анализ ИБ от Силверана
 

Приветствую Вас уважаемые коллеги.
Поздравляю Вас от лица группы “античат” и себя лично, с столь быстрорастущими темпами развития. С последней нашей встречи Вы, так сказать, выросли и расширились. Вы поразили меня с какой скоростью Вы родились и выросли. Я искренне рад за Вас.
Теперь оставил дифирамбы и поговорил детальнее) .
Для начала высоко оценил работу над Вашим сайтом. Не рискнул проверять степень его безопасности, но заметил, что работа над улучшением ваших ресурсов ведётся постоянно и плодотворно- это радует, но изучив детально выложенную Вами информацию, позволю себе небольшой анализ как вас так и обстановки ИБ в целом.
Для начала прочитал Ваши общие положения про ИБ. И то, иронию вызвало, к примеру заявление что хакеры это обычно 14-23 летние подростки, и получается что ЦЕРТ ведёт борьбу с их деятельностью.  Господа времена Кевина Митника прошли, когда всё было направленно на создания мнения, что хакер- это либо подросток, либо волосатый с огромным пивным животом и мятыми брюками мужик, который только и делает что ворует или ломает. Неужели школьник, скачавший видео ролик с ачата и сломавший форум стоматологического сайта, это хакер (скрипт киди)!? Нет. Хакер- это обычно высокоинтеллектуальный человек с особым складом ума, умеющий находить обходные пути в любой ситуации, и возраст не имеет здесь значения. К примеру в меня часто (тыкали пальцем и говорили- хакер), но нет ни одной компании, которая имеет ко мне претензии. Так что было бы правильнее называть ту часть продвинутых компьютерщиков, на борьбу с которыми Вы вышли, не хакерам,и а скажем взломщиками (в мире профессионалов их называют нюкерами или киберпанками, промышленными шпионами). Хакер, это не синоним преступника. Понимаю, написать хакер-зло, это проще, но есть понятие профессиональной этики.
Ваша оценка уровня ИБ в целом Может и верна но не отражает реальной картины в целом. Да, 30-40% ресурсов, что более подвержено атакам, итд итп может и реальны, но давайте всё же разделим атаки на скажем не финансово и финансово критичные. Сколько из всего ресурсов в республике могут при атаке понести финансовые убытки (моральный ущёрб не учитывается)? А сколько из них достойно защищены? Уже существуют компании, чьи финансовые потоки ведутся через компьютерные технологии а так же владеющие денежно ценной информацией, вот они то и являются важной целью атак. Именно они должны Вас интересовать. Уберём всё лишнее (ресурсы мп3 уз, форумы молодых мам, туристические компании, итд итп ) и дадим оценку финансово критически уязвлённым компаниям. Я готов доказать, что 90% подобных компаний не защищены, правда юридическая сторона вопроса не позволяет провести подобную проверку.)
я понимаю, многие готовы со мной поспорить и к примеру админ компании перфектум мне бы заявил- у нас последняя версия форума ипб, даже если угнать Кеш админа перловой программой (кстати это правда), то куки требую ещё и подтверждения по ip (во загнул). Да- это правда, безопасность на уровне По продуманна удачно, но вот выбор хостера (бузтон и саркор) выбран не удачно( ресурсы этих провайдеров позволяю залить шелл и гулять по их ЖД как у себя дома- так что даже хорошее ПО и грамотные настройки самого ресурса перфектума- ничего не значат. Если мы уже взяли сотовых операторов, то компания коском использует https://sales.coskom.uz защищённые соединения для работы своих филиалов, а так же *119# … для получения информации о номере, (в некоторых филиалах подробная инструкция приклеена к компу липким листком), да раздача лицензий это грамотно, но насколько защищены компьютеры в пунктах оплаты? Учитывая что девчонкам скучно, часто ловил их на играх и общению в Интернете. Так что тут не спасёт 128 битное шифрование…кстати, в моей статье, приведённой ниже, будут ещё упоминаться сотовые операторы. Так же ещё есть банки, использующие телл нет протоколы и стандартно настроенные цыски. Сегодня все, кому не лень создают свои билинг системы, особенно мне нравятся провайдеры, к примеру https://shark.stream.uz/corp_clients/sales********* , из мира этот ресурс не виден, но в нутрии сети работает.. вроде как ещё сильнее защитить!? Но не учтено что в радиусе 500 метров от шарка можно зайти в их сеть по wi-fi. Я уже не говорю, про то, что банкоматы пользуются линиями ГТС, а сотовые компании отменяют вип пакеты из за построения на их базе солибной сети по ip телефонии. Так что, к сожалению, это реальная оценка ИБ, и она ужасна. Объяснить я это могу только оттоком “умных голов”. Всё это привело, что нынешний персонал делает упор на совершенство ПО и оборудования. Стали проводиться семинары, иногда тренинги, разбор Исошныш стандартов итд итп. Но что главное в ИБ?.. это люди. Взломщик не забивает голову исошными стандартами, он просто делает своё дело. И никакое ПО и даже если нужный компьютер находится под горой на глубине 1 го километра, не сможет его остановить. Его остановит человек настраивающий это оборудование и По. К сожалению я пока увидел у Вас только банальные предложения сканирования чем нить типа х спайдера и мелких проверок на ххс и перловых атак, но это не исправит положения- самое важное это обучение персонала. Именно высококвалифицированный центр обучения. Скольких людей вы знаете скажем хорошо разбирающихся в безопасности Вы знаете? Согласен- немного. Не редкие тренинги и семинары исправят физически ИБ а именно обучение- упорное и регулярное.
На последок хочу предложить почитать мою статью “защита от соц. инженера” на примерах известных Вам компаний http://antichat.ru/txt/socing/.
С Уважением Силверан!!!
П.С. я в данный момент нахожусь в поисках работы, так что попытаюсь предложить Вам свои услуги)) вновь.

