Опубликовано 22 ноября, 200718 г :smile20: Поддерживаю всемя четырьми мохнатыми лапами :smile5: Просьба огласить список планируемых тем :smile3: выбирать темы занятие неблбагодарное ибо зачем придумывать велосипед? предлагаю рассмотреть и выразить мнение на топики, обозначенные в стандарте 17799. 1 Область применения 2 Термины и определения 3 Политика безопасности 4 Организационные вопросы безопасности 5 Классификация и управление активами 6 Вопросы безопасности, связанные с персоналом 7 Физическая защита и защита от воздействий окружающей среды 8 Управление передачей данных и операционной деятельностью 9 Контроль доступа 10 Разработка и обслуживание систем 11 Управление непрерывностью бизнеса 12 Соответствие требованиям А то пришлось недавно заниматься расследованием инцидента с заражением одной машины через веб (как раз с Javascript и т.д.). Так там столько всего напихано оказалось, что изложение всех способов атаки (и соответственно защиты от них) займет немало времени :smile17: Поэтому и прошу - пионерам пионерово, а профессионалам КИ - профессионалово :smile14: а вы куда-то торопитесь?
Опубликовано 22 ноября, 200718 г Мы говорим об атаках на самую слабую часть нашей сети, на клиента. Клиент не обязан знать ничего, кроме регулирующих документов службы безопасности предприятия, по максимуму может еще сдать норматив хитрый на знание. Все остальное за него должны решать, думать, спасать администраторы. Не системные администраторы, а администраторы безопасности. Давайте рассмотрим предложеную вами позицию. Изначально хочу с ней согласиться. Если мы понимаем, что самым слабым местом нашей сети являются конечные пользователи, давайте будем к ним относиться более серьезно. Если мы знаем, что есть РИСК(риск=конечный пользователь и его комп) то его можно подсчитать по такой формуле: риск= уязвимость*угроза уязвимостью можно назвать тот же ява аплет, непропатчиный комп или необновленная антивирусная база угроза- вероятность, что этой уязвимостью восполльзуются. из базовых знаний математики ясно понятно, что уменьшить риск можно за счет уменьшения уязвимостей или угроз. суть: человек на работе получает бабло за то, что он работает и если ему не обязательно по должностным инструкциям лазить по ётюбам, то это надо присекать. возможно административно(политика безопасности), возможно технически(прокси сервера или фильтр на фаерволе). и еще один базис информационной безопасности подразумевает: ВСЕ, ЧТО ЯВНО НЕ РАЗРЕШЕНО, ТО ЗАПРЕЩЕНО.
Опубликовано 22 ноября, 200718 г Автор Уважаемый flatch, я собственно пишу не для проффесионалов, причем по-моему явно об этом упоминаю. Да и не считаю я извините, что человек который знает, как написать правило для фаерволла, или знает как классически построить безопасную архитектуру сети (дмз, сендбоксы, фильтры, антивирусы и т.п.), но не может подробно, внятно и на примерах показать(организовать атаку) зачем это (именно такая архитектура+ правила на гейтах и фаерволлах, плюс и т.п.) это не специалист ИТ-безопасности. Мне кажется, что если Вы хотите пообсуждать именно тему "как организовать раздел такойто", было бы вежливо начать новую тему, Вы так не считаете? Ну и поразвивать ее. Просто плодить новые разделы, исключительно из-за желания такого, я думаю не верно.
