь несколько примеров социальной инженерии - домены-двойники, SET и даже о Excel-макросах не забыли упомянуть.</div>
<div style="text-align: justify;">
Кроме очевидного клонирования RFID-карт, в главе 7 <i>The Onside Kick - Attacks that Require Physical Access</i> рассказывается о перехвате WiFi-трафика.</div>
<div style="text-align: justify;">
Глава 8 T<i>he Quarterback Sneak - Evading AV</i> посвящена простейшим способам обхода сигнатурных антивирусов. </div>
<div style="text-align: justify;">
Глава 9 <i>Special Teams - Cracking, Exploits, Tricks</i>. Как пишет сам автор - "здесь я собрал все то, что помогает пентесту, но чему не нашлось места в других главах". Описаны программы для взлома хэшей, приведены ссылки на разные словари для брутфорса, упоминаются сервисы Exploit-DB и BugTraq, а также скрипт поиска известных экспоитов searchsploit. Стоит отметить технику сокрытия файлов в Windows, описанную в этой главе - что называется, "все гениальное - просто".</div>
<div style="text-align: justify;">
И, наконец, в последней главе 10 <i>Post Game Analysis - Reporting</i> автор дает рекомендации по составлению отчетной документации по проведенным мероприятиям. </div>
<div style="text-align: justify;">
Многие моменты в книге описаны кратко, однако в тексте всегда присутствует ссылка на тематическую книгу или сайт, где можно подчерпнуть детальную информацию по заинтересовавшему вопросу. Думаю, логичней было бы назвать книгу cookbook, а не practical guide, но это дело вкуса автора. В целом, The Hacker Playbook прекрасно структурирует знания области и, на мой взгляд, достойна находиться в библиотеке любого ИБ-специалиста.</div>
</div>
fleytahttp://www.blogger.com/profile/08218774453596294324noreply@blogger.com0tag:blogger.com,1999:blog-4495936527000355559.post-29848341345416892572013-07-09T22:59:00.000+04:002013-07-09T23:25:58.793+04:00Violent Python: A Cookbook for Hackers, Forensic Analysts, Penetration Testers and Security Engineers by TJ O'Connor (2013)<div dir="ltr" style="text-align: left;" trbidi="on">
<div class="separator" style="clear: both; text-align: center;">
<a href="http://akamaicovers.oreilly.com/images/9781597499576/lrg.jpg" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" height="200" src="http://akamaicovers.oreilly.com/images/9781597499576/lrg.jpg" width="162" /></a></div>
<div style="text-align: justify;">
В <a href="http://www.amazon.com/Violent-Python-Cookbook-Penetration-Engineers/dp/1597499579" target="_blank">рассматриваемой книге</a> автором предлагается использовать язык программирования Python для проведения тестов на проникновение. Он последовательно описывает методы использования языка Python для автоматизации таких процессов, как извлечение метаданных из различных файлов, проведение масштабных сетевых атак, исследование сетевых пакетов, обработка веб-страниц, а также для получения сведений, необходимых при расследованиях компьютерных преступлений.<br />
Глава 1 <i>Introduction </i>посвящена основам языка программирования Python. Рассматриваются проблемы настройки среды разработки для языка Python и установки сторонних библиотек, расширяющих возможности языка Python. На нескольких страницах даются основные знания по языку – переменные, типы данных, функции, циклы, выборки, а также работа с файлами и модулями.<br />
Глава 2 <i>Penetration Testing with Python</i> посвящена использованию языка Python для автоматизации атак на проникновение. Начальным шагом при любой компьютерной атаке является разведка сети, которая позволяет выявить ее уязвимые точки. Автор описывает, как можно осуществить сканирование портов, используя только язык Python (сетевые сокеты), а затем с использованием связки Python+Nmap. Большая часть главы 2 посвящена методике создания бот-сетей, используя уязвимости в протоколах SSH, FTP и SMB.<br />
В главе 3 <i>Forensic Investigations with Python</i> обсуждаются такие вопросы, как получение информации о перемещении пользователя, исследование удаленных файлов, анализ метаданных в документах различного типа и использование сведений, полученных из приложений Mozilla Firefox, Skype и Apple iTunes. В первом разделе главы автор предлагает обратиться к информации, содержащейся в реестре операционной системы Windows, а также исследовать удаленные файлы Корзины. Далее автор переходит к проблеме извлечения метаданных из документов различных типов. В метаданных могут содержаться сведения об авторе, датах создания и изменения файла, комментариях, GPS координатах и пр. Следующий раздел посвящен анализу сведений, полученных из базы данных SQLite, на примере сервиса интернет-телефонии Skype и браузера Mozilla Firefox. Последний раздел описывает проблему сохранения персональных данных, с которой столкнулась корпорация Apple: при сохранении резервной копии устройства, данная база данных (наряду с другими) передавалась на персональный компьютер. В случае ее кражи, злоумышленник получал множество конфиденциальной информации о конкретном пользователе.<br />
