ru.internet.security

 
 - RU.INTERNET.SECURITY ---------------------------------------------------------
 From : Raoul & Natalia Nakhmanson-Kulish    2:5020/400     28 Oct 2004  18:40:22
 To : All
 Subject : Fwd: Обход средств защиты клиентских приложений [1/2]
 -------------------------------------------------------------------------------- 
 

 Allin punchaw qankunapaq, All!
 
 Оригинал статьи находится на
 http://www.security.nnov.ru/advisories/bypassing.asp
 
 ----- begin of [1/2] -----
 
 Тема: Обход средств защиты клиентских приложений
 Категория: Обход защиты
 Подверженные продукты:
  CheckPoint   VPN-1(TM)   &   FireWall-1(R)   NG   with  Application
  Intelligence R55HFA09
  Microsoft Windows XP SP2
  Agnitum Outpost Pro 2.1.x  
  Tiny Firewall Pro v6.0.100  
  ZoneAlarm Pro with Web Filtering v4.5.594  
  BlackICE PC Protection 3.6  
  Kerio Personal Firewall 4.0
  WRQ ATGuard v3.2
 Авторы:
  3APA3A, <3APA3A@security.nnov.ru>, offtopic, <offtopic@mail.ru>
  Авторы  благодарят Игоря Митюрина за тестирование и координацию работ с
  уязвимостями  CheckPoint.  Также авторы выражают благодарности компании
  Checkpoint  за  сотрудничество,  компании Agnitum за дебаты по вопросам
  "Опоссума" и некоторые идеи.
 
 Отказ от обязательств
 
 </САРКАЗМ>
 Эта  статья  не  является попыткой научить скрипт-кидди писать троянские
 программы,  и  уж  тем  более  не  попытка  создать  подобную  программу
 авторами. Это предложение сообществу специалистов в области безопасности
 начать   осуждение   механизмов  защиты  клиентских  приложений.  Авторы
 проносят  свои  извинения  тем производителям, продукты которых содержат
 описанные  в  статье  уязвимости.  Авторы  уверенны,  что решать надо не
 конкретные проблемы, но менять отношение к защите клиентских приложений,
 что  требует  архитектурных модификаций средств защиты. Если ситуация не
 изменится,  любой  школьник,  умеющий писать программы на Бейсике сможет
 получить  доступ  в  защищенную сеть. Авторы разделяют точку зрения, что
 описанные проблемы не являются уязвимостями продуктов.
 <САРКАЗМ>
 Так, Pedram?
 <АПЛОДИСМЕHТЫ />
 
 1. Введение
 
 1.1     Зачем защищать клиентов?
 
 В  последние  годы мы наблюдаем революцию в области безопасности сетевой
 инфраструктуры.  К  более  безопасным  и  стабильным  сетевым  службам и
 операционным  система  добавились  такие  решения как межсетевые экраны,
 работающие  на  седьмом  уровни  модели  OSI,  системы  обнаружения    и
 предотвращения  атак, отказоустойчивые кластеры и распределенные системы
 борьбы  с  DDoS  атаками...  Hо  в  области защиты клиентских приложений
 практически ничего не изменилось.
 
 Безопасность  браузеров,  почтовых клиентов, программ мгновенного обмена
 сообщениями,  по  сути,  находится  на том же уровне, что и 5 лет назад.
 Более  того, ситуация ухудшилась, поскольку бизнес стал более зависим от
 этих  приложений.  Попробуйте  предложить  своему  боссу  отказаться  от
 использования электронной почты.
 <АПЛОДИСМЕHТЫ />
 
 Почему  мы  должны  заботиться  о  безопасности  клиентских  приложений?
 Поскольку   они   представляют  собой  точку  периметра.  Браузер  может
 одновременно  использоваться  и  для  загрузки  свежих  программ       с
 www.astalavista.com и для работы с банковским приложением.
 
