Архив за март, 2010

Какво е SQLi

Posted in Сигурност on март 3, 2010 by blds33k

Изтече новина по жицата, че някой с помоща на SQL Injection е позабърсал сайта на RIAA. В тази връзка си сядам на четирибуквието да напиша що е то SQL Injection и как всъщност работи.

Като начало – ето една схема на нормална http заявка ( или какво се случва, когато щракнете нещо в браузъра )

1.

браузъра изпраща HTTP Request към сървъра, на който се намира желания сайт
2.

на сървъра тази заявка се обработва от HTTP сървъра ( който може да бъде Apache, IIS и т.н ). Ако заявката е към статичен HTML файл, то сървъра направо връща информация на браузъра. Ако обаче заявката е за динамична страница, която трябва да се генерира в момента ( а това са близо 95% от всички страници напоследък ) то:
3.

HTTP сървъра извиква скриптовият интерпретатор – най-често това e PHP, но също така може да е ColdFusion, ASP, JSP и т.н.За да е максимално лесно и просто да се използва какъвто и да е език за програмиране и съответно интерпретатор е стандартизиран интерфейса между сървъра и интерпретатора – т. нар. CGI. Този стандарт също така описва начините за предаване на различни параметри към скриптовете, които трябва да генерират страницата – въщност точно това се случва с цялата информация ( и не само с нея ), която пишете по форми и полето в уеб-страниците – тя се изпраща като параметри на някой такъв скрипт и в резултат скрипта по някакъв начин ги обработва – записва, проверява и т.н. В много случаи обаче има нужда да се работи с големи обеми информация. Тогава повечето езици за програмиране не са най-удобното и производително решение, а се изпраща заявка към:
4.

База данни. Всъщност по-пълното име трябва да е “сървър за управление на релационна база данни“. Сложничко, нали ? Най-често използваните сървъри при уебсайтовете са MySQL, но същата функция може да се изпълнява и от Oracle, MSSQL сървър, PostreSQL. Забелязвате ли повтарящото се “SQL” ? Това е името на стандартния протокол, с който можете да искате определена информация от базата данни ( например – “покажи ми всички потребители, родени след 1980 г.” ). Та PHP скрипта използва SQL, за да извлече нужната му информация от базата данни. Конкретната SQL заявка се съставя в зависимост от това, каква информация е необходима ( най-често с използването на същите онези параметри, предадени на PHP интерпретатора. ).
След като SQL сървъра върне необходимата информация, скриптовия интерпретатор я обработва, генерира HTML страница, която бива изпратена от HTTP сървъра на браузера на клиента, изпратил заявката.

Изглежда сложно и бавно, но обикновенно подобна заявка отнема милисекунди и вие на ден генерирате поне няколкостотин ( само отварянето на тази страница е завъртяло описаният цикъл няколко пъти ).

Забелязахте ли как едни параметри, които се изпращат от браузера ( напр. текст, попълнен във форма ), стига до PHP интерпретатора и евентуално се използва за съставяне на SQL заявка, която обработва нещо ? Всъщност SQL Injection е съставяне на такава HTTP заявка, с параметри, които всъщност изпълняват нещо друго. Например:

SQL заявката, която ще изтрие цялата информация от дадена таблица в базата данни е “DROP TABLE ”. Ако програмиста, писал конкретния скрипт не е бил достатъчно внимателен и не е проверявал какво точно пристига като параметри е напълно възможно да имаме следния код:

$SQL=“SELECT * FROM users WHERE username=“ + $ime + „;“;

Което би трябвало да генерира заявки от рода на:

SELECT * FROM users WHERE username=“pencho“;
SELECT * FROM users WHERE username=“ivan“;

и т.н. според стойността на променливата $ime. Както виждате, една SQL заявка завършва с точка и запетая. Ако обаче някой намери начин в променливата $ime да се запише не просто “pencho”, а малко по дългото „pencho; DROP TABLE users;“, крайната заявка, която ще се изпрати към базата данни е:

SELECT * FROM users WHERE username=“pencho“;DROP TABLE users;“

Хоп и проблем… Целият списък с потребителите хваща гората. Най-лошото е, че в повечето случаи на атакуващия не му трябва друг инструмент, освен браузър – просто пише SQL заявката в поле на дадена форма. Разбира се, не е задължително тази SQL заявка да изтрие цяла таблица. Може “само” да смени паролата на администратора…

Advertisements

Какво е спам ? Предпазване.