В главе 4 <i>Network Traffic Analysis with Python</i> описывается, как может применяться язык программирования Python для анализа различных атак и для быстрой обработки огромного количества поступающей информации. Автор начинает исследование с разработки скрипта на языке Python для визуального отображения сетевого трафика. Затем он предлагает метод идентификации пользователей, задействованных в атаках, проводимых хакерской группой Anonymous, а также метод для обнаружения атак типа fast-flux, применяемых для сокрытия центров управления и контроля за бот-сетями.<br />
Глава 5 <i>Wireless Mayhem with Python</i> посвящена исследованию Wi-Fi трафика. Перехват незашифрованных беспроводных Интернет соединений является одним из распространенных методов получения конфиденциальной информации. В качестве альтернативы методу определения перемещений пользователя, описанному в главе 3, автор предлагает получать аналогичную информацию путем анализа запросов ноутбука или телефона на соединение с беспроводной сетью, причем даже в том случае, если точка доступа является скрытой. В конце главы показано, что методы исследования Bluetooth и WiFi трафика одинаковы на примерах получения доступа к сетевому принтеру и мобильному телефону <br />
В главе 6 <i>Web Recon with Python</i> объясняется работа библиотек Mechanize и Beautiful Soup для сбора информации с веб-страниц, использование API разработчика компаний Google и Twitter, а также целенаправленная рассылка электронных писем. Прежде чем осуществить любую атаку, злоумышленник должен собрать как можно больше информации о выбранной цели. На сегодняшний день практически вся необходимая информация может быть найдена в сети Интернет, а язык Python прекрасно подходит для автоматизации поиска информации. <br />
Наименьшая глава книги – глава 7 <i>Antivirus Evasion with Python</i> – рассказывает метод использования модуля Pyinstaller для обфускации кода пакета Metasploit, а также способ автоматической проверки кода антивирусными сканнерами в сети Интернет.<br />
Конечно, автор перечислил лишь некоторые виды нарушений, к тому же на сегодняшний день уже устаревших. Однако для получения общего представления о методах злоумышленников и основах компьютерных атак данная книга будет весьма полезна.</div>
</div>
fleytahttp://www.blogger.com/profile/08218774453596294324noreply@blogger.com0tag:blogger.com,1999:blog-4495936527000355559.post-54908668938599955652013-05-28T23:34:00.002+04:002013-05-29T00:23:09.159+04:00Мысли после #PHDays III<div dir="ltr" style="text-align: left;" trbidi="on">
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div style="text-align: justify;">
<div class="separator" style="clear: both; text-align: center;">
<a href="https://encrypted-tbn1.gstatic.com/images?q=tbn:ANd9GcREIMkbGJ4juYa_R0aUH7Yuos_3SWwO7kBJg8lQKqGa8TIiwP9Z" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" height="124" src="https://encrypted-tbn1.gstatic.com/images?q=tbn:ANd9GcREIMkbGJ4juYa_R0aUH7Yuos_3SWwO7kBJg8lQKqGa8TIiwP9Z" width="200" /></a></div>
Ну, что же, запишу и я свои скромные мысли-на-память по поводу PHDays III. Пост будет не столько о самой конференции, сколько о заметках, родившихся после прослушивания некоторых докладов.</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<b>[via @asintsov]</b> Ханейпот это круто. Если заморочиться и создать целенаправленный ХП, то можно поиметь много интересного. И тут под интересным подразумевается не столько кто-откуда-и-зачем, сколько КАК это было сделано (мечты о новых технологиях, да). Правда вначале надо поизучать законы, ведь можно легко и непринужденно превысить пределы "самообороны"...</div>
<div style="text-align: justify;">
<b>[via @codelancer]</b> Идея оригинальная, но отнюдь не истина в последней инстанции. Этак можно сделать противоположный вывод: если кто-то захочет подставить кого-то в политических играх, то специально оставит (порой очевидные) ссылки на нечто, характерное для нации. Допускаю, что проколы могут быть, но все же "не верю!" (с).</div>
<div style="text-align: justify;">
<b>[via Д.Курбатов]</b> Была высказана любопытная концепция: если каким-либо образом попасть в сеть мобильного роуминга GRX, то через нее без каких бы то ни было проблем сразу попадаем на GGSN (защиты как бы нет), который управляет всей GPRS-связью. Интересно, были ли прецеденты?...</div>