Сотрудники CERT не занимаются выявлением и "наказанием" хакеров, они предотвращают возможные попытки взломов и всего прочего, не связанного с легальной деятельностью в рамках интернета. Так что вначале ход твоих мыслей несколько не верен.
На счет подготовки людей, способных вплотную заняться выявлением и устранением уязвимостей, а конкретнее, системных администраторов, тоже на данном форуме уже говорилось. В частности планируется проведение семинаров, в основе которых будут лежать способы устранения и нахождения уязвимостей.
На счет проникновения в корпоративные сети знаменитых компаний(вардрайвинг это кажется называется), так вот такая проблема присуще не только нам, всё чаще встречаются статьи по проникновению и эксплуатации уязвимостей именно используя не защищенные WI-FI сети. И я уверен, что меру по устранению данного вида нападения уже применяются, да и если не применяются, то можно с уверенностью сказать, что данный способ на данный момент не получит массового распространения в нашей Республике - тревогу поднимать пока рано.

Всё выше-написанное - лишь субъективное мнение, основанное на прочитанном, как на данном форуме, так и на других сайтов. За логичность и подлинность ручаться не могу.

Возьмите его! Он самый лучший спец по ИБ в Узбекистане :)

уважаемый маньяк- я наверное может и неправильно понял, но я ориетнируюсь на работы цертов других стран, легче опередить проблемму чем её решить, а политику работы нашего церта я просто не имею право диктовать,
во вторых я не описывал конкретные уязвимости и их проблеммы, я просто указал их наличие, в результате я надеялся что люди подумают об том, что надо сделать в общем, скажем так глобально, а не начнут думать как защитить конкретно wi fi (кстати через пол года по городу будет 30 мегабитная сеть вифи макс, вот тогда и поговорим конкретно об этом протоколе).
так же как я говорил, семинары и редкие тренинги не помогут, всё ето я могу (и даже намного больше) получитб на ачате, а вот полномаштабные курсы, гдеб учили не чем а как правильно думать, чтоб опередить взломщика, вот что я имел в виду.

