Pull to refresh
49
13.4
Уральский Центр Систем Безопасности @USSCLTD

ИТ-компания

Send message

Поиск уязвимостей в исходном коде с помощью ручного статического анализа

Reading time7 min
Views1.7K

Ручной анализ исходного кода – это проверка кода на наличие уязвимостей и проблем, связанных с бизнес-логикой, которую выполняет квалифицированный специалист. Выполнять анализа кода вручную можно «в лоб», просматривая весь код от начала и до конца, или придерживаться определенного подхода — например, определив сначала поверхность атаки.

Поверхность атаки программного обеспечения (ПО) — совокупность интерфейсов и реализующих их модулей ПО, посредством прямого или косвенного использования которых могут реализовываться угрозы безопасному функционированию ПО. Для определения поверхности атаки обычно используются статические анализаторы исходного кода.

Однако обнаружить уязвимости можно с помощью ручного статического анализа. В статье рассмотрим, какие есть основные этапы обнаружения уязвимостей при ручном статическом анализе, на что обязательно стоит обратить внимание.

Читать далее
Total votes 7: ↑5 and ↓2+3
Comments2

Анализ Приказа ФСТЭК России №118 «Об утверждении требований по безопасности информации к средствам контейнеризации»

Reading time15 min
Views9.5K

Рассмотрим требования к безопасности информации в средствах контейнеризации, указанные в Выписке из Приказа ФСТЭК России № 118 «Требования по безопасности информации к средствам контейнеризации», приведем разъяснения к каждому требованию. Также в статье проанализируем техническую реализацию требований Приказа ФСТЭК России № 118 на примере ОС Astra Linux Special Edition и программные механизмы реализации в среде ОС.

Читать далее
Total votes 9: ↑9 and ↓0+9
Comments11

Передача данных по радиоканалу

Reading time4 min
Views15K

Идея для этой статьи зародилась, когда мы проводили анализ защищенности в удаленном районе в условиях отсутствия Интернета и любых средств связи. У нас были только рации, через которые мы переговаривались. Но нам также нужно было удаленно обмениваться небольшими файлами. Так у нас появилась идея проверить, возможно ли передавать информацию с одного ноутбука на второй, используя рации.

Важно! Здесь не будет информации о юридических особенностях использования радиосвязи, а также о частотах, мощности передачи, позывных и т. п. Применение радиосвязи имеет ограничения и регулируется Федеральным законом N 126-ФЗ «О связи».

Читать далее
Total votes 36: ↑36 and ↓0+36
Comments60

Когда SIEM бесполезна: что важно учесть до внедрения системы

Reading time4 min
Views3.4K

Существует несколько факторов, без которых использование даже самой продвинутой SIEM-системы не даст ожидаемого результата. Тем, кто планирует внедрить решение, важно оценить, насколько инфраструктура и процессы компании готовы к этому. Практика показывает, что в большинстве случаев обращать внимание нужно на три составляющие. Какие — рассказываем в этом материале.

Читать далее
Total votes 6: ↑4 and ↓2+2
Comments0

Что общего между PetitPotam, NTLM Relay и PrintNighmare? Рассказываем, к чему может привести отсутствие обновлений

Reading time4 min
Views1.7K

Команда Центра кибербезопасности УЦСБ продолжает рассказывать о самых интересных практиках пентеста. Напоминаем, что в прошлой статье мы писали о том, как нам удалось пробить периметр с двух точек: Windows- и Linux-серверов, а также захватить внутреннюю инфраструктуру компании.

В этот раз мы покажем, как компрометация домена Active Directory (AD) может привести к полной остановке деятельности компании на неопределенное время. Надеемся, наши кейсы будут вам полезны, а этот опыт позволит избежать схожих проблем!

Читать далее
Total votes 4: ↑4 and ↓0+4
Comments0

ML SAST. Часть 1: как работают инструменты SAST и какие проблемы может решить применение машинного обучения?

