Когда государство (посредством соответствующего органа) вдруг заявляет, что такой то конкретный продукт нельзя использовать чиновникам в связи с опасностью нарушения режима государственной тайны, то как то само собой становиться понятно и кто стоит за производителем этого продукта, и чьи интересы присутствуют и вообще "кто есть ху"... Так что как говориться без комментариев:
Немецким чиновникам запретили пользоваться Blackberry и iPhone
Министерство внутренних дел Германии рекомендовало государственным чиновникам страны не пользоваться смартфонами RIM Blackberry и Apple iPhone на основании недостаточной защищенности этих устройств.
В своем решении министерство опирается на рекомендации немецкого Государственного управления по информационной безопасности (BSI), опубликованные еще в ноябре 2009 года.
Смартфоны Blackberry возбудили подозрения германских властей из-за того, что их коммуникации с внешним миром замкнуты на дата-центры компании RIM, а правительство не может проконтролировать безопасность работы этих центров.
Данное решение привлекло внимание общественности на фоне недавних событий вокруг Blackberry в других странах, включая Саудовскую Аравию, ОАЭ и Индонезию. Правительства этих государств требуют от RIM обеспечить возможность доступа к электронной переписке пользователей Blackberry
iPhone же был признан недостаточно защищенным для немецких чиновников, в частности, из-за недавней уязвимости, позволяющей получить доступ к устройству через PDF-файлы.
В качестве альтернативы немецким чиновникам предлагают использовать устройства, оснащенные технологией шифрования Simko, продвигаемой немецкой телекоммуникационной компанией Deutsche Telekom. С этой технологией совместимы, например, устройства под управлением Windows Mobile.
Взято с СекьюритиЛаб
12 авг. 2010 г.
9 авг. 2010 г.
Еще пара слов об использовании уязвимостей сайтов в целях конкурентной разведки
Некорректное использование Memcached приводит к уязвимостям сайтов
На конференции BlackHat был прочитан доклад, в котором рассказывалось об организации атаки, позволяющей получить доступ к закрытой информации, такой как пароли пользователей, воспользовавшись некорректной настройкой системы кэширования Memcached. Проблема вызвана тем, что некоторые администраторы используют привязку Memcached к реальному IP (при запустке memcached на одном хосте с сайтом рекомендуется привязать его к адресу 127.0.0.1), забывая блокировать сетевой порт 11211 межсетевым экраном.
Так как в Memcached отсутствуют средства аутентификации, при наличии доступа к открытому сетевому порту злоумышленник может легко получить полный доступ (чтение и запись) ко всем хранимым в кэше данным. На первый взгляд может показаться, что атаке могут быть подвержены только сайты, на которых используются стандартные web-приложения для которых известна логика формирования ключей для хранения данных в кэше. Но это не так, дело в том, что значения ключей для закрытого сервиса можно легко вычислить используя встроенные в Memcached отладочные инструменты и команды для просмотра статистики. В качестве демонстрации, приводится пример получения доступа к одному из аккаунтов социальной сети Gowalla.
Кроме того, в докладе обращается внимание на распространенность подобных ошибок, интернет оказался буквально наводнен сайтами с незакрытым портом memcached, среди которых встречаются такие крупные ресурсы как Gowalla, bit.ly и PBS. В частности, сканирование IP-адресов в течение 50 дней выявило в сети 229 серверов не блокирующих доступ к Memcached. В загруженных из кэша этих серверов данных, были обнаружены пароли (открытые и MD5), email-адреса, разнообразные сериализованные объекты, параметры пользовательских профилей и другая информация. Интересен также способ, которым экспериментаторы пользовались для определения соответствующего MD5-хэшу пароля - хэш достаточно было запросить в поисковой системе Google.
Для автоматизации проведения атаки, выявления важной информации из отладочных slab-дампов Memcached и подстановки своих данных в кэш автор доклада подготовил специальную утилиту go-derper.
Взято с ОупенНЕТ
И ссылка на сам доклад.
На конференции BlackHat был прочитан доклад, в котором рассказывалось об организации атаки, позволяющей получить доступ к закрытой информации, такой как пароли пользователей, воспользовавшись некорректной настройкой системы кэширования Memcached. Проблема вызвана тем, что некоторые администраторы используют привязку Memcached к реальному IP (при запустке memcached на одном хосте с сайтом рекомендуется привязать его к адресу 127.0.0.1), забывая блокировать сетевой порт 11211 межсетевым экраном.
Так как в Memcached отсутствуют средства аутентификации, при наличии доступа к открытому сетевому порту злоумышленник может легко получить полный доступ (чтение и запись) ко всем хранимым в кэше данным. На первый взгляд может показаться, что атаке могут быть подвержены только сайты, на которых используются стандартные web-приложения для которых известна логика формирования ключей для хранения данных в кэше. Но это не так, дело в том, что значения ключей для закрытого сервиса можно легко вычислить используя встроенные в Memcached отладочные инструменты и команды для просмотра статистики. В качестве демонстрации, приводится пример получения доступа к одному из аккаунтов социальной сети Gowalla.
Кроме того, в докладе обращается внимание на распространенность подобных ошибок, интернет оказался буквально наводнен сайтами с незакрытым портом memcached, среди которых встречаются такие крупные ресурсы как Gowalla, bit.ly и PBS. В частности, сканирование IP-адресов в течение 50 дней выявило в сети 229 серверов не блокирующих доступ к Memcached. В загруженных из кэша этих серверов данных, были обнаружены пароли (открытые и MD5), email-адреса, разнообразные сериализованные объекты, параметры пользовательских профилей и другая информация. Интересен также способ, которым экспериментаторы пользовались для определения соответствующего MD5-хэшу пароля - хэш достаточно было запросить в поисковой системе Google.
Для автоматизации проведения атаки, выявления важной информации из отладочных slab-дампов Memcached и подстановки своих данных в кэш автор доклада подготовил специальную утилиту go-derper.
Взято с ОупенНЕТ
И ссылка на сам доклад.
Подписаться на:
Сообщения (Atom)