так же спасибо другому пользователю за самого лучьшего спеца по Иб но мне показалось или ето сарказм!?)))))))
С Уважением Силверан...
данным постом я не надеялся на оценку вами моей работы, а надеялся узнать Ваше мнение по поводу уровня ИБ у нас.

Уважаемый Силверан,
Спасибо за пост и за статью. Только прежде чем утверждать что либо, подумайте о том, что Вы не сидите в CERT'е и не знаете всех аспектов нашей работы. Да маньяк был прав, когда сказал, что мы не отлавливаем хакеров и тем более не собираем базы по ним. Поэтому попрошу не публиковать заведомо ложных утверждений о нашей Службе. Ситуация с ИБ в компаниях нашей Республики складывается такая не по нашей вине. Мы не контролирующий орган и мы не диктуем организациям свои условия. Мы даем рекомендации, стараясь поддерживать уровень ИБ в стране на должном уровне, но все зависит от руководства той или иной компании, от системного администратора, от специалиста по ИБ.

Wi-Max давно уже работает в Узбекистане. Услуги подключения оказывает компания MaxLine входящая в состав Easttelecom.

наверно, имели ввиду WiMAX

Уважаемый Ильдар. Вы правы я не Сижу в Узцерте и возможно не знаю Вашу политику работы, но мы все тут взрослые люи и надеюсь знаем что пишем, так что приношу свои извинения за голословные заявления, в следующий раз я просто многозначительно промолчу, видимо я неправильно понял раздел законодательство на Вашем сайте.)))
стасибо за поправку Алексей, я в курсе про Ист телеком, однако мы обладаем разной видимо информацией и возможно у меня более свежая инфа про будующее с целом.
Благодарю вас уважаемый Джалолидин, вы правы, ето моя ночная опечатка, именно WiMax. С покритием Ташкента и Таш. области.
Но к сожалению я вижу что мы уходим от темы, чесно говоря моей целью было не обсуждение работы церта а выложить свои мысли как обстоят дела по ИБ в Республике почему так и что надо делать, а так же узнать есть ли у кого мнени именно ПО ЭТОМУ вопросу))
С Уважением Силверан!!
Уважаемый Ильдар, может ли кто нить из церта проконсультировать меня, что нужно сделать по пунктно чтоб организовать свою фирму по аудиту ИБ!?)

А что это такое? :rolleyes:

А может мне кто-нибудь подробнее объяснить как защитить wi-fi? И вообще, читаю топик и чувствую себя такой отсталой от цивилизации :( Столько непонятных терминов :(

есть ya.ru rambler.ru и море поисковиков в помощь, на ачате есть мои статьи по вопросам wi fi
просто ето не тот топ для овсуждения безопасности етого вида конекта.. так то прошу не офтопить а создать отдельную тему раз интересует етот вопрос..
С Уважением Силверан!!!

Эльдар...так меня зовут:)
По этому поводу мы не можем дать консультаций, так как не занимаемся выдачей лицензий аудиторским фирмам. Надо обращаться в хокимият.

Уважаемый Эльдар, спасибо за совет, завтра же иду открывать фирму)
ладно о деле- может церт всёже попробует датьсвой анализ критичноси ситуации и возможно мы даже найдём возможности поспорить.. как по Вашему мнению состоит ситуация по ИБ в целом скажем с цифраи и более детально а не просто (не стоит бить панику)!?

Это они специально, для важности...

Dengiz++, я тебя поддерживаю
Думая на UZ-CERT надо открыт раздел консультации, или как
Хотя бы в на форуме

уважаемый Силверан,
мне немного не понятна ваша позиция, на счет выдачи анализа критичности ситуации и причем тут слово попробовать? Уж тем более, мы не пытаемся никем спорить., нам этого и не надо. Просмотрел все ваши сообщения, в каких-то частях, вы напрямую спровоцируете выудить различными способами, какую либо информацию, так в чем ваша конечная цель? Что вы хотите в целом узнать? Может для начала поставите в нас в известность в вашей цели или сути вопроса?