Reading time13 min
Views1.8K

Машинное обучение (ML) в сфере анализа безопасности приложений SAST (Static Application Security Testing) — это область, которая с каждым годом становится все более актуальной в мире разработки ПО. Многие компании активно исследуют ее, а некоторые уже внедряют машинное обучение в продукты для анализа кода. УЦСБ разрабатывает собственную платформу по непрерывному анализу защищенности приложений и занимается внедрением моделей машинного обучения в качестве рекомендательной системы при поиске и верификации проблем безопасности. В серии статей, посвященной этой теме, планируем рассказать о потенциале внедрения машинного обучения в инструменты SAST и пошагово разработать модель анализа кода.

Читать далее
Total votes 1: ↑1 and ↓0+1
Comments1

Как за одну неделю захватить контроллер домена, или Пивотинг за 300

Reading time4 min
Views11K

У этичных хакеров не принято держать при себе то, что поможет кому-то найти брешь в системе защиты до того, как наступит недопустимое событие. А семь лет практики в анализе защищенности ИТ-инфраструктур дают свои плоды. Например, нетривиальные кейсы, о которых хочется рассказать. По этим причинам мы решили поделиться своим опытом и выпустить серию публикаций о необычных пентестах нашей команды.

Предупреждаем заранее: все данные, которые могли бы указывать на конкретных людей или компании, изменены, а любые совпадения — случайны. Конфиденциальность — это то, что мы гарантируем по умолчанию.

Итак, начнем с истории о том, как за одну неделю удалось захватить контроллер домена ИТ-инфраструктуры промышленного предприятия.

Читать далее
Total votes 6: ↑6 and ↓0+6
Comments5

Фаззинг на пальцах. Часть 1: идея, техника и мера

Reading time7 min
Views3.4K

О чем вы думаете, когда слышите слово «фаззинг»? Одни вспоминают о приказе ФСТЭК России № 239, другие — об утилитах с пугающими отчетами, а кто-то и вовсе озадаченно пожимает плечами. Рассказываем, для чего нужен фаззинг, зачем его применять и каким он бывает.

Навигация по статье:

• Ввод понятия

• Подходы к тестированию (White/Black/Grey Box)

• Необходимость проведения

• Ограничения в выборе

• Международные практики

• Вместо заключения

• Для статистики 

Ввод понятия 

В ГОСТ 58142 «Информационная технология. Методы и средства обеспечения безопасности. Детализация анализа уязвимостей программного обеспечения в соответствии с ГОСТ Р ИСО/МЭК 15408 и ГОСТ Р ИСО/МЭК 18045. Часть 2. Тестирование проникновения» есть следующее определение: «фаззинг — это тестирование, использующее как корректные, так и случайные (включая некорректные) входные данные для проверки, устанавливающей, обрабатываются ли должным образом интерфейсом случайные входные данные или возникает ошибочная ситуация (ошибочное условие), указывающая (указывающее) на наличие недостатков при разработке (ошибки исходного кода) или при эксплуатации».

Если проще, то фаззинг — это проверка на то, могут ли при обработке случайных, в том числе некорректных, входных данных некоторыми частями софта возникнуть «странности» в поведении ПО, которые разработчики не закладывали в его функционал.

Из определений ясно, что фаззинг позволяет обнаружить ошибки сразу на нескольких стадиях жизненного цикла программного средства: разработки и применения. Неужели этот метод настолько универсален?

Читать далее
Total votes 5: ↑2 and ↓3-1
Comments3

Обзор изменений в законодательстве за апрель 2023

Reading time11 min
Views2.4K

Автор: Татьяна Пермякова, старший аналитик

В обзоре изменений за апрель 2023 года рассмотрим: дополнительные требования для значимых объектов КИИ с удаленным управлением, госконтроль и аккредитация операторов в ЕБС, удостоверение личности с помощью Госуслуг, изменения в список контрольных вопросов Роскомнадзора, цифровые отпечатки в приложениях финансовых организаций, замена административных регламентов ФСТЭК России, порядок обращения с ДСП-документами, а также результаты работы ТК 362.

Требования Минэнерго по обеспечению безопасности значимых объектов КИИ

 Для общественного обсуждения представлен проект приказа Министерства энергетики Российской Федерации (далее ‑ Минэнерго России) «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры при организации ‎и осуществлении дистанционного управления технологическими режимами работы и эксплуатационным состоянием объектов электроэнергетики ‎из диспетчерских центров субъекта оперативно-диспетчерского управления в электроэнергетике».