Posted in Сигурност on март 2, 2010 by blds33k

Предпазване от нови СПАМ технологии,
които претоварват Вашата мрежа
Този бюлетин е резюме на “Preventing
New Spam Technologies from Infiltrating
Your Network” на компанията Secure
Computing.
http://www.securecomputing.com/
webform.cfm?id=177&ref=scurwp1691
Борбата срещу „спам епидемията” изглежда като безкрайна
битка. Изпращането на спам се превърна в печеливш бизнес и
работа на пълен работен ден за много хора. Спамът
процъфтява, защото спамърите разработват и
усъвършенстват много нови технологии, които побеждават или
заобикалят съществуващите анти-спам приложения. Този
информационен бюлетин разглежда някои от най-новите спам
технологии и дава яснота за начините, които Secure Computing
използва в борбата с тази постоянно растяща заплаха. Също
така обсъжда и TrustedSource, първата и единствена глобална
репутационна база данни, достатъчно мощна да предпазва
организации не само срещу сегашните, но и срещу бъдещите спам
атаки.
Спамът коства на бизнеса милиарди долари от гледна точка на изгубена производителност, дължаща се на –
неволно изтриване на легитимни електронни писма заедно със спама, кражба на лични данни, кражба на
финансови средства, загуби от интелектуална собственост, ненужно изразходвани ресурси, претоварване на
интернет канала, вируси и друг malware, измами, лъжливи и подвеждащи реклами.
ТРАДИЦИОННИ СПАМ ТЕХНИКИ
Историята на спама започва през 70-те години на миналия век. Оттогава той
се е променил от елементарен начин за изместване на текста на останалите
потребители извън екрана, до най-напредничави/модерни технологии като
картинния спам.
„Жътва” на E-mail Адреси
За да има спам, спамърите имат нужда от e-mail адреси, на които да го изпращат. Те могат да се сдобият с тях по следните
начини:
– Жътва/събиране в мрежата – техника на събиране на всичко, което изглежда като e-mail адреси. Използва се софтуер, който
посещава милиони сайтове и събира e-mail адреси.
– Събиране от директории/справочници/указатели – това е техника на пробите и грешките. Спамърите изпращат спам на всички
възможни комбинации от инициали, имена и фамилии, които са по-широко разпространени. За несъществуващите адреси те
получават съобщение за грешка, за останалите се смята, че са реални, валидни адреси и спам съобщението е доставено.
– Купуване на e-mail адреси – най-лесният начин за сдобиване с e-mail адреси е купуването от компании или частни лица, които
продават e-mail адресите на своите клиенти на спамъри.
Нововъведенията са ключът към продължаващия успех на спам индустрията.
Спамърите имат допълнително предимство срещу анти-спам технологиите, които
по-принцип имат подробна документация. Те лесно могат да променят определен
параметър и да надхитрят защитното решение.
Използване на „|^ / 0 r d 5” – Ранните анти-спам
решения са съставени основно от текст базирани
филтри. Те търсят „подозрителни” речникови думи и
блокират съобщението, което ги съдържа. За да ги
избегнат, спамърите трябва да заместят тези думи с
нещо, което е видимо за човешкото око, но е
невидимо за компютър. Тази цел била постигната
като се пропускали букви в думата или се
замествали букви с цифри или символи. Например
за написване на думата „Viagra” – \/iagra, V1agra,
Vi@gr@, Y agra, V/i/a/g/r/a, Vi?gr?. Това са само шест
възможни комбинации за шест буквена дума.
Всъщност тази шест буквена дума може да бъде
представена по 600,426,974,379,824,381,952 начина.
(Source: http://cockeyed.com/lessons/viagra/
viagra.html)
НОВИ СПАМ ТЕХНОЛОГИИ
Спам с Картинки
Спамът с картинки се появява през 2006г. и довежда до огромно
увеличение на спам e-mail-ите. Той разчита на това, че колкото и
интелигентен да е компютъра той все още не вижда. Компютъра
проглежда благодарение на Оптичното Разпознаване на Символи (Optical
Character Recognition – OCR). OCR може лесно да бъде победен с
помощта на различни объркващи техники като:
– Неясен/размазан текст;
– Изграждане на изображението чрез наслагване на няколко слоя;
– Използване на случайно количество „цветен шум“ в изображението;
– Използване на файлови разширения за анимирани картинки;