<div style="text-align: justify;">
<b>[via @saprand и А.Масалович]</b> Так как в прошлом году я их доклады уже слушала, то в этом мир не перевернулся. Из полезного вынесла только сайт <a href="https://apigee.com/console/" target="_blank">https://apigee.com/console/</a>, позволяющий напрямую слать API-запросы к соц сетям, минуя написание нескольких строчек py-кода. Ну и немного странным выглядит то, что система Масаловича выкладывает результаты работы в открытый доступ - угадай верный путь на <a href="http://tora-centre.ru/;-)/" target="_blank">http://tora-centre.ru/;-)/</a> и пользуйся на здоровье!</div>
<div style="text-align: justify;">
<b>[via @sshekyan]</b> Бот-сеть на IP-камерах более, чем реальна. Юзеры - <strike>идиоты</strike> не технари (с) и по большей части оставляют доступ из инета с паролями по умолчанию, что дает превосходную возможность создавать простенькие бот-сети, пригодные для, например, (цепочек) прокси - сделал "дело", перегрузил камеру и все, логов нет. Вопрос только насколько хватит ширины канала. Ну и риторически: когда же уже народ научится менять дефолтные пароли и не копировать конфиги из инета, не понимая, что при этом происходит?...</div>
<div style="text-align: justify;">
<b>[via @toool]</b> Локпикинг оказался неимоверно интересной темой. Выступающие американцы зажгли - открывали замки на раз-два. (не все замки, конечно, но все же.) Чувствую, их фирма обогатится на заказах из России после такого шоу; даже я подумываю о том, чтобы потратить полторы тысячи деревянных на набор простеньких отмычек :)</div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
В общем, waiting for #ZeroNights...</div>
</div>
fleytahttp://www.blogger.com/profile/08218774453596294324noreply@blogger.com0tag:blogger.com,1999:blog-4495936527000355559.post-26472364705555353912012-02-05T19:04:00.000+04:002012-02-06T21:43:59.682+04:00Социальная инженерия на пальцах<div dir="ltr" style="text-align: left;" trbidi="on"><div style="text-align: justify;"><span style="font-family: "Arial", "Helvetica", sans-serif;"><i><span style="font-size: x-small;">NB: данная статья задумывалась как статья for dummies и поэтому те, кто уже знаком с темой, могут не открыть для себя ничего нового.</span></i></span><span style="font-family: "Arial", "Helvetica", sans-serif;"><br />
</span><br />
<div class="separator" style="clear: both; text-align: center;"><a href="http://soft.mail.ru/Screens/news/2011/05/19/te_190786.jpg" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" height="160" src="http://soft.mail.ru/Screens/news/2011/05/19/te_190786.jpg" width="200" /></a></div><span style="font-family: "Arial", "Helvetica", sans-serif;"> Прилагательное «социальный» в наше время стало неимоверно популярным. Подозреваю, что практически все слышали, что такое социальная сеть. Многие из вас знают, кто такой социальный работник. А некоторые даже имеют представление о социальном налоге и с чем его едят. Но мало кто понимает, что такое социальная инженерия. Давайте сегодня мы разберемся в этом понятии.</span><span style="font-family: "Arial", "Helvetica", sans-serif;"><br />
</span><br />
<span style="font-family: "Arial", "Helvetica", sans-serif;"> <strong>Представим следующую ситуацию</strong>: вы проверяете свой почтовый ящик и видите, что вам пришло новое письмо от Васи Пупкина.</span><br />
<span style="font-family: "Arial", "Helvetica", sans-serif;"> </span><span style="font-family: "Arial", "Helvetica", sans-serif;">Кстати говоря, а знаете ли вы, откуда взялся этот Вася Пупкин? Нет? Тогда слушайте. Василий Пупкин – это фольклорный персонаж, правда, современный. Его используют, когда не хотят раскрывать своего настоящего имени в Интернете. Также существует скрытый смысл такого именования – сократить длинное и нудное описание «среднестатистический гражданин Российской Федерации». Например, в Англии Вася Пупкин звался бы Джон Буль, а в США стал бы Джоном Доу, довольно распиаренным по многочисленным детективным фильмам.</span><br />
<div class="separator" style="clear: both; text-align: center;"></div><span style="font-family: "Arial", "Helvetica", sans-serif;"> </span><span style="font-family: "Arial", "Helvetica", sans-serif;">Но</span><span style="font-family: "Arial", "Helvetica", sans-serif;"> </span><span style="font-family: "Arial", "Helvetica", sans-serif;">вернемся к заинтриговавшему нас письму от пресловутого Василия Алибабаевича Пупкина. Человеческая психика устроена так, что интерес в подавляющем большинстве случаев берет верх над разумом, и мы все же кликаем мышкой по заголовку любопытства ради. Что же мы увидим в самом письме? Возможны сотни вариантов.</span><br />
