SlideShare a Scribd company logo

Sergey Gordeychik - Russian.Leaks

Download as PPT, PDF
Q
qqlan
1 of 25
Почему случился Russian.Leaks? Сергей Гордейчик, технический директор Positive Technologies
Также руку приложили Дмитрий Евтеев Дмитрий Кузнецов Денис Баранов Евгений Толмачев Александр Зайцев Денис Макрушин К.О.
О чем пойдет речь Обзор «поисковых» утечек Почему это случилось только сейчас? Разбор инцидентов Причем здесь Яндекс.Бар? Защитит ли меня robots.txt? Что делать?
Обзор Russian.Leaks 2011 (до 1 августа) Портал wiki.yandex-team.ru в Google 10.03 SMS абонентов Мегафон 18.07 SMS МТС, Вымпелком, Мегафон через сайт sms.prm.ru 18.07 Заказы в Интернет-магазинах ( WebAsyst Shop-Script ) 25.07 Железнодорожные и авиабилеты 26.07 … .
Впереди планеты всей? Техника поиска конфиденциальной информации в поисковых машинах и веб-архивах известна давно. В начале века устоялся термин Google Hack и вышла одноименная книга. GHDB - Google Hacking Database .
Чем интересны новые утечки? (1 /3) Традиционно утечки связаны с простейшими ошибками в реализации веб-сайтов: недостаточная аутентификация ( Insufficient Authentication ); обмен конфиденциальной информацией через FTP -серверы; индексация каталогов ( Directory Indexing ); неверные разрешения файловой системы ( Improper Filesystem Permissions ); небезопасная индексация ( Insecure Indexing ). http://projects.webappsec.org/Threat-Classification
Обзор Russian.Leaks 2011 (традиционные утечки) Закрытые фотоальбомы streamphoto.ru 19.07 Опубликованная пользователем ссылка на закрытый впоследствии альбом оставалась доступна в кэше. Фотоальбомы QIP 25 .07 - 26.07 После публикации в блоге поискового запроса к search.file.qip.ru Яндекс проиндексировал результаты поиска. Документы под грифом ДСП органов в доменах * .gov.ru 27.07 Google проиндексирован открытый файловый архив. Скрытые фотографии из сети «ВКонтакте» 30.07 Фотографии и ссылки на них не удалялись даже после удаления учетной записи. Интернет-правило Миранды: «Все, что вы указали о себе в социальной сети, блоге, форуме, чате, любом общедоступном сервисе, будет храниться там вечно и всегда может быть использовано против вас.» Михаил Емельянников, Positive Hack Days 2011 http://phdays.ru/program-business2011.asp
Чем интересны новые утечки? ( 2 /3) Традиционно более сложные уязвимости эксплуатируются вручную в рамках конкурентной разведки: подбор имен файлов и ссылок ( Brute Force ); подбор простых имен пользователей и паролей к FTP - и файловым хранилищам; … http://phdays.ru/master-classes2011.asp#5
Чем интересны новые утечки? ( 3 /3) Сейчас в кэш поисковой машины попали данные, которые до этого уже были доступны квалифицированн��му хакеру.
В чем суть? После отправки веб-формы (сообщение / заказ) сайты возвращали страницу статуса. Страница статуса содержала детальную информацию о переданных данных:
В чем суть? Страница статуса идентифицировалось уникальным значением вида: http://site/script/?id=< randomvalue > Примеры: http://www.railwayticket.ru/print.php?n= d03dce47609c928f95d51914bed1e651 http://shop.someshop.ru/order_status/?orderID=3884&code= dm92YW5jaG84MEBtYWlsLnJ1 &hash= 6fc0cbf90a5412ab4c350cf2fbaf10b4 Дополнительная проверка запроса ( cookie, IP) не выполнялась.
В чем суть? Использование уникального значения в адресе и ограничение времени жизни страницы должно предотвращать появление конфиденциальной информации в поисковых машинах. Поисковики просто не должны знать о существовании такой ссылки. Но узнали! Откуда? Баннерные системы? СОРМ? Хакеры, прослушивающие сети Wi - Fi? http://webmaster.ya.ru/replies.xml?item_no=10941 Владимир Иванов, информационная безопасность Яндекса