Соц. инженер :p

а не помешало бы, просто надо было договориться с сотрудниками CERT и провести анализ в определенный момент времени.

Хакеры - это определение способностей человека, а не определение мотивации его действий. "Хакер" - не есть хорошее или плохое.

На самом деле определение более обширно. И можете не смоневаться, что у нас именно правильное понимание этого термина.

Именно. Это общество исказило со временем сущность данного термина.

Это зависит от контекста отдельной статьи.

Не понятно, о какой оценке идет речь

Можем и в таком разрезе делать. Смотря как поставлена задача.

Поверьте, у нас гораздо шире фронт работ.

Поэтому где-то уже на форуме кому-то мы и отвечали, почему проверям не только сам сайт, но и хостера. Здесь, похоже, у нас одинаковое понимание, что радует.

Кстати, шикарны пример необходимости проведения комплексного аудита.

не знаб ничего конкретно про данного провайдера, но в целом показательно пример удачный.

Это и так понятно.

тут больше причин

а иногда и этого не делают

а зря. Не просто так пишутся стандарты. При проведении любой оценки или экспертизы нужны единые критерии, иначе каждому надо будет объяснять как проводилась проверка, на соответствие чего и т.д. Так что, не согласен по части стандартно. Они нужны!

да, он делает на сколько понимает

амбициозно и безоснавательно

значит невнимательно читали. Но лучше так, чем писать ради того, чтобы писать (надеюсь).

это важно. Но среди "самых важных" есть и много другого.

мало. да, это проблема.

разве кто спорит?

за материалы всегда спасибо

зато всё вежливо :) спасибо

это при личном контакте

Так и пытаемся. Курсы и тренинги - со временем, ресурсов мало

бывает :) просто в последнее время нас очень много провоцируют на форуме, зная нашу политику обязательных ответов на все посты.

Это категорически приветствуется. Мы развиваемся, никто не идеален. Помощи будем благодарны. А мысли - мыслями. Заодно и поспорим. Ничего страшного.

Сложный вопрос. Статус и доверие клиентов очень сложно будет заработать. Кстати, мы этим занимаемся, причем для очень крупных заказчиков (закрытая инфо).

Дело в том, что заключение, сделанное такой фирмой, должно быть весомым.

maniak тоже возьмите! Кто кто а вот он очень умный! По безопасности сможет ответить на любые мои вопросы :)

Бог с тобой, я ещё несовершеннолетний, да и знаю только поверхностно.

только по мере возможности, так как вопрос непростой, и общий фразы тут неуместны

специально открыли подраздел "Инциденты" для разбора реальных ситуаций. А общие вопроса - в раздел "Общее"

тогда можно и волонтером, заодно и натаскается

Уважаемый Иброгим, уверяю Вас, я никого ни на что не провацирую! если Вы найдёте любой повод для чего бу мне ето было необходимо- рад был бы их узнать. чтож- если та часть моих постов, которая касается церат, вызывает столь большие подозрения и провацирует к сожалению не интерес а как мне показалось агрессию и конфликт (причём ето нормальная реакция специалистов по ИБ на мои рассуждения, я уже привык) тогда я перестаю касаться лично церта в любых аспектах. жаль конечно что мы начинаем разговор с объвинениях в голословности и в атмосфере подозрительности, но если Вам п о к а з а л о с ь что я имею что то против церта- уваряю- ето всего лиш п о к а з а л о с ь. мне намного инетерснее вопрос касательо обстановки ИБ а не заниматься провакацией конфликтов.
Уважаемый Джалолидин, благодарю за единственный ответ на мой пос так сказать по существу. есть вопросы где мы расходимся где нет- ето нормально и вести споры по пустикам- будет глупо. вы опираетесь на свой опыт работы я же на свою многолетнию практику и кто прав не так важно, важнее что мы понимает на каком уровне ИБ и что с етим что то надо делать. вот именно ето я хотел услышать.
быть может стоит предложить форумчанам или кинуть кличь в узнете на конкурсной основе, кто что может предложить реальное по етому вопросу (к примеру создать виртуальный центр обучения с уроками, екзаменами и домашними заданиями))). Согласитесь вопрос ИБ уже реально можно выносить на финансовый уровень. но Вы правы более детально можно обговорить уже не в паблике.
благодарю за рассширенный ответ!
С уважением Силверан!!!