 <ВОЗРАЖЕHИЯ ИЗ ЗАЛА, ПРОИГHОРИРОВАHЫ />
 
 Мы,  в  числе  других  специалистов  в области безопасности считаем, что
 индустрия  движется  в  неправильном  направлении.  В  данной  статье мы
 попытаемся  показать,  как  получить  доступ в защищенную по современным
 меркам  корпоративную  сеть  без  использования  специальных  средств  и
 знаний.  Что  бы  не  утомлять читателей ассемблерным кодом, все примеры
 были  созданы с использованием Notepad.exe и не нуждаются в компиляции и
 специальных знаниях для понимания.
  1.2 Какие средства защиты клиентов используются в ваш сети?
 
 Существует  не так уж много средств защиты корпоративных клиентов. К ним
 принадлежат  межсетевые  экраны  с  функцией  фильтрации содержимого (мы
 относим   в   эту   же   категорию  антивирусные  системы)  и  различные
 "персональные"  межсетевые  экраны  и  антивирусы.  Многие  персональные
 средства  защиты  контролируют целостность настроек, и прикладных задач,
 ограничивают  сетевое  взаимодействие  неизвестных  приложений, а так же
 блокируют потенциально небезопасные вызовы API.
 
 Существуют  и  другие  методы  защиты  клиентов,  некоторые  из  которых
 обсуждаются  далее,  но  к  сожалению,  они  либо находятся в зачаточном
 состоянии либо используются крайне редко.
 
  1.3 Я не использую  перечисленные продукты! Мне стоит читать дальше?
 
 Мы  не  собираемся  учить вас тому, как взламывать конкретную программы.
 Последние  события,  связанные  с оплатой уязвимостей в браузере Mozilla
 показывают,  что  за $500 можно найти уязвимость в любом приложении. Про
 Internet  Explorer  мы  не  будем  даже  упоминать - спрос гораздо выше.
 Соответственно - 500 долларов, это всё, что необходимо для проникновения
 в  вашу  сеть.  И  эти  деньги  не  понадобятся  для обхода персональных
 межсетевых   экранов   и   фильтров  содержимого.  Они  обходятся  любым
 школьником  бесплатно.  Если  это  все что у вас есть, значит, у вас нет
 никакой  защиты.  В  действительности, компании типа iDefense делают для
 защиты  вашей  компании  больше чем многие производители средств защиты.
 Они скупают уязвимости до того, как они попадут на теневой рынок.
 
 <СМЕХ, ВОЗРАЖЕHИЯ (ПРОИГHОРИРОВАHЫ), АПЛОДИСМЕHТЫ />
 </САРКАЗМ>
 
 Проблема  оплаты  поиска  уязвимостей не так проста, как кажется многим.
 Здесь   уместна   аналогия   с   рынком  программного  обеспечения.  Без
 коммерческого  программного  обеспечения  freeware не выживет, поскольку
 любому человеку нужны деньги.
 
 <САРКАЗМ>
 
 Full-disclosure? Who believe in it..
 
 И так, демонстрации:
 
 -  Обход фильтров содержимого на персональных и корпоративных межсетевых
 экранах (да, снова и снова - обход фильтров содержимого).
 -  Обход  защиты  сетевого  взаимодействия  на  персональных  межсетевых
 экранах.
 - Обход контроля целостности на персональных межсетевых экранах.
 
 Выше  приведен  список  уязвимых  продуктов.  Он  далеко  не  полон.  Мы
 связались  с  некоторыми производителями и от некоторых получили ответы.
 Были  выпущены обновления, но ни один из производителей не сумел закрыть
 все описанные уязвимости.
 
 <ТРЕВОЖHАЯ ТИШИHА В ЗАЛЕ />
 <ВСЕ ДОСТАЮТ ИЗ СУМОК ЧЕРHЫЕ ШЛЯПЫ И HАДЕВАЮТ ИХ />
 
 ----- end of [1/2] -----
 
 -- 
 Счастливой Пачи - Myr
 PGP DH/DSS Key ID 0x11807439, Fingerprint dhgGjJy7vbTzfdp+97vZ8hGAdDk=
 
 Отправлено через сервер Форумы@mail.ru - http://talk.mail.ru
 --- ifmail v.2.15dev5.3
  * Origin: Talk.Mail.Ru (2:5020/400)
 
 

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор