存档

‘企业安全’ 分类的存档

关于口令强度等级的设计

2013年12月25日 没有评论

原创:裴伟伟(做个好人)

近来在笔者所参与的一款产品中涉及到口令安全的功能设计,其中一项功能是有关于口令强度的。在设计该功能过程中势必涉及到口令强度的划分设计,怎样的口令才算是低强度的,怎样的口令才算是高强度的。目前诸多的Web系统注册功能中的口令强度设计及划分也无统一标准,更有甚者是直接根据口令长度来设计的口令强度划分。

如果要评判一则口令是强是弱,就必须先考虑影响口令强度的因素:复杂性和长度,因为我们在输入口令时只有这两种维度的选择:要么多输入一些特殊字符增强复杂性,要么多输入一些混合字符/字母增加口令长度。在不考虑拖库、社工等口令获取方式的前提条件下,通常情况下,破解口令仅有暴力破解的方式可以选择,其中亦包括字典攻击和彩虹表破解。

在纯粹的暴力破解中,攻击者需要逐一长度地尝试口令可能组合的方式,是ATM机般的纯数字组合,还是12306般的纯数字字母组合,亦或是正常电商那般可以混合输入数字、字母和特殊字符。假设一则口令P的长度是L,可选择的组合形式范围的长度是S,那么即便是在“暴力破解”这种残暴字眼的手段中,运气不好的情况下仍然需要最多尝试SL次。口令是否安全的原则取决于攻击者能否在可容忍的时间内破解出真实口令,而是否有耐心进行暴力破解往往决定于攻击者的目的及成效:一名仅为破解电子书小说压缩包的宅男不大可能会浪费一天以上时间等待口令的“出现”。

既然暴力破解需要尝试最多达SL次方能破解出口令,那么破解口令的速度即是破解成效的约束条件。在许多情况下,破解速度取[……]

阅读全文

车库咖啡渗透测试报告

2013年9月22日 没有评论

原创:天吉亮(Tian)

一、前言

之前曾经针对车库咖啡官网做过一次简单的渗透,虽然没有收获实际的陈果,但也为这次渗透测试做了一些准备工作,同时也获取了与车库咖啡相关的一些基本信息。

二、渗透目标

本次渗透测试的目标为车库咖啡官网(http://www.chekucafe.com)、车库咖啡俱乐部(http://club.chekucafe.com/)以及其他二级域名所属的Web应用,并根据渗透的结果获取车库咖啡相关的非公开资料或数据。

三、渗透测试过程

3.1 ucai.chekucafe.com的渗透过程

3.1.1 配置环境扫描结果

服务器IP:123.125.162.98

开放端口: 80/http

服务器系统: *nix

网站程序: 未知

3.1.2 渗透思路转移

从车库咖啡官网看到可以使用优才网帐号登录,如下图所示:

chekucafe_01

从登陆方式可以判断车库咖啡优才网(http://ucai.chekucafe.com/)和优才网的使用的是相同的数据库,至少在账户信息存储上是共用的。此外,在车库咖啡官网看到车库认证团队内有优才网的团队认证信息。如下图所示:

chekucafe_02

从上图中可得知优才网的项目负责人叫伍星,[email protected]

由此设想,既然车库咖啡优才网(http://ucai[……]

阅读全文

安全技术团队在保护客户上的作用

2013年9月12日 没有评论

原文:http://blogs.technet.com/b/security/archive/2013/07/25/the-impact-of-security-science-in-protecting-customers.aspx?Redirected=true

翻译:封畅

今天Trustworthy Computing发布了新的报告,调查了微软缓解安全漏洞的措施在安全问题上的影响。这份报告基在过去七年间微软通过安全升级处理过的被黑客利用的漏洞的研究。这一研究专注于评估各种被黑客利用的漏洞的类型,被攻击的产品的版本和被黑客使用的漏洞利用手段在过去的趋势。

这份报告中有几个关键,被称作软件漏洞的利用方法,包括:

  • 每年已知可以利用的远程代码执行漏洞(RCE)数量正在下降。

  • 漏洞最经常在安全补丁发布之后才被利用。尽管这些年在安全补丁发布之前就被利用起来的漏洞的百分比有所增加。

The Impact of Security Science in Protecting Customers 01

图1:在补丁发布之前和之后被利用的CVE漏洞所占的百分比

  • 堆栈溢出漏洞曾经是最常见的漏洞利用类别。但是现在已经很少了。堆栈溢出漏洞的使用率从2006年的43%下降到了2012年的7%。The Impact of Security Science in Protecting Customers 02

图2:已知可以被利用的CVE漏洞的类别分布

  • 释放后使用(Use-After-Free)漏洞现在是最常见的漏洞利用类别。

  • [……]

阅读全文

分类: 产业发展, 企业安全 标签:

发人深思的一天——关于《金融时报》被黑的反思

2013年7月31日 没有评论

原文:http://labs.ft.com/2013/05/a-sobering-day/

翻译:童进

我原本一直认为自己对钓鱼攻击比较有防范意识。在钓鱼攻击中,攻击者会创建一个与受害者经常使用的系统一模一样的登录页面,用来欺骗他们以获取用户名和密码。相比之下,经验不足的Web用户非常容易遭受这种攻击,因为他们不能很好的理解Web工作原理,所以几乎无法分辨网页的真伪。

