Когда руководство компании экстренно требует перевести всех сотрудников на удаленный доступ, вопросы безопасности зачастую отходят на второй план. Как результат – злоумышленники получают отличное поле для деятельности.


Так что же нужно и что нельзя делать при организации безопасного удаленного доступа к корпоративным ресурсам? Подробно об этом расскажем под катом.

Если требуется вам срочно провести пентест,
Вы при этом не хотите по затылку получать,
То тогда быстрей смотрите приготовленный для вас
Список удивительных советов — он, конечно, вас спасет.


Этот пост написан в юмористическом ключе с целью продемонстрировать, что даже пентестеры, чья работа должна быть интересной и увлекательной, могут страдать от излишней бюрократии и нелояльности заказчиков.

Представим ситуацию: вы — специалист по информационной безопасности и знаете, что выстроенная вами защита — полная чушь. Возможно, вы этого и не знаете, но проверять особо не желаете, ведь кому хочется выходить из зоны комфорта и дополнительно что-то предпринимать, внедрять средства защиты, смягчать риски, отчитываться за бюджет?

Неожиданно в вашем тридевятом царстве, в тридесятом государстве возникает потребность провести пентест против вашей воли, например, что-то причудилось начальству, или нагрянуло новое требование законодательства. Вам очевидно, что стоит найти «шарашкину контору», которая сделает имитацию работ и напишет, что всё хорошо, и дело с концом, но ситуация усложняется. Ваша компания решает разыграть конкурс и сделать это максимально эффективно: написать разумное ТЗ, предъявить высокие требования к команде пентестеров (наличие сертификатов, участие в Bug bounty) и т.п. В общем, все сделали за вас, а ваша ответственность — только курировать работы.

Итак, команда найдена, договор подписан, уговорить спецов провести пентест спустя рукава не получилось. Ребята толковые, начнут работы с понедельника и разнесут вашу ИБ к чертям, после чего вы отхватите по шапке, и ваша некомпетентность будет раскрыта. Ситуация кажется вам максимально плачевной, но не тут-то было! Вот вам вредные советы, как устранить или хотя бы минимизировать эту головную боль.

Всем привет! Уверен, что вы наслышаны о недочетах технологии Windows UAC, однако относительно недавно появились подробности любопытной уязвимости, эксплуатация которой дает возможность непривилегированному пользователю максимально повысить привилегии. В Jet CSIRT мы не оставили этот случай без внимания, ведь для любой команды мониторинга и реагирования на инциденты ИБ уязвимости класса Privilege Escalation представляют особый интерес. Под катом — описание уязвимости, способы детекта и защиты.

Последняя в этом году встреча российского отделения OWASP пройдет 6 декабря 2019 года в московском офисе компании BI.ZONE.

Вас ждут интересные доклады и обсуждения, программа и планы сообщества на 2020 год, участие в активностях сообщества и реорганизация локальных OWASP chapters.

Возможность удаленного даунгрейда устройств на базе RouterOS (Mikrotik) ставит под угрозу сотни тысяч сетевых устройств. Уязвимость связана с отравлением DNS-кеша Winbox протокола и позволяет загрузить устаревшую (со сбросом пароля «по-умолчанию») или модифицированную прошивку на устройство.

Представляем исчерпывающую шпаргалку, где мы простыми словами рассказываем, из чего «делают» искусственный интеллект и как это все работает.

В чем разница между Artificial Intelligence, Machine Learning и Data Science?

Разграничение понятий в области искусственного интеллекта и анализа данных.

В данной статье будут представлены видеозаписи методов атак и защиты современных Windows систем: различные вектора и способы перехвата учетных записей, атаки контроллера домена, использование IPv6 и многое другое.

На дворе наступила осень, во всю бушует техноутопия. Технологии стремительно рвутся вперед. Мы носим в кармане компьютер, вычислительная мощность которого в сотни миллионов раз больше мощности компьютеров, управлявших полетами на Луну. С помощью Youtube VR мы можем плавать в океане с медузами и китами, а роботы давно исследуют безжизненные горизонты холодных планет.

