Orange Tsai недавно запостил про «Одну из уязвимостей PHP, которая влияет на XAMPP, развернутый с настройками по умолчанию», и нам было интересно рассказать немного об этом. XAMPP - очень популярный способ администраторов и разработчиков развернуть Apache, PHP и множество других инструментов, и любая ошибка, которая может быть RCE в установке этого набора по умолчанию, звучит очень заманчиво.
Где нашлась очередная уязвимость PHP? Читайте далее.
Всем привет! Меня зовут Денис Макрушин, я отвечаю за создание технологий кибербезопасности в MTC RED и возглавляю команду перспективных исследований МТС RED ART (Advanced Research Team).
Сегодня проведу разбор самых интересных исследований первого квартала 2024. Под катом — новые методы поиска уязвимостей и секретов в исходном коде, инструменты и принципы построения безопасной разработки и многое другое.
Всем привет! Подводим итоги мая дайджестом самых горячих ИБ-новостей. Последний весенний месяц выдался богатым на всевозможные интересные события. Так, СДЭК стал жертвой масштабной рансомварь-атаки. Microsoft представила фичу Recall, подвергшуюся яростной критике инфобез-сообщества. На устройствах Apple после обновления стали внезапно всплывать старые фото. А мессенджер Signal оказался в центре скандала в свете занятных подробностей финансирования и управления.
В мае ФБР деанонимизировала товарища LockBitSupp, а группировка попала под санкции. Очередная итерация Breach Forums была перехвачена безопасниками в погонах, только чтобы всплыть парой недель позже. Обо всём этом, а также о крупных утечках из Dell и Samsung и других событиях мая, читайте под катом!
Сегодня в рубрике не просто книга, а настоящий манифест для современных пиратов. Но не тех, которые бороздят просторы мировых океанов, а тех, что серфят на волнах предпринимательства. Обо всём по порядку.
Сэм Коннифф Альенде — социальный предприниматель, эксперт и консультант в сфере стратегического менеджмента. В его кейсах — работа с крупными мировыми брендами. Например, Google и Dyson. Он основал маркетинговое агентство Livity и с десяток стартапов. Есть у Сэма и значимая награда — премия Ernst&Young как лучшему социальному предпринимателю года. Как автор в контексте рубрики интересует нас необычной книгой с рекомендациями о том, как к лучшему менять мир. Послужной список у него большой, поэтому доверять его мнению стоит. Но и о провокационных моментах из его книги тоже предупредим — сделаем на полях пометки.
Привет, Хабр! Меня зовут Дмитрий Прохоров, я cпециалист по тестированию на проникновение из команды CyberOK. Исследуя просторы Рунета и собирая фингерпринты для различных CMS, я заметил, что присутствует большое множество различных веб-сайтов на CMS отечественной разработки. И да, это не Битрикс!
Тут и родилась идея пополнить базу БДУ новыми уязвимостями и найти заветное bounty.
Но как трудно найти уязвимость в CMS, имеющей столь серьезный статус? Спустя две недели стало понятно, что это практически невозможно, если ты ни разу не играл в студенческий CTF. В противном случае есть нюансы...
Гайнуллина Екатерина, инженер по информационной безопасности, Отдел развития Производственного департамента Security Vision
Беляева Ева, руководитель отдела развития Производственного департамента Security Vision
Введение
Как часто, пользуясь open source, вы задумывались о том, что придет с грядущим обновлением? Скорее всего, регулярно, особенно за последние несколько лет. Весь мир давно говорит о том, что любые обновления проприетарного ПО требуют тестирования и проверки, с обновлениями opensource-решений такая же история.
В последние годы атаки на цепочку поставок стали значительной угрозой для безопасности программного обеспечения.
Два года назад во время работы в домашней сети со мной произошло нечто очень странное. Я эксплуатировал слепую уязвимость XXE, которая требовала внешнего HTTP-сервера для переправки файлов. Казалось, всё шло, как по маслу, но вдруг в моем лог-файле появилось нечто неожиданное...