<span style="font-family: "Arial", "Helvetica", sans-serif;"> Например, самый банальный: «Привет! Как дела? Мне Саша дал твой e-mail и сказал, что ты сможешь помочь. Посмотри, пожалуйста - <тут идет ссылка на какой-либо сайт>».</span><br />
<span style="font-family: "Arial", "Helvetica", sans-serif;"> Еще вариант: «Добрый день! Вас беспокоит служба <ваша почта>.ru. Совсем скоро мы запускаем новый сервис и хотим, чтобы вы приняли участие в нашем опросе. Это не займет много времени. Подробности по ссылке: <…>. С уважением, В. Пупкин».</span><br />
<span style="font-family: "Arial", "Helvetica", sans-serif;"> Ну и третий вариант: пришло сообщение от имени вашей любимой социальной сети на тему «Вася Пупкин хочет дружить» и, как вы уже догадались, ссылка на якобы вашу же страничку.</span><br />
<span style="font-family: "Arial", "Helvetica", sans-serif;"> «А что тут такого?» - подумает как минимум треть из вас и перейдет по ссылке. Перешли? Я вас поздравляю! Вы на себе ощутили всю прелесть социальной инженерии, вернее лишь нескольких ее разновидностей. Да, кстати, уже можно начинать прощаться как минимум со своим почтовым ящиком, а как максимум с операционной системой вашего компьютера.</span><span style="font-family: "Arial", "Helvetica", sans-serif;"><br />
</span><br />
<span style="font-family: "Arial", "Helvetica", sans-serif;"> Итак, что же такое <strong>социальная инженерия</strong>? </span><a name='more'></a><span style="font-family: "Arial", "Helvetica", sans-serif;">Попросту говоря, это искусство управления действиями человека, которое основано на особенностях его психики. Конечной целью злоумышленника является получение от вас какой-либо конфиденциальной информации, и для этого у него есть два пути: либо заставить вас сообщить ее добровольно, либо получить к ней доступ с помощью набора технических средств.</span><br />
<span style="font-family: "Arial", "Helvetica", sans-serif;"> В приведенных выше примерах реализован как раз второй случай – злоумышленник получает доступ к вашему компьютеру и узнает все нужные ему пароли и явки. Примером же первого случая может являться звонок из банка от сотрудника, например, отдела безопасности. Его речь будет приблизительно такова: «Не могли бы Вы сообщить нам пин-код Вашей карточки, т.к. по ошибке она была заблокирована и требуется восстановить доступ к банковскому счету».</span><br />
<span style="font-family: "Arial", "Helvetica", sans-serif;"> Да, я привожу довольно тривиальные примеры, но именно они лежат в основе большинства уловок социнженеров. Помните: ни работники банка, ни разные Интернет-службы, ни вообще какие-либо посторонние люди ни при каких обстоятельствах НЕ имеют права запрашивать у вас пароль. Даже если ваш лучший друг ни с того ни с сего просит прислать ему ваши логины и пароли – на всякий случай подстрахуйтесь и позвоните ему лично, чтобы уточнить с какой целью он ими интересуется. Потому что вполне возможно, что его аккаунт уже не принадлежит ему, и на другой стороне монитора сидит неизвестный вам человек, потирая ручки в предвкушении большого куша.</span><span style="font-family: "Arial", "Helvetica", sans-serif;"><br />
</span><br />
<div class="separator" style="clear: both; text-align: center;"><a href="http://upload.wikimedia.org/wikipedia/commons/thumb/8/81/%D0%9A%D0%B5%D0%B2%D0%B8%D0%BD_%D0%9C%D0%B8%D1%82%D0%BD%D0%B8%D0%BA_ctqxfc.jpg/320px-%D0%9A%D0%B5%D0%B2%D0%B8%D0%BD_%D0%9C%D0%B8%D1%82%D0%BD%D0%B8%D0%BA_ctqxfc.jpg" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" height="200" src="http://upload.wikimedia.org/wikipedia/commons/thumb/8/81/%D0%9A%D0%B5%D0%B2%D0%B8%D0%BD_%D0%9C%D0%B8%D1%82%D0%BD%D0%B8%D0%BA_ctqxfc.jpg/320px-%D0%9A%D0%B5%D0%B2%D0%B8%D0%BD_%D0%9C%D0%B8%D1%82%D0%BD%D0%B8%D0%BA_ctqxfc.jpg" width="133" /></a></div><span style="font-family: "Arial", "Helvetica", sans-serif;"> А теперь давайте перенесемся в прошлое, когда еще не было ни Интернета, ни персональных компьютеров, но уже родился человек под именем <strong>Кевин Митник</strong>, который на сегодняшний день считается главным экспертом и популяризатором социальной инженерии.</span><br />
<span style="font-family: "Arial", "Helvetica", sans-serif;"> Первые эксперименты по получению конфиденциальной информации он провел уже в 12 лет. Для того, чтобы бесплатно кататься по всему Лос-Анджелесу, Кевин выведал у водителя автобуса наводящими вопросами сведения, где можно достать специальный дырокол, которым в определенных местах прокалывали билеты, чтобы отметить день, время и маршрут проезда.</span><br />