Теперь есть официальный ответ! «Мы изучили ситуацию и выяснили, что адреса страниц с некоторых хостов стали известны Яндексу через установленную на сайтах Метрику . А поскольку в robots.txt этих сайтов запрета на индексацию страниц не содержалось, они стали находиться в Яндексе. Особо хотим отметить, что посещение пользователем страницы с помощью браузера с установленным Яндекс.Баром не приводило и не приводит к ее индексации.» Владимир Иванов, информационная безопасность Яндекса http://webmaster.ya.ru/replies.xml?item_no=11122
Итак… При установке на сайте счетчика Яндекс.Метрика адреса страниц, включая уникальные значения , передаются в Яндекс . Яндекс индексирует эти страницы и сохраняет результаты в кэше. По истечении таймаута страницы на основном сайте очищались , но содержимое оставалось в кэше Яндекса. В настоящее время Яндекс изменил поведение Метрики , снизив вероятность индексации подобных страниц.
Почему Яндекс.Бар под подозрением? Яндекс.Бар передает адреса посещаемых страниц на сайты: bar-navig.yandex.ru backup-bar-navig.yandex.ru http://devteev.blogspot.com/2011/07/blog-post_20.html
Почему Яндекс.Бар под подозрением? По неофициальным заявлениям Яндекс, передаваемые URL не участвуют в индексации, а используются только для определения тИЦ. Однако возникают очевидные вопросы…
Очевидный вопрос №1 Q : При работе с моим банком через Интернет все запросы передаются по HTTPS. Что будет, если я использую Яндекс.Бар? A : Яндекс.Бар будет передавать информацию о зашифрованных страницах в открытом виде.
Очевидный вопрос №2 Q : Будет ли в этом случае передаваться конфиденциальная информация в открытом виде? A : Да, если ДБО-служба передает значения в параметрах URL .
Очевидный вопрос №3 Q : Будет ли передаваться конфиденциальная информация в открытом виде, если ДБО-служба не использует GET ? A : Да, если вы используете функцию «Проверка орфографии» в Яндекс.Бар.
Без комментариев… http://metrika.yandex.ru/promo/webvisor/
Немного про robots.txt Robots.txt – старый стандарт (30 января 1994 ) . Его соблюдение – вопрос доброй воли ( которой обладают не все). Каждый робот трактует Robots.txt по-своему. Может использоваться устаревшая копия файла. Поисковики иногда «оптимизируют» трактовку robots.txt . http://webplanet.ru/news/service/2007/01/11/feedburner.html   Роман Иванов, Яндекс «Сейчас мы ввели временный обход robots.txt для сервиса FeedBurner, чтобы ни в чем не повинные блоггеры, пользующиеся их услугами, не пострадали.» 
Итак, кто виноват? Владельцы сайтов, допустивших утечку? Поисковые машины? Люди, опубликовавшие поисковые запросы?
Что делать? Администраторам веб-сайтов Читать лицензионное соглашение! «Искать себя» в поисковых машинах и тестировать сайт с помощью автоматических утилит. Аккуратно относится к внешним компонентам , следить за связанными уязвимостями. Использовать передовой опыт в области безопасности ( WASC, OWASP) . Корпоративным администраторам Блокировать подозрительные программы. Фильтровать на межсетевых экранах различные счетчики, трафик «баров» и т.д. Пользователям Интернет ВНИМАТЕЛЬНО читать лицензионное соглашение ! Фильтровать ( NoScript, AdBlock…) различные счетчики.
P . S . Google vs Yandex ? Яндекс.Метрика vs Google Analytics? Google Toolbar vs Яндекс.Бар ? … vs Google Chrome?
Сергей Гордейчик, технический директор Positive Technologies    +7 495 7440144 [email_address]   http://www.ptsecurity.ru             http://sgordey.blogspot.com          http://ptresearch.blogspot.com