В это же время инженеры и специалисты ИТ-служб, разработчики и их бесчисленные коллеги разделились на два лагеря: тех, кто создает новые решения (ПО, стратегии, информационные системы), и тех, кто в них разбирается.

Ворвался в экосистему разработок приложений и метод использования микросервисов. Еще недавно это был непонятный, закрытый от посторонних глаз, принципиально новый прием. Но сегодня, спустя всего несколько лет, крупные и средние компании уже уверенно используют этот подход в собственной среде разработки. Что он собой представляет? Мы не будем использовать «классические» определения, а расскажем своими словами.

Всем привет! Меня зовут Людмила, я занимаюсь нагрузочным тестированием, хочу поделиться тем, как мы выполнили автоматизацию сравнительного анализа регрессионного профиля нагрузочного тестирования системы с БД под СУБД Oracle вместе с одним из наших заказчиков.

Целью статьи является не открытие «нового» подхода к сравнению производительности БД, а описание нашего опыта и попытка автоматизировать сравнение полученных результатов и
снизить количество обращений к DBA Oracle.

Правильный отбор признаков для анализа данных позволяет:

• повысить качество моделей машинного обучения с учителем и без, 
  
• уменьшить время обучения и снизить требуемые вычислительные мощности,
  
• а в случае входных данных высокой размерности позволяет ослабить «проклятие размерности».
  

Оценка важности признаков необходима для интерпретации результатов модели.

Мы рассмотрим существующие методы отбора признаков для задач обучения с учителем и без. Каждый метод проиллюстрирован open source-реализацией на Python, чтобы вы могли быстро протестировать предложенные алгоритмы. Однако это не полная подборка: за последние 20 лет было создано множество алгоритмов, и здесь вы найдёте самые основные из них. Для более глубокого исследования ознакомьтесь с этим обзором.

Этот проект предназначен для постоянно растущего числа организаций, которые внедряют потенциально чувствительные API в рамках своих программных решений. API используются для внутренних задач и для взаимодействия со сторонними сервисами. К сожалению, многие API не проходят тщательного тестирования безопасности, которое сделало бы их защищенными от атак, увеличивая ландшафт угроз для веб-приложения.

Проект безопасности OWASP API Security Top 10 предназначен подчеркнуть потенциальные риски в небезопасных API и предложить меры снижения таких рисков.

К концу 2018 года количество подключенных IoT-устройств превысило 22 миллиарда. Из 7,6 миллиардов человек на Земле у 4 миллиардов есть доступ к интернету. Получается, что на каждого человека приходится по 5,5 устройств интернета вещей.

В среднем между временем подключения устройства IoT к сети и временем первой атаки проходит около 5 минут. Причем большая часть атак на «умные» устройства происходит автоматизированно.

Разумеется, такая печальная статистика не могла оставить равнодушными специалистов в области кибербезопасности. Международная некоммерческая организация OWASP (Open Web Application Security Project) озаботилась безопасностью интернета вещей еще в 2014 году, выпустив первую версию «OWASP Top 10 IoT». Обновленная версия «ТОП-10 уязвимостей устройств интернета вещей» с актуализированными угрозами вышла в 2018 году. Этот проект призван помочь производителям, разработчикам и потребителям понять проблемы безопасности IoT и принимать более взвешенные решения в области ИБ при создании экосистем интернета вещей.

[По публичной информации], 21 сентября Ginno Security Lab опубликовала информацию об уязвимости, схожей с Simjacker, которая позволяет с помощью одной вредоносной SMS захватить контроль над мобильными функциями атакованного устройства и тем самым получить возможность отправлять SMS, совершать звонки, а также узнать информацию об IMEI и геолокации. Главная проблема в том, что уязвимость обнаружена в ПО самих SIM-карт и не зависит непосредственно от устройства. Любая эксплуатация злоумышленником будет незаметна для владельца, так как взаимодействие будет осуществляться непосредственно с WIB.