– Създаване на вълнообразни шрифтове.
Най-новата тенденция в спама с изображения е използването на сайт
за хостване на изображения. Всичко, което трябва да се направи е спам
съобщението да съдържа линк към определно изображение, което се
зарежда автоматично при отваряне на e-mail-а.
Спам-реклами
Спам-рекламите са друга често
срещана спам технология. Те представляват
комбинаирана заплаха, съставена от няколко
фази. Първата фаза е създаването на лъжлив
сайт, в който има реклами на различни
комерсиални продукти. Втората фаза е да
вдигнеш рейтинга на тази страница в
търсачките (search engines). Това става по
няколко начина, най-лесният е на страницата
да има често търсени в търсачките думи.
Друг начин е посредством специален софтуер,
който търси в Интернет страници, които
подлежат на редактиране. Когато намери
такава, софтуерът вмъква линк към
спамърски сайт.
„Изпомпване и Изхвърляне”
Друг много разпространен тип на
спам-рекламата обхваща промотирането на
евтини акции. Спамърите купуват евтини
акции на произволна компания и започват да
изпращат огромни количества спам
преиначавайки информацията за тях. Най-
често лъжливата информация е свързана с
рязко увеличаване на цената на тези акции.
Според анализаторите има хора, които
попадат в клопката. Спамърите им
продават своите акции и цената спира да се
увеличава. Печалбата им възлиза на 5%-6%
процента от инвестираните пари в
рамките на два дни.
PDF Спам
След появата на спама с
изображения Secure Computing предсказа,
че спамърите скоро ще пробват и други
формати. Предположението се потвърди с
появата на PDF спама. Предимствата на
PDF спама са:
– По-големите възможности при
форматирането;
– PDF компресиращия алгоритъм прави
невъзможно за анти-спам филтъра да
прочете съдържанието, ако не засича PDF
формат.
„Зомбитата” Са Живи и Хапят? През 2006г. бе
наблюдавано огромно увеличение на зомби
машините, които в повечето случаи са
домашни компютри. Заразеният със специални
вируси и троянски коне компютър започва да
изпраща милиони спам съобщения често дори
без знанието на собственика. От 50% до 80%
от общия спам се генерира от такива „бот-
нет” мрежи от зомби машини.
Измамни Бюлетини
В днешно време информационните
бюлетини са спам за едни и важна
информация за други. Спамърите откриват
нови начини да превърнат тези бюлетини в
спам. Един от начините е да се открадне
легитимен бюлетин и дадено изображение да
се замести със спам такова. Спам
бюлетинът изглежда напълно нормално, той
е на организация, която познавате или сте
абониран за нея, но когато се отвори се
вижда спамът.
Не всички спам бюлетини
съдържат спам изображения, в някои
наприемр е подменен линкът най-отдолу на
бюлетина или статията, който изглежда
като линк към страницата на издателя или
продължение на статията, а всъщност ви
отвежда към сайт със спам реклами.
Сплог – Спам Блог Спам блоговете са
легитимни блогове, създадени с цел да
рекламират спам сайтове. Целта
обикновено е:
– Да увеличат ранга на спам сайта в
търсачките;
– Да генерират приходи, чрез постване на
рекламни банери, за които се плаща на
кликване;
– Да предоставят евтино рекламно място
за различни продукти;
– Да генерират приходи, посредством
предлагане на членство.
Спам блоговете не само хабят напразно
ценни ресурси, като дисково пространтво
и Интернет достъп, но освен това
променят резултатите на търсачките.
Спам чрез чат клиенти
Чат клиентите са най-бързо
развиващата се медия. Това е известно на
спамърите, които измислиха спам, чрез чат
клиенти. Повечето от чат клиентите
предоставят някакво количество информация
за потребителите, което обикновено е
достъпно за всички. Спамърите се възползват
от тази информация, за да изпращат спам
съобщения, насочени към определени групи,
организирани по различни критерии.
Чат спамът все още не е толкова
широко разпространен като e-mail спама
наприемер, затова и ранното адаптиране на
анти-спам решенията може да предотврати
превръщането му в поредната спам
епидемия.
Какво предстои – Спам Y3K? Не е трудно да се предскаже, че за в бъдеще
спам индустрията ще продължи да съществува и да расте. Затова IT отделите
