Форум 'Информационная безопасность' на RSDN.RU

Секьюрная настройка Apache 2.4 + mod_proxy в качестве фронтенда

Sat, 19 May 2012 14:46:36 GMT

Здравствуйте. У меня возник вопрос на который гугл не смог дать внятного ответа.
Суть проблемы такова: есть сайт с бекендом на IIS, фронтендом к нему служит Apache 2.4 + mod_proxy. Я хочу по максимуму скрыть всю информацию о ПО на котором крутится сайт, чтобы хакеры знали как можно меньше. Но возник серьезный затык с настройкой апача, апач палит факт использования mod_proxy и даже адрес бекенда в сообщениях об ошибках. При недоступности бекенда он выдает ошибку "502 Proxy Error" и в сообщении об ошибке видно что-то вроде "Reason: DNS lookup failure for: site-backend.ru" или "503 Service Temporarily Unavailable" при временном отваливании бекенда. Тело сообщений об ошибках подменяется через директиву ErrorDocument, но http статус и статусная строка никак не меняются. В идеале я хочу чтобы никак не светился сам факт использования прокси, при ошибках бекенда выдавались ошибки апача, при недоступности выдавалась стандартная ошибка 500 без всяких подробностей. Можно ли это сделать, и как?

Специалисты по секурности: чем лечить Андроид?

Sat, 19 May 2012 04:22:05 GMT

Думаю, подцепил троянца на телефон (Android 2.3.3 Galaxy S). Выражается вот в чем:
— неожиданно для меня появилось извещение (нотификация) с надписью что-то типа girls или типа того.
— по клику вместо программы запустилось скачивание какого-то apk.

Благо что он жирный- 20М и было это под 3G- просто перевел телефон в режим полета и прибил закачку. Потом пошел и снес пару-тройку софтин, которые мне показались не нужны (самсунговская фигня, ни разу не пользовался, но висели запущенные).

В общем, страшно стало жить. Какой софт поставить чтобы не был псевдо-антивирусом и в то же время указал на "паршивую овцу" — "засланного казачка" в программах?

Написал сразу в КСВ т.к. тема эта все равно бы привлекла воинственных андроидофобов и была сюда снесена.

19.05.12 22:49: Перенесено модератором из 'Компьютерные священные войны' — kochetkov.vladimir

# amazon kindle -- первые впечатления

Wed, 16 May 2012 05:45:29 GMT

таки купил себе subj. c 3G. обещали бесплатный тырнет в 100 странах. за 100 стран ничего не знаю -- я пока в штатах. амазон работает, вика работает, гмыло (прописанное в меню)... не работает!!! говорит, что только по wifi и никак иначе.

слушайте, да это же мародерство!!! амазон мне как раз меньше всего по 3G нужен. скачать книги я и по usb/wifi могу. на худой конец по телефону через 3g, а потом через usb залью на kindle. wiki полезная штука (особенно, когда незнакомое слово в книге), но мне же полноценный иннет нужен, включая урбан жаргона. и чтобы по 3G.

стал разбираться. там защита, кроче, только для виду. ломается влет. с тоннелем через амазон. ну да, для этого на амазоне нужно имеет облачный акк (не тот который они дают для книг, а который они предоставляют за отдельную плату и на котором можно хостить не только данные, но и сервисы, в частности прокси). работает блин!!!

вот мне теперь интересно -- это в законе хак или лавочку могут прикрыть?

да там вообще полно дыр как я посмотрю. уже ковыряю это чудо природы. там в браузере проверка адресов на которые можно по 3G, а куда только по wifi, на _клиентской_ стороне. модуль, с которым сношается браузер, работает с чем угодно через 3G. интересно, когда киндлы начнут ломать в массовом порядке?

уже пожалел, что брал модель без клавы ;-( она, конечно, компактнее, но страшно неудобная...