大约10天前,一个或一群自称叙利亚电子军(SEA)的黑客对《金融时报》进行了一场非常有针对性的网络攻击。我们并不是他们攻击的第一个目标,事实上在我写这篇文章过程中,我们甚至就已经摆脱“最新被攻击目标”的称号了。但是这次攻击给我上了很重要的一课,针对一个大型公司的攻击并不是随机发送让你重置PayPal账户那样的欺诈邮件,它们通过精心的伪装,往往难辨真假。这些发送到《金融时报》的电子邮件成功盗取了我们公司的Google账户,这其中便有我的。

事情是这么发生的

5月14号,一些包含钓鱼网站链接的电子邮件,从外部的邮件帐户发到金融时报。其中有些来自金融时报员工的个人账户,这表明这些员工本身已经被攻击了,但那并非是为了攻击金融时报而进行的攻击。邮件中会包含一个链接,它看起来像是CNN.com上的一篇文章,但实际却链接到一个已经被黑掉的WordPress网站(这个网站相当知名,但在这里指出他们的名字并不合适,而且他们已经修复了问题)。这个站点有一个名为ft.php的文件。因为邮件是HTML格式,它可以链接到一个与显示[……]

阅读全文

2011年-2012年渗透测试调查

2013年7月12日 没有评论

原文:PHDays活动资料

翻译:章典

这次调查涵盖Positive Technologies的专家对2011年到2012年的渗透测试进行一般的统计数据。其中包括了外部测试和攻击方的渗透测试。

在2011年和2012年,Positive Technologies的专家进行了超过50次渗透测试,本研究基于其中20个最具规模的测试报告结果(每年10个结果)。我们将那些受限制的主机排除,因为这些主机的测试结果无法广泛反映目标信息系统的安全级别。

这次研究涵盖了政府和商业的主要机构,其中包括了专业RA机构评出的俄罗斯前400强的企业。

一、2011和2012年整体数据

最低攻击条件(对重要资源的控制)

Positive Technologies的专家对其中75%的目标进行测试,并获得了管理和完全控制重要资源的权限,几乎一半(45%)的测试结果显示,任何外部攻击者都可以获得相同访问权限。四分之一的测试显示,位于内部攻击者在用户网段可以对关键资源完全控制,并不需要任何额外的特权。

最低攻击条件(边界绕过)

其中一半的系统不需要额外的特权便可由攻击者绕过安全边界。每个Internet用户都可能访问系统中的外部网络。在这种情况下,如果对大型国有企业公司进行未授权的渗透测试,那么意味着会造成巨大的损失,这些结果表明,俄罗斯的企业信息安全处于一个很低的水平。

部分web攻击者获取权限级别

[……]

阅读全文

叙利亚电子军攻击《洋葱报》启示录

2013年5月27日 2 条评论

原创:裴伟伟(做个好人)

以下是叙利亚电子军(Syrian Electronic Army)攻击《洋葱报》的手记,简而言之,就是叙利亚电子军针对《洋葱报》员工Google Apps账户发起的三次钓鱼攻击。

今年5月3号左右,叙利亚电子军(SEA)通过钓鱼邮件对美国《洋葱报》发起了一次攻击。邮件截图如下:

phish1

图中看似来自华盛顿的链接实际上会链接到“http://hackedwordpresssite.com/theonion.php”,而该链接又会重定向至下面的链接:

http://googlecom.comeze.com/a/theonion.com/Service.Login?&passive=1209600&cpbps=1&continue=https://mail.google.com/mail/

这个链接在跳转到Gmail收件箱时会要求用户输入Gmail账户信息。

这封邮件由《洋葱报》之外的陌生邮箱发送给员工,其中有些员工将这封邮件作为垃圾邮件处理而未点击查看,但仍有至少一名员工被成功钓鱼。

攻击者在获取到这名员工的帐号信息后以该员工的邮件发送同样的钓鱼邮件给更多的员工,发送时间大约是5月6日凌晨2点30分。由于收到来自同事的邮件,许多员工点击了邮件中的链接,其中多数人并未输入自己的账户信息。但仍有两名员工点击链接并授权给该链接,其中一名员工的账户甚至有报社所有人的社交账户信息[……]

阅读全文

商业活动最大的威胁:鱼叉式网络钓鱼

2013年5月18日 2 条评论

原文:http://community.websense.com/blogs/websense-insights/archive/2012/10/09/what-is-scaring-businesses-the-most-spear-phishing.aspx?cmpid=prfb

翻译:章典

鱼叉式钓鱼已经受到了当今政府和企业的高度重视。然而,当像上周(2012年11月第一周)针对白宫,以及去年对橡树岭国家实验这样高调的攻击仍在不断向政府部门强调这类攻击的风险,其实,现代商业活动也同样是其主要的受害者。黑客们正不断地窃取着源代码,知识产权保护的技术,以及财务信息。

基于这些事故,Websense安全实验室从ThreatSeeker Network收集数据,然后用我们的高级分类引擎分析了主要的钓鱼攻击的发展趋势。包括:

  • 攻击策略的转换

  • 新的防范技术

  • 针对性威胁的演变

从垃圾邮件到网络钓鱼

在讨论钓鱼攻击前,你需要先知道下现在邮件安全问题的大致趋势,而这一般先是从对垃圾邮件的讨论开始的:

  • 垃圾邮件一般是众多攻击开始的第一步,发送大量的邮件以确保在厂商更新签名或者用户升级系统前完成渗透。
  • 92%的垃圾邮件包含一个URL地址。
  • 总共只有1.62%的垃圾邮件可以被归类传统的钓鱼攻击。
  • 这个虽然看起来不多,[……]

阅读全文