Пришло время поговорить по-взрослому на тему, которая касается всех, у кого есть счет в банке. А именно: о борьбе с мошенниками. Казалось бы, все просто. Схемы, которые используют мошенники, всем известны. Бери и делай, вернее, защищай. Не все так просто. Давайте разберемся:
- почему классический транзакционный антифрод не дает нужной эффективности;
- какие поправки в 161-ФЗ помогут в борьбе с мошенниками;
- почему нельзя просто останавливать все первые операции в адрес нового получателя и запрашивать подтверждение операции у клиента.
С 23 по 26 мая Positive Technologies проводили конференцию PHDays по кибер безопасности с CTF конкурсами по разным направлениям. Про Web3 blockchain CTF узнал случайно от друзей и очень обрадовался, т.к. этой сферой давно интересуюсь. По итогу занял 2-е место, далее разберу все задачи.
Рассказываю об опыте и методологии создания персональных отчетов о действиях сотрудников по событиям из SIEM. У нас они используются для выявления потенциальных захватов учетных записей злоумышленниками при распространении их по корпоративной сети организации (lateral movement).
Вот есть у вас сотня коммутаторов или маршрутизаторов. Это много или мало?
Ну вроде как мало. А если надо на всех разом нового сотрудника добавить? А потом удалить уволившегося? А потом поротировать скомпрометированные пароли и ключи?
И тут приходит служба безопасности, которая, во-первых, хочет централизованно контролировать, у кого какие доступы, во-вторых, актуальны ли они на железках, в-третьих, ещё и смотреть, кто что когда запускал, да ещё и разрешать или запрещать это делать («Просто продолжай, не останавливайся» © СИБ).
Ну вот совсем уже и не мало. Чувствуете, чем это пахнет? Даааа, TACACS-ом.
Сегодня мы разберём, как сделать аутентификацию и авторизацию на сетевом оборудовании на основе TACACS, сделать работу сервиса отказоустойчивой, обеспечить себе запасной ход на случай глобальных проблем и осчастливить безопасников.
О том, как необходимо защищать облака, написано довольно много различных публикаций. В этой статье мы начнем рассматривать рекомендации по обеспечению кибербезопасности облаков, которые предлагает документ Security Guidance. For Critical Areas of Focus In Cloud Computing v.4.0. В этом документе предоставляются рекомендации по обеспечению безопасности облачных вычислений и снижению рисков.
Данный гайд был разработан альянсом по облачной безопасности (Cloud Security Alliance), который продвигает внедрение передовых методов обеспечения безопасности в области облачных вычислений и подготовил практическую дорожную карту для организаций, работающих с облачными средами.
4 июня СДЭК предварительно подтвердил, что сбой в его работе связан с внешним воздействием. 6 июня совет директоров компании соберется, чтобы обсудить данные внутреннего расследования.
Желаем ИТ-команде СДЭК скорейшего восстановления работы в полном объеме.
Официальные итоги расследования мы узнаем еще не скоро, если их вообще опубликуют. Но когда происходит публичный инцидент таких масштабов — обсуждения неизбежны. Важно не превращать их в бестолковый хайп и не надевать белое пальто — мол если бы они сделали то-то и то-то — такого бы не было.
Нужно делать правильные выводы из ситуации и уже сейчас подумать, а что мы можем сделать для того, чтобы уменьшить вероятность таких инцидентов в наших компаниях.
Представьте: вы ведете Telegram-канал о животных и хотите пригласить в него посетителей зоопарка. Или вам нужно собрать контакты потенциальных клиентов, посещающих определенный торговый центр. Как это сделать?
Полиция может легко получить такую информацию от мобильных операторов, но что делать обычному человеку?
Ответ – использовать Telegram и его функцию "Люди рядом" в сочетании с Python-скриптом.
Веб-серверы могут обрабатывать только ограниченное количество запросов одновременно. Кроме того, есть ограничения на скорость передачи данных между сервером и интернетом. Когда число запросов превышает возможности любого компонента системы, веб-сайт может полностью перестать работать. Это называется отказом в обслуживании или Denial-of-Service (коротко DoS).
DDoS-атака, или Distributed Denial of Service, — это распределенная атака типа «отказ в обслуживании». Максим Филатов, аналитик, работавший в антифрод-команде Яндекса и сейчас занимающий должность в FAANG-компании, расскажет о том, как работают DDoS-атаки и как можно защитить свой бизнес от подобных угроз.