я вообще чего сказать хотел. самый законный способ взлома для перегона больших файлов -- это синхронайз с облачным хранилищем. экспериментальный mp3 плеер позволяет по 3g скачивать не только купленную но и закаченную вами музыку (и там ее может быть закачено до гига), причем проверка, что это именно музыка -- чисто номинальная. закачал gz архив в mp3 обертке на 100 метров. скачал по 3g киндлом и слил по usb на ноут. внутри штатов этот трюк линен смысла, ибо 3g трафф у AT&T дешевый, но в других странах... там думаю будет полезна возможность чего-то скачать на шару...

слушайте, да ведь так и говорить можно!!! через mp3. вы наговариваете текст, заливаете mp3, а ваш товарищ его скачивает, слушает и делает тоже самое

Android. Опредедение местоположения

Mon, 14 May 2012 12:56:55 GMT

Приветствую,

Есть Samsung Galaxy Tab 7.7. Есть желание запретить планшету определять местоположение (а в более полной постановке задачи, вообще, проявлять активность без запроса пользователя)
В настройках -> GPS и безопасность -> Моё местоположение, три пункта:
* Беспроводные сети (Расположение определяется Wi-Fi и мобильными сетями)
* Использовать GPS (Определять расположение с точностью до улицы)
* Использовать данные о местоположении (Использовать данные о местоположении для поиска в Google и других служб)

После снятия галок со всех пунктов планшет продолжает весьма точно определять положение на карте (Яндекс.Карты).
Вопросы:
1. Как ему это удаётся?
2. Как запретить определять местоположение?
3. С точки зрения параноика, какие ещё есть приколы у Андроида?

Спасибо.

Отношения Google с американскими разведчиками

Sun, 13 May 2012 11:06:10 GMT

Отношения Google с американскими разведчиками оставили в секрете

Апелляционный суд округа Колумбия, США, поддержал решение Агентства национальной безопасности (АНБ) не публиковать документы, подтверждающие или опровергающие связи ведомства с корпорацией Google. Об этом сообщает Wired.

Позднее бывший глава Агентства Майк Макконелл заявил, что взаимоотношения между разведслужбой и частными компаниями, такими, как Google, неизбежны.

В своем решении суд указал, что публикация документов о взаимоотношениях разведслужбы и корпорации может навредить национальной безопасности США.

Официально то, что мы вроде как и так давно знаем.

Методологии ИТ-безопасности

Fri, 11 May 2012 11:41:22 GMT

Здравствуйте. Подскажите как называется методологи или парадигма безопасности, когда в некоторой структуре выделяется защищенный центр безопасности, который выдаёт ключи, сертификаты и т.п.? Вопрос чисто теоретический!

Дистрибутив чего-нибудь для интернет-банкинга

Wed, 09 May 2012 15:53:26 GMT

Хочется какой-нибудь самый маленький дистрибутив линуха с приличным броузером, или эмулятор какой-нибудь операционки для смартфонов или коммуникаторов, для тырнет-покупок и банк-клиента. То есть критерия три: минимальный размер, нормальный броузер, простота установки под виртуалку.
А вообще я правильно понимаю, что работа в виртуальной машине резко осложняет троянам задачу? Или они уже такие умные, что эмулятор для них не преграда?

«Ростелеком» начинает выдачу электронных подписей в Сибири

Tue, 08 May 2012 05:20:57 GMT

Такая вот новость отсюда:

«Ростелеком» начинает выдачу USB-ключей с электронной подписью (ЭП) на территории Сибири. Первым регионом, где производится выдача ключей, стала Новосибирская область. Получить ЭП могут не только жители областного центра и области, но и других регионов РФ.

Для оформления цифровой подписи понадобится паспорт и номер страхового свидетельства Пенсионного фонда (СНИЛС). Сама подпись бесплатна, пользователь оплачивает только стоимость электронного носителя. Процедура получения подписи займет не более 15 минут.