приношу извинения за орфографию, печатанье на клавиатуре- моя не самая сильная сторона

Коллеги, прошу успокоиться. Я уже как-то вверху писал о провокациях. Поэтому ребята с Церта немного агрессивны. Но похоже, это не тот случай. И давайте с этого моменты эмоции уберем. Вроде диалог конструктивный налажен.

приветствую предложение

Консультации в области ИБ все больше "занимают кусок пирога" вообще среди всех IT-услуг. Это перспективно. Но не все понимают, что за качественную работу надо платить. А эти услуги порой недешевы, так как требуют (как минимум): грамотных специалистов, угробивших кучу времени на свою подготовку, времени, литературы и т.д. Вот этого понимания еще нет. Часто как в поговорке: пока гром не грянет...

нельзя вызвать интерес у потециальных клиетов ели не показать чтj они получат от етого.. надо доказать что клиент сможет не подерять деньги (надавить на негативную сторону характера))) просто надо вызвать интерес, по опыту говорю, покажеш что он информационно финансово не защищён, тут уже разговор не ведётся о том надо ето или нет а ведётся спор сколько будет стоить аудит,(поверте моему многолетнему опыту работы на российском портале и оценке рынка нашей республики)
другой вопрос легальности такого предложения, вот по етому я хочу работать на Вас или же с Вами)))
С Огромным Уважением Силверан!!!

:) Класс! Я бы тоже пошла, но я уже волонтер в "Красном Кресте" :)

Уважаемый, Силверан
хотел бы отметить, что я не ищу никаких поводов для конфликтов или же споров, в этом плане можете быть спокойны. Далее по реакциям специалистов ИБ и вообще отношения к CERT, я всего лишь задал Вам вопросы по у т о ч н е н и ю (!) того, что Вас именно интересует, не более того, может мои сообщения оказались Вам как предъявление обвинения, то вы ошибаетесь. Я прекрасно помню нашу беседу с Вами, также по части обстановке ИБ в целом это вопрос обширный и как специалисту вам должно быть ясно, что в целом весь спектр охватить одним анализом сложно. И если у Вас имеется проведенный анализ, который в целом охватывает существующее состояние ИБ, то мы были весьма рады, а по отдельности делать выводы это было бы немного неправильным.

Насчет аудита безопасности хорошая идея. Сейчас можно кому-то заказать такую проверку с гарантией?
Хорошо бы еще сделать сервис автоматической проверки любого сайта на устойчивость к атакам.

я очень рад уважаемый Иброгим, что Вы помните меня, на счёт обвинений и игр нервов будем считать - взаимным недопонимаением и и ошибычным претположением.
на счёт конкретного анализа ИБ в примерах и попунктно с адресами, видами уязвимостей названий компаний, извените, я бы и рад провести подобный анализ, но тут стоит ребром вопрос как юридический так и моральный.
на счёт моих целей- попытаюсь сказать ещё более прямо- я хочу заняться аудитом ИБ и (давайте опустим высокую мораль) заработать на этом. нету путей конкурировать с Вами, значит остаётся только идти с Вами на контакт. в последнем нашем разговоре Вы к сожалению отказали мне не обьяснив причин (надеюсь в паблике Вы эти причины не будете обсуждать), но прошло время, Вы выросли, я стал умнее- быть может мы сможем найти компромис.
возможно если мы вновь проведём переговоры не в режиме (плохого и хорошего полицейского, а именно так мне и показалась наша встреча ), а поговорим как деловые люди, (мы можем быть взаимовыгодными ),
итак- моя цель- наладить контакт с цертом и начать работу!
господин Скляревский, идея не плохая , скажем так- он лаин х спайден и н мап, но в мире от етой идеи отказались, данный анализ стандартен и не всегда корректен, его результаты обычно приводят в ошибочному мнению что всё впорядке,но всё же если предупредить пользователей етого ресурса о том что ето только поверхнасная оценка и никакое ПО не заменит человеческий ресурс, то думаю идея не плохая
С уважением Силверан!!!