трябва да разгръщат все по-добра анти-спам защита, която да бъде способна да
предпазва от минали, настоящи и бъдещи спам заплахи.
Звучи невероятно?
Secure Computing – защита срещу минали, настоящи и бъдещи спам технологии.
Secure Computing предлага цялостни анти-спам решения, които предоставят ефективна
защита срещу всички видове спам чрез:
– IronIM®-продукт за чат(IM) сигурност;
– IronMail®-продукт за емейл сигурност;
– Webwasher®-продукт за Интеренет(Web) сигурност;
– Edge™- сигурност в периметъра на мрежата;
Всички тези продукти, заедно с глобалната репутационна система TrustedSource,
предпазват организации от чат спам, блог спам, e-mail спам, уеб спам и чат сайтове.
Secure Computing описва как се справя с тази задача:
Защо трябва да предприемаме изпреварващи действия?
Много организации използват и разчитат единствено на анти-спам решения, сканиращи само
текстово съдържание, но бумът в количеството на спам съобщенията означава, че за
анализиране на всяко такова са нужни все-повече време и хардуерни ресурси. Корпоративните
мрежи са атакувани всекидневно от огромно количество нежелани съобщения, които трябва да се
обработят преди да са успели да flood-нат пощенския сървър. Голямото количество на нови
видове спам доказват, че сканирането на текст и съдържание далеч не е достъчно. По всестранен
подход към спам съобщенията е анализирането, както на съобщенията, така и на историята за
досегашното държание на изпращача. Така може да се даде по-детайлна картина за намеренията
на изпращача и да се определи неговата легитимност.
ТrustedSource като виртуална кредитна агениця определя репутация на изпращача и след
това го класифицира като добър, лош или подозрителен. Класифицирането се базира на
задълбочен анализ на стотици характерни свойства за всеки изпращач. TrustedSource е първата и
засега единствена репутационна система, която комбинира анализ на трафична информация,
бели листи (добри изпращачи), черни списъци и мрежови характеристики.
Комбинирайки години проучвания с ненадминати способи в изследване на спам
съобщенията, Secure Computing направи ключови открития. Всеки месец TrustedSource анализира
стотици милиарди съобщения събрани от глобалната мрежа от сензори на Secure Computing,
разположени в много организации и правителствени институции. Репутационните точки на
изпращача в TrustedSource се базират на поведението на изпращача и на характеристиките на
съобщението. Репутация се задава на следните обекти – IP, URL, съобщение, изображение и
домейн.
Устройствата на Secure Computing по целия свят изпращат сведения до TrustedSource,
давайки реална представа за фактически целия трафик в Интернет. Всяко отклонение от
нормалния модел на изпращане се анализира от TrustedSource и репутационните точки се
осъвременяват. Тези резултати стават незабавно известни и достъпни за всички останали
устройства на Secure Computing. Това води до:
– Увеличена ефективност – ако известен на системата спамър се опитва да изпраща спам
посредством нова техника, устройствата на Secure Computing го разпознават и блокират спама,
независимо от съдържанието на съобщението. Анти-спам решенията, които нямат
репутационна система за изпращача често са неспособни да спрат новите видове спам.
– Управление на количеството спам – чрез идентифицирането и блокирането на
известните на системата „лоши” IP адреси TrustedSource може да намали количеството на спама
с до 80%. Това е особено важно на фона на постоянно увеличаващото се количество спам.
Кобинацията от най-напредналата репутационна система използвана от TrustedSource
заедно с останалите спам профилиращи техники, които работят в локалните устройства
(IronMail, IronIM, Edge и Webwasher) осигуряват на клиентите на Secure Computing значителни
предимства. И по-важното, те имат предимства при появата на каквито и да е нови начини за
изпращане на спам. Интеграцията на TrustedSource във всички хардуерни защитни стени на
Secure Computing осигурява най-високо ниво на защита за организациите и превръща тези
продукти в истинското анти-спам оръжие днес и за в бъдеще.