Опубликовано 22 ноября, 200718 г Уважаемый flatch, я собственно пишу не для проффесионалов, причем по-моему явно об этом упоминаю. Да и не считаю я извините, что человек который знает, как написать правило для фаерволла, или знает как классически построить безопасную архитектуру сети (дмз, сендбоксы, фильтры, антивирусы и т.п.), но не может подробно, внятно и на примерах показать(организовать атаку) зачем это (именно такая архитектура+ правила на гейтах и фаерволлах, плюс и т.п.) это не специалист ИТ-безопасности. Мне кажется, что если Вы хотите пообсуждать именно тему "как организовать раздел такойто", было бы вежливо начать новую тему, Вы так не считаете? Ну и поразвивать ее. Просто плодить новые разделы, исключительно из-за желания такого, я думаю не верно. я как бы и не настаиваю неначем. суть последнего поста не производит однозначного впечатления о поставленном вопросе (если он там вообще был). Я тут у вас не часто, поэтому не хотел сразу создавать тем. просто было интересно ваше мнение. На чем могу принести свои извинения за то, что вас перебил. пожалуйста продолжайте
Опубликовано 23 ноября, 200718 г Ну ближе к делу, если посмотреть про формат файла с «широко открытыми» глазами, тут например <a href="http://msdn2.microsoft.com/en-us/library/aa393397.aspx" target="_blank">http://msdn2.microsoft.com/en-us/library/aa393397.aspx</a>, то можем увидеть например вот такой тэг < param name="HTMLView" value=""/>. Что это значит? Микрософтовцы считают, что это специальный такой тег, для того чтобы обновлять бегущую строку в проигрывателе, которая ”Now plaining” Интересно, в русском проигрывателе стоят то другие слова? Да и вообще название говорит само за себя, тег предназначен для просмотра html. Странно. Ну давайте попробуем поиграть с ним. То есть попросту передать параметры … Например ссылка <a href="http://just2test.narod.ru/test.asx" target="_blank">http://just2test.narod.ru/test.asx</a> [OFF. Ну что мазиловоды и фаерфоксники? :о)) ] Да - против дураков это хорошо пойдет :smile20: Но на самом деле все это отбивается правильно настроенными правилами персонального МЭ для WMPlayer - надо запретить плееру лазить в сеть и все :smile12:. Ну и на проксе можно блокировать asx-файлы... Ну и если продолжать играть в эту сторону, то есть и более серьезная пятая колона в Вашей операционной системе, он называется Джава машина. Чего в ней интересного, дак это то, что она кроссплатформенная. То есть без разницы, какая у Вас операционка: линукс, виндоус, и т.д. Джава машина на ней будет стоять фирмы Sun. Когда-то и сама Майкрософт выпускала джава-машину, но потом перестала в силу многих причин, и Sun стала главным поставщиком. Основными для Джавы являются jar-файлы. (Мне самому стыдно за неточные термины, но не хочу загружать Вас) Эти самые jar-файлы, по большому счету оболочки исполняемые Джава-машиной. Грубо говоря, это как архив типа ZIP, RAR и т.п. У микрсофта есть похожая вещь, называется Microsoft System Installer, она же MSI-файлы. То есть в них могут содержаться еще кучи файлов, с настройками, исполняемых и т.п. Упаковываются они в jar очень просто: jar:[путь к архиву]![путь к файлу] Угу, только «путь» он может быть и не «локальным», он может быть адресом в Интернете! Например: jar:https://example.com/test.jar!/test.htm То есть перейдя по ссылке, Вы автоматически запустите Джава-апплет. Ну а он чего нить скажет Вашей джава-машине, она чего-нибудь сделает :о)) Ну например, то что нужно тому кто написал Апплет, только будет делать от Вашего имени. Ну например, так <a href="http://www.gnucitizen.org/blog/hacking-wit...java/target.htm" target="_blank">http://www.gnucitizen.org/blog/hacking-wit...java/target.htm</a>. Еще раз :smile20: Да - уязвимость очень свежая (читайте http://www.kb.cert.org/vuls/id/715737). Но и против нее есть противодействие (собственно в KB CERT-а все написано). Угадайте с трех раз какое :smile3: Конечно, плагин Noscript (надеюсь, вы уже обновились ?) _ttp://noscript.net/faq#qa4_6 4.6 Q: Why does NoScript block documents loaded from jar: URLs? A: As part of its anti-XSS protection, since version 1.1.7.8 NoScript prevents JAR resources from being loaded as documents: loading documents from within JAR files brings a serious XSS risk on every site allowing JAR files to be uploaded by users or, very common, allowing open redirects, e.g. Google. See Beford's proof of concept exploiting Google, the original GNUCITIZEN disclosure and bug 369814 for further references. You can control JAR blocking from the NoScript Options|Advanced|JAR panel. Notice that this feature doesn't depend on your whitelist, i.e. it works on every site, no matter if you allowed it to run JavaScript or not.
Для публикации сообщений создайте учётную запись или авторизуйтесь