<span style="font-family: "Arial", "Helvetica", sans-serif;"> В средней школе Митник увлекся фрикингом, т.е. взломом телефонных сетей и автоматов. Его излюбленной забавой стало изменение настроек телефонного коммутатора таким образом, что когда человек пытался позвонить куда-нибудь из дома, электронный голос в трубке предлагал ему опустить четвертак, т.к. коммутатор воспринимал звонок как звонок с уличного телефона-автомата.</span><br />
<span style="font-family: "Arial", "Helvetica", sans-serif;"> Однажды Митнику предложили поучаствовать во взломе компьютерной системы Digital Equipment Corporation. В своей книге «Искусство обмана» Митник так вспоминает дальнейшие события:</span></div><blockquote align="justify" class="tr_bq"><span style="font-family: "Arial", "Helvetica", sans-serif;"><i> «Представившись Антоном Черновым, одним из ведущих разработчиков проекта, я просто позвонил системному администратору. Я заявил, что не могу войти в один из моих аккаунтов, и убедил этого парня достаточно, чтобы он предоставил мне доступ и позволил мне выбрать пароль по своему усмотрению. В защите экстра класса любой пользователь, соединяющийся с системой, должен был ввести диал-ап пароль. Системный администратор дал мне его. Это был пароль «buffoon» (клоун), которым, я думаю, он себя почувствовал, когда стало понятно что произошло. Менее чем за 10 минут я получил доступ к RSTE/E системе DEC. И я вошёл не как обычный пользователь, у меня были все привилегии системного разработчика.»</i></span></blockquote><div style="text-align: justify;"><span style="font-family: "Arial", "Helvetica", sans-serif;"> Естественно, данные действия были признаны противозаконными, и Митник понес за них наказание. Но суть не в этом, а в том, что самым уязвимым местом в любой навороченной и современной системе безопасности является, причем во все времена, человеческий фактор. Да-да, человек – это самое слабое звено! Именно он очень часто сообщает всю необходимую информацию просто потому, что его о ней спросили.</span><br />
<span style="font-family: "Arial", "Helvetica", sans-serif;"> Кстати, сегодня Кевин Митник является специалистом по информационной безопасности и владеет собственной консультационной фирмой. Он написал две книги – «Искусство обмана» и «Искусство вторжения», в которых он рассказывает о деятельности социальных инженеров и приводит множество реальных примеров. После каждой истории идет комментарий автора, в котором показано, как можно было бы избежать инцидента или не допустить вовсе. Кстати говоря, вторую книгу – «Искусство вторжения» – можно читать абсолютно всем вне зависимости от принадлежности к миру IT. Конечно, некоторые методы, описанные в ней, уже устарели, но сама книга похожа на увлекательную детективную историю. Единственное, что хочется отметить – абсолютно любую книгу (также как и фильм) лучше читать на языке оригинала, поэтому если у вас есть такая возможность – не упустите ее!</span><span style="font-family: "Arial", "Helvetica", sans-serif;"><br />
</span><br />
<div class="separator" style="clear: both; text-align: center;"><a href="http://n900.eto-ya.com/files/2010/09/set-small-card1.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" height="97" src="http://n900.eto-ya.com/files/2010/09/set-small-card1.png" width="200" /></a></div><span style="font-family: "Arial", "Helvetica", sans-serif;"> Как известно, прогресс не стоит на месте, рутинные действия человека постоянно автоматизируют, и в результате одного такого «упрощения жизни» специалистом по безопасности Дэвидом Кеннеди (известным в сети под ником ReL1K) был разработан специальный инструмент – <strong>Social Engineer Toolkit</strong>. Данное средство включено в состав популярной среди аудиторов информационной безопасности операционной системы BackTrack, но его можно использовать и отдельно от нее. Естественно, для неспециалистов функционал средства не покажется внушительным, но если за дело возьмется профессионал, правильно ее настроит, да использует самые свежие 0-day уязвимости… Пожалуй, здесь оставлю место для вашей фантазии. Стоит отметить, что скорей всего Social Engineer Toolkit разрабатывался в первую очередь для оценки качества обеспечения информационной безопасности на предприятии, но, как это часто случается с подобными разработками, стал использоваться злоумышленниками.</span><br />
<span style="font-family: "Arial", "Helvetica", sans-serif;"> С техническими подробностями можно ознакомиться на официальном сайте и многочисленных специализированных форумах. Мы же рассмотрим лишь в общих чертах основные направления проверочных тестов.</span><br />