«Электронная подпись – это аналог собственноручной подписи гражданина, который может быть использован для подтверждения подлинности электронного документа или получения права доступа к информационным ресурсам и сервисам, – рассказывает Заместитель директора макрорегионального филиала «Сибирь» ОАО «Ростелеком» Яков Диркс. – В ближайшее время выдача ЭП начнется и в других регионах СФО».

Программа развития электронной подписи в России определена Федеральным Законом «Об электронной подписи» и тесно связана с созданием инфраструктуры «электронного правительства». Закон предусматривает три вида электронной подписи: простую, усиленную и квалифицированную. Простая подпись только указывает на лицо, подписавшее информацию/документ, и не позволяет установить неизменность подписи и подписанной информации после подписания. Второй и третий виды подписи – позволяют обнаружить изменение электронного документа после его подписания.

Хотелось бы услышать мнение того, кто в теме.
Это, случайно, не начало той оперы, где каждому гражданину будет вживлен чип с ключем ЭЦП?
Доверия этот ключ, не прибавит. К чему это приведет?..

Какие персональные данные сливает Google Chrome?

Mon, 07 May 2012 20:23:43 GMT

Опубликована программа PHDays 2012

Mon, 07 May 2012 19:55:00 GMT

Сабж: http://phdays.ru/program/reports/

Исследование распределения открытых ключей

Sun, 06 May 2012 10:43:13 GMT

Привет!

В разговоре про ЭЦП услышал следующее:

Не найду сейчас ссылку — какие-то исследователи проверили сколько-ко там десятков или сотен тысяч общедоступных открытых ключей в сети и обнаружили неожиданные закономерности распределения. Читал где-то месяца два назад что ли. Это разумеется вопрос реализации, а не подхода — как я понимаю их вывод, что какая-то из популярных библиотек выдает недостаточно случайные ключи.

Беглый просмотр тем на форуме за последние полгода ничего не дал.
Не подскажите источник информации?
Если кто-то в курсе -- насколько там всё серьёзно и что за библиотека?

Ещё раз прошу помочь с вирусом

Sun, 06 May 2012 09:57:15 GMT

Кажется я поймал какой-то мощный, неизвестный науке вирус. Его не обнаружил даже Kaspersky Rescue Disk 10, запущённый из под флешки. В диспетчере задач по и дело появляется процесс "opera.exe" размером 22МБ. Я написал в поддержку Касперского и DRWeb, но долго ждать. Прошу совета.

06.05.12 19:00: Перенесено модератором из 'О жизни' — kochetkov.vladimir

Вирусятина

Fri, 04 May 2012 17:45:19 GMT

Вроде я поймал вирус, и мой DrWeb его не может обнаружить. В диспетчере задач я нашёл процесс “opera.exe”, но это не Опера: размер 220 мб и имя пользователя “SYSTEM”. Как я понял, этот вирус каждый час издаёт звук, который возникает при всплывании сообщения об ошибке. Что это за вирус и как его изничтожить?
В Windows/system32 я нашёл файл opera.exe, содержащий текст (несколько цифр).

05.05.12 09:09: Перенесено модератором из 'О жизни' — kochetkov.vladimir

Защита софта на виртуальной машине

Fri, 04 May 2012 08:23:19 GMT

Я не знаю, может офтоп в этом форуме.

Есть у нас серверный софт. Вернее мы поставляем целый сервер или инсталлируем на сервер заказчика.
Там стоит FreeBSD, куча софта + наш софт.

Один наш заказчик (банк) хочет этот сервер виртуализировать с целью отказоустойчивости.
У него уже целая инфраструктура с виртуальными машинами, реальным остался только наш сервак.

Вопрос в том, что можно сделать, чтобы виртуальный образ нельзя было легко скопировать и тиражировать?

Не в ущерб отказоустойчивости.
Я так понимаю, что их отказоустойчивость сводится к тому, что если дохнет один физический сервак, виртаульный
образ автоматически запускается на другом.

Всё это внутри их сети, ни о каком внешнем сервере авторизации речь поэтому не идёт.