Сигурност при вашият компютър.

Posted in Сигурност on март 1, 2010 by blds33k

В този урок (tutorial) ще се постаря да Ви покажа софтуер и настройки за Windows, които ще ви помогнат да се справяте по-лесно със нежеланите „натрапници“.

Защитна стена:

Zone Alarm: http://www.zonelabs.com
Sygate: http://www.sygate.com
TooLeaky: http://tooleaky.zensoft.com/
Kerio: http://www.kerio.com
Leaktest: http://www.grc.com/lt/leaktest.htm
Tiny Firewall: http://www.tinysoftware.com/

Антивирусна програма:

За обикновеният потребител препоръчвам BitDefender.
Стабилна е, и лесна за употреба.
Няма да имате проблеми с регистрация, а също и с обновяване на дефинициите и Update на програмата.

Други стабилни решения са:
NOD32
Kaspersky

ANTI-TROJAN СКЕНЕРИ:

TDS-3 & Tauscan са безспорно лидерите при тоя вид скенери.

TDS-3: http://tds.diamondcs.com.au/
Tauscan: http://www.agnitum.com/products/tauscan/

ANTI-SPYWARE софтуер

(Spyware – софтуер, който някой нетолкова добронамерен автор на определен сайт е поставил, която иска да следи действията на дадена група потребители)

AdAware: Има ли нужда от представяне? Предполагам повечето от вас са го чували, ползвали или продължават да го ползват. Най-доброто решение в случая.

Spybot: Второто, което трябва задължително да имате след Ad-Aware е Spybot Search & Destroy..
Download

SpywareBlaster: Друго нещо, които трябва да имате на разположение в колекцията си за борбата срещу шпионите. Добър, приятен интерфейс.

http://www.javacoolsoftware.com/spywareblaster.html

Bazooka Spyware & Adware Scanner: И това е добро средство за справяне с нежеланите „гости“
Download

ANTI-SPAM решения

Решения против спам има за всички операционни системи. За да подберете такъв софтуер трябва много добре да знаете как да го ползвате, за да не навредите на личната си кореспонденция вместо да се предпазите.

Избягвайте MS Outlook и Outlook Express – защото са прекалено бъгави и прекалено голям трън в очите на кракерите, така че по-добре ги избягвайте има много други програми, които са също с лесен за усвояване интерфейс и дори по-добри функции, а най-важното е че са и по-сигурни.

On-Line AntiVirus скенери:

PANDA: http://www.pandasoftware.com/activescan
BITDEFENDER: http://www.bitdefender.com/scan/license.php
RAV (Romanian AV) : http://www.ravantivirus.com/scan/
TREND MICRO: http://housecall.trendmicro.com/housecall/start_corp.asp
McAfee: http://us.mcafee.com/root/mfs/default.asp?cid=9059
Symantec: http://security.symantec.com/sscv6/default…id=ie&venid=sym

On-Line скенери за троянски коне:

Sygate: http://scan.sygate.com/pretrojanscan.html
GFI: http://www.trojanscan.com/

On-Line AdWare (SpyWare) скенери:

SpywareInfo: http://www.spywareinfo.com/xscan.php
Pest Scan: http://www.pestscan.com/
DoxDesk Parasite Check: http://www.doxdesk.com/parasite/

Списък на портовете използвани от троянски коне:

Всяка седмица списъка се обновява. Така, че го преглеждате и „запушвате“ стъпка по стъпка всеки отворен порт, който се използва от даден троянски кон.

http://www.blackcode.com/trojans/

http://www.doshelp.com/trojanports.htm

http://www.glocksoft.com/trojan_port.htm

Pop Up Blockers:

Popup Killer Test: http://www.kephyr.com/popupkillertest/index.html

Toolbars:

GoogleToolbar освен, че Ви предпазва от PopUp прозорци, рекламиращи най-различни сайтове, (най-често порно сайтове), притежава още много полезни функции, които не са предвидени в обикновения Internet Explorer. Освен това не инсталира никакъв допълнителен софтуер, реклами, който да ви следи и да забавя връзката ви.
Google Toolbar: http://toolbar.google.com/

ToolbarCop е приложение, което ще ви предпази от нежелани ленти и всевъзможни кичове по интерфейса на браузъра ви – доста е досадно ако лепнете едно от тези, а махането невинаги е съвсем лесно.
ToolbarCop: http://toolbarcop.securitywonks.net

Опазване на личните Ви данни:

Тук Eraser е просто задължителен.
Също така трие временните файлове, като ви предпазва от многобройните инфекции на рекламен или шпионски софтуер.

http://www.heidi.ie/eraser/

Следене на Системния Регистър:
RegProt е абсолютно задължителен за всеки, който държи поне малко на сигурността си.
Напълно безплатен, стабилен и добре работещ продукт, който в реално време следи и защитава регистъра ви. Както знаете практически абсолютно нищо не може да действа свободно по системата ви, освен ако не се намърда в регистъра ви, така че почти 90% от шпионски и рекламен софтуер, както и по-безобидните вируси и червеи ще бъдат възпирани още преди да са се настанили.
RegProt: http://www.diamondcs.com.au/index.php?page=regprot

Registry Monitoring:

DiamondCS – RegistryProt 2.0
бърза и удобна програма, която следи непрекъснато какво точно става в регистъра ви и ви съобщава при опит за редакция, добавяне, подменяне на ключове и стойности.

Както знаете без регистърите в Windows никоя програма не може да работи нормално. Най-малкото не може да се намърда в StartUp-а, което автоматично обезврежда всички червеи, троянци, spyware, adware и т.н.

http://www.diamondcs.com.au/downloads/regprot.zip

DiamondCS – Process Guard 2.0

http://www.majorgeeks.com/download4291.html