Проектом предлагается установить дополнительные требования к обеспечению безопасности значимых объектов критической информационной инфраструктуры (далее – КИИ) теплоэнергетического комплекса, при организации или осуществлении дистанционного управления технологическими процессами. Проект в явном виде устанавливает область действия требований, а также требования как для организации дистанционного управления, так и для тех субъектов КИИ, которые до вступления проекта в силу уже организовали и осуществляют дистанционное управление.

Читать далее
Total votes 2: ↑2 and ↓0+2
Comments0

УЦСБ и Positive Technologies успешно завершили внедрение PT Application Firewall в рамках импортозамещения

Reading time3 min
Views936

«Уральский центр систем безопасности» (УЦСБ) внедрил PT Application Firewall, чтобы обеспечить безопасную эксплуатацию веб-приложений. Главная цель проекта защитить веб-приложения от несанкционированного доступа, а также, в рамках импортозамещения, заменить зарубежный межсетевой экран уровня веб-приложений.

В поисках подходящего решения, по итогам анализа функционала и качества исполнения решений, эксперты УЦСБ остановились на PT Application Firewall, поскольку это российское решение в реестре отечественного ПО, прошедшее сертификацию во ФСТЭК. Кроме того, виртуальные интерфейсы (WAN) данной системы защиты, по сравнению с виртуальными IP-адресами (VIP), значительно упрощают администрирование системы, поскольку системным администраторам не нужно выделять пул внешних IP-адресов для веб-приложений. Также продукт позволяет кастомизировать дашборды, таким образом повышая эффективность задач аналитики.

Читать далее
Total votes 5: ↑3 and ↓2+1
Comments0

Обзор изменений в законодательстве за март 2023

Reading time18 min
Views3K

Автор: Татьяна Пермякова, старший аналитик

В обзоре изменений за март 2023 года рассмотрим: изменения в законодательстве о персональных данных, вступившие в силу с марта, новые постановления про единую биометрическую систему, ограничение требований планового госконтроля, законопроект в области защиты государственной тайны, создание государственных информационных систем на платформе «ГосТех», отмена административных регламентов ФСБ России, прекращение применения некоторых средств защиты на аттестованных объектах информатизации, замена 719-П, требования для АИС страхования, руководство по управлению уязвимостями, а также новости в области стандартизации.

Реформа 152-ФЗ

Напомним, что в июле 2022 года были внесены изменения в Федеральный закон от 27.07.2006 №  152-ФЗ «О персональных данных» (далее – 152-ФЗ), которые утверждены Федеральным законом от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части 14 статьи  30 Федерального закона «О банках и банковской деятельности» (далее – 266-ФЗ). Часть положений вступили в силу с 1 сентября 2022 года, остальные с 1 марта:

Читать далее
Total votes 3: ↑3 and ↓0+3
Comments0

Атаки на RDP и способы защиты от них

Level of difficultyEasy
Reading time15 min
Views22K

С распространением COVID-19 организации перевели сотрудников на удаленный режим работы, что напрямую повлияло на кибербезопасность организаций и привело к изменению вектора угроз.

В 2020 году увеличилось использование сторонних сервисов для обмена данными, работа сотрудников на домашних компьютерах в потенциально незащищенных сетях Wi-Fi. Увеличилось количество людей, использующих инструменты удаленного доступа. Это стало одной из главных проблем для сотрудников ИБ.

Одним из наиболее популярных протоколов прикладного уровня, позволяющим получать удаленный доступ к рабочей станции или серверу под управлением ОС Windows, является проприетарный протокол Microsoft — RDP (англ. Remote Desktop Protocol - Протокол удаленного рабочего стола). Во время карантина в сети Интернет появилось большое количество компьютеров и серверов, к которым можно подключиться удаленно. Наблюдался рост активности злоумышленников, которые хотели воспользоваться текущим положением вещей и атаковать корпоративные ресурсы, доступные для сотрудников, отправленных на удаленную работу. На рисунке 1 представлена статистика атак на RDP. По графику видно, что количество атак на RDP значительно увеличилось с начала пандемии.