Прежде всего интересно, как это решают в другом софте.
Есть же куча дорогого лицензионного софта, у которого тоже возникает такая же проблема.
Как они это решают?

Найти MS Exchange сервер, торчащий в интернет.

Tue, 01 May 2012 15:27:59 GMT

Допустим есть набор доменов второго уровня и доподлинно известно, что на одном из них есть Exchange сервер(домен третьего уровня, а может выше), как найти его адрес?
Для чего это нужно? Наши безопасники утверждают, что в интернет почтовый сервис не ходит, только во внутренней локальной/vpn сети, поэтому целая группа людей пользуется web доступом, что адски не удобно. Вот хочется это неудобство устранить. Да и не очень понятен замысел безопасников... Или найти не возможно за разумные сроки?

... << RSDN@Home (RF) 1.2.0 alpha 5 rev. 21>>

Как сделать инсталляцию по ключу одноразовой?

Sun, 29 Apr 2012 07:17:24 GMT

Требуется реализовать схему, по которой программу нельзя проинсталлировать несколько раз по одному и тому-же ключу, что-бы если по истечении срока лицензии юзер не хочет ее продлять, то он обязан деинсталировать программу и уже не смог-бы после этого снова ее поставить на компьютер
Как лучше это отследить? Я пока вижу 2 возможных пути: писать куда-то в реестр список использованных ключей либо содержать в ключе период времени в который программу можно инсталлировать (например до 1 июня 2012) после которого инсталлятор откажется воспринимать данный ключ.

Также, какими библиотеками можно воспользоваться для генерации ключей? В идеале, нужно что-бы программа генерила ключ на основании имени компьютера/МАК адреса и текущей даты, юзер передавал-бы нам этот ключ и мы на его основании генерировали-бы ключ активации, который был-бы действителен только для указанного компьютера и воспользоваться им можно было-бы только один раз

Google повышает вознаграждение за баги до $20 000

Thu, 26 Apr 2012 09:24:31 GMT

http://www.xakep.ru/post/58602/

Максимальную награду $20 тысяч можно получить, если обнаружить возможность удалённого исполнения кода в любом приложении Google, кроме «низкоприоритетных». Вдвое меньшую сумму выплачивают за SQL-инъекцию или эквивалент на любом существенном сервисе Google, а также за существенный баг с обходом процедуры аутентификации или утечкой информации на accounts.google.com.

К первой категории важности относятся accounts.google.com, а также Google Search (google.com) Google Wallet (wallet.google.com), Google Mail (mail.google.com), Google Code Hosting (code.google.com) и Google Play (play.google.com).

Удачи!

Новый вектор атаки на смартфоны — датчики движения

Wed, 25 Apr 2012 04:07:42 GMT

Stealth game steals info from Android sensors

To crack a four-digit PIN using information from TapLogger, a thief can narrow the number of tries to 81 with an average of a 100-percent chance of success. Using TapLogger to crack a six-digit PIN generates a search space of 729 likely combinations with an average success rate of 80 percent.

Отчет Trend Micro о защищенности мобильных операционок

Tue, 24 Apr 2012 07:02:36 GMT

Хит парад получился следующий:

1. BlackBerry OS (самый зе бест)
2. Apple iOS
3. Windows Phone
4. Google Android (лузеры)

Методология сравнения и ТТХ, которые рассматривались описаны в отчете: http://www.trendmicro.com/cloud-content/us/pdfs/business/reports/rpt_enterprise_readiness_consumerization_mobile_platforms.pdf

Отследить, что программа удаляется полностью

Thu, 19 Apr 2012 10:46:19 GMT

Есть ли какой-нибудь софт (желательно бесплатный), позволяющий сохранить состояние системы (реестр + файловая система) до начала установки какой-либо программы? Чтобы потом когда эту программу удалишь, можно было сравнить изначальный снэпшот, с тем что стало, и понять насколько чисто она все удаляет.