<span style="font-family: "Arial", "Helvetica", sans-serif;"> Во-первых, это отправка e-mail либо конкретному человеку, либо массовая рассылка по списку корреспондентов. При этом к письму прикрепляется файл (чаще всего pdf), содержащий вредоносный код, и если пользовать его открывает, то хакер празднует успех.</span><br />
<span style="font-family: "Arial", "Helvetica", sans-serif;"> Во-вторых, это подделка веб-страниц. Пример этого теста: ничего не подозревающий пользователь по ссылке попадает на сайт, например, своей почтовой службы. Он вводит логин и пароль для входа в почту, но т.к. страничка принадлежит хакеру, но при этом является точной копией настоящей, то этот логин и пароль отправляются прямиком к хакеру в блокнотик.</span><br />
<span style="font-family: "Arial", "Helvetica", sans-serif;"> Ну и третья разновидность тестов – это распространение вирусов через usb-накопитель или, попросту говоря, флэшку. Сам тест рассчитан на то, что пользователь не отключил автозагрузку и поэтому какая-либо программа запустится автоматически.</span><br />
<span style="font-family: "Arial", "Helvetica", sans-serif;"> Это далеко не полный список возможностей утилиты SET, но даже он заставляет задуматься над спокойной жизнью в глобальной сети. Обзор утилиты дан лишь для того, чтобы впечатлить вас лишь малой частью арсенала современных злоумышленников. Теперь им совершенно не обязательно сидеть круглые сутки на телефоне с целью узнать от вас нужную информацию или корпеть над программным кодом вредоносных средств, чтобы их не обнаружили антивирусы – достаточно лишь пару раз кликнуть мышкой и вуаля – ваш аккаунт к социальной сети в кармане! Это раньше «хакер» звучало гордо, а теперь это слово прочно ассоциируется с «преступником», но это уже отдельная тема.</span><span style="font-family: "Arial", "Helvetica", sans-serif;"><br />
</span><br />
<span style="font-family: "Arial", "Helvetica", sans-serif;"> Теперь вы знаете, что социальная инженерия это мощная технология, которое позволяет абсолютно бесплатно и без особых усилий узнать у вас информацию, которую вы хотели бы скрыть от посторонних глаз и ушей.</span><br />
<div class="separator" style="clear: both; text-align: center;"></div><span style="font-family: "Arial", "Helvetica", sans-serif;"><br />
</span><span style="font-family: "Arial", "Helvetica", sans-serif;"> А напоследок хочется дать <strong>несколько простых советов</strong>, которые помогут вам защититься от атак социальной инженерии:</span><br />
<div class="separator" style="clear: both; text-align: center;"></div><div class="separator" style="clear: both; text-align: center;"></div><div class="separator" style="clear: both; text-align: center;"><a href="http://andreawarner.com/wp-content/uploads/2010/07/iStock_000012206813XSmall.jpg" imageanchor="1" style="clear: right; float: right; margin-bottom: 1em; margin-left: 1em;"><img border="0" height="200" src="http://andreawarner.com/wp-content/uploads/2010/07/iStock_000012206813XSmall.jpg" width="131" /></a></div><span style="font-family: "Arial", "Helvetica", sans-serif;"> 1. Никогда не открывайте вложения к письму, если вы точно не знаете кто отправитель.</span><br />
<span style="font-family: "Arial", "Helvetica", sans-serif;"> 2. Не переходите по незнакомым ссылкам в письме или сообщении, особенно если они содержат в себе адреса bit.ly или tinyurl.com.</span><br />
<span style="font-family: "Arial", "Helvetica", sans-serif;"> 3. Не нажимайте по ссылке в письме, если вам на почту пришло сообщение из социальной сети, то лучше перейдите на ее страницу из закладок браузера и прочитайте сообщение там.</span><br />
<span style="font-family: "Arial", "Helvetica", sans-serif;"> 4. Никогда не сообщайте ваши пароли никому ни по телефону, ни письмом, ни аськой/джаббером/вконтактом.</span><br />
<span style="font-family: "Arial", "Helvetica", sans-serif;"> 5. Обращайте внимание на стиль изложения писем от друзей, это поможет вам распознать неладное и помочь другу немедленно сменить пароль, пока не стало слишком поздно, да и самому не попасться.</span><br />
<span style="font-family: "Arial", "Helvetica", sans-serif;"> 6. Если в качестве контрольного вопроса вы используете «девичью фамилию», «номер паспорта» и прочие стандартные прелести, то проследите, чтобы эта информация как минимум не была написана у вас на главной страничке социальной сети, а как максимум – о ней знало бы как можно меньшее количество народа.</span><br />