Читать далее
Total votes 6: ↑6 and ↓0+6
Comments11

Обзор изменений в законодательстве за февраль 2023

Reading time24 min
Views3.2K

В обзоре изменений за февраль 2023 года рассмотрим: положение о единой биометрической системе (далее – ЕБС), взаимодействие оператора регионального сегмента ЕБС с Министерством внутренних дел Российской Федерации (далее – МВД России) и Федеральной службой безопасности Российской Федерации (далее – ФСБ России), порядок обработки биометрических персональных данных (далее – ПДн) и изменение случаев и сроков их использования, национальные стандарты по безопасности финансовых операций и управлению компьютерными инцидентами, изменения в приказе Федеральной службы по техническому и экспортному контролю (далее – ФСТЭК России) № 235, отраслевой план перехода на использование отечественного программного обеспечения (далее – ПО) на значимых объектах критической информационной инфраструктуры (далее – КИИ) и порядок оценки актуальности сведений о субъектах КИИ, новые формы заявлений ФСТЭК России по лицензированию, контроль защиты государственной тайны, управление федеральной государственной информационной системой (далее – ГИС) «Управление государственной единой облачной платформой» (далее – ГосОблако), внеплановые проверки Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор), перечень иностранных сервисов и другие новости.

Читать далее
Rating0
Comments0

Встраиваем JS- скрипты в PDF для социальной инженерии — пошаговое руководство

Reading time7 min
Views13K

Введение

Согласно статистике, большинство всех атак совершается с использованием вредоносного программного обеспечения, а половина от всех атак проводится с использованием методов социальной инженерии.

Таким образом, для проведения проверок с использованием методов социальной инженерии полезно научиться отслеживать реакцию пользователей, что они будут делать с полученным документом. Причём делать это необходимо штатными средствами, никого не взламывая. JavaScript идеально подходит для этих целей.

Мы, Маргарита Белоусова, аналитик аналитического центра и Анастасия Прядко, специалист по анализу защищенности компании УЦСБ написали пошаговую инструкцию, как сделать фишинговый документ: детали и примеры кода. Кроме того, мы кратко рассмотрели структуру PDF-файла, как и куда в него внедрять JavaScript, а также способы маскировки факта внедрения скрипта. Наш опыт пригодится безопасникам, системным администраторам и всем, кто связан с ИБ.

Структура PDF

Организация данных в памяти

PDF способен на большее, чем просто отображать текст. Он может также включать в себя изображения и другие мультимедийные элементы, может быть защищён паролем, выполнять JavaScript и многое другое. Вне зависимости от версии структура PDF документа неизменна:

Читать далее
Total votes 17: ↑16 and ↓1+15
Comments7

Обзор изменений в законодательстве за ноябрь 2022

Reading time20 min
Views4.1K

В обзоре изменений законодательства в области информационной безопасности (далее –ИБ) за ноябрь 2022 года рассмотрим: проект порядка осуществления мониторинга защищенности во исполнение Указа №250, перечень сведений потенциально используемых против безопасности РФ, новый регламент лицензирования ФСБ России, требования по защите информации с использованием криптографических средств в государственных информационных системах (далее – ГИС), требования к отечественному программному обеспечению (далее – ПО), требования к линиям связи, пересекающим границу РФ, требования к оценке вреда субъектам ПДн в случае нарушения 152‑ФЗ, требования к подтверждению уничтожения ПДн и иные изменения в области ПДн, а также новые стандарты по управлению компьютерными инцидентами, результаты работы ТК 362 и другие новости в нормативном поле ИБ.

Читать далее
Total votes 2: ↑2 and ↓0+2
Comments2

Обзор изменений в законодательстве за октябрь 2022

Reading time21 min
Views2.3K

В обзоре изменений за октябрь 2022 года рассмотрим: поручения о размещении согласий субъектов персональных данных на Госуслугах, назначение оператора единой биометрической системы и законопроект о системе, порядок ведения реестра инцидентов Роскомнадзора и обмена сведениями об инцидентах с ФСБ России, а также внутренние документы об обработке персональных данных в Роскомнадзоре, изменения в правила категорирования объектов критической информационной инфраструктуры, методические рекомендации об импортозамещении, положение о платформе для создания государственных информационных систем, дополнение к правилам допуска к государственной тайне, публикация профессиональных стандартов специалистов в области ИБ и ИТ, изменения в порядок сертификации средств защиты в системе ФСТЭК России, результаты работы ТК 362 и т.д.