Уязвимым является Wireless Internet Browser (WIB) компании SmartTrust, который используется подавляющим большинством операторов связи.

Масштабы, заявленные исследователями, пугают… но попробуем разобраться, настолько ли она новая и такая уж опасная.

Совсем недавно, в начале лета, появились массовые призывы к обновлению Exim до версии 4.92 из-за уязвимости CVE-2019-10149 (Срочно обновляйте exim до 4.92 — идёт активное заражение / Хабр). А на днях выяснилось, что вредонос Sustes решил воспользоваться этой уязвимостью.

Теперь все экстренно обновившиеся могут опять «порадоваться»: 21 июля 2019 г. исследователь Zerons обнаружил критическую уязвимость в Exim Mail Transfer agent (MTA) при использовании TLS для версий от 4.80 до 4.92.1 включительно, позволяющую удаленно выполнять код с привилегированными правами (CVE-2019-15846).

Рано или поздно в ходе пентеста встает задача компрометации всего леса — при условии, что есть какие-либо права в одном из доменов. В такие моменты возникает куча вопросов о трастах, их свойствах и самих атаках. Попробуем во всем этом разобраться.

Недавно мы «порадовали» пользователей iPhone проблемами безопасности BLEee, но вряд ли мы сторонники какого-либо из фронтов в извечном споре Apple vs. Android, и готовы рассказать «отличную» новость про Android, если, конечно, в вашей душе есть место для злорадства.

Исследователи из Check Point Software Technologies обнаружили уязвимость, предположительно, в более чем 50% устройств на базе ОС Android в реализации механизма автонастройки для подключения к мобильному оператору по протоколу OMA CP (Open Mobile Alliance Client Provisioning), что позволяет злоумышленнику подменить как минимум следующие параметры устройства, осуществив атаку Man-in-the-middle с применением фишинга:

• сервер сообщений MMS;
• адрес прокси-сервера;
• домашнюю страницу и закладки браузера;
• адрес почтового сервера;
• серверы синхронизации контактов и календаря.

После выхода моей первой статьи «Не бойтесь пробовать, или Как я стала программистом в возрасте далеко за 18», в личку и комментариях на Хабре, а также в соцсетях стали приходить самые разные отзывы. Один из них запомнился больше всего:

«Спасибо за Вашу статью. Очень грамотно написано. Но хотелось бы улучшить ее и дать обратную связь: вы пишете в позитиве “все закончилось хорошо”. Но куда важнее другой аспект “Как выбираться из трясины?”. Вы в статье упомянули, что был перерыв и то ли жаба, то ли любовь к программированию и т.д. и т.п. И побежали объяснять радостно дальше! А ведь сколько судеб ломается именно в этот момент. У каждого он свой. И кто-то банально не знает, как из него выбраться. Именно “как выбраться из ж...?” куда важнее чем “всё ли хорошо закончилось?”»

Я пообещала автору отзыва написать на эту совсем непростую тему.

На оригинальность, универсальность или адаптируемость к вашим реалиям не претендую, ведь я простой разработчик, а не звезда психологии с мировым именем. Но если вас это особо не смущает, добро пожаловать под кат :)

Google удаляет XSS Auditor из браузера Chrome после серии уязвимостей, подвергших сомнению эффективность данной функции.

«Пентестер» — слово вообще-то не русское, заимствованное. Что приходит на ум людям не из ИТ, боюсь представить. Поэтому мы себя «на Руси» гордо зовём «специалисты по тестированию на проникновение». Что ещё за «проникновение» и зачем его нужно тестировать? В этой статье я постараюсь приоткрыть завесу тайны для непосвященных.

В предыдущих сериях: «Джет» перешел на новую сеть на базе небезызвестного вендора. Как происходил процесс аудита систем, сбора «хотелок» и укрощения «заповедника мутантов» читайте в первой части.

В этот раз я расскажу о процессе миграции пользователей (более 1600 человек) со старой сети на новую. Всех заинтересовавшихся приглашаю под кат.