В цифровую эпоху уже никто не удивляется, когда ему звонят с незнакомых номеров с рекламой. Мало ли какие соглашения о персональных данных мы подписываем и на каких сайтах оставляем свой номер.
Но сейчас на рынке информационных услуг всё большую популярность набирают сервисы, занимающиеся деанонимизацией пользователей при одном лишь открытии сайта. Причём всё это преподносится как абсолютно легальный сервис для бизнеса, с соблюдением закона о персональных данных.
Но что если вы не хотите оставлять свой номер на сайте, который просто открыли? Поговорим на примере одного из таких сервисов - dmp.one. Важно: автор рекомендует открывать этот адрес во вкладке инкогнито с включённым uBlock Origin с кастомными правилами (о них ниже), иначе есть риск попадания вашего телефона в базу.
Для начала, немного контекста:
18 апреля в Кыргызстане заблокировали популярную платформу TikTok. Многие пользователи использовали её для получения информации, заработка и развлечений. Проблемы с доступом коснулись как сайта, так и мобильного приложения.
Команда Amnezia быстро отреагировала на эту ситуацию, запустив AmneziaFree для Кыргызстана, это бесплатный VPN для получения доступа к общественно значимым ресурсам. AmneziaFree Kyrgyzstan работает на протоколе AmneziaWG, о котором мы писали в этой статье. Данный протокол доказал свою эффективность во время блокировок сервисов VPN в РФ, поэтому выбор пал именно на него (хотя классический Amnezia VPN также имеет, например, Cloak и XRay, второй, к сожалению, пока работает только в десктоп версиях), помимо эффективности, данный протокол все чаще используют VPN-сервисы, когда запускают или вводят протоколы эффективные во время блокировок.
Для пользователей из Кыргызстана конфиг можно использовать через приложение Amnezia VPN, запросив ключ с помощью Telegram-бота - https://t.me/amnezia_free_kyrgyzstan_bot и следуя инструкциям. Конфиг абсолютно бесплатный и устанавливается буквально в два клика.
Привет, Хабр! Меня зовут Кирилл Рупасов. Я руковожу группой инженеров SOC (Security Operations Center) в «К2 Кибербезопасность». Я не понаслышке знаю, как порой непросто создавать контент для Центра мониторинга кибербезопасности. Написать одно правило обычно несложно, а вот разработать их связанный комплекс — задача достаточно трудная, особенно для молодых команд.
Под катом я собрал всю полезную информацию о грамотном создании контента: виды правил и их нюансы, workflow и возможные проблемы, сценарии обработки инцидентов. А также рассказал, как мы организовали процесс разработки и поддержки актуальности контента в своем коммерческом SOC.
Всем привет, Хабровчане!
Думаю ни у кого не возникает сомнений в важности грамотной работы специалистов ИБ и ИТ служб, учитывая события недавних дней с ТК СДЭК, а также другие крупные взломы/утечки, которых было немало за последние пару, тройку лет. Обеспечение грамотной работы включает в себя обычно комплекс мероприятий, да и в целом в работе служб ИБ есть множество направлений, где одним из интереснейших направлений, без которого, на мой взгляд, трудно обойтись, является компьютерная криминалистика (Forensic или форенсика).
На Хабре и других профильных ресурсах все чаще появляются шпаргалки по прохождению собеседования на должность специалиста по информационной безопасности. Из той же серии разборы резюме, отчеты со стажировок, построение индивидуальных планов развития, и много чего ещё. А ведь стоит копнуть поглубже и обнаружим, что начать карьеру безопасника, прокачать теорию и попрактиковаться в сфере ИБ… проще всего в вузе. Должно быть проще.
По нашим наблюдениям, базовых университетских знаний для старта карьеры в ИБ недостаточно. Но не стоит сдаваться. А что ещё стоит делать студенту, который хочет в ИБ? Каковы реалии трудоустройства? В статье поделимся нашим мнением о том, как может выглядеть путь выпускника-кибербезопасника и почему оффер — это только начало.