More Related Content

Sergey Gordeychik - Russian.Leaks

  • 1. Почему случился Russian.Leaks? Сергей Гордейчик, технический директор Positive Technologies
  • 2. Также руку приложили Дмитрий Евтеев Дмитрий Кузнецов Денис Баранов Евгений Толмачев Александр Зайцев Денис Макрушин К.О.
  • 3. О чем пойдет речь Обзор «поисковых» утечек Почему это случилось только сейчас? Разбор инцидентов Причем здесь Яндекс.Бар? Защитит ли меня robots.txt? Что делать?
  • 4. Обзор Russian.Leaks 2011 (до 1 августа) Портал wiki.yandex-team.ru в Google 10.03 SMS абонентов Мегафон 18.07 SMS МТС, Вымпелком, Мегафон через сайт sms.prm.ru 18.07 Заказы �� Интернет-магазинах ( WebAsyst Shop-Script ) 25.07 Железнодорожные и авиабилеты 26.07 … .
  • 5. Впереди планеты всей? Техника поиска конфиденциальной информации в поисковых машинах и веб-архивах известна давно. В начале века устоялся термин Google Hack и вышла одноименная книга. GHDB - Google Hacking Database .
  • 6. Чем интересны новые утечки? (1 /3) Традиционно утечки связаны с простейшими ошибками в реализации веб-сайтов: недостаточная аутентификация ( Insufficient Authentication ); обмен конфиденциальной информацией через FTP -серверы; индексация каталогов ( Directory Indexing ); неверные разрешения файловой системы ( Improper Filesystem Permissions ); небезопасная индексация ( Insecure Indexing ). http://projects.webappsec.org/Threat-Classification
  • 7. Обзор Russian.Leaks 2011 (традиционные утечки) Закрытые фотоальбомы streamphoto.ru 19.07 Опубликованная пользователем ссылка на закрытый впоследствии альбом оставалась доступна в кэше. Фотоальбомы QIP 25 .07 - 26.07 После публикации в блоге поискового запроса к search.file.qip.ru Яндекс проиндексировал результаты поиска. Документы под грифом ДСП органов в доменах * .gov.ru 27.07 Google проиндексирован открытый файловый архив. Скрытые фотографии из сети «ВКонтакте» 30.07 Фотографии и ссылки на них не удалялись даже после удаления учетной записи. Интернет-правило Миранды: «Все, что вы указали о себе в социальной сети, блоге, форуме, чате, любом общедоступном сервисе, будет храниться там вечно и всегда может быть использовано против вас.» Михаил Емельянников, Positive Hack Days 2011 http://phdays.ru/program-business2011.asp
  • 8. Чем интересны новые утечки? ( 2 /3) Традиционно более сложные уязвимости эксплуатируются вручную в рамках конкурентной разведки: подбор имен файлов и ссылок ( Brute Force ); подбор простых имен пользователей и паролей к FTP - и файловым хранилищам; … http://phdays.ru/master-classes2011.asp#5
  • 9. Чем интересны новые утечки? ( 3 /3) Сейчас в кэш поисковой машины попали данные, которые до этого уже были доступны квалифицированному хакеру.
  • 10. В чем суть? После отправки веб-формы (сообщение / заказ) сайты возвращали страницу статуса. Страница статуса содержала детальную информацию о переданных данных:
  • 11. В чем суть? Страница статуса идентифицировалось уникальным значением вида: http://site/script/?id=< randomvalue > Примеры: http://www.railwayticket.ru/print.php?n= d03dce47609c928f95d51914bed1e651 http://shop.someshop.ru/order_status/?orderID=3884&code= dm92YW5jaG84MEBtYWlsLnJ1 &hash= 6fc0cbf90a5412ab4c350cf2fbaf10b4 Дополнительная проверка запроса ( cookie, IP) не выполнялась.
  • 12. В чем суть? Использование уникального значения в адресе и ограничение времени жизни страницы должно предотвращать появление конфиденциальной информации в поисковых машинах. Поисковики просто не должны знать о существовании такой ссылки. Но узнали! Откуда? Баннерные системы? СОРМ? Хакеры, прослушивающие сети Wi - Fi? http://webmaster.ya.ru/replies.xml?item_no=10941 Владимир Иванов, информационная безопасность Яндекса