<span style="font-family: "Arial", "Helvetica", sans-serif;"> 7. Помните – предупрежден, значит вооружен! Бдительность и разумная паранойя наше все!</span><span style="font-family: "Arial", "Helvetica", sans-serif;"><br />
</span><br />
<span style="font-family: "Arial", "Helvetica", sans-serif;"> Ну что же, надеюсь, теперь вам хотя бы немного стало понятнее, как вести себя в Интернете и не попасть в некоторые ловушки хакеров, а на сегодня всё!</span><span style="font-family: "Arial", "Helvetica", sans-serif;"><br />
</span><br />
<span style="font-family: "Arial", "Helvetica", sans-serif;"><i><span style="font-size: x-small;">Примечание: при написании статьи использовались материалы сайтов <a href="http://ru.wikipedia.org/" target="_blank">Wikipedia.org</a>, <a href="http://xakep.ru/" target="_blank">xakep.ru</a>, <a href="http://www.social-engineer.org/" target="_blank">www.social-engineer.org</a> и книги Кевина Митника <a href="https://www.ozon.ru/context/detail/id/2146207/" target="_blank">"Искусство обмана"</a>.</span></i></span></div></div>fleytahttp://www.blogger.com/profile/08218774453596294324noreply@blogger.com0tag:blogger.com,1999:blog-4495936527000355559.post-74082472368811401482011-12-23T23:13:00.001+04:002011-12-23T23:13:42.172+04:0021 Recipes for Mining Twitter by Matthew A. Russell (2011)<div dir="ltr" style="text-align: left;" trbidi="on">
<div class="separator" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em; text-align: center;">
<img border="0" height="200" src="http://mirknig.com/uploads/posts/2011-02/thumbs/1298921044_oreilly.21.recipes.for.mining.twitter.250.jpg" width="152" /></div>
<div style="text-align: justify;">
Подбирая себе очередное увлекательное чтение на <a href="http://www.amazon.com/" target="_blank">Amazon.com</a>, наткнулась на спин-офф книги <a href="http://www.amazon.com/Mining-Social-Web-Analyzing-Facebook/dp/1449388345" target="_blank">Mining the Social Web</a> (о ней позже) и не смогла пройти мимо, чтобы хотя бы не полистать <a href="http://www.amazon.com/Recipes-Mining-Twitter-Matthew-Russell/dp/1449303161" target="_blank">сабж</a>. На пролистывание мне хватило получаса, т.к. ничего нового я для себя не узнала. Но это я...</div>
<div style="text-align: justify;">
Как становится ясно уже из названия, книга представляет собой сборник рецептов по работе с API Twitter посредством сторонних библиотек для Python: twitter, tweepy, pypi, twitter_text, networkx, couchdb, nltk, redis, geopy. На мой взгляд, можно было пренебречь некоторыми библиотеками, но для полноты картины и общего развития очень даже неплохо, что о них упомянули.</div>
<div style="text-align: justify;">
Типичный пример рецепта: <em>"Требуется получить список всех фолловеров указанного пользователя. Для этого необходимо обратиться к ресурсу /followers/ids. В листинге X-XX представлена реализация данной возможности"</em>. Далее следует несколько строк, а то и страниц кода без каких-либо пояснений.</div>
<div style="text-align: justify;">
Заманчивое слово "mining" оказывается всего лишь одним графиком, двумя чартами и словами, что возвращаемые данные будут в формате json. Ни о какой структуризации и анализе собранной информации речи не идет.</div>
<div style="text-align: justify;">
В целом, как сборник рецептов книга сойдет. Также она подойдет тем, кто не хочет разбираться в том, как все работает, а хочет сразу одной кнопкой получить конечный результат. Однако если нужны подробности, или же есть желание использовать возможности API на 100%, а не на 21 рецепт, то советую пройти по ссылке - <a href="https://dev.twitter.com/docs" target="_blank">https://dev.twitter.com/docs</a> - и ознакомиться с оригинальным руководством разработчика.</div>
</div>fleytahttp://www.blogger.com/profile/08218774453596294324noreply@blogger.com0tag:blogger.com,1999:blog-4495936527000355559.post-73655180208670961642011-12-22T23:58:00.001+04:002011-12-22T23:58:39.698+04:00Новогодняя викторина от @CiscoRussia<div dir="ltr" style="text-align: left;" trbidi="on">
<div style="text-align: justify;">
На днях мне
довелось
поучаствовать в новогодней викторине, проводимой российским представительством компании Cisco Systems. Именно о ней, а если точнее - о моих впечатлениях о ней - и пойдет речь в данном посте.</div>
<div style="text-align: justify;">