Немного оффтопа:
Не все могут понять о чем идет речь в данной строке - поэтому капельку дополню. Речь идет о двух известных сканерах безопасности, которые помогают провести анализ, выявление каких-либо уязвимостей заданого ресурса...
X-Spider и NMap

Я здесь хотел сказать. Например СЕРТ нашел на какомто сайте ошибку (ну как сказать дырку для злоумышленника). И отправил его владельца об этом ошибке, и он его исправил.
Теперь СЕРТ с идеям - что другие люди не сделали такие ошибки, опубликовал эту ошибку (не надо здесь указать , где было найдено такое ошибка, ну например показать: была-была ошибка на сайте yoursite.com).
И как бороться с такими ошибками, и исходя с этого другой ЮЗЕР как надо настроит свой сервер, или вот так надо было написать скрипт и так ...
Или опубликовать на сайте статьи "как надо безопасно настроит сервер" или "тонкости настройки АПАЧЕ" . (Конешно в паутине можно найти много статьи или документации об этом, но СЕРТ должен написат статьи исходя из своих работ - МОЙ ИМХО)

В персональном кабинете нашего сайта мы публикуем уязвимости и способы их устранения.
Не вижу смысла повторяться. ВАШЕ ИМХО - это заново изобрести велосипед. Вы думаете, что у UZ-CERT Апач какой-то другой? Или сервера используют ПО, которого ни у кого больше нет? Если, конечно, Вы хотите видеть статьи с такой тематикой на нашем сайте - то опубликуем :)

Ребята вносили предложение по такой услуге. Не полностью автоматом, но при участии сотрудников ЦЕРТ. Вопрос пока на проработке, и не все пока ясно. Но в целом суть такая (приблизительно, поэтому не нужно полемики и придирания к деталям, когда проработаем - тогда полностью выложим): Владелец сайта изъявляет жедание в постоянном мониторинге его сайта со стороны ЦЕРТ, делается соглашение (возможно просто через эл. формы), соответственно на сайт ставится что-то типа баннера, что под присмотром ЦЕРТ (как с сайтами в тасиксе). Церт регулярно проводит проверки. 100% гарантии конечно никто не даст в таком деле, но поднять реально уровень ИБ для сайта человека, не специалиста в ИБ, можно. С госсайтами такое уже предпринимается, причем на платной основе. Вот вам и некоторые работы ЦЕРТ, нигде не публикованные. Просьба не просить деталей пока. А в целом обсуждение мониторинга ИБ сайтов - ок.

В принципе обобщение по найденным проблемам и вариантам решения без указания персональных данных - делать можно, если все посчитают это полезным, так как Церт все равно их формирует владельцу сайта.

Эти уязвимости я смогу прочитают и в на других сайтах.
Зачем мне за нова прочитать (это похож к вашему ВЕЛОСИПЕДУ :) )
Я знаю у вас тоже тот же АПАЧ как у всех (Может есть разница в версиях)
Может я не смог написать в норме.
Вот например: в на сайте yoursite.com спецы СЕРТа нашли дырки , используя его можно сделать СИКУЕЛ инжектион. Причина: их скрипт не было защищено от СИКУЕЛ инжектион. По этому такие скрипты надо защищать вот таким то способом. Или в настройка АПАЧ надо изменить значения мажик_куотес_жпс вот так. После этого случиться вот что ...
Или это похож к ВЕЛОСИПЕДу, А