  • 13. Теперь есть официальный ответ! «Мы изучили ситуацию и выяснили, что адреса страниц с некоторых хостов стали известны Яндексу через установленную на сайтах Метрику . А поскольку в robots.txt этих сайтов запрета на индексацию страниц не содержалось, они стали находиться в Яндексе. Особо хотим отметить, что посещение пользователем страницы с помощью браузера с установленным Яндекс.Баром не приводило и не приводит к ее индексации.» Владимир Иванов, информационная безопасность Яндекса http://webmaster.ya.ru/replies.xml?item_no=11122
  • 14. Итак… При установке на сайте счетчика Яндекс.Метрика адреса страниц, включая уникальные значения , передаются в Яндекс . Яндекс индексирует эти страницы и сохраняет результаты в кэше. По истечении таймаута страницы на основном сайте очищались , но содержимое оставалось в кэше Яндекса. В настоящее время Яндекс изменил поведение Метрики , снизив вероятность индексации подобных страниц.
  • 15. Почему Яндекс.Бар под подозрением? Яндекс.Бар передает адреса посещаемых страниц на сайты: bar-navig.yandex.ru backup-bar-navig.yandex.ru http://devteev.blogspot.com/2011/07/blog-post_20.html
  • 16. Почему Яндекс.Бар под подозрением? По неофициальным заявлениям Яндекс, передаваемые URL не участвуют в индексации, а используются только для определения тИЦ. Однако возникают очевидные вопросы…
  • 17. Очевидный вопрос №1 Q : При работе с моим банком через Интернет все запросы передаются по HTTPS. Что будет, если я использую Яндекс.Бар? A : Яндекс.Бар будет передавать информацию о зашифрованных страницах в открытом виде.
  • 18. Очевидный вопрос №2 Q : Будет ли в этом случае передаваться конфиденциальная информация в открытом виде? A : Да, если ДБО-служба передает значения в параметрах URL .
  • 19. Очевидный вопрос №3 Q : Будет ли передаваться конфиденциальная информация в открытом виде, если ДБО-служба не использует GET ? A : Да, если вы используете функцию «Проверка орфографии» в Яндекс.Бар.
  • 21. Немного про robots.txt Robots.txt – старый стандарт (30 января 1994 ) . Его соблюдение – вопрос доброй воли ( которой обладают не все). Каждый робот трактует Robots.txt по-своему. Может использоваться устаревшая копия файла. Поисковики иногда «оптимизируют» трактовку robots.txt . http://webplanet.ru/news/service/2007/01/11/feedburner.html   Роман Иванов, Яндекс «Сейчас мы ввели временный обход robots.txt для сервиса FeedBurner, чтобы ни в чем не повинные блоггеры, пользующиеся их услугами, не пострадали.» 
  • 22. Итак, кто виноват? Владельцы сайтов, допустивших утечку? Поисковые машины? Люди, опубликовавшие поисковые запросы?
  • 23. Что делать? Администраторам веб-сайтов Читать лицензионное соглашение! «Искать себя» в поисковых машинах и тестировать сайт с помощью автоматических утилит. Аккуратно относится к внешним компонентам , следить за связанными уязвимостями. Использовать передовой опыт в области безопасности ( WASC, OWASP) . Корпоративным администраторам Блокировать подозрительные программы. Фильтровать на межсетевых экранах различные счетчики, трафик «баров» и т.д. Пользователям Интернет ВНИМАТЕЛЬНО читать лицензионное соглашение ! Фильтровать ( NoScript, AdBlock…) различные счетчики.
  • 24. P . S . Google vs Yandex ? Яндекс.Метрика vs Google Analytics? Google Toolbar vs Яндекс.Бар ? … vs Google Chrome?
  • 25. Сергей Гордейчик, технический директор Positive Technologies    +7 495 7440144 [email_address]   http://www.ptsecurity.ru             http://sgordey.blogspot.com          http://ptresearch.blogspot.com

Editor's Notes

  1. Как должен быть расположен рисунок? В исходном виде он перекрывает текст. Если у нас «Винни-пух против Гугл Хром», то многоточие не нужно (либо многоточие перед Винни-пухом)