Как было <a href="http://www.cisco.com/web/RU/social_media/ny_contest/index.html" target="_blank">анонсировано</a>, данное мероприятие проходило в двух популярных социальных сетях - Facebook и "ВКонтакте". На мой взгляд, это решение было ошибочным. Как показала практика, довольно большое количество народа торопилось попасть в первую десятку (а именно ей присуждался 1 балл) и поэтому не искало ответа, а отвечало самый популярный на текущий момент вариант. А все из-за того, что комментарии открыты и кто угодно может их видеть. Конечно же тут найдутся люди, которые начнут кричать о "прозрачности" проведения конкурса, однако, например, те же комментарии в LiveJournal до определенного момента можно скрывать, а при оглашении результата раскрывать.</div>
<div style="text-align: justify;">
Кроме того, очень не понравился тот факт, что ни на один вопрос не было дано ссылки на правильный ответ. Просто уведомляли - правильный ответ такой-то, выиграли такие-то. Но! Даже сами вопросы были не всегда корректными. Приведу примеры (взято с Facebook):</div>
<blockquote align="left" class="tr_bq">
<em>6) Выберите компанию, которая первой в Европе приобрела решение Vblock.</em><em><br /></em></blockquote>
<blockquote align="left" class="tr_bq">
<em>a) Альфа-Банк b) ТНК-BP c) Coca-Cola Helenik d) Tieto</em></blockquote>
<div style="text-align: justify;">
Правильного ответа тут нет, т.к. первой компанией была <span class="commentBody" data-jsid="text">Cobweb и только второй стала присутствующая в списке Tieto. Стоит отметить, что на этот вопрос хотя бы последовал ответ специалиста Cisco:</span>
</div>
<blockquote class="tr_bq">
<span class="commentBody" data-jsid="text"><em>"Коллеги, добрый день! Вы все проделали замечательную работу! И, безусловно, правы, что ОФИЦИАЛЬНО первым заказчиком Vblock объявил себя CobWeb.</em><em><br /></em></span></blockquote>
<blockquote class="tr_bq">
<span class="commentBody" data-jsid="text"><em>Однако, поставки компаниям были осуществлены, фактически, В ОДНО И ТО ЖЕ ВРЕМЯ. Неразбериху с местами легко объяснить - целевым рынком для Тието сегодня является Россия, а не в Западная Европа. Поэтому, с точки зрения маркетинга, для Tieto логичнее позиционировать себя как “первый в России” заказчик Vblock, чтобы выделиться среди иных “облачных операторов”.</em></span></blockquote>
<div style="text-align: justify;">
<span class="commentBody" data-jsid="text"> Другой пример, вызвавший неоднозначную реакцию уже пользователей "ВКонтакте":</span></div>
<blockquote class="tr_bq">
<span class="commentBody" data-jsid="text"><em>8) Каким образом в интерфейсе командной строки Cisco IOS можно быстро очистить настройки сетевого интерфейса?</em><em><br /></em></span></blockquote>
<blockquote class="tr_bq">
<span class="commentBody" data-jsid="text"><em>a) R(config)#interface default fa0/0 b) R(config-if)#default this c) R(config-if)#erase config d) R(config)#drop interface fa0/0 e) R#erase flash:</em></span></blockquote>
<div style="text-align: justify;">
<span class="commentBody" data-jsid="text"> Здесь аналогично не приведен правильный ответ, которым является команда:</span></div>
<blockquote class="tr_bq">
<span class="commentBody" data-jsid="text"><em>R(config)#default interface fa0/0</em></span></blockquote>
<div style="text-align: justify;">
<span class="commentBody" data-jsid="text"> Ответственное лицо компании объявило - правильный ответ а). Все вопросы участников - как такое может быть? - просто проигнорировали.</span></div>
<div style="text-align: justify;">
<span class="commentBody" data-jsid="text"> Отдельной темы заслуживает бага (или фича?), которую вовсю использовали пользователи "ВКонтакте", а именно удаление первого (а то и второго) варианта ответа и написания правильного. Как справедливо было замечено, это была абсолютно грамотная тактика - сначала отвечать то, что популярно (а вдруг первый ответил правильно? тогда надо успеть попасть в десятку!), а потом думать или вестись за другими и менять по сто раз свои ответы, благо комментарий удален и никаких следов. Также удивил тот факт, что если у пользователя в комментариях даны противоположные ответы, то из них выбирался только тот, который правильный.</span></div>
<div style="text-align: justify;">
<span class="commentBody" data-jsid="text"> В целом, идея проведения викторины мне понравилась. Не понравилась ее реализация. Очень надеюсь, что такая солидная контора, как Cisco, сделает правильные выводы и в следующем году аналогичный конкурс проведет на 5+! И хотелось бы все же видеть вопросы на знание и сообразительность, а не на умение пользоваться google...</span></div>
<div style="text-align: justify;">
<span class="commentBody" data-jsid="text"> P.S. Да, кстати, викторину я не выиграла, хотя не могу сказать, что проявляла большое усердие в этом деле - главное было получить удовольствие от процесса! =)</span></div>
</div>fleytahttp://www.blogger.com/profile/08218774453596294324noreply@blogger.com0