Читать далее
Total votes 4: ↑4 and ↓0+4
Comments1

Компетенции ИБ-специалиста

Reading time4 min
Views3.4K

Рост количества кибератак и ежедневные сообщения об утечках персональных данных пользователей – это новые реалии информационного мира. Уберечь компании от этих проблем помогают эксперты по информационной безопасности (ИБ). Круг обязанностей коллег по устранению киберугроз широк, однако есть определенные компетенции, которые ценятся в этой сфере. В нашей статье подробно расскажем о навыках, которые пригодятся, если вы хотите начать карьеру или уже работает в сфере ИБ.

Читать далее
Total votes 2: ↑0 and ↓2-2
Comments1

Пентестеры: думать, как взломщики, чтобы усилить защиту

Reading time4 min
Views2.7K

За последние несколько лет картина российского ИТ-мира сильно изменилась. Число атак на информационные системы предприятий и компаний возросло лавинообразно. Сегодня любой организации стоит быть готовой к тому, что объектом вторжения может стать ее ИТ-инфраструктура, и сделать все, чтобы оно не увенчалось успехом.

Так сложилось, что в русском языке слово «хакер» имеет скорее негативное значение – умелец, который проникает в информационные системы организаций, чтобы нарушить работу или украсть данные. На самом деле это искажение. Хакер – это специалист, который умеет мыслить нестандартно, находить обходные, неочевидные пути к своим целям и использовать их.

Как и у любой силы, у этой есть темная и светлая стороны. Киберситхи взламывают системы с преступными намерениями. Киберджедаи ищут слабые места в информационной безопасности организации, чтобы их усилить. Они действуют только во благо компании и всегда задумываются о последствиях своих действий. В вакансиях киберджедаев называют специалистами по анализу защищенности, инженерами аудита информационной безопасности и инженерами кибербезопасности. В ИТ-мире они известны как пентестеры, от penetration test – тест на проникновение.

Читать далее
Total votes 3: ↑2 and ↓1+1
Comments1

Обзор изменений в законодательстве за сентябрь 2022

Reading time13 min
Views2.4K

В обзоре изменений за сентябрь 2022 года рассмотрим: изменения в продолжение «реформы 152-ФЗ»: новые электронные формы уведомления от Роскомнадзора, разъяснения ведомства о порядке отнесения фотографии к категории биометрических персональных данных, проекты постановлений Правительства РФ об исключениях применения требований и порядке принятия решений о запрещении/ограничении трансграничной передачи данных; требования к использованию средств криптографической защиты информации в государственных информационных системах, расширение области действия требований о защите платежной системы, результаты работы ТК 362 и другие изменения.

Читать далее
Total votes 5: ↑3 and ↓2+1
Comments0

Немецкое качество или как оценивать риски ИБ по BSI-Standard 200-3

Reading time10 min
Views2.2K

Начать стоит с небольшой предыстории. В 1991 году объединенная Германия окончательно избавилась от давления как западных стран, так и Советского Союза. За этим последовали многочисленные пересмотры и реорганизации немецких структур. Одной из них стало Федеральное агентство по информационной безопасности (сокращенно нем. BSI), в задачи которого вошли:

обнаружение и защита от атак на государственную ИТ-инфраструктуру;

тестирование, сертификация и аккредитация ИТ-продуктов и услуг;

информирование и повышение осведомленности общественности об информационных технологиях и информационной безопасности (ИБ);

разработка единых и обязательных стандартов по ИБ;

и другие.

В ходе реализации задачи по разработке единых стандартов по ИБ появилась на свет методология IT-Grundshutz, включающая в себя различные стандарты, регламенты, инструкции и руководства в области ИБ.

В рамках продолжения нашего цикла по обзорам зарубежных методик оценки рисков ИБ мы рассмотрим BSI-Standard 200-3 Risk Analysis based on IT-Grundschutz (BSI 200-3).

Читать далее
Total votes 5: ↑5 and ↓0+5
Comments2

Information

Rating
432-nd
Location
Екатеринбург, Свердловская обл., Россия
Works